啟用 Detective 的建議 - Amazon Detective
建議與 GuardDuty 和 對齊 AWS Security Hub建議更新 GuardDuty CloudWatch通知頻率

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Detective 的建議

在啟用 Detective 之前,請考慮遵循這些建議

如果您已註冊 GuardDuty 和 AWS Security Hub,我們建議您的帳戶是這些服務的管理員帳戶。如果這三項服務的管理員帳戶都相同,則以下整合點可順暢運作。

  • 在 GuardDuty 或 Security Hub 中,檢視 GuardDuty 調查結果的詳細資訊時,您可以將調查結果詳細資訊轉換為 Detective 調查結果設定檔。

  • 在 Detective 中,調查 GuardDuty 調查結果時,您可以選擇封存調查結果的選項。

如果您有 GuardDuty 和 Security Hub 的不同管理員帳戶,建議您根據您更頻繁使用的服務來調整管理員帳戶。

  • 如果您 GuardDuty 更頻繁地使用 ,請使用 GuardDuty 管理員帳戶啟用 Detective。

    如果您使用 AWS Organizations 管理帳戶,請指定 GuardDuty 管理員帳戶作為組織的 Detective 管理員帳戶。

  • 如果您更頻繁地使用 Security Hub,請使用 Security Hub 管理員帳戶啟用 Detective。

    如果您使用組織來管理帳戶,請將 Security Hub 管理員帳戶指定為組織的 Detective 管理員帳戶。

如果您無法在所有服務中使用相同的管理員帳戶,則在啟用 Detective 之後,您可以選擇建立跨帳戶角色。此角色會授權管理員帳戶存取其他帳戶。

如需如何IAM支援此類型角色的資訊,請參閱 IAM 使用者指南 IAM中的為您擁有的另一個 AWS 帳戶中的使用者提供存取權

在 中 GuardDuty,偵測器會設定 Amazon CloudWatch 通知頻率,以報告後續的調查結果。這包括發送通知給 Detective。

根據預設,頻率為六小時。這意味著即使調查結果重複出現多次,直到六個小時後,新事件才會反映在 Detective 中。

為了減少 Detective 接收這些更新所需的時間,我們建議 GuardDuty 管理員帳戶將偵測器上的設定變更為 15 分鐘。請注意,變更組態不會影響使用 的成本 GuardDuty。

如需設定通知頻率的資訊,請參閱 Amazon 使用者指南 中的使用 Amazon CloudWatch Events 監控 GuardDuty 調查結果 GuardDuty