Mengundang akun anggota ke grafik perilaku - Amazon Detective
Mengundang akun individual ke grafik perilaku (Konsol)Mengundang daftar akun anggota ke grafik perilaku (Konsol)Mengundang akun anggota ke grafik perilaku (Detective API,) AWS CLIMenambahkan daftar akun anggota di seluruh Wilayah (skrip Python aktif) GitHub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengundang akun anggota ke grafik perilaku

Akun administrator dapat mengundang akun untuk berkontribusi pada grafik perilaku. Grafik perilaku dapat berisi hingga 1.200 akun anggota.

Pada tingkat tinggi, proses mengundang akun untuk berkontribusi pada grafik perilaku adalah sebagai berikut.

  1. Untuk setiap akun anggota untuk ditambahkan, akun administrator menyediakan pengenal AWS akun dan alamat email pengguna root.

  2. Detektif memvalidasi bahwa alamat email adalah alamat email pengguna root untuk akun tersebut.

    Detektif tidak melakukan validasi ini di Wilayah AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat).

  3. Jika informasi akun valid, Detektif mengirimkan undangan ke akun anggota.

    Detektif tidak pernah mengirim undangan email ke akun anggota di Wilayah AWS GovCloud (AS-Timur) atau AWS GovCloud (AS-Barat).

    Untuk Wilayah lain, Detective API menyertakan opsi untuk tidak mengirim undangan ke akun anggota.

    Opsi ini berguna untuk akun yang dikelola secara terpusat.

  4. Akun anggota menerima atau menolak undangan.

    Bahkan jika akun administrator tidak mengirim email undangan, akun anggota tetap harus menanggapi undangan.

  5. Jika akun anggota menerima undangan, Detektif memeriksa apakah akun anggota telah menjadi pelanggan GuardDuty Amazon setidaknya selama 48 jam.

    Jika sudah, maka Detektif memeriksa apakah data akun anggota akan menyebabkan laju data untuk grafik perilaku melebihi kuota.

    Pemeriksaan ini dapat memakan waktu antara 24 hingga 48 jam.

    Sementara Detective memverifikasi kecepatan data, status akun anggota tidak diaktifkan.

  6. Jika akun anggota melewati kedua pemeriksaan tersebut, maka status akun anggota secara otomatis diperbarui ke Diaktifkan. Detektif mulai menelan data dari akun anggota ke dalam grafik perilaku.

    Jika gagal salah satu dari pemeriksaan tersebut, maka status akun anggota tetap Tidak diaktifkan. Akun anggota tidak menyumbangkan data ke grafik perilaku.

  7. Segera setelah akun anggota memenuhi syarat untuk diaktifkan, Detektif secara otomatis mengubah status akun anggota menjadi Diaktifkan.

    Misalnya, status akun anggota berubah menjadi Diaktifkan jika akun anggota diaktifkan GuardDuty dan Detektif memverifikasi bahwa volume datanya tidak terlalu besar, atau jika akun administrator menghapus akun anggota lain untuk memberi ruang bagi akun.

    Jika lebih dari satu akun tidak diaktifkan, maka Detektif mengaktifkan akun dalam urutan di mana mereka diundang. Proses untuk memeriksa apakah akan mengaktifkan akun Not enabled berjalan setiap jam.

    Akun administrator juga dapat mengaktifkan akun secara manual, alih-alih menunggu proses otomatis. Misalnya, akun administrator mungkin ingin memilih akun yang akan diaktifkan. Lihat Mengaktifkan akun anggota yang tidak diaktifkan.

    Perhatikan bahwa Detektif mulai secara otomatis mengaktifkan akun yang Tidak diaktifkan pada 12 Mei 2021. Akun yang tidak diaktifkan sebelumnya tidak diaktifkan secara otomatis. Akun administrator harus mengaktifkannya secara manual.

Mengundang akun individual ke grafik perilaku (Konsol)

Anda dapat secara manual menentukan akun anggota yang akan diundang untuk menyumbangkan data mereka ke grafik perilaku.

Untuk secara manual memilih akun anggota yang akan diundang (konsol)

  1. Buka konsol Amazon Detective di. https://console.aws.amazon.com/detective/

  2. Di panel navigasi Detektif, pilih Manajemen akun.

  3. Pilih Tindakan. Kemudian pilih Undang akun.

  4. Di bawah Tambah akun, pilih Tambahkan akun individual.

  5. Untuk menambahkan akun anggota ke daftar undangan, lakukan langkah-langkah berikut.

    1. Pilih Tambah akun.

    2. Untuk ID AWS Akun, masukkan ID AWS akun.

    3. Untuk alamat Email, masukkan alamat email pengguna root untuk akun tersebut.

  6. Untuk menghapus akun dari daftar, pilih Hapus untuk akun itu.

  7. Di bawah Personalisasi email undangan, tambahkan konten yang disesuaikan untuk disertakan dalam email undangan.

    Misalnya, Anda dapat menggunakan area ini untuk memberikan informasi kontak. Atau gunakan untuk mengingatkan akun anggota bahwa mereka perlu melampirkan kebijakan IAM yang diperlukan kepada pengguna atau peran mereka sebelum mereka dapat menerima undangan.

