本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解调查发现群组页面
查找小组页面列出了 Amazon Detective 从您的行为图中收集的所有查找组。请注意查找结果组的以下属性:
- 群组的严重性
根据相关发现 AWS 的安全结果格式 (ASFF) 严重性为每个发现组分配一个严重性。ASFF查找严重性值为 “严重”、“高”、“中”、“低” 或 “信息性”,从最严重到最不严重。分组的严重性等于该分组中调查发现的最高严重性调查发现。
对于由影响大量实体的急或高严重性调查发现组成的群组,应优先进行调查,因为它们更有可能代表影响较大的安全问题。
- 群组标题
在“标题”栏中,每个群组都有一个唯一的 ID 和一个非唯一的标题。它们基于群组的ASFF类型命名空间以及集群中该命名空间内的查找结果数量。例如,如果一个分组的标题是:分组:TTP(2)、Effect (1) 和异常行为 (2),则它总共包括五个调查结果,包括命名空间中的两个查找结果、效果TTP命名空间中的一个查找结果和两个在 “异常行为” 命名空间中的查找结果。有关命名空间的完整列表,请参阅类型分类法。ASFF
- 群组策略
群组策略栏详细说明了该活动属于哪个策略类别。以下列表中的战术、技术和程序类别与 MITREATT&CK 矩阵
一致。 你可以选择链上的战术来查看该战术的描述。链后面是组内检测到的策略列表。这些类别及其通常代表的活动如下:
初始存取 — 攻击者正试图进入他人的网络。
执行 — 攻击者正试图进入他人的网络。
维持 — 攻击者正努力保持其立足点。
权限升级 — 攻击者正试图获得更高级别的权限。
防御规避 — 攻击者正试图避免被检测到。
凭证访问 — 攻击者正试图窃取账户名和密码。
发现 — 攻击者正试图了解和学习环境。
横向移动 — 攻击者正试图在环境中移动。
收集 — 攻击者正试图收集与其目标相关的数据。
命令与控制 — 攻击者正试图进入他人的网络。
渗漏 — 攻击者正试图窃取数据。
影响 — 攻击者正试图操纵、中断或破坏您的系统和数据。
其他 — 表示调查发现中的活动与矩阵中列出的策略不一致。
- 群组内的实体
实体栏包含在该分组中检测到的特定实体的详细信息。选择此值可根据以下类别对实体进行细分:身份、网络、存储和计算。每个类别中的实体示例如下:
身份-IAM 主体和 AWS 账户,例如用户和角色
网络-IP 地址或其他网络和VPC实体
存储 — 亚马逊 S3 存储桶或 DDBs
计算 Amazon EC2 实例或 Kubernetes 容器
- 群组内的账户
“账户” 列会告诉您哪些 AWS 账户拥有与群组中的调查结果相关的实体。 AWS 账户按名称和 AWS ID 列出,因此您可以优先调查涉及关键账户的活动。
- 群组内的调查发现
调查发现栏按严重性列出了群组内中的实体。调查结果包括亚马逊的调查 GuardDuty 结果、Amazon Inspector的调查结果、 AWS 安全调查结果和Detective的证据。您可以选择图表,查看按严重性分列的调查发现的精确计数。
GuardDuty 调查结果是 Detective 核心包的一部分,默认情况下会被摄取。由 Security Hub 汇总的所有其他 AWS 安全发现都将作为可选数据源摄取。有关更多详细信息,请参阅行为图中使用的源数据。
