本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解調查結果群組頁面
調查結果群組頁面列出 Amazon Detective 從行為圖表收集的所有調查結果群組。請記下下列調查結果群組的屬性:
- 群組的嚴重性
根據相關聯的調查結果 AWS 的安全調查結果格式 (ASFF) 嚴重性,為每個調查結果群組指派一個嚴重性。ASFF 調查結果嚴重性值為重大 、 高 、 中 、 低 或 資訊 ,從最嚴重到最不嚴重。群組的嚴重性等於該群組中調查結果中的最高嚴重性調查結果。
由影響大量實體的嚴重或高嚴重性調查結果組成的群組應優先進行調查,因為它們代表高影響力的安全問題的可能性更高。
- 群組標題
在標題欄位中,各群組都有唯一的 ID 和非唯一標題。這些是根據群組的ASFF類型命名空間,以及叢集中該命名空間內的調查結果數量。例如,如果分組的標題為:具有 的群組:TTP(2)、效果 (1) 和異常行為 (2),則包含五個總調查結果,其中包括TTP命名空間中的兩個調查結果、效果命名空間中的一個調查結果,以及異常行為命名空間中的兩個調查結果。如需命名空間的完整清單,請參閱 的類型分類ASFF。
- 群組中的政策
群組中的政策欄位會詳細說明活動所屬的政策類別。下列清單中的策略、技術和程序類別與 MITRE ATT&CK 矩陣
相符。 您可以在鏈上選取策略,以查看策略的描述。鏈結下方為在群組內偵測到的策略清單。此類類別及其通常所代表的活動如下:
初始訪問:對手試圖進入他人的網路。
執行:對手試圖進入他人的網路。
持續:對手試圖保持他們的立足點。
權限提升:對手試圖獲得更高級別的許可。
防禦規避:對手試圖避免被發現。
憑證存取:對手試圖竊取帳戶名稱和密碼。
發現:對手試圖了解和學習某一環境。
橫向運動:對手試圖透過環境進行移動。
收集:對手試圖收集目標所感興趣的資料。
命令與控制:對手試圖進入他人的網路。
滲透:對手試圖奪取資料。
影響:對手試圖操縱、中斷或銷毀您的系統和資料。
其他:表示調查結果中的活動與矩陣中列出的政策不一致。
- 群組中的實體
實體欄位包含在此群組中所偵測到特定實體的詳細資訊。選取此值可根據以下類別對實體進行細分:身分、網路、儲存和運算。每個類別中的實體範例如下:
Identity – IAM主體和 AWS 帳戶,例如使用者和角色
網路 – IP 地址或其他聯網和VPC實體
儲存 – Amazon S3 儲存貯體或 DDBs
運算 Amazon EC2執行個體或 Kubernetes 容器
- 群組內的帳戶
帳戶欄會告訴您哪些 AWS 帳戶擁有與群組中調查結果相關的實體。 AWS 帳戶會依名稱和 AWS ID 列出,因此您可以優先調查涉及重要帳戶的活動。
- 群組內的調查結果
調查結果欄位會依嚴重性列出群組內的實體。這些調查結果包括 Amazon GuardDuty 調查結果、Amazon Inspector 調查結果、 AWS 安全調查結果,以及 Detective 的證據。您可以選取圖表,依嚴重性查看調查結果的確切計數。
GuardDuty 調查結果是 Detective 核心套件的一部分,預設為擷取。Security Hub 彙總的所有其他 AWS 安全調查結果都會擷取為選用資料來源。如需詳細資訊,請參閱行為圖表中使用的來源資料。
