Accès direct au profil d’une entité ou d’une vue d’ensemble des résultats - Amazon Detective
Pivotement depuis une autre consoleNavigation à l’aide d’une URLAjout d’URL Detective pour les résultats dans Splunk

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès direct au profil d’une entité ou d’une vue d’ensemble des résultats

Pour accéder directement au profil d’une entité ou une vue d’ensemble des résultats dans Amazon Detective, vous pouvez utiliser l’une de ces options.

  • Depuis Amazon GuardDuty ou depuis Amazon AWS Security Hub, vous pouvez passer d'une GuardDuty recherche au profil de recherche Detective correspondant.

  • Vous pouvez créer une URL Detective qui identifie un résultat ou une entité et définit la durée de validité à utiliser.

En passant au profil d'une entité ou en trouvant une vue d'ensemble sur Amazon GuardDuty ou AWS Security Hub

Depuis la GuardDuty console Amazon, vous pouvez accéder au profil d'entité d'une entité associée à une découverte.

À partir des AWS Security Hub consoles GuardDuty et, vous pouvez également accéder à une vue d'ensemble des recherches. Cela fournit également des liens vers les profils d'entité des entités impliquées.

Ces liens peuvent aider à rationaliser le processus d’enquête. Vous pouvez rapidement utiliser Detective pour voir l’activité de l’entité associée et déterminer les prochaines étapes. Vous pouvez ensuite archiver un résultat s’il s’agit d’un faux positif ou l’explorer davantage pour déterminer l’ampleur du problème.

Comment passer à la console Amazon Detective

Les liens d'enquête sont disponibles pour tous les GuardDuty résultats. GuardDuty vous permet également de choisir d'accéder au profil d'une entité ou à l'aperçu des résultats.

Pour passer à Detective depuis la GuardDuty console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Le cas échéant, choisissez Résultats dans le volet de navigation de gauche.

  3. Sur la GuardDuty page Résultats, sélectionnez le résultat.

    Le volet des détails des résultats s’affiche à droite de la liste des résultats.

  4. Dans le volet des détails de la recherche, choisissez Investigate in Detective.

    GuardDuty affiche la liste des éléments disponibles à étudier dans Detective.

    La liste contient à la fois les entités associées, telles que les adresses IP ou les instances EC2, et le résultat.

  5. Choisissez une entité ou le résultat.

    La console Detective s’ouvre dans un nouvel onglet. La console s’ouvre sur l’entité ou le profil de résultat.

    Si vous n’avez pas activé Detective, la console s’ouvre sur une page d’accueil qui fournit une vue d’ensemble de Detective. À partir de là, vous pouvez choisir d’activer Detective.

Pour passer à Detective depuis la console Security Hub

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Le cas échéant, choisissez Résultats dans le volet de navigation de gauche.

  3. Sur la page Security Hub Findings, choisissez un GuardDuty résultat.

  4. Dans le volet d’informations, choisissez Investigate in Detective, puis Investigate finding.

    Lorsque vous choisissez Investigate finding, la console Detective s’ouvre dans un nouvel onglet. La console s’ouvre pour afficher la vue d’ensemble des résultats.

    La console Detective s’ouvre toujours sur la région d’où provient le résultat, même si vous changez de région d’agrégation. Pour plus d’informations sur l’agrégation de résultat, consultez la section Agrégation des résultats par régions dans le guide de AWS Security Hub l’utilisateur.

    Si vous n’avez pas activé Detective, la console s’ouvre sur la page d’accueil de Detective. À partir de là, vous pouvez activer Detective.

Dépannage du pivot

Pour utiliser le pivot, l’une des conditions suivantes doit être vraie :

  • Votre compte doit être un compte administrateur à la fois pour Detective et pour le service que vous quittez.

  • Vous avez assumé un rôle multicompte qui vous permet d’accéder au graphe de comportement en tant qu’administrateur.

Pour plus d'informations sur la recommandation d'aligner les comptes administrateurs, consultez Alignement recommandé avec Amazon GuardDuty et AWS Security Hub.

Si le pivot ne fonctionne pas, vérifiez les points suivants.

  • Le résultat appartient-il à un compte membre activé dans votre graphe de comportement ? Si le compte associé n’a pas été invité au graphe de comportement en tant que compte membre, le graphe de comportement ne contient aucune donnée pour ce compte.

    Si le compte d’un membre invité n’a pas accepté l’invitation, le graphe de comportement ne contient aucune donnée pour ce compte.

  • Le résultat est-il archivé ? Detective ne reçoit pas les résultats archivés de GuardDuty.

  • Le résultat a-t-il eu lieu avant que Detective ne commence à ingérer des données dans votre graphe de comportement ? Si le résultat n’est pas présent dans les données ingérées par Detective, le graphe de comportement ne contient aucune donnée correspondante.

  • Le résultat provient-il de la bonne région ? Chaque graphe de comportement est spécifique à une région. Un graphe de comportement ne contient pas de données provenant d’autres régions.

Accès au profil d’une entité ou d’une vue d’ensemble des résultats à l’aide d’une URL

Pour accéder au profil d’une entité ou une vue d’ensemble des résultats dans Amazon Detective, vous pouvez utiliser une URL qui fournit un lien direct vers celui-ci. L’URL identifie le résultat ou l’entité. Il peut également spécifier la durée de validité à utiliser sur le profil. Detective conserve jusqu’à un an de données historiques sur les événements.

Format de l’URL d’un profil

Note

Si vous utilisez l’ancien format d’URL, Detective redirige automatiquement vers la nouvelle URL. L’ancien format de l’URL était le suivant :

https://console.aws.amazon.com/detective/home?region=Région#type/espace de noms/ID d’instance?paramètres

Le nouveau format de l’URL du profil est le suivant :

  • Pour les entités : https://console.aws.amazon.com/detective/home?region=Région#entités/espace de noms/ID d’instance?paramètres

  • Pour les résultats : https://console.aws.amazon.com/detective/home?region=Région#résultats/ID d’instance?paramètres

L’URL nécessite les valeurs suivantes.

