Fase investigasi dan titik awal

Amazon Detective menyediakan alat untuk mendukung proses investigasi secara keseluruhan. Investigasi di Detektif dapat dimulai dari temuan, kelompok pencari, atau entitas.

Fase investigasi

Setiap proses investigasi melibatkan fase-fase berikut:

Triase

Proses investigasi dimulai ketika Anda diberi tahu tentang dugaan kejadian berbahaya atau berisiko tinggi. Misalnya, Anda ditugaskan untuk melihat temuan atau peringatan yang ditemukan oleh layanan seperti Amazon GuardDuty dan Amazon Inspector.

Pada fase triase, Anda menentukan apakah Anda yakin aktivitas tersebut benar-benar positif (aktivitas jahat asli) atau positif palsu (bukan aktivitas berbahaya atau berisiko tinggi). Profil Detektif mendukung proses triase dengan memberikan wawasan tentang aktivitas untuk entitas yang terlibat.

Untuk contoh positif sejati, Anda melanjutkan ke fase berikutnya.

Pelingkupan

Selama fase pelingkupan, analis menentukan sejauh mana aktivitas berbahaya atau berisiko tinggi dan penyebab yang mendasarinya.

Pelingkupan menjawab jenis pertanyaan berikut:

• Sistem dan pengguna apa yang dikompromikan?

• Dari mana serangan itu berasal?

• Sudah berapa lama serangan itu terjadi?

• Apakah ada kegiatan terkait lainnya untuk diungkap? Misalnya, jika penyerang mengekstraksi data dari sistem Anda, bagaimana mereka mendapatkannya?

Visualisasi detektif dapat membantu Anda mengidentifikasi entitas lain yang terlibat atau terpengaruh.

Respons

Langkah terakhir adalah menanggapi serangan untuk menghentikan serangan, meminimalkan kerusakan, dan mencegah serangan serupa terjadi lagi.

Titik awal untuk Investigasi Detektif

Setiap investigasi di Detective memiliki titik awal yang penting. Misalnya, Anda mungkin diberi Amazon GuardDuty atau AWS Security Hub temuan untuk diselidiki. Atau Anda mungkin memiliki kekhawatiran tentang aktivitas yang tidak biasa untuk alamat IP tertentu.

Titik awal yang khas untuk penyelidikan termasuk temuan yang terdeteksi oleh GuardDuty dan entitas yang diekstraksi dari data sumber Detektif.

Temuan yang terdeteksi oleh GuardDuty

GuardDuty menggunakan data log Anda untuk mengungkap dugaan kejadian berbahaya atau berisiko tinggi. Detective menyediakan sumber daya yang membantu Anda menyelidiki temuan ini.

Untuk setiap temuan, Detective memberikan rincian temuan terkait. Detective juga menunjukkan entitas, seperti alamat IP dan AWS akun, yang terhubung ke temuan.

Anda kemudian dapat menjelajahi aktivitas untuk entitas yang terlibat untuk menentukan apakah aktivitas yang terdeteksi dari temuan tersebut merupakan penyebab asli yang perlu dikhawatirkan.

Untuk informasi selengkapnya, lihat Menganalisis ikhtisar temuan.

AWS Temuan keamanan dikumpulkan oleh Security Hub

AWS Security Hub mengumpulkan temuan keamanan dari berbagai penyedia temuan di satu tempat, dan memberi Anda pandangan komprehensif tentang status keamanan Anda. AWS Security Hub menghilangkan kompleksitas dalam menangani sejumlah besar temuan dari beberapa penyedia. Ini mengurangi upaya yang diperlukan untuk mengelola dan meningkatkan keamanan semua AWS akun, sumber daya, dan beban kerja Anda. Detective menyediakan sumber daya yang membantu Anda menyelidiki temuan ini.

Untuk setiap temuan, Detective memberikan rincian temuan terkait. Detective juga menunjukkan entitas, seperti alamat IP dan AWS akun, yang terhubung ke temuan.

Untuk informasi selengkapnya, lihat Menganalisis ikhtisar temuan.

Entitas yang diambil dari data sumber Detektif

Dari data sumber Detective yang dicerna, Detective mengekstrak entitas seperti alamat IP dan pengguna. AWS Anda dapat menggunakan salah satunya sebagai titik awal investigasi.

Detective memberikan rincian umum tentang entitas, seperti alamat IP atau nama pengguna. Ini juga memberikan rincian tentang riwayat aktivitas. Misalnya, Detektif dapat melaporkan alamat IP lain yang telah terhubung, terhubung, atau digunakan oleh entitas.

Untuk informasi selengkapnya, lihat Menganalisis entitas di Amazon Detective.