Konsep dan terminologi Detektif Amazon

Istilah dan konsep berikut ini penting untuk memahami Detektif Amazon dan cara kerjanya.

Akun administrator

Akun AWS Yang memiliki grafik perilaku dan yang menggunakan grafik perilaku untuk penyelidikan.

Akun administrator mengundang akun anggota untuk menyumbangkan data mereka ke grafik perilaku. Untuk informasi selengkapnya, lihat Mengundang akun anggota ke grafik perilaku.

Untuk grafik perilaku organisasi, akun administrator adalah akun administrator Detektif yang ditetapkan oleh akun manajemen organisasi. Untuk informasi selengkapnya, lihat Menunjuk akun administrator Detektif untuk suatu organisasi. Akun administrator Detektif dapat mengaktifkan akun organisasi apa pun sebagai akun anggota dalam grafik perilaku organisasi. Untuk informasi selengkapnya, lihat Mengelola akun organisasi sebagai akun anggota.

Akun administrator juga dapat melihat penggunaan data untuk grafik perilaku, dan menghapus akun anggota dari grafik perilaku.

Organisasi Sistem Otonom (ASO)

Organisasi berjudul yang ditugaskan sistem otonom. Sistem otonom ini adalah jaringan heterogen atau seperangkat jaringan yang menggunakan logika dan kebijakan routing yang serupa.

Grafik perilaku

Kumpulan data terkait yang dihasilkan dari data sumber masuk yang dikaitkan dengan satu atau lebih Akun AWS.

Setiap grafik perilaku menggunakan struktur temuan, entitas, dan hubungan yang sama.

Akun administrator yang didelegasikan ()AWS Organizations

Dalam Organizations, akun administrator yang didelegasikan untuk suatu layanan dapat mengelola penggunaan layanan untuk organisasi.

Dalam Detektif, akun administrator Detektif juga merupakan akun administrator yang didelegasikan, kecuali akun administrator Detektif adalah akun manajemen organisasi. Akun manajemen organisasi tidak dapat berupa akun administrator yang didelegasikan.

Dalam Detektif, delegasi diri diperbolehkan. Akun manajemen organisasi dapat mendelegasikan akun mereka sendiri untuk menjadi administrator Detektif yang didelegasikan tetapi ini akan didaftarkan atau diingat hanya dalam lingkup Detektif dan bukan organisasi.

Akun administrator Detektif

Akun yang ditunjuk oleh akun manajemen organisasi menjadi akun administrator untuk grafik perilaku organisasi di Wilayah. Untuk informasi selengkapnya, lihat Menunjuk akun administrator Detektif untuk suatu organisasi.

Detective merekomendasikan agar akun manajemen organisasi memilih akun selain akun mereka.

Jika akun tersebut bukan akun manajemen organisasi, maka akun administrator Detektif juga merupakan akun administrator yang didelegasikan untuk Detective in Organizations.

Data sumber detektif

Versi informasi yang diproses dan terstruktur dari jenis umpan berikut:

• Log dari AWS layanan, seperti AWS CloudTrail log dan Amazon VPC Flow Logs

• GuardDuty temuan

Detective menggunakan data sumber Detective untuk mengisi grafik perilaku. Detective juga menyimpan salinan data sumber Detective untuk mendukung analitiknya.

Entitas

Item yang diekstraksi dari data yang dicerna.

Setiap entitas memiliki tipe, yang mengidentifikasi jenis objek yang diwakilinya. Contoh tipe entitas termasuk alamat IP, instans Amazon EC2, dan pengguna. AWS

Entitas dapat berupa AWS sumber daya yang Anda kelola, atau alamat IP eksternal yang telah berinteraksi dengan sumber daya Anda.

Untuk setiap entitas, data sumber juga digunakan untuk mengisi properti entitas. Nilai properti dapat diekstraksi langsung dari catatan sumber atau dikumpulkan di beberapa catatan.

Menemukan

Masalah keamanan yang terdeteksi oleh Amazon GuardDuty.

Menemukan grup

Kumpulan temuan, entitas, dan bukti terkait yang mungkin terkait dengan peristiwa atau masalah keamanan yang sama. Detective menghasilkan kelompok pencarian berdasarkan model pembelajaran mesin bawaan.

