Flujo de investigación Amazon Detective - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Flujo de investigación Amazon Detective

Puede utilizar Amazon Detective para investigar una entidad como una instancia EC2 o unAWSusuario. También puedes investigar los hallazgos de seguridad.

A grandes rasgos, la imagen siguiente muestra el proceso de investigación del Detective.


    Diagrama que muestra el proceso de investigación de Detective.
Paso 1: Seleccione la entidad que desea investigar

Al examinar un hallazgo en GuardDuty, los analistas pueden optar por investigar una entidad asociada en Detective. Consulte Pasar a un perfil de entidad o buscar información general en Amazon GuardDuty oAWS Security Hub.

También puede usar el DetectiveResumenpágina para identificar una entidad que se va a investigar. Consulte Uso de la página Resumen para identificar una entidad de interés.

En una descripción general de la búsqueda de Detective, puede elegir una entidad involucrada para investigar. Consulte Visualización de un resumen de búsqueda.

Puede utilizar la función de búsqueda de Detective para buscar y seleccionar una entidad para investigar. Consulte Búsqueda de un hallazgo o entidad.

La selección de la entidad le lleva al perfil de entidad en Detective.

Paso 2: Analizar visualizaciones en perfiles

Cada perfil de entidad contiene un conjunto de visualizaciones que se generan a partir del gráfico de comportamiento. El gráfico de comportamiento se crea a partir de los archivos de registro y otros datos que se introducen en Detective.

Las visualizaciones muestran la actividad relacionada con una entidad. Estas visualizaciones se utilizan para responder preguntas y determinar si la actividad de la entidad es inusual. Consulte Análisis de detalles de la entidad.

Para ayudar a guiar la investigación, puede utilizar la guía de Detective proporcionada para cada visualización. La guía describe la información mostrada, sugiere preguntas que debe hacer y propone los siguientes pasos en función de las respuestas. Consulte Uso de la guía del panel de perfiles durante una investigación.

Cada perfil contiene una lista de hallazgos asociados. Puede ver los detalles de un hallazgo y ver la descripción general del hallazgo. Consulte Visualización de detalles de las conclusiones asociadas.

Desde un perfil de entidad, puede girar hacia otra entidad y buscar perfiles para investigar más a fondo la actividad de los activos relacionados.

Paso 3: Acción

Basándose en los resultados de su investigación, tome las medidas apropiadas.

Para un hallazgo falso positivo, puede archivarlo. Del Detective, puede archivarlo los hallazgos de GuardDuty. Consulte Archivar un Amazon GuardDuty descubrimiento.

De lo contrario, se toman las medidas apropiadas para abordar la vulnerabilidad y mitigar los daños. Por ejemplo, es probable que tenga que actualizar la configuración de un recurso.