Menggunakan halaman Ringkasan untuk mengidentifikasi entitas yang diminati

Gunakan halaman Ringkasan di Detektif Amazon untuk mengidentifikasi entitas guna menyelidiki asal aktivitas selama 24 jam sebelumnya. Halaman Ringkasan Detektif Amazon membantu Anda mengidentifikasi entitas yang terkait dