什麼是 Amazon Detective？

Detective 調查結果群組可讓您檢查與潛在安全事件相關的多個活動。您可以使用 GuardDuty 調查結果群組來分析高嚴重性調查結果的根本原因。如果威脅發動者嘗試入侵您的 AWS 環境，他們通常會執行一系列動作，產生多個安全調查結果和異常行為。

Detective 中的調查結果群組頁面會顯示從行為圖表擷取的所有相關調查結果群組。如需如何利用調查結果群組分析安全調查結果的根本原因的詳細資訊，請參閱 Detective 中的分析調查結果群組。

Detective 提供每個調查結果群組的互動式視覺化，協助您更快速且更徹底地調查安全問題。視覺化旨在顯示涉及安全事件的實體和調查結果，讓您更輕鬆地了解連線和根本原因。 可協助您更快速、更徹底地調查問題，且省力。調查結果群組視覺化面板會顯示調查結果，以及與調查結果群組相關的實體。

透過 Detective Investigation，您可以使用入侵指標來調查IAM使用者和IAM角色，這可協助您判斷資源是否涉及安全事件。入侵指標 （IOC） 是在網路、系統或環境中觀察到的成品，可以 （具有高度可信度） 識別惡意活動或安全事件。透過 Detective 調查，您可以最大化效率、專注於安全威脅，並強化事件回應功能。

Detective Investigation 使用機器學習模型和威脅情報，僅顯示最關鍵的可疑問題，讓您專注於高階調查。它會自動分析 AWS 環境中的資源，以識別入侵或可疑活動的潛在指標。這可讓您識別模式，並了解哪些資源受到安全事件的影響，提供主動的威脅識別和緩解方法。

您可以透過執行 Detective Investigation ，從 Detective 主控台啟動 Detective Investigation。若要以程式設計方式執行調查，請使用 Detective StartInvestigation的操作API。若要使用 AWS Command Line Interface （AWS CLI） 執行調查，請執行 start-investigation 命令。

Detective 與 Amazon Security Lake 整合，這表示您可以查詢和擷取 Security Lake 儲存的原始日誌資料。透過此整合，您可以從 Security Lake 原生支援的下列來源收集日誌和事件。

將 Detective 與 Security Lake 整合之後，Detecive 會開始從 Security Lake 提取與 AWS CloudTrail 管理事件和 Amazon VPC Flow Logs 相關的原始日誌。您可以查詢原始日誌，以檢視 Detective 中的日誌和事件。

透過 Detective，您可以互動方式檢查 Amazon Elastic Compute Cloud （AmazonVPC） 執行個體和 Kubernetes Pod 虛擬私有雲端 （） 網路流程的活動詳細資訊。 EC2Detective 會自動從您的受監控帳戶收集VPC流量日誌，依EC2執行個體彙總它們，並呈現這些網路流程的視覺化摘要和分析。

對於EC2執行個體，整體VPC流量的活動詳細資訊會顯示EC2執行個體與 IP 地址在所選時間範圍內的互動。

對於 Kubernetes Pod，整體VPC流量磁碟區會顯示所有目的地 IP 地址進出 Kubernetes Pod 指派 IP 地址的整體位元組磁碟區。

AWS Management Console 是以瀏覽器為基礎的介面，可用來建立和管理 AWS 資源。作為該主控台的一部分，Amazon Detective 主控台可讓您存取 Detective 帳戶、資料和資源。您可以使用 Detective 主控台來執行任何 Detective 任務：檢閱潛在的安全威脅，並分析、調查和識別安全調查結果的根本原因。

使用 AWS 命令列工具，您可以在系統的命令列發出命令，以執行 Detective 任務和 AWS 任務。使用命令列可能比使用主控台更快、更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組命令列工具： AWS Command Line Interface （AWS CLI） 和 AWS Tools for PowerShell。如需有關安裝和使用 的資訊 AWS CLI，請參閱 AWS Command Line Interface 使用者指南 。如需安裝和使用適用於 的工具的相關資訊 PowerShell，請參閱 AWS Tools for PowerShell 使用者指南 。

AWS 提供由各種程式設計語言和平台的程式庫和範例程式碼SDKs組成，例如 Java、Go、Python、C++ 和 NET。SDKs 提供 Detective 和其他 的便利、程式設計存取 AWS 服務。他們也會處理密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 的資訊 AWS SDKs，請參閱在 上建置的工具 AWS。

Amazon Detective RESTAPI可讓您全面、程式設計地存取 Detective 帳戶、資料和資源。使用此 API，您可以直接將HTTPS請求傳送至 Detective。不過，與 AWS 命令列工具和 不同SDKs，使用此功能API需要您的應用程式處理低階詳細資訊，例如產生雜湊來簽署請求。如需此 的相關資訊API，請參閱 Detective API參考 。

AWS Security Hub 可讓您全面檢視 AWS 資源的安全狀態，並協助您根據安全產業標準和最佳實務檢查 AWS 環境。其透過從多個 AWS 服務 （包括 Detective） 和支援的 AWS Partner Network （APN） 產品消耗、彙總、組織和排定安全性調查結果的優先順序，來達成部分目的。Security Hub 可協助您分析安全趨勢，並識別整個 AWS 環境的最高優先順序安全問題。

若要進一步了解 Security Hub，請參閱 AWS Security Hub 使用者指南。

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的 AWS 日誌，例如 Amazon S3 AWS CloudTrail 的資料事件日誌 CloudTrail 和管理事件日誌。它使用威脅情報摘要，例如惡意 IP 地址和網域的清單，以及機器學習，來識別 AWS 環境中非預期和可能未經授權的惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南 。

Amazon Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake 將來自 AWS 環境、SaaS 提供者、內部部署來源、雲端來源和第三方來源的安全性資料自動集中到儲存在您 AWS 帳戶中的專用資料湖中。Security Lake 可協助您分析安全資料，讓您更全面地了解整個組織的安全狀態。透過 Security Lake，您還可以改善工作負載、應用程式和資料的保護。

若要進一步了解 Security Lake，請參閱 Amazon Security Lake 使用者指南。若要進一步了解如何同時使用 Detective 和 Security Lake，請參閱 Amazon Detective 與 Amazon Security Lake 整合。