Menavigasi langsung ke profil entitas atau menemukan ikhtisar - Amazon Detective
Berputar dari konsol lainMenavigasi menggunakan URLMenambahkan URL Detektif untuk temuan ke Splunk

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menavigasi langsung ke profil entitas atau menemukan ikhtisar

Untuk menavigasi langsung ke profil entitas atau menemukan ikhtisar di Amazon Detective, Anda dapat menggunakan salah satu opsi ini.

  • Dari Amazon GuardDuty atau AWS Security Hub, Anda dapat beralih dari GuardDuty temuan ke profil pencarian Detektif yang sesuai.

  • Anda dapat merakit URL Detektif yang mengidentifikasi temuan atau entitas dan menetapkan waktu lingkup untuk digunakan.

Berputar ke profil entitas atau menemukan ikhtisar dari Amazon atau GuardDuty AWS Security Hub

Dari GuardDuty konsol Amazon, Anda dapat menavigasi ke profil entitas untuk entitas yang terkait dengan temuan.

Dari AWS Security Hub konsol GuardDuty dan, Anda juga dapat menavigasi ke ikhtisar temuan. Ini juga menyediakan tautan ke profil entitas untuk entitas yang terlibat.

Tautan ini dapat membantu merampingkan proses investigasi. Anda dapat dengan cepat menggunakan Detective untuk melihat aktivitas entitas terkait dan menentukan langkah selanjutnya. Anda kemudian dapat mengarsipkan temuan jika itu positif palsu atau mengeksplorasi lebih lanjut untuk menentukan ruang lingkup masalah.

Cara berputar ke konsol Detektif Amazon

Tautan investigasi tersedia untuk semua GuardDuty temuan. GuardDuty juga memungkinkan Anda untuk memilih apakah akan menavigasi ke profil entitas atau ke ikhtisar temuan.

Untuk beralih ke Detective dari konsol GuardDuty

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Jika perlu, pilih Temuan di panel navigasi kiri.

  3. Pada halaman GuardDuty Temuan, pilih temuan.

    Panel rincian temuan ditampilkan di sebelah kanan daftar temuan.

  4. Pada panel Finding Details, pilih Investigate in Detective.

    GuardDuty menampilkan daftar item yang tersedia untuk diselidiki di Detective.

    Daftar ini berisi entitas terkait, seperti alamat IP atau instans EC2, dan temuan.

  5. Pilih entitas atau temuan.

    Konsol Detektif terbuka di tab baru. Konsol terbuka ke entitas atau menemukan profil.

    Jika Anda belum mengaktifkan Detective, maka konsol terbuka ke halaman arahan yang memberikan ikhtisar Detective. Dari sana, Anda dapat memilih untuk mengaktifkan Detektif.

Untuk beralih ke Detective dari konsol Security Hub

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Jika perlu, pilih Temuan di panel navigasi kiri.

  3. Pada halaman Temuan Security Hub, pilih GuardDuty temuan.

  4. Di panel detail, pilih Selidiki di Detektif dan kemudian pilih Selidiki temuan.

    Saat Anda memilih Selidiki temuan, konsol Detektif akan terbuka di tab baru. Konsol terbuka untuk ikhtisar temuan.

    Konsol Detektif selalu terbuka ke Wilayah tempat temuan itu berasal, bahkan jika Anda berputar dari Wilayah agregasi Anda. Untuk informasi selengkapnya tentang menemukan agregasi, lihat Mengagregasi temuan di seluruh Wilayah di Panduan Pengguna.AWS Security Hub

    Jika Anda belum mengaktifkan Detektif, konsol terbuka ke halaman arahan Detektif. Dari sana, Anda dapat mengaktifkan Detektif.

Memecahkan masalah pivot

Untuk menggunakan pivot, salah satu dari berikut ini harus benar:

  • Akun Anda harus merupakan akun administrator untuk Detektif dan layanan tempat Anda berputar.

