使用者指南的文件歷史記錄 - Amazon Detective

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用者指南的文件歷史記錄

以下資料表說明自上次發行 Detective 後,文件的重要變更。如需本文件更新通知,您可以訂閱 RSS 摘要。

  • 文件最近更新時間:2024 年 11 月 6 日

變更描述日期

新增對 Amazon GuardDuty 問題清單的支援

Detective 新增了對以下三種 GuardDuty 問題清單類型的支援,這些問題清單類型會在 Amazon EC2 執行個體或 AWS 環境中的容器工作負載上執行可疑命令時通知您:

2024 年 11 月 6 日

新增對 Amazon GuardDuty 問題清單的支援

Detective 現在支援下列 GuardDuty Runtime Monitoring 問題清單類型

  • Execution:Runtime/SuspiciousShell

  • PriviliegeEscalation:Runtime/ElevationToRoot

2024 年 8 月 27 日

新增對 Amazon GuardDuty 問題清單的支援

Detective 現在支援 S3 的 GuardDuty 惡意軟體保護。這可協助您將新上傳的物件掃描到 Amazon S3 儲存貯體中是否有潛在的惡意軟體和可疑上傳,並採取動作,在它們被擷取到下游程序之前將其隔離。

2024 年 7 月 9 日

已更新的功能

Detective 已將新的徑向配置新增至調查結果群組視覺化面板,以提供改善的視覺化效果,以便更輕鬆地解讀資料。

2024 年 6 月 26 日

新的 Security Lake 來源版本

除了來源版本 1 (OCSF 1.0.0-rc.2) 之外,Detective 現在會從來源版本 2 (OCSF 1.1.0) 擷取 Detective 支援之 Security Lake 來源的資料。

2024 年 5 月 15 日

新的 Security Lake 日誌來源

您可以使用 Detective 與 Security Lake 整合,從 Amazon EKS 稽核日誌收集日誌和事件。

2024 年 5 月 15 日

文件更新

Amazon Detective 管理指南中的內容現在已合併至 Amazon Detective 使用者指南。Amazon Detective 管理指南將於 2024 年 5 月 8 日終止標準支援。

2024 年 4 月 15 日

新增對 Amazon GuardDuty 問題清單的支援

Detective 現在支援下列 GuardDuty Runtime Monitoring 問題清單類型

  • Execution:Runtime/MaliciousFileExecuted

  • Execution:Runtime/SuspiciousTool

  • DefenseEvasion:Runtime/PtraceAntiDebugging

  • Execution:Runtime/SuspiciousCommand

  • DefenseEvasion:Runtime/SuspiciousCommand

2024 年 4 月 5 日

已移除 Amazon GuardDuty 成員資格要求

您不再需要成為 a GuardDuty 客戶才能啟用 Amazon Detective。在啟用 Detective 之前,您的帳戶中需要啟用 GuardDuty 48 小時。

2024 年 2 月 2 日

新增對 Amazon GuardDuty 問題清單的支援

Detective 將對 GuardDuty EC2 WordRuntime Monitoring 問題清單類型的支援擴展至 ECS 和 EC2 資源。

2024 年 1 月 30 日

已更新的功能

您現在可以從調查頁面中,針對要調查的特定資源執行 Detective 調查。Detective 會根據在調查結果和調查結果群組中的活動建議資源。Detective Investigations 可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。

2024 年 1 月 16 日

已更新的功能

您現在可以從所建議資源的「調查」頁面執行 Detective 調查。Detective 會根據在調查結果和調查結果群組中的活動建議資源。Detective Investigations 可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。

2023 年 12 月 26 日

Detective 如何讀取共用 VPCs 的流程流量的變更

如果您使用共用的 Amazon VPC,您可能會看到 Detective 監控的流量發生變更。我們建議您檢閱整體 VPC 流量的活動詳細資訊變更,以了解對涵蓋範圍的潛在影響,並檢閱 Detective 如何計算預計成本,以了解這如何影響您的服務成本。

2023 年 12 月 20 日

區域可用性

已將歐洲 (斯德哥爾摩)、歐洲 (巴黎) 和加拿大 (中部) 區域新增至可使用 Detective 與 Security Lake 整合 AWS 的區域清單。

2023 年 12 月 8 日

新功能

Detective 調查可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。

2023 年 11 月 26 日

新功能

根據預設,Detective 會自動為調查結果群組產生調查結果群組摘要 (由生成式人工智慧 (生成式 AI) 提供支援)。調查結果群組摘要會快速分析調查結果與受影響資源之間的關係,然後以自然語言彙總潛在威脅。

2023 年 11 月 26 日

新功能

Detective 與 Security Lake 整合可讓您查詢和擷取 Security Lake 儲存的原始日誌資料。使用此整合,您可以從 CloudTrail 管理事件和 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌收集日誌和事件。

2023 年 11 月 26 日

已將受管政策資訊新增至安全性章節

AmazonDetectiveInvestigatorAccess 政策中新增了 Detective 調查和調查結果群組摘要動作。

2023 年 11 月 26 日

檢視調查結果概觀

如果調查結果與較大活動相關,Detective 會通知您導覽至該調查結果群組。

2023 年 9 月 18 日

Amazon Detective 端點和配額

Detective 現在可於以色列 (特拉維夫) 區域使用。

2023 年 8 月 25 日

增強調查結果群組視覺化

Detective 調查結果群組視覺化現在包括具有彙總調查結果的調查結果群組,因此能夠更有效率地分析相關證據、實體和調查結果。

2023 年 8 月 8 日

增強調查結果群組

調查結果群組現在包含來自 Amazon Inspector 的漏洞調查結果。

2023 年 6 月 13 日

新增對 Amazon GuardDuty Lambda 保護的支援

Detective 現在支援 GuardDuty Lambda 保護。

2023 年 5 月 26 日

新增 AWS 安全性問題清單做為新的選用資料來源套件。

Detective 現在提供 AWS 安全調查結果做為選用的資料來源套件。透過選用的資料來源套件,Detective 可以從 Security Hub 擷取資料,並將該資料新增至您的行為圖表。

2023 年 5 月 16 日

新增對 Amazon GuardDuty EKS Word執行期監控問題清單類型的支援

Detective 現在支援 GuardDuty EKS Word執行期監控問題清單類型。

2023 年 5 月 3 日

新增對 RDSAmazon GuardDuty 保護問題清單類型的支援

Detective 現在支援 GuardDuty RDS Word保護問題清單類型。

2023 年 4 月 20 日

新增對其他 Amazon GuardDuty 問題清單類型的支援

Detective 現在提供下列其他 GuardDuty 問題清單類型的設定檔: DefenseEvasion: EC2UnusualDNSResolver DefenseEvasion: EvasionEC2UnusualDoHActivity DefenseEvasion: DefenseEvasionEC2UnusualDoTActivity

2023 年 4 月 12 日

在 Detective 主控台中新增了新主控台面板,以協助使用者針對其特定使用案例選取適當的 AWS 受管政策。

Detective 提供受管政策,以安全選擇您需要的許可。

2023 年 4 月 3 日

顯示 VPC 叢集的 EKS 流量

新增了使用 Amazon Elastic Kubernetes Service (Amazon Word) 叢集的 Amazon Virtual Private Cloud (Amazon EKS) 流量區段。 VPC

2023 年 3 月 2 日

調查結果群組現在包含 Detective 行為圖表的動態視覺化呈現

Detective 調查結果群組現在包含 Detective 行為圖表的動態視覺化呈現,以強調實體與調查結果群組中調查結果之間的關係。

2023 年 2 月 28 日

從 Detective 摘要頁面和搜索結果頁面匯出資料。資料會以逗號分隔值 (CSV) 格式匯出。

Detective 現在提供從 Detective 主控台將資料匯出至瀏覽器的選項。

2023 年 2 月 7 日

已新增 VPC Word 工作負載的整體 EKS EKS 流量

Detective 現在會從 Amazon Elastic Kubernetes Service Amazon Word 工作負載新增 Amazon Virtual Private Cloud (VPC) 流程日誌的視覺化摘要和分析。 EKS

2023 年 1 月 19 日

已將受管政策資訊新增至安全性章節

Detective 現在支援 GuardDuty 透過 AmazonDetectiveFullAccess 政策取得問題清單動作。安全章節現在提供 Detective: AmazonDetectiveMemberAccess 和 AmazonDetectiveInvestigatorAccess 的下列新受管政策的詳細資訊。

2023 年 1 月 17 日

新增了資料保留

使用 Detective,您可以訪問長達一年的歷史事件資料。

2022 年 12 月 20 日

在摘要頁面上新增了調整範圍時間的選項。

Detective 現在提供了調整範圍時間的選項,以便查看過去 365 天內任何 24 小時時間範圍的活動。

2022 年 10 月 5 日

搜尋調查結果或實體

Detective 現在提供不區分大小寫的搜尋。

2022 年 10 月 3 日

新增了設置範圍時間戳記的功能

Detective 現在提供設定範圍時間戳記格式偏好設定的方法。此偏好設定將套用至 Detective 中的所有時間戳記。

2022 年 10 月 3 日

新增了與調查結果群組相關的術語

Detective 現在支援在單一顯示器中將相關調查結果連接在一起的調查結果群組,以協助您調查環境中潛在的惡意活動。從調查結果群組設定檔中,您可以錨定至實體設定檔和與該群組相關的調查結果概觀。

2022 年 8 月 3 日

新增與 Amazon EKS 稽核日誌相關聯的新設定檔

Detective 現在提供設定檔,可讓您調查與下列容器相關實體相關的活動:Amazon EKS 叢集、容器映像、Kubernetes Pod 和 Kubernetes 主題。

2022 年 7 月 26 日

添加了新選用的資料來源

Detective 現在支援 EKS 稽核日誌作為選用的資料來源套件。管理員帳戶可以為其現有行為圖表啟用此新資料來源。在此日期之後建立的圖表預設會啟用此資料來源。管理員可以隨時手動停用此資料來源。

2022 年 7 月 26 日

適用於 Detective 的新服務連結角色和受管政策

Detective 現在有服務連結角色,即 AWSServiceRoleForDetective。服務連結角色用於代表您存取組織資料。角色使用新 AmazonDetectiveServiceLinkedRolePolicy 受管政策。

2021 年 12 月 16 日

新增與 的整合 AWS Organizations

Detective 現已與組織整合。組織管理帳戶會指定組織的 Detective 管理員帳戶。Detective 管理員帳戶可以檢視組織中的所有帳戶,並在組織行為圖表標中啟用此類帳戶作為成員帳戶。

2021 年 12 月 16 日

使用調查結果概觀取代調查結果設定檔

調查結果設定檔包含分析相關資源活動的視覺化。新的調查結果概觀包含從 GuardDuty 擷取的調查結果詳細資訊,以及涉及的實體清單。從調查結果概觀中,您可以錨定至相關實體的設定檔。

2021 年 9 月 20 日

已移除受支援 GuardDuty 問題清單類型的限制

Detective 不再限於一組選取的 GuardDuty 問題清單類型。Detective 會自動收集所有調查結果類型的調查結果詳細資訊,並提供相關實體之實體設定檔的存取權。

2021 年 9 月 20 日

從相關調查結果設定檔面板至調查結果詳細資訊的連結

在實體設定檔上,當您在相關聯調查結果清單中選擇調查結果時,調查結果詳細資訊會顯示在右側的面板中。範圍時間設定為調查結果時間範圍。

2021 年 9 月 20 日

在 Detective 中將 S3 儲存貯體新增至可用的實體類型

Detective 現在提供 S3 儲存貯體的設定檔。S3 儲存貯體設定檔提供與 S3 儲存貯體互動的主體詳細資訊,以及他們在 S3 儲存貯體上執行的 API 操作。

