執行 Detective Investigation - Amazon Detective

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

執行 Detective Investigation

使用執行調查分析IAM使用者和IAM角色等資源,並產生調查報告。產生的報告會詳細說明表示潛在入侵的異常行為。

Console

請依照下列步驟,使用 Amazon Detective 主控台從調查頁面執行 Detective 調查

  1. 登入 AWS 管理主控台。然後在 開啟 Detective 主控台https://console.aws.amazon.com/detective/

  2. 在導覽窗格中,選擇調查

  3. 調查頁面中,選擇右上角的執行調查

  4. 選取資源區段中,您有三種方式可執行調查。您可以選擇對 Detective 建議的資源執行調查。您可以針對特定資源執行調查。您也可以從 Detective 搜尋頁面調查資源。

    1. Choose a recommended resource – Detective 會根據其在調查結果和調查結果群組中的活動來建議資源。若要對 Detective 建議的資源執行調查,請在建議資源資料表中選取要調查的資源。

      建議的資源表提供了下列詳細資訊:

      • 資源 ARN – 資源的 Amazon Resource Name (ARN) AWS 。

      • 調查原因:顯示調查資源的主要原因。Detective 建議調查資源的原因如下:

        • 如果資源在過去 24 小時內涉及「高嚴重性」調查結果。

        • 如果資源在過去 7 天內涉及所觀察的調查結果群組。Detective 調查結果群組可讓您檢查與潛在安全事件相關的多項活動。如需詳細資訊,請參閱分析調查結果群組

        • 如果資源在過去 7 天內涉及調查結果。

      • 最新調查結果:最新調查結果為最高優先順序,會列在清單頂端。

      • 資源類型:識別資源的類型。例如, AWS 使用者或 AWS 角色。

    2. Specify an AWS role or user with an ARN – 您可以選取 AWS 角色或 AWS 使用者,並針對特定資源執行調查。

      請依照下列步驟來調查特定資源類型。

      1. 選取資源類型下拉式清單中,選擇 AWS 角色或 AWS 使用者。

      2. 輸入 IAM 資源ARN的資源。如需資源 的詳細資訊ARNs,請參閱 IAM使用者指南中的 Amazon Resource Names (ARNs)

    3. Find a resource to investigate from the Search page – 您可以從 Detective Search 頁面搜尋所有IAM資源。

      請依照下列步驟,從搜尋頁面調查資源。

      1. 在導覽窗格中,選擇搜尋

      2. 在搜尋頁面中,搜尋IAM資源。

      3. 導覽至 資源的設定檔頁面,然後從該頁面執行調查。

  5. 調查範圍時間區段中,選擇調查的範圍時間,以評估所選資源的活動。您可以選取開始日期開始時間;以及結束日期結束時間的UTC格式。已選取範圍時間範圍最少可介於 3 小時至最多 30 天之間。

  6. 選擇執行調查

API

若要以程式設計方式執行調查,請使用 Detective StartInvestigation的操作API。若要使用 AWS Command Line Interface (AWS CLI) 執行調查,請執行 start-investigation 命令。

在您的請求中,使用這些參數在 Detective 中執行調查:

  • GraphArn – 指定行為圖表的 Amazon Resource Name (ARN)。

  • EntityArn – 指定IAM使用者和IAM角色的唯一 Amazon Resource Name (ARN)。

  • ScopeStartTime:(選用) 指定應開始調查的資料和時間。此值是 UTCISO8601 格式的字串。例如, 2021-08-18T16:35:56.284Z

  • ScopeEndTime:(選用) 指定應結束調查的資料和時間。此值是 UTCISO8601 格式的字串。例如, 2021-08-18T16:35:56.284Z

此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

您也可以從 Detective 的下列頁面執行調查:

  • Detective 中的IAM使用者或IAM角色設定檔頁面。

  • 調查結果群組的圖形視覺化窗格。

  • 所涉及資源的動作欄。

  • IAM 調查結果頁面上的使用者或IAM角色。

Detective 執行資源的調查之後,就會產生調查報告。若要存取報告,請從導覽窗格前往調查