Intégration à Amazon Detective - Amazon GuardDuty
Activation de l'intégrationPasser à Amazon Detective à partir d'une découverte GuardDuty Utilisation de l'intégration avec un environnement GuardDuty multi-comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration à Amazon Detective

Amazon Detective vous aide à analyser et à enquêter rapidement sur les événements de sécurité liés à un ou plusieurs AWS comptes en générant des visualisations de données représentant le comportement et l'interaction de vos ressources au fil du temps. Detective crée des visualisations des GuardDuty résultats.

Detective ingère les détails des résultats pour tous les types de résultat et donne accès aux profils des entités afin d'enquêter sur les différentes entités impliquées dans le résultat. Une entité peut être une Compte AWS, une AWS ressource au sein d'un compte ou une adresse IP externe qui a interagi avec vos ressources. La GuardDuty console permet de basculer vers Amazon Detective à partir des entités suivantes, en fonction du type de recherche : IAM rôle Compte AWS, utilisateur ou session de rôle, agent utilisateur, utilisateur fédéré, EC2 instance Amazon ou adresse IP.

Activation de l'intégration

Pour utiliser Amazon Detective avec, GuardDuty vous devez d'abord activer Amazon Detective. Pour plus d'informations sur l'activation de Detective, veuillez consulter Configuration d'Amazon Detective dans le Guide d'administration Amazon Detective.

Lorsque vous activez à la fois Detective GuardDuty et Detective, l'intégration est automatiquement activée. Une fois activé, Detective ingère immédiatement les données de vos GuardDuty découvertes.

Note

GuardDuty envoie les résultats à Detective en fonction de la fréquence d'exportation des GuardDuty résultats. Par défaut, la fréquence d'exportation pour les mises à jour des résultats existants est de 6 heures. Pour que Detective reçoive les dernières mises à jour de vos résultats, il est recommandé de modifier la fréquence d'exportation à 15 minutes dans chaque région avec laquelle vous utilisez Detective GuardDuty. Pour plus d'informations, voir Étape 5 — Définition de la fréquence d'exportation des résultats actifs mis à jour.

Passer à Amazon Detective à partir d'une découverte GuardDuty

  1. Connectez-vous à la https://console.aws.amazon.com/guardduty/console.

  2. Choisissez un seul résultat dans votre tableau des résultats.

  3. Choisissez Enquêter avec Detective dans le volet des informations du résultat.

  4. Choisissez un aspect du résultat à examiner avec Amazon Detective. Cela permet d'ouvrir la console Detective pour ce résultat ou cette entité.

Si le basculement ne se comporte pas comme prévu, veuillez consulter Résolution des problèmes liés au pivot dans le Guide de l'utilisateur Amazon Detective.

Note

Si vous archivez une GuardDuty découverte dans la console Detective, elle est également archivée dans la GuardDuty console.

Utilisation de l'intégration avec un environnement GuardDuty multi-comptes

Si vous gérez un environnement multi-comptes dans GuardDuty, vous devez ajouter vos comptes de membre à Amazon Detective afin de voir les visualisations des données Detective relatives aux résultats et aux entités de ces comptes.

Il est recommandé d'utiliser le même compte GuardDuty administrateur que le compte administrateur pour Detective. Pour plus d'informations sur l'ajout de comptes membres dans Detective, veuillez consulter Invitation de comptes membres (langue française non garantie).

Note

Detective est un service régional, ce qui signifie que vous devez l'activer Detective et ajouter vos comptes membres dans chaque région dans laquelle vous souhaitez utiliser l'intégration.