使用 Detective 摘要儀表板 - Amazon Detective
调查新觀察到的地理位置過去 7 天內作用中的調查結果群組 具有最多API通話量的角色和使用者EC2 流量最多的執行個體具有最多 Kubernetes Pod 的容器叢集近似值通知

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Detective 摘要儀表板

使用 Amazon Detective 中的摘要儀表板來識別實體,以調查過去 24 小時內的活動來源。Amazon Detective 摘要儀表板可協助您識別與特定類型異常活動相關聯的實體。這是進行調查的數個可能起點之一。

若要顯示摘要儀表板,請在 Detective 導覽窗格中,選擇摘要 摘要儀表板也會在您第一次開啟 Detective 主控台時預設顯示。

摘要儀表板中,您可以識別符合下列條件的實體:

  • 顯示 Detective 發現的潛在安全事件的調查

  • 在新觀察到的地理位置中發生活動所涉及的實體

  • 進行最多API呼叫的實體

  • EC2 流量最大的執行個體

  • 容器數量最多的容器叢集

從每個摘要儀表板面板中,您可以轉到所選實體的設定檔。

當您檢閱摘要儀表板時,您可以調整範圍時間,以檢視過去 365 天內任何 24 小時時間範圍的活動。當您變更開始日期和時間時,結束日期和時間會自動更新為您選擇的開始時間之後的 24 小時。

使用 Detective,您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得,視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 會將這些變更連結至 GuardDuty 調查結果。

如需 Detective 中來源資料的詳細資訊,請參閱行為圖表中使用的來源資料。

调查

調查顯示 Detective 確定的潛在安全事件。在調查面板上,您可以檢視嚴重調查,以及在一段時間內受到安全事件影響的對應 AWS 角色和使用者。調查將入侵指標分組在一起,以協助判斷 AWS 資源是否涉及可能表示惡意行為及其影響的異常活動。

選取檢視所有調查以檢閱調查結果、分類調查結果群組和資源詳細資訊,以加速您的安全調查。系統會根據選取的範圍時間顯示調查。您可以調整範圍時間,以檢視在過去 365 天 24 小時中的調查。您可以直接錨定至關鍵調查,以查看詳細的調查報告。

如果您發現似乎有可疑活動 AWS 的角色或使用者,您可以直接從調查面板中轉向該角色或使用者以繼續您的調查。轉移至角色或使用者,然後按一下執行調查以產生調查報告。對角色或使用者執行調查後,該角色或使用者會移至已調查標籤。

新觀察到的地理位置

新觀察到的地理位置反白顯示了前 24 小時內活動來源的地理位置,但在此之前的基準時間段內未發現該地理位置。

該面板最多包含 100 個地理位置。位置會標示在地圖上,並列在地圖下方的資料表中。

對於每個地理位置,資料表會顯示過去 24 小時內從該地理位置撥打的失敗和成功API通話數量。

您可以展開每個地理位置,以顯示從該地理位置API撥打電話的使用者和角色清單。資料表會針對每個主體列出類型及相關聯的 AWS 帳戶。

如果您識別似乎有可疑的使用者或角色,則可以直接從面板錨定至使用者或角色設定檔,以繼續調查。若要錨定至設定檔,請選擇使用者或角色識別符。

Detective 會使用 MaxMind GeoIP 資料庫決定請求的位置。 MaxMind 會在國家層級報告非常高的資料準確度,但準確度會因國家/地區和 IP 類型等因素而有所不同。如需 的詳細資訊 MaxMind,請參閱 MaxMind IP 地理位置 。如果您認為任何 GeoIP 資料不正確,您可以在MaxMind 更正地理IP2資料 向 Maxmind 提交更正請求。

過去 7 天內作用中的調查結果群組

過去 7 天內作用中的調查結果群組會顯示您環境中發生在設定時間內的 Detective 調查結果、實體和證據的關聯分組。這些分組關聯可能表示惡意行為的異常活動。摘要儀表板最多可顯示五個群組,這些群組依包含上週作用中的最關鍵調查結果的群組排序。