  • Anda telah mengambil peran lintas akun yang memberi Anda akses akun administrator ke grafik perilaku.

Untuk informasi selengkapnya tentang rekomendasi untuk menyelaraskan akun administrator, lihat Penyelarasan yang disarankan dengan Amazon GuardDuty dan. AWS Security Hub

Jika pivot tidak berfungsi, periksa yang berikut ini.

  • Apakah temuan tersebut milik akun anggota yang diaktifkan dalam grafik perilaku Anda? Jika akun terkait tidak diundang ke grafik perilaku sebagai akun anggota, maka grafik perilaku tidak berisi data untuk akun tersebut.

    Jika akun anggota yang diundang tidak menerima undangan, maka grafik perilaku tidak berisi data untuk akun tersebut.

  • Apakah temuan itu diarsipkan? Detektif tidak menerima temuan yang diarsipkan dari. GuardDuty

  • Apakah temuan itu terjadi sebelum Detektif mulai menyerap data ke dalam grafik perilaku Anda? Jika temuan tidak ada dalam data yang dicerna Detective, maka grafik perilaku tidak berisi data untuk itu.

  • Apakah temuan dari Wilayah yang benar? Setiap grafik perilaku khusus untuk Wilayah. Grafik perilaku tidak berisi data dari Wilayah lain.

Menavigasi ke profil entitas atau menemukan ikhtisar menggunakan URL

Untuk menavigasi ke profil entitas atau menemukan ikhtisar di Amazon Detective, Anda dapat menggunakan URL yang menyediakan tautan langsung ke sana. URL mengidentifikasi temuan atau entitas. Itu juga dapat menentukan ruang lingkup waktu untuk digunakan pada profil. Detective mempertahankan data peristiwa historis hingga satu tahun.

Format URL profil

catatan

Jika Anda menggunakan format URL lama, Detective akan secara otomatis mengalihkan ke URL baru. Format URL yang lama adalah:

https://console.aws.amazon.com/detective/home?region = Wilayah # ketik/namespace/instanceId? parameter

Format baru URL profil adalah sebagai berikut:

  • Untuk entitas - https://console.aws.amazon.com/detective/home?region = Wilayah # entitas/namespace/instanceId? parameter

  • Untuk temuan - https://console.aws.amazon.com/detective/home?region = Region # temuan/InstanceId? parameter

URL membutuhkan nilai-nilai berikut.

Wilayah

Wilayah yang ingin Anda gunakan.

jenis

Jenis item untuk profil yang Anda navigasikan.

  • entities- Menunjukkan bahwa Anda sedang menavigasi ke profil entitas

  • findings- Menunjukkan bahwa Anda sedang menavigasi ke ikhtisar temuan

namespace

Untuk entitas, namespace adalah nama dari tipe entitas.

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

InstanceId

Instance identifier dari temuan atau entitas.

  • Untuk GuardDuty temuan, pengidentifikasi GuardDuty temuan.

  • Untuk AWS akun, ID akun.

  • Untuk AWS peran dan pengguna, ID utama peran atau pengguna.

  • Untuk pengguna federasi, ID utama pengguna federasi. ID utama adalah salah satu <identityProvider>:<username> atau<identityProvider>:<audience>:<username>.

  • Untuk alamat IP, alamat IP.

  • Untuk agen pengguna, nama agen pengguna.

  • Untuk instans EC2, ID instance.

  • Untuk sesi peran, pengenal sesi. Pengidentifikasi sesi menggunakan format <rolePrincipalID>:<sessionName>.

  • Untuk ember S3, nama bucket.

  • Untuk FindingGroups, UUID. misalnya, ca6104bc-a315-4b15-bf88-1c1e60998f83

  • Untuk sumber daya EKS, gunakan format berikut:

    • Kluster EKS: ~ ~EKS <clusterName><accountId>

    • Kubernetes Pod: ~ ~ ~EKS <podUid><clusterName><accountId>

    • Subjek Kubernetes: ~ ~ <subjectName><clusterName><accountId>

    • Gambar kontainer:/: @ <registry><repository><tag><digest>

Temuan atau entitas harus dikaitkan dengan akun yang diaktifkan dalam grafik perilaku Anda.

