进行侦探调查 - Amazon Detective

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

进行侦探调查

使用 “运行调查” 来分析IAM用户和IAM角色等资源并生成调查报告。生成的报告详细说明了表明潜在危害的异常行为。

Console

按照以下步骤使用 Amazon Detective 控制台从 “调查” 页面进行侦探调查。

  1. 登录 AWS 管理控制台。然后打开 Detective 控制台,网址为https://console.aws.amazon.com/detective/

  2. 在导航窗格中,选择调查

  3. 在 “调查” 页面中,选择右上角的 “运行调查”。

  4. “选择资源” 部分,您可以通过三种方式进行调查。你可以选择对 Detective 推荐的资源进行调查。您可以对特定资源进行调查。您也可以从 Detective 搜索页面调查资源。

    1. Choose a recommended resource— Detective 根据其在调查结果和发现小组中的活动来推荐资源。要对 Detective 推荐的资源进行调查,请在推荐资源表中选择要调查的资源。

      推荐资源表提供以下详细信息:

      • 资源 ARN-资源的亚马逊资源名称 (ARN)。 AWS

      • 调查原因:显示调查资源的关键原因。Detective 建议调查资源的原因如下:

        • 过去 24 小时内高严重性调查发现涉及资源。

        • 过去 7 天内观察到的调查发现组中涉及资源。Detective 调查发现组使您能够检查与潜在安全事件相关的多项活动。有关更多详细信息,请参阅分析调查发现群组

        • 过去 7 天内调查发现涉及资源。

      • 最新调查发现:最新调查发现的优先级排在列表顶部。

      • 资源类型:标识资源的类型。例如, AWS 用户或 AWS 角色。

    2. Specify an AWS role or user with an ARN— 您可以选择 AWS 角色或 AWS 用户,然后对特定资源进行调查。

      按照以下步骤调查特定的资源类型。

      1. 选择资源类型下拉列表中,选择 AWS 角色或 AWS 用户。

      2. 输入ARN资源的IAM资源。有关资源的更多详细信息ARNs,请参阅IAM用户指南中的 Amazon 资源名称 (ARNs)

    3. Find a resource to investigate from the Search page— 你可以从 Detective Se arch 页面搜索所有IAM资源。

      按照以下步骤从 “搜索” 页面调查资源。

      1. 在导航窗格中,选择搜索

      2. 在 “搜索” 页面中,搜索IAM资源。

      3. 导航到资源的个人资料页面,然后从那里进行调查。

  5. 调查范围时间部分中,选择调查范围时间,以评估所选资源的活动。您可以选择开始日期开始时间;以及UTC格式中的结束日期结束时间。所选的时间范围可以介于最少 3 小时到最多 30 天之间。

  6. 选择进行调查

API

要以编程方式进行调查,请使用 Detec API tive 的StartInvestigation操作。要使用 AWS Command Line Interface (AWS CLI) 运行调查,请运行开始调查命令。

在您的请求中,使用以下参数在 Detective 中运行调查:

  • GraphArn— 指定行为图的 Amazon 资源名称 (ARN)。

  • EntityArn— 指定IAM用户和IAM角色的唯一 Amazon 资源名称 (ARN)。

  • ScopeStartTime:(可选)指定开始调查的日期和时间。该值是一个 UTC ISO86 01 格式的字符串。例如, 2021-08-18T16:35:56.284Z

  • ScopeEndTime:(可选)指定结束调查的日期和时间。该值是一个 UTC ISO86 01 格式的字符串。例如, 2021-08-18T16:35:56.284Z

此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

您也可以从 Detective 的以下页面运行调查:

  • Detective 中的IAM用户或IAM角色资料页面。

  • 调查发现组的图形可视化窗格。

  • 所涉及资源的操作列。

  • IAM查找页面上的用户或IAM角色。

在 Detective 对资源运行调查后,将生成调查报告。要访问报告,请从导航窗格转到调查