本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用者指南的文件歷史記錄
以下資料表說明自上次發行 Detective 後,文件的重要變更。如需本文件更新通知,您可以訂閱 RSS 摘要。
-
文件最近更新時間:2024 年 11 月 6 日
變更 | 描述 | 日期 |
---|---|---|
新增對 Amazon GuardDuty 問題清單的支援 | Detective 新增了對以下三種 GuardDuty 問題清單類型的支援,這些問題清單類型會在 Amazon EC2 執行個體或 AWS 環境中的容器工作負載上執行可疑命令時通知您: | 2024 年 11 月 6 日 |
新增對 Amazon GuardDuty 問題清單的支援 | Detective 現在支援下列 GuardDuty Runtime Monitoring 問題清單類型。
| 2024 年 8 月 27 日 |
新增對 Amazon GuardDuty 問題清單的支援 | Detective 現在支援 S3 的 GuardDuty 惡意軟體保護。這可協助您將新上傳的物件掃描到 Amazon S3 儲存貯體中是否有潛在的惡意軟體和可疑上傳,並採取動作,在它們被擷取到下游程序之前將其隔離。 | 2024 年 7 月 9 日 |
已更新的功能 | Detective 已將新的徑向配置新增至調查結果群組視覺化面板,以提供改善的視覺化效果,以便更輕鬆地解讀資料。 | 2024 年 6 月 26 日 |
新的 Security Lake 來源版本 | 除了來源版本 1 (OCSF 1.0.0-rc.2) 之外,Detective 現在會從來源版本 2 (OCSF 1.1.0) 擷取 Detective 支援之 Security Lake 來源的資料。 | 2024 年 5 月 15 日 |
新的 Security Lake 日誌來源 | 您可以使用 Detective 與 Security Lake 整合,從 Amazon EKS 稽核日誌收集日誌和事件。 | 2024 年 5 月 15 日 |
文件更新 | Amazon Detective 管理指南中的內容現在已合併至 Amazon Detective 使用者指南。Amazon Detective 管理指南將於 2024 年 5 月 8 日終止標準支援。 | 2024 年 4 月 15 日 |
新增對 Amazon GuardDuty 問題清單的支援 | Detective 現在支援下列 GuardDuty Runtime Monitoring 問題清單類型。
| 2024 年 4 月 5 日 |
您不再需要成為 a GuardDuty 客戶才能啟用 Amazon Detective。在啟用 Detective 之前,您的帳戶中需要啟用 GuardDuty 48 小時。 | 2024 年 2 月 2 日 | |
新增對 Amazon GuardDuty 問題清單的支援 | Detective 將對 GuardDuty EC2 WordRuntime Monitoring 問題清單類型的支援擴展至 ECS 和 EC2 資源。 | 2024 年 1 月 30 日 |
已更新的功能 | 您現在可以從調查頁面中,針對要調查的特定資源執行 Detective 調查。Detective 會根據在調查結果和調查結果群組中的活動建議資源。Detective Investigations 可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。 | 2024 年 1 月 16 日 |
已更新的功能 | 您現在可以從所建議資源的「調查」頁面執行 Detective 調查。Detective 會根據在調查結果和調查結果群組中的活動建議資源。Detective Investigations 可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。 | 2023 年 12 月 26 日 |
Detective 如何讀取共用 VPCs 的流程流量的變更 | 如果您使用共用的 Amazon VPC,您可能會看到 Detective 監控的流量發生變更。我們建議您檢閱整體 VPC 流量的活動詳細資訊變更,以了解對涵蓋範圍的潛在影響,並檢閱 Detective 如何計算預計成本,以了解這如何影響您的服務成本。 | 2023 年 12 月 20 日 |