您可以在政策帳戶資源調查結果內容中選取值,以查看更多詳細資訊。

每天會產生調查結果群組。如果您識別出感興趣的調查結果群組,您可以選取要移至群組設定檔詳細檢視的標題,以繼續調查。

具有最多API通話量的角色和使用者

API 通話量最高的角色和使用者會識別在過去 24 小時內進行最多API通話的使用者和角色。

該面板可以包含高達 100 個使用者和角色。您可以查看每個使用者或角色的類型 (使用者或角色) 和相關聯的帳戶。您也可以查看過去 24 小時內該使用者或角色發出的API呼叫數量。

根據預設,系統會顯示服務連結角色。服務連結角色可以產生大量 AWS CloudTrail 活動,這會取代您想要進一步調查的主體。您可以選擇關閉顯示服務連結角色 ,從摘要儀表板檢視中篩選出服務連結角色。

您可以匯出逗號分隔值 (.csv) 檔案,其中包含此面板中的資料。

過去 7 天的API通話量也有時間軸。時間軸可協助您判斷該委託人的API呼叫量是否異常。

如果您發現API通話量看似可疑的使用者或角色,則可以直接從面板轉向使用者或角色設定檔以繼續調查。您也可以檢視與使用者或角色相關聯的帳戶設定檔。若要檢視設定檔,請選擇使用者、角色或帳戶識別符。

EC2 流量最多的執行個體

EC2 流量最多的執行個體會識別過去 24 小時內流量總量最大的EC2執行個體。

面板最多可包含 100 個EC2執行個體。對於每個EC2執行個體,您可以查看關聯的帳戶,以及過去 24 小時的傳入位元組、傳出位元組和總位元組數。

您可以匯出包含此面板中資料的逗號分隔值 (.csv) 設定檔。

您還可以看到顯示過去 7 天內傳入和傳出流量的時間軸。時間軸有助於判斷該EC2執行個體的流量是否異常。

如果您識別具有可疑流量的EC2執行個體,則可以直接從面板前往EC2執行個體設定檔以繼續調查。您也可以檢視擁有EC2執行個體之帳戶的設定檔。若要檢視設定檔,請選擇EC2執行個體或帳戶識別碼。

具有最多 Kubernetes Pod 的容器叢集

所建立具有最多 Kubernetes Pod 的容器叢集可識別在過去 24 小時內執行最多容器的叢集。

此面板包含最多 100 個叢集組織的叢集,此類叢集與叢集相關聯的調查結果最多。針對每個叢集,您可以看到相關聯的帳戶、該叢集中目前的容器數目以及過去 24 小時內與該叢集相關聯的調查結果數目。您可以匯出包含此面板中資料的逗號分隔值 (.csv) 設定檔。

如果您識別有近期調查結果的叢集,您可以直接從面板錨定至叢集設定檔,以繼續進行調查。您也可以錨定至擁有叢集之帳戶的設定檔。若要錨定至設定檔,請選擇叢集名稱或帳戶識別符。

近似值通知

角色和具有最多API呼叫磁碟區的使用者,以及EC2具有最多流量磁碟區的執行個體上,如果值後面加上星號 (*),則表示該值是近似值。真值可能等於或大於顯示值。

這是因為 Detective 用來計算每個時間間隔的體積的方法所致。在摘要頁面上,時間間隔為一小時。

Detective 每小時會計算具有最大磁碟區的 1,000 個使用者、角色或EC2執行個體的總磁碟區。它不包括其餘使用者、角色或EC2執行個體的資料。

如果某一資源有時位於前 1,000 名,則該資源的計算量可能不會包含所有資料。排除非前 1,000 名的時間間隔的資料。

請注意,這僅適用於摘要頁面。使用者、角色或EC2執行個體的設定檔提供精確的詳細資訊。