Integration mit Amazon Detective - Amazon GuardDuty
Aktivierung der IntegrationVon einem GuardDuty Befund zu Amazon Detective wechselnVerwendung der Integration in einer Umgebung mit GuardDuty mehreren Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration mit Amazon Detective

Amazon Detective hilft Ihnen dabei, Sicherheitsereignisse in einem oder mehreren AWS Konten schnell zu analysieren und zu untersuchen, indem es Datenvisualisierungen generiert, die das Verhalten und die Interaktion Ihrer Ressourcen im Laufe der Zeit darstellen. Detective erstellt Visualisierungen von Ergebnissen. GuardDuty

Detective nimmt Erkenntnisdetails für alle Erkenntnistypen auf und bietet Zugriff auf die Entitätsprofile, um verschiedene Entitäten zu untersuchen, die an der Erkenntnis beteiligt sind. Eine Entität kann eine AWS-Konto, eine AWS Ressource innerhalb eines Kontos oder eine externe IP-Adresse sein, die mit Ihren Ressourcen interagiert hat. Die GuardDuty Konsole unterstützt das Pivotieren von den folgenden Entitäten zu Amazon Detective, je nach Findetyp: IAM Rolle AWS-Konto, Benutzer oder Rollensitzung, Benutzeragent, Verbundbenutzer, EC2 Amazon-Instance oder IP-Adresse.

Aktivierung der Integration

Um Amazon Detective mit verwenden zu können, müssen GuardDuty Sie zuerst Amazon Detective aktivieren. Informationen zur Aktivierung von Detective finden Sie unter Amazon Detective einrichten in der Verwaltungsanleitung für Amazon Detective.

Wenn Sie GuardDuty sowohl als auch Detective aktivieren, wird die Integration automatisch aktiviert. Nach der Aktivierung nimmt Detective Ihre GuardDuty Ergebnisdaten sofort auf.

Anmerkung

GuardDuty sendet Ergebnisse auf der Grundlage der Häufigkeit des Exports der GuardDuty Ergebnisse an Detective. Standardmäßig beträgt die Exporthäufigkeit für Aktualisierungen vorhandener Erkenntnisse 6 Stunden. Um sicherzustellen, dass Detective die neuesten Aktualisierungen Ihrer Ergebnisse erhält, wird empfohlen, die Exporthäufigkeit in jeder Region, in der Sie Detective verwenden, auf 15 Minuten zu ändern GuardDuty. Weitere Informationen finden Sie unter Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse.

Von einem GuardDuty Befund zu Amazon Detective wechseln

  1. Loggen Sie sich in die https://console.aws.amazon.com/guardduty/Konsole ein.

  2. Wählen Sie eine einzelne Erkenntnis aus Ihrer Erkenntnistabelle aus.

  3. Wählen Sie im Bereich mit den Erkenntnisdetails die Option Mit Detective untersuchen.

  4. Wählen Sie einen Aspekt der Erkenntnis aus, den Sie mit Amazon Detective untersuchen möchten. Dadurch wird die Detective-Konsole für diese Erkenntnis oder diese Entität geöffnet.

Wenn sich der Wechsel nicht wie erwartet verhält, finden Sie weitere Informationen unter Fehlerbehebung beim Wechsel im Amazon-Detective-Benutzerhandbuch.

Anmerkung

Wenn Sie ein GuardDuty Ergebnis in der Detective-Konsole archivieren, wird dieses Ergebnis auch in der GuardDuty Konsole archiviert.

Verwendung der Integration in einer Umgebung mit GuardDuty mehreren Konten

Wenn Sie eine Umgebung mit mehreren Konten in verwalten GuardDuty, müssen Sie Ihre Mitgliedskonten zu Amazon Detective hinzufügen, um Detective-Datenvisualisierungen für Ergebnisse und Entitäten in diesen Konten zu sehen.

Es wird empfohlen, dasselbe GuardDuty Administratorkonto wie das Administratorkonto für Detective zu verwenden. Weitere Informationen zum Hinzufügen von Mitgliedskonten in Detective finden Sie unter Mitgliedskonten einladen.

Anmerkung

Detective ist ein regionaler Service, d. h. Sie müssen Detective aktivieren und Ihre Mitgliedskonten in jeder Region hinzufügen, in der Sie die Integration verwenden möchten.