區域可用性 | 已將歐洲 (斯德哥爾摩)、歐洲 (巴黎) 和加拿大 (中部) 區域新增至可使用 Detective 與 Security Lake 整合 AWS 的區域清單。 | 2023 年 12 月 8 日 |
新功能 | Detective 調查可讓您使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。 | 2023 年 11 月 26 日 |
新功能 | 根據預設,Detective 會自動為調查結果群組產生調查結果群組摘要 (由生成式人工智慧 (生成式 AI) 提供支援)。調查結果群組摘要會快速分析調查結果與受影響資源之間的關係,然後以自然語言彙總潛在威脅。 | 2023 年 11 月 26 日 |
新功能 | Detective 與 Security Lake 整合可讓您查詢和擷取 Security Lake 儲存的原始日誌資料。使用此整合,您可以從 CloudTrail 管理事件和 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌收集日誌和事件。 | 2023 年 11 月 26 日 |
在 | 2023 年 11 月 26 日 | |
如果調查結果與較大活動相關,Detective 會通知您導覽至該調查結果群組。 | 2023 年 9 月 18 日 | |
Detective 現在可於以色列 (特拉維夫) 區域使用。 | 2023 年 8 月 25 日 | |
Detective 調查結果群組視覺化現在包括具有彙總調查結果的調查結果群組,因此能夠更有效率地分析相關證據、實體和調查結果。 | 2023 年 8 月 8 日 | |
調查結果群組現在包含來自 Amazon Inspector 的漏洞調查結果。 | 2023 年 6 月 13 日 | |
Detective 現在支援 GuardDuty Lambda 保護。 | 2023 年 5 月 26 日 | |
Detective 現在提供 AWS 安全調查結果做為選用的資料來源套件。透過選用的資料來源套件,Detective 可以從 Security Hub 擷取資料,並將該資料新增至您的行為圖表。 | 2023 年 5 月 16 日 | |
Detective 現在支援 GuardDuty EKS Word執行期監控問題清單類型。 | 2023 年 5 月 3 日 | |
Detective 現在支援 GuardDuty RDS Word保護問題清單類型。 | 2023 年 4 月 20 日 | |
新增對其他 Amazon GuardDuty 問題清單類型的支援 | Detective 現在提供下列其他 GuardDuty 問題清單類型的設定檔: | 2023 年 4 月 12 日 |
Detective 提供受管政策,以安全選擇您需要的許可。 | 2023 年 4 月 3 日 | |
新增了使用 Amazon Elastic Kubernetes Service (Amazon Word) 叢集的 Amazon Virtual Private Cloud (Amazon EKS) 流量區段。 VPC | 2023 年 3 月 2 日 | |
Detective 調查結果群組現在包含 Detective 行為圖表的動態視覺化呈現,以強調實體與調查結果群組中調查結果之間的關係。 | 2023 年 2 月 28 日 | |
Detective 現在提供從 Detective 主控台將資料匯出至瀏覽器的選項。 | 2023 年 2 月 7 日 | |
Detective 現在會從 Amazon Elastic Kubernetes Service Amazon Word 工作負載新增 Amazon Virtual Private Cloud (VPC) 流程日誌的視覺化摘要和分析。 EKS | 2023 年 1 月 19 日 | |
Detective 現在支援 GuardDuty 透過 AmazonDetectiveFullAccess 政策取得問題清單動作。安全章節現在提供 Detective: AmazonDetectiveMemberAccess 和 AmazonDetectiveInvestigatorAccess 的下列新受管政策的詳細資訊。 | 2023 年 1 月 17 日 | |