2021 年 9 月 20 日

在 Splunk 中產生 Detective URLs 的新選項

Splunk Trumpet 專案可讓您將 AWS 內容傳送至 Splunk。專案現在可讓您新增 Detective URLs 以導覽至設定檔的 GuardDuty 問題清單。

2021 年 9 月 8 日

已取代帳戶和角色活動詳細資訊中的 AKIDs

在帳戶設定檔中,整體 API 呼叫磁碟區的活動詳細資訊現在會顯示使用者或角色,而不是存取金鑰識別符 (AKIDs)。在角色描述檔上,整體 API 呼叫磁碟區的活動詳細資訊現在會顯示角色工作階段,而不是 AKIDs。對於在此變更之前發生的活動,呼叫者會列為未知資源

2021 年 7 月 14 日

將呼叫服務新增至 API 呼叫的相關資訊

在 Detective 主控台上,API 呼叫的相關資訊現在包含發出呼叫的服務。將服務欄新增至整體 API 呼叫磁碟區新觀察到的 API 呼叫,以及具有增加磁碟區的 API 呼叫清單。在整體 API 呼叫磁碟區新觀察到的地理位置的活動詳細資訊上,API 方法會分組在發行它們的服務下。對於在此變更之前發生的活動,API 方法會分組為「未知」服務

2021 年 7 月 14 日

新增使用者、角色和角色工作階段的資源互動標籤

使用者、角色和角色工作階段的資源互動標籤包含與此類實體相關之角色承擔活動的相關資訊。針對角色工作階段,這是新標籤。針對使用者和角色而言,這是包含新內容的現有標籤。

2021 年 6 月 29 日

更新了行為圖表資料量的配額值

增加了行為圖表標的資料量配額。Detective 發出警告 (每天 3.24 TB)。無法添加新帳戶 (每天 3.6 TB)。Detective 停止將資料擷取至行為圖表中 (每天 4.5 TB)。

2021 年 6 月 10 日

在 Python 指令碼選項中添加了標籤值

當您使用 Detective Python 指令碼 (enableDetective.py) 啟用 Detective 後,您可以將標籤指派給行為圖表。

2021 年 5 月 19 日

增加了通過資料量檢查的成員帳戶的自動啟用

當成員帳戶接受邀請時,其狀態為已接受 (未啟用),直到 Detective 確認其資料不會導致行為圖表標資料量超出配額為止。如果資料量不是問題,則 Detective 會自動將狀態變更為已接受 (已啟用)。請注意,目前已接受 (未啟用) 的現有成員帳戶無法自動啟用。

2021 年 5 月 12 日

已將受管政策資訊新增至安全性章節

安全性章節中的新章節提供有關 Detective 受管政策的詳細資訊。Detective 目前提供單一受管政策,即 AmazonDetectiveFullAccess

2021 年 5 月 10 日

變更了成員帳戶清單中的資料量值

在帳戶管理頁面上,成員帳戶清單現在會顯示每個成員帳戶的每日資料量。之前,清單以允許總量的百分比顯示。

2021 年 4 月 29 日

管理成員帳戶的修訂選項

管理帳戶功能表取代為動作功能表。結合了從 .csv 檔案新增個別帳戶和新增帳戶的選項。將啟用帳戶管理帳戶移動至動作旁的個別選項。

2021 年 4 月 5 日

新增了行為圖表標籤和基於標籤的授權

啟用 Detective 後,您可以新增標籤至行為圖表。您可以從一般頁面管理行為圖表的標籤。Detective 還支援基於標籤值的授權。

2021 年 3 月 31 日

新增對其他 Amazon GuardDuty 問題清單類型的支援

Detective 現在提供下列其他 GuardDuty 問題清單類型的描述檔:CredentialAccess:IAMUser/AnomalousBehavior DefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehavior、、Impact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPersistence:IAMUser/AnomalousBehaviorPrivilegeEscalation:IAMUser/AnomalousBehavior

2021 年 3 月 29 日

新增 AWS GovCloud (US) 區域的差異

Detective 現在可在 AWS GovCloud (US) 區域中使用。In AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部), Detective 不會傳送邀請電子郵件給成員帳戶。Detective 也不會自動移除 AWS中關閉的成員帳戶。