Bukti Detektif

Detective mengidentifikasi bukti tambahan yang terkait dengan kelompok temuan berdasarkan data dalam grafik perilaku Anda yang dikumpulkan dalam 45 hari terakhir. Bukti ini disajikan sebagai temuan dengan nilai keparahan Informasi. Bukti memberikan informasi pendukung yang menyoroti aktivitas yang tidak biasa atau perilaku yang tidak diketahui yang berpotensi mencurigakan ketika dilihat dalam kelompok temuan. Contohnya mungkin geolokasi yang baru diamati atau panggilan API yang diamati dalam lingkup waktu penemuan. Saat ini, temuan ini hanya dapat dilihat di Detektif dan tidak dikirim ke Security Hub.

Menemukan ikhtisar

Satu halaman yang memberikan ringkasan informasi tentang temuan.

Ikhtisar temuan berisi daftar entitas yang terlibat untuk temuan tersebut. Dari daftar, Anda dapat berputar ke profil untuk entitas.

Ikhtisar temuan juga berisi panel detail yang berisi atribut temuan.

Entitas volume tinggi

Entitas yang memiliki koneksi ke atau dari sejumlah besar entitas lain selama interval waktu. Misalnya, instans EC2 mungkin memiliki koneksi dari jutaan alamat IP. Jumlah koneksi melebihi ambang batas yang dapat ditampung Detektif.

Ketika waktu lingkup saat ini berisi interval waktu volume tinggi, Detective memberi tahu pengguna.

Untuk informasi selengkapnya, lihat Melihat detail untuk entitas bervolume tinggi di Panduan Pengguna Detektif Amazon.

Investigasi

Proses memprioritaskan aktivitas yang mencurigakan atau menarik, menentukan ruang lingkupnya, sampai ke sumber atau penyebabnya yang mendasarinya, dan kemudian menentukan bagaimana melanjutkannya.

Akun anggota

Sebuah akun administrator Akun AWS yang diundang untuk menyumbangkan data ke grafik perilaku. Dalam grafik perilaku organisasi, akun anggota dapat berupa akun organisasi yang mengaktifkan akun administrator Detektif sebagai akun anggota.

Akun anggota yang diundang dapat menanggapi undangan grafik perilaku dan menghapus akun mereka dari grafik perilaku. Untuk informasi selengkapnya, lihat Untuk akun anggota: Mengelola undangan grafik perilaku dan keanggotaan.

Akun organisasi tidak dapat mengubah keanggotaannya dalam grafik perilaku organisasi.

Semua akun anggota juga dapat melihat informasi penggunaan untuk akun mereka di seluruh grafik perilaku tempat mereka menyumbangkan data.

Mereka tidak memiliki akses lain ke grafik perilaku.

Grafik perilaku organisasi

Grafik perilaku yang dimiliki oleh akun administrator Detective. Akun manajemen organisasi menunjuk akun administrator Detektif. Untuk informasi selengkapnya, lihat Menunjuk akun administrator Detektif untuk suatu organisasi.

Dalam grafik perilaku organisasi, akun administrator Detektif mengontrol apakah akun organisasi adalah akun anggota. Akun organisasi tidak dapat menghapus dirinya sendiri dari grafik perilaku organisasi.

Akun administrator Detektif juga dapat mengundang akun lain ke grafik perilaku organisasi.

Profil

Satu halaman yang menyediakan kumpulan visualisasi data yang terkait dengan aktivitas untuk suatu entitas.

Untuk temuan, profil membantu analis untuk menentukan apakah temuan itu benar-benar menjadi perhatian atau positif palsu.

Profil memberikan informasi untuk mendukung penyelidikan terhadap temuan atau untuk perburuan umum untuk kegiatan yang mencurigakan.

Panel profil

Visualisasi tunggal pada profil. Setiap panel profil dimaksudkan untuk membantu menjawab pertanyaan atau pertanyaan spesifik untuk membantu analis dalam penyelidikan.

Panel profil dapat berisi pasangan nilai kunci, tabel, garis waktu, diagram batang, atau bagan geolokasi.

Hubungan

Aktivitas yang terjadi antara entitas individu. Hubungan juga diekstraksi dari data sumber yang masuk.

Mirip dengan entitas, hubungan memiliki tipe, yang mengidentifikasi jenis entitas yang terlibat dan arah koneksi. Contoh tipe hubungan adalah alamat IP yang menghubungkan ke instans Amazon EC2.

Lingkup waktu

Jendela waktu yang digunakan untuk cakupan data yang ditampilkan pada profil.

Waktu lingkup default untuk temuan mencerminkan waktu pertama dan terakhir ketika aktivitas mencurigakan diamati.

Waktu cakupan default untuk profil entitas adalah 24 jam sebelumnya.