URL juga dapat menyertakan parameter opsional berikut, yang digunakan untuk mengatur waktu lingkup. Untuk informasi selengkapnya tentang waktu lingkup dan cara penggunaannya pada profil, lihatMengelola ruang lingkup waktu.

scopeStart

Waktu mulai untuk ruang lingkup waktu untuk digunakan pada profil. Waktu mulai harus dalam 365 hari terakhir.

Nilainya adalah stempel waktu zaman.

Jika Anda memberikan waktu mulai tetapi tidak ada waktu akhir, maka waktu lingkup berakhir pada waktu saat ini.

scopeEnd

Waktu akhir untuk ruang lingkup waktu untuk digunakan pada profil.

Nilainya adalah stempel waktu zaman.

Jika Anda memberikan waktu akhir, tetapi tidak ada waktu mulai, maka waktu lingkup mencakup semua waktu sebelum waktu akhir.

Jika Anda tidak menentukan waktu lingkup, maka waktu lingkup default digunakan.

  • Untuk temuan, waktu lingkup default menggunakan waktu pertama dan terakhir bahwa aktivitas temuan diamati.

  • Untuk entitas, waktu lingkup default adalah 24 jam sebelumnya.

Berikut adalah contoh URL Detektif:

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

URL contoh ini memberikan instruksi berikut.

  • Menampilkan profil entitas untuk alamat IP 192.168.1.

  • Gunakan lingkup waktu yang dimulai Senin, 18 Maret 2019 12:00:00 GMT dan yang berakhir Senin, 18 Maret 2019 12:00:00 GMT.

Memecahkan masalah URL

Jika URL tidak menampilkan profil yang diharapkan, periksa dulu apakah URL menggunakan format yang benar dan Anda telah memberikan nilai yang benar.

  • Apakah Anda memulai dengan URL yang benar (findingsatauentities)?

  • Apakah Anda menentukan namespace yang benar?

  • Apakah Anda memberikan pengenal yang benar?

Jika nilainya benar, maka Anda juga dapat memeriksa yang berikut ini.

  • Apakah temuan atau entitas milik akun anggota yang diaktifkan dalam grafik perilaku Anda? Jika akun terkait tidak diundang ke grafik perilaku sebagai akun anggota, maka grafik perilaku tidak berisi data untuk akun tersebut.

    Jika akun anggota yang diundang tidak menerima undangan, maka grafik perilaku tidak berisi data untuk akun tersebut.

  • Untuk temuan, apakah temuan itu diarsipkan? Detektif tidak menerima temuan yang diarsipkan dari Amazon. GuardDuty

  • Apakah temuan atau entitas terjadi sebelum Detektif mulai menyerap data ke dalam grafik perilaku Anda? Jika temuan atau entitas tidak ada dalam data yang dicerna Detective, maka grafik perilaku tidak berisi data untuk itu.

  • Apakah temuan atau entitas dari Wilayah yang benar? Setiap grafik perilaku khusus untuk Wilayah. Grafik perilaku tidak berisi data dari Wilayah lain.

Menambahkan URL Detektif untuk temuan ke Splunk

Proyek Splunk Trumpet memungkinkan Anda mengirim data dari AWS layanan ke Splunk.

Anda dapat mengonfigurasi proyek Trumpet untuk menghasilkan URL Detektif untuk temuan Amazon. GuardDuty Anda kemudian dapat menggunakan URL ini untuk berputar langsung dari Splunk ke profil pencarian Detektif yang sesuai.

Proyek Trumpet tersedia dari https://github.com/splunk/ GitHub . splunk-aws-project-trumpet

Pada halaman konfigurasi untuk proyek Trumpet, dari AWS CloudWatch Acara, pilih URL Detektif. GuardDuty