使用 Detective,您可以訪問長達一年的歷史事件資料。 | 2022 年 12 月 20 日 | |
Detective 現在提供了調整範圍時間的選項,以便查看過去 365 天內任何 24 小時時間範圍的活動。 | 2022 年 10 月 5 日 | |
Detective 現在提供不區分大小寫的搜尋。 | 2022 年 10 月 3 日 | |
Detective 現在提供設定範圍時間戳記格式偏好設定的方法。此偏好設定將套用至 Detective 中的所有時間戳記。 | 2022 年 10 月 3 日 | |
Detective 現在支援在單一顯示器中將相關調查結果連接在一起的調查結果群組,以協助您調查環境中潛在的惡意活動。從調查結果群組設定檔中,您可以錨定至實體設定檔和與該群組相關的調查結果概觀。 | 2022 年 8 月 3 日 | |
Detective 現在提供設定檔,可讓您調查與下列容器相關實體相關的活動:Amazon EKS 叢集、容器映像、Kubernetes Pod 和 Kubernetes 主題。 | 2022 年 7 月 26 日 | |
Detective 現在支援 EKS 稽核日誌作為選用的資料來源套件。管理員帳戶可以為其現有行為圖表啟用此新資料來源。在此日期之後建立的圖表預設會啟用此資料來源。管理員可以隨時手動停用此資料來源。 | 2022 年 7 月 26 日 | |
Detective 現在有服務連結角色,即 | 2021 年 12 月 16 日 | |
Detective 現已與組織整合。組織管理帳戶會指定組織的 Detective 管理員帳戶。Detective 管理員帳戶可以檢視組織中的所有帳戶,並在組織行為圖表標中啟用此類帳戶作為成員帳戶。 | 2021 年 12 月 16 日 | |
調查結果設定檔包含分析相關資源活動的視覺化。新的調查結果概觀包含從 GuardDuty 擷取的調查結果詳細資訊,以及涉及的實體清單。從調查結果概觀中,您可以錨定至相關實體的設定檔。 | 2021 年 9 月 20 日 | |
已移除受支援 GuardDuty 問題清單類型的限制 | Detective 不再限於一組選取的 GuardDuty 問題清單類型。Detective 會自動收集所有調查結果類型的調查結果詳細資訊,並提供相關實體之實體設定檔的存取權。 | 2021 年 9 月 20 日 |
在實體設定檔上,當您在相關聯調查結果清單中選擇調查結果時,調查結果詳細資訊會顯示在右側的面板中。範圍時間設定為調查結果時間範圍。 | 2021 年 9 月 20 日 | |
在 Detective 中將 S3 儲存貯體新增至可用的實體類型 | Detective 現在提供 S3 儲存貯體的設定檔。S3 儲存貯體設定檔提供與 S3 儲存貯體互動的主體詳細資訊,以及他們在 S3 儲存貯體上執行的 API 操作。 | 2021 年 9 月 20 日 |
Splunk Trumpet 專案可讓您將 AWS 內容傳送至 Splunk。專案現在可讓您新增 Detective URLs 以導覽至設定檔的 GuardDuty 問題清單。 | 2021 年 9 月 8 日 | |
已取代帳戶和角色活動詳細資訊中的 AKIDs | 在帳戶設定檔中,整體 API 呼叫磁碟區的活動詳細資訊現在會顯示使用者或角色,而不是存取金鑰識別符 (AKIDs)。在角色描述檔上,整體 API 呼叫磁碟區的活動詳細資訊現在會顯示角色工作階段,而不是 AKIDs。對於在此變更之前發生的活動,呼叫者會列為未知資源。 | 2021 年 7 月 14 日 |
將呼叫服務新增至 API 呼叫的相關資訊 | 在 Detective 主控台上,API 呼叫的相關資訊現在包含發出呼叫的服務。將服務欄新增至整體 API 呼叫磁碟區、新觀察到的 API 呼叫,以及具有增加磁碟區的 API 呼叫清單。在整體 API 呼叫磁碟區和新觀察到的地理位置的活動詳細資訊上,API 方法會分組在發行它們的服務下。對於在此變更之前發生的活動,API 方法會分組為「未知」服務。 | 2021 年 7 月 14 日 |