Région

La région que vous souhaitez utiliser.

type

Type d’élément correspondant au profil vers lequel vous naviguez.

  • entities : indique que vous naviguez vers un profil d’entité

  • findings : indique que vous naviguez vers une vue d’ensemble des résultats

espace de nom

Pour les entités, l’espace de noms est le nom du type d’entité.

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

ID d’instance

Identifiant d’instance du résultat ou de l’entité.

  • Dans le cas d'une GuardDuty recherche, l'identifiant GuardDuty de la recherche.

  • Pour un AWS compte, l'identifiant du compte.

  • Pour AWS les rôles et les utilisateurs, l'identifiant principal du rôle ou de l'utilisateur.

  • Pour les utilisateurs fédérés, l’identifiant principal de l’utilisateur fédéré. L’identifiant principal est <identityProvider>:<username> ou <identityProvider>:<audience>:<username>.

  • Pour les adresses IP, l’adresse IP.

  • Pour les agents utilisateurs, le nom de l’agent utilisateur.

  • Pour les instances EC2, il s’agit de l’ID d’instance EC2.

  • Pour les sessions de rôle, identifiant de session. L’identifiant de session utilise le format <rolePrincipalID>:<sessionName>.

  • Pour les compartiments S3, le nom du compartiment.

  • Pour un UUID FindingGroups, par exemple, ca6104bc-a315-4b15-bf88-1c1e60998f83

  • Pour les ressources EKS, utilisez les formats suivants :

    • Cluster EKS : <clusterName>~<accountId>~EKS

    • Module Kubernetes : ~ ~ ~EKS <podUid><clusterName><accountId>

    • Sujet Kubernetes : <subjectName>~<clusterName>~<accountId>

    • Image du conteneur : <registry>/<repository>:<tag>@<digest>

Le résultat ou l’entité doit être associé à un compte activé dans votre graphe de comportement.

L’URL peut également inclure les paramètres facultatifs suivants, qui sont utilisés pour définir la durée de validité. Pour plus d’informations sur la durée de validité et son utilisation sur les profils, consultez Gestion de la durée de validité.

scopeStart

Heure de début de la durée de validité d’utilisation de l’oscilloscope sur le profil. L’heure de début doit se situer dans les 365 derniers jours.

La valeur est l’horodatage de l’époque.

Si vous indiquez une heure de début mais pas d’heure de fin, la durée de validité se termine à l’heure actuelle.

scopeEnd

Heure de fin de la durée de validité d’utilisation de l’oscilloscope sur le profil.

La valeur est l’horodatage de l’époque.

Si vous indiquez une heure de fin, mais pas d’heure de début, la durée de validité inclut tout le temps écoulé avant l’heure de fin.

Si vous ne spécifiez pas la durée de validité, c’est la durée de validité par défaut qui est utilisée.

  • Pour les résultats, la durée de validité par défaut utilise la première et la dernière fois que l’activité de résultat a été observée.

  • Pour les entités, la durée de validité par défaut correspond aux 24 heures précédentes.

Voici un exemple d’URL de Detective :

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

Cet exemple d’URL fournit les instructions suivantes.

  • Affichez le profil d’entité pour l’adresse IP 192.168.1.

  • Utilisez une durée de validité qui commence le lundi 18 mars 2019 à 12:00:00 GMT et qui se termine le lundi 18 mars 2019 à 00h00 GMT.

Résolution des problèmes d’une règle

Si l’URL n’affiche pas le profil attendu, vérifiez d’abord qu’elle utilise le bon format et que vous avez fourni les bonnes valeurs.

  • Avez-vous commencé avec la bonne URL (findings ou entities) ?

  • Avez-vous spécifié le bon espace de noms ?

  • Avez-vous fourni le bon identifiant ?

Si les valeurs sont correctes, vous pouvez également vérifier les points suivants.

  • Le résultat ou l’entité appartient-il à un compte membre activé dans votre graphe de comportement ? Si le compte associé n’a pas été invité au graphe de comportement en tant que compte membre, le graphe de comportement ne contient aucune donnée pour ce compte.

    Si le compte d’un membre invité n’a pas accepté l’invitation, le graphe de comportement ne contient aucune donnée pour ce compte.

  • Dans le cas d’un résultat, celui-ci est-il archivé ? Detective ne reçoit pas les résultats archivés d'Amazon GuardDuty.

  • Le résultat ou l’entité s’est-il produit avant que Detective ne commence à ingérer des données dans votre graphe de comportement ? Si le résultat ou l’entité ne figure pas dans les données ingérées par Detective, le graphe de comportement ne contient aucune donnée correspondante.

  • Le résultat ou l’entité provient-il de la bonne région ? Chaque graphe de comportement est spécifique à une région. Un graphe de comportement ne contient pas de données provenant d’autres régions.

Ajout d’URL Detective pour les résultats dans Splunk

Le projet Splunk Trumpet vous permet d'envoyer des données depuis les AWS services vers Splunk.

Vous pouvez configurer le projet Trumpet pour générer des URL Detective pour les résultats d'Amazon GuardDuty . Vous pouvez ensuite utiliser ces URL pour passer directement de Splunk aux profils de résultats Detective correspondants.

Le projet Trumpet est disponible sur GitHub https://github.com/splunk/ splunk-aws-project-trumpet.

Sur la page de configuration du projet Trumpet, dans AWS CloudWatch Events, sélectionnez Detective GuardDuty URLs.