  8. Kebijakan IAM akun anggota berisi teks kebijakan IAM yang diperlukan untuk akun anggota. Undangan email mencakup teks kebijakan ini. Untuk menyalin teks kebijakan, pilih Salin.

  9. Pilih Undang.

Mengundang daftar akun anggota ke grafik perilaku (Konsol)

Dari konsol Detektif, Anda dapat menyediakan .csv file yang berisi daftar akun anggota untuk diundang ke grafik perilaku Anda.

Baris pertama dalam file adalah baris header. Setiap akun kemudian terdaftar pada baris terpisah. Setiap entri akun anggota berisi ID AWS akun dan alamat email pengguna root akun.

Contoh:

Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com

Ketika Detective memproses file, ia mengabaikan akun yang sudah diundang, kecuali status akun Verifikasi gagal. Status tersebut menunjukkan bahwa alamat email yang diberikan untuk akun tidak cocok dengan alamat email pengguna root akun. Dalam hal ini, Detective menghapus undangan asli dan mencoba lagi untuk memverifikasi alamat email dan mengirim undangan.

Opsi ini juga menyediakan template yang dapat Anda gunakan untuk membuat daftar akun.

Untuk mengundang akun anggota dari daftar.csv (konsol)

  1. Buka konsol Amazon Detective di. https://console.aws.amazon.com/detective/

  2. Di panel navigasi Detektif, pilih Manajemen akun.

  3. Pilih Tindakan. Kemudian pilih Undang akun.

  4. Di bawah Tambah akun, pilih Tambah dari.csv.

  5. Untuk mengunduh file templat agar berfungsi, pilih Unduh template.csv.

  6. Untuk memilih file yang berisi daftar akun, pilih Pilih file.csv.

  7. Di bawah Tinjau akun anggota, verifikasi daftar akun anggota yang ditemukan Detektif dalam file.

  8. Di bawah Personalisasi email undangan, tambahkan konten yang disesuaikan untuk disertakan dalam email undangan.

    Misalnya, Anda dapat memberikan informasi kontak, atau mengingatkan akun anggota tentang kebijakan IAM yang diperlukan.

  9. Kebijakan IAM akun anggota berisi teks kebijakan IAM yang diperlukan untuk akun anggota. Undangan email mencakup teks kebijakan ini. Untuk menyalin teks kebijakan, pilih Salin.

  10. Pilih Undang.

Mengundang akun anggota ke grafik perilaku (Detective API,) AWS CLI

Anda dapat menggunakan Detective API atau akun AWS Command Line Interface untuk mengundang anggota untuk menyumbangkan data mereka ke grafik perilaku. Untuk mendapatkan ARN dari grafik perilaku Anda untuk digunakan dalam permintaan, gunakan operasi. ListGraphs

Untuk mengundang akun anggota ke grafik perilaku (Detective API,) AWS CLI

  • Detective API: Gunakan operasi. CreateMembers Anda harus memberikan grafik ARN. Untuk setiap akun, tentukan pengenal akun dan alamat email pengguna root.

    Untuk tidak mengirim email undangan ke akun anggota, atur DisableEmailNotification ke true. Secara default, DisableEmailNotification adalah false.

    Jika Anda mengirim email undangan, Anda dapat secara opsional memberikan teks khusus untuk ditambahkan ke email undangan.

  • AWS CLI: Pada baris perintah, jalankan create-members perintah.

    aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"

    Contoh

    aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

    Untuk menunjukkan tidak mengirim email undangan ke akun anggota, sertakan--disable-email-notification.

    aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification

    Contoh

    aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification

Menambahkan daftar akun anggota di seluruh Wilayah (skrip Python aktif) GitHub

Detective menyediakan skrip open-source GitHub yang memungkinkan Anda melakukan hal berikut:

  • Tambahkan daftar akun anggota tertentu ke grafik perilaku akun administrator di seluruh daftar Wilayah yang ditentukan.

  • Jika akun administrator tidak memiliki grafik perilaku di Wilayah, maka skrip juga mengaktifkan Detektif dan membuat grafik perilaku di Wilayah tersebut.

  • Kirim email undangan ke akun anggota.

  • Secara otomatis menerima undangan untuk akun anggota.

Untuk informasi tentang cara mengkonfigurasi dan menggunakan GitHub skrip, lihatMenggunakan skrip Amazon Detective Python untuk mengelola akun.