新增使用者、角色和角色工作階段的資源互動標籤 | 使用者、角色和角色工作階段的資源互動標籤包含與此類實體相關之角色承擔活動的相關資訊。針對角色工作階段,這是新標籤。針對使用者和角色而言,這是包含新內容的現有標籤。 | 2021 年 6 月 29 日 |
增加了行為圖表標的資料量配額。Detective 發出警告 (每天 3.24 TB)。無法添加新帳戶 (每天 3.6 TB)。Detective 停止將資料擷取至行為圖表中 (每天 4.5 TB)。 | 2021 年 6 月 10 日 | |
當您使用 Detective Python 指令碼 ( | 2021 年 5 月 19 日 | |
當成員帳戶接受邀請時,其狀態為已接受 (未啟用),直到 Detective 確認其資料不會導致行為圖表標資料量超出配額為止。如果資料量不是問題,則 Detective 會自動將狀態變更為已接受 (已啟用)。請注意,目前已接受 (未啟用) 的現有成員帳戶無法自動啟用。 | 2021 年 5 月 12 日 | |
安全性章節中的新章節提供有關 Detective 受管政策的詳細資訊。Detective 目前提供單一受管政策,即 | 2021 年 5 月 10 日 | |
變更了成員帳戶清單中的資料量值 | 在帳戶管理頁面上,成員帳戶清單現在會顯示每個成員帳戶的每日資料量。之前,清單以允許總量的百分比顯示。 | 2021 年 4 月 29 日 |
管理成員帳戶的修訂選項 | 將管理帳戶功能表取代為動作功能表。結合了從 .csv 檔案新增個別帳戶和新增帳戶的選項。將啟用帳戶從管理帳戶移動至動作旁的個別選項。 | 2021 年 4 月 5 日 |
新增了行為圖表標籤和基於標籤的授權 | 啟用 Detective 後,您可以新增標籤至行為圖表。您可以從一般頁面管理行為圖表的標籤。Detective 還支援基於標籤值的授權。 | 2021 年 3 月 31 日 |
新增對其他 Amazon GuardDuty 問題清單類型的支援 | Detective 現在提供下列其他 GuardDuty 問題清單類型的描述檔: | 2021 年 3 月 29 日 |
新增 AWS GovCloud (US) 區域的差異 | Detective 現在可在 AWS GovCloud (US) 區域中使用。In AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部), Detective 不會傳送邀請電子郵件給成員帳戶。Detective 也不會自動移除 AWS中關閉的成員帳戶。 | 2021 年 3 月 24 日 |
成員帳戶清單現在可顯示標籤,您可以使用此類標籤來根據成員帳戶狀態篩選清單。您可以檢視所有成員帳戶、狀態為已接受 (已啟用) 的帳戶,或狀態非已接受 (已啟用) 的成員帳戶。 | 2021 年 3 月 16 日 | |
新增對其他 Amazon GuardDuty 問題清單類型的支援 | Detective 現在提供下列其他 GuardDuty 問題清單類型的設定檔: | 2021 年 3 月 4 日 |
Detective | 2021 年 2 月 26 日 | |
已將「主帳戶」一詞變更為「管理員帳戶」。 | 「主帳戶」一詞變更為「管理員帳戶」。術語也會在 Detective 主控台和 API 中變更。 | 2021 年 2 月 25 日 |
已將「主帳戶」一詞變更為「管理員帳戶」。 | 「主帳戶」一詞變更為「管理員帳戶」。術語也會在 Detective 主控台和 API 中變更。 | 2021 年 2 月 25 日 |
設定檔面板現在可讓您顯示活動詳細資訊,從調查結果的 IP 地址進出 VPC 流量。只有在調查結果與單一 IP 地址相關聯時,才能使用活動詳細資訊。活動詳細資訊會顯示每個連接埠、通訊協定和方向組合的量。 | 2021 年 2 月 25 日 | |
使用 Detective API 新增成員帳戶時,管理員帳戶可以選擇不傳送邀請電子郵件給成員帳戶。 | 2021 年 2 月 25 日 | |
您現在可以從整體 API 呼叫磁碟區設定檔面板顯示 IP 地址的活動詳細資訊。活動詳細資訊會顯示從 IP 地址發出呼叫的每個資源的成功和失敗呼叫次數。 | 2021 年 2 月 23 日 | |