2021 年 3 月 24 日

添加了根據成員帳戶狀態篩選成員帳戶清單的標籤

成員帳戶清單現在可顯示標籤,您可以使用此類標籤來根據成員帳戶狀態篩選清單。您可以檢視所有成員帳戶、狀態為已接受 (已啟用) 的帳戶,或狀態非已接受 (已啟用) 的成員帳戶。

2021 年 3 月 16 日

新增對其他 Amazon GuardDuty 問題清單類型的支援

Detective 現在提供下列其他 GuardDuty 問題清單類型的設定檔:Impact:EC2/PortSweep Impact:EC2/WinRMBruteForceBackdoor:EC2/C&CActivity.BPrivilegeEscalation:IAMUser/AdministrativePermissions

2021 年 3 月 4 日

向 Python 添加了指令碼的選項,以抑制邀請電子郵件

Detective enableDetective.py 指令碼現在提供了 --disable_email 選項。當您包含該選項時,Detective 不會向成員帳戶發送邀請電子郵件。

2021 年 2 月 26 日

已將「主帳戶」一詞變更為「管理員帳戶」。

「主帳戶」一詞變更為「管理員帳戶」。術語也會在 Detective 主控台和 API 中變更。

2021 年 2 月 25 日

已將「主帳戶」一詞變更為「管理員帳戶」。

「主帳戶」一詞變更為「管理員帳戶」。術語也會在 Detective 主控台和 API 中變更。

2021 年 2 月 25 日

已新增設定檔面板的活動詳細資訊 VPC 流量進出調查結果的 IP 地址

設定檔面板現在可讓您顯示活動詳細資訊,從調查結果的 IP 地址進出 VPC 流量。只有在調查結果與單一 IP 地址相關聯時,才能使用活動詳細資訊。活動詳細資訊會顯示每個連接埠、通訊協定和方向組合的量。

2021 年 2 月 25 日

新增 API 選項,不傳送邀請電子郵件給成員帳戶

使用 Detective API 新增成員帳戶時,管理員帳戶可以選擇不傳送邀請電子郵件給成員帳戶。

2021 年 2 月 25 日

IP 地址設定檔上整體 API 呼叫磁碟區設定檔面板的新活動詳細資訊

您現在可以從整體 API 呼叫磁碟區設定檔面板顯示 IP 地址的活動詳細資訊。活動詳細資訊會顯示從 IP 地址發出呼叫的每個資源的成功和失敗呼叫次數。

2021 年 2 月 23 日

IP 地址描述檔上的新整體 VPC 流量描述檔面板

IP 地址設定檔現在包含整體 VPC 流量設定檔面板。設定檔面板會顯示往返 IP 地址的 VPC 流量量。您可以顯示活動詳細資訊,以顯示與 IP 地址通訊的每個 EC2 執行個體的磁碟區。

2021 年 1 月 21 日

新增了 Detective 摘要頁面

Detective 摘要頁面包含視覺化,根據地理位置、API 呼叫數量和 Amazon EC2 流量磁碟區,引導分析師前往感興趣的實體。

2021 年 1 月 21 日

更新從 Amazon GuardDuty 輪換到 Detective 的選項

In GuardDuty,調查 Detective 選項會從動作功能表移至調查結果詳細資訊面板。它會顯示相關實體清單。如果支援調查結果類型,清單也會包含調查結果。然後,您可以選擇導覽至實體設定檔或調查結果設定檔。

2021 年 1 月 15 日

新增了將活動詳細資訊窗口設置為預設範圍時間的選項

整體 API 呼叫磁碟區和整體 VPC 流量的活動詳細資訊上,您可以將活動詳細資訊的時間範圍設定為設定檔的預設範圍時間。

2021 年 1 月 15 日

新增了對實體大量時間間隔的處理

新增了就指出實體何時具有一或多個大量時間間隔的通知。新大量實體頁面會顯示目前範圍時間的所有大量間隔。

2020 年 12 月 18 日

成員帳戶限額已增加至 1,200

主帳戶現在可以邀請最多 1,200 個成員帳戶加入其行為圖表。以前的配額為 1,000。

2020 年 12 月 11 日

新增了行為圖表資料量的配額值

更新了行為圖表資料量配額的相關資訊,以新增特定配額值。

2020 年 12 月 11 日

在整體 API 呼叫磁碟區設定檔面板上新增活動詳細資訊的時間範圍選擇

整體 API 流量面板上,您現在可以顯示任何所選時間範圍的活動詳細資訊。面板最初顯示用於顯示範圍時間的活動詳細資訊的選項。

2020 年 9 月 29 日

在整體 VPC 流量描述檔面板上新增活動詳細資訊的時間間隔選擇

整體 VPC 流量面板上,您可以從圖表顯示單一時間間隔的活動詳細資訊。若要顯示時間間隔的詳細資訊,請選擇時間間隔。

2020 年 9 月 25 日

新角色工作階段和聯合身分使用者實體

透過 Detective,您現在可以探索和調查聯合身分驗證。您可以查看哪些資源扮演了各個角色,以及此類驗證的發生時間。

2020 年 9 月 17 日

針對範圍時間管理的更新

移除鎖定或解除鎖定範圍時間的選項。系統總將其鎖定。在調查結果設定檔上,如果範圍時間與調查結果時間範圍不同,則系統會顯示警告。

2020 年 9 月 4 日

當您捲動設定檔時,設定檔標題仍然可見

在設定檔上,當您捲動標籤上的設定檔面板時,類型、識別符和範圍時間仍然可見。當標籤不可見時,您可以使用頁面導覽路徑中的標籤下拉清單導航到其他標籤。

2020 年 9 月 4 日

搜尋一律顯示搜尋結果

當您進行搜尋時,結果現在會在搜尋頁面上顯示。從結果中,您可以錨定至調查結果或實體設定檔。

2020 年 8 月 27 日

已新增至允許的搜尋條件

系統已展開允許的搜尋條件。您可以依名稱搜尋 AWS 使用者和 AWS 角色。您可以使用 ARN 來搜尋問題清單、 AWS 角色、 AWS 使用者和 EC2 執行個體。

2020 年 8 月 27 日

從設定檔面板連結至其他主控台

EC2 執行個體詳細資訊設定檔面板上,EC2 執行個體識別符會連結至 Amazon EC2 主控台。在使用者詳細資訊角色詳細資訊設定檔面板上,使用者名稱和角色名稱會連結到 IAM 主控台。

2020 年 8 月 14 日

VPC 流程資料的活動詳細資訊

整體 VPC 流量描述檔面板現在可讓您存取活動詳細資訊。活動詳細資訊會顯示 IP 地址和 EC2 執行個體之間在所選期間內的流量流程。

2020 年 7 月 23 日

成員帳戶現在可以查看他們的用量和預計成本

成員帳戶現在可以檢視自己的用量資訊。針對成員帳戶,用量頁面會顯示它們提供的每個行為圖表中擷取的資料量。成員帳戶還可以查看其預計 30 天的費用。

2020 年 5 月 26 日

現在每個帳戶 (而非每個行為圖表) 均可免費試用

現在,每個 Amazon Detective 帳戶都會在每個區域內獲得單獨的免費試用。免費試用會在帳戶啟用 Detective 時開始,或者首次啟用該帳戶作為成員帳戶時開始。

2020 年 5 月 26 日

新的開放原始碼 Python 指令碼 on GitHub

新的 amazon-detective-multiaccount-scripts 儲存庫 on GitHub 提供開放原始碼 Python 指令碼,可用來管理跨區域的行為圖表。您可以啟用 Detective,新增成員帳戶,移除成員帳戶,以及停用 Detective。

2020 年 1 月 21 日

介紹 Amazon Detective

Detective 使用機器學習和專門建置的視覺化,協助您分析和調查整個 Amazon Web Services (AWS) 工作負載的安全問題。

2019 年 12 月 2 日