IP 地址設定檔現在包含整體 VPC 流量設定檔面板。設定檔面板會顯示往返 IP 地址的 VPC 流量量。您可以顯示活動詳細資訊,以顯示與 IP 地址通訊的每個 EC2 執行個體的磁碟區。 | 2021 年 1 月 21 日 | |
Detective 摘要頁面包含視覺化,根據地理位置、API 呼叫數量和 Amazon EC2 流量磁碟區,引導分析師前往感興趣的實體。 | 2021 年 1 月 21 日 | |
In GuardDuty,調查 Detective 選項會從動作功能表移至調查結果詳細資訊面板。它會顯示相關實體清單。如果支援調查結果類型,清單也會包含調查結果。然後,您可以選擇導覽至實體設定檔或調查結果設定檔。 | 2021 年 1 月 15 日 | |
在整體 API 呼叫磁碟區和整體 VPC 流量的活動詳細資訊上,您可以將活動詳細資訊的時間範圍設定為設定檔的預設範圍時間。 | 2021 年 1 月 15 日 | |
新增了就指出實體何時具有一或多個大量時間間隔的通知。新大量實體頁面會顯示目前範圍時間的所有大量間隔。 | 2020 年 12 月 18 日 | |
成員帳戶限額已增加至 1,200 | 主帳戶現在可以邀請最多 1,200 個成員帳戶加入其行為圖表。以前的配額為 1,000。 | 2020 年 12 月 11 日 |
更新了行為圖表資料量配額的相關資訊,以新增特定配額值。 | 2020 年 12 月 11 日 | |
在整體 API 流量面板上,您現在可以顯示任何所選時間範圍的活動詳細資訊。面板最初顯示用於顯示範圍時間的活動詳細資訊的選項。 | 2020 年 9 月 29 日 | |
在整體 VPC 流量面板上,您可以從圖表顯示單一時間間隔的活動詳細資訊。若要顯示時間間隔的詳細資訊,請選擇時間間隔。 | 2020 年 9 月 25 日 | |
透過 Detective,您現在可以探索和調查聯合身分驗證。您可以查看哪些資源扮演了各個角色,以及此類驗證的發生時間。 | 2020 年 9 月 17 日 | |
移除鎖定或解除鎖定範圍時間的選項。系統總將其鎖定。在調查結果設定檔上,如果範圍時間與調查結果時間範圍不同,則系統會顯示警告。 | 2020 年 9 月 4 日 | |
在設定檔上,當您捲動標籤上的設定檔面板時,類型、識別符和範圍時間仍然可見。當標籤不可見時,您可以使用頁面導覽路徑中的標籤下拉清單導航到其他標籤。 | 2020 年 9 月 4 日 | |
當您進行搜尋時,結果現在會在搜尋頁面上顯示。從結果中,您可以錨定至調查結果或實體設定檔。 | 2020 年 8 月 27 日 | |
系統已展開允許的搜尋條件。您可以依名稱搜尋 AWS 使用者和 AWS 角色。您可以使用 ARN 來搜尋問題清單、 AWS 角色、 AWS 使用者和 EC2 執行個體。 | 2020 年 8 月 27 日 | |
在 EC2 執行個體詳細資訊設定檔面板上,EC2 執行個體識別符會連結至 Amazon EC2 主控台。在使用者詳細資訊和角色詳細資訊設定檔面板上,使用者名稱和角色名稱會連結到 IAM 主控台。 | 2020 年 8 月 14 日 | |
整體 VPC 流量描述檔面板現在可讓您存取活動詳細資訊。活動詳細資訊會顯示 IP 地址和 EC2 執行個體之間在所選期間內的流量流程。 | 2020 年 7 月 23 日 | |
成員帳戶現在可以查看他們的用量和預計成本 | 成員帳戶現在可以檢視自己的用量資訊。針對成員帳戶,用量頁面會顯示它們提供的每個行為圖表中擷取的資料量。成員帳戶還可以查看其預計 30 天的費用。 | 2020 年 5 月 26 日 |
現在每個帳戶 (而非每個行為圖表) 均可免費試用 | 現在,每個 Amazon Detective 帳戶都會在每個區域內獲得單獨的免費試用。免費試用會在帳戶啟用 Detective 時開始,或者首次啟用該帳戶作為成員帳戶時開始。 | 2020 年 5 月 26 日 |
新的開放原始碼 Python 指令碼 on GitHub | 新的 amazon-detective-multiaccount-scripts | 2020 年 1 月 21 日 |
介紹 Amazon Detective | Detective 使用機器學習和專門建置的視覺化,協助您分析和調查整個 Amazon Web Services (AWS) 工作負載的安全問題。 | 2019 年 12 月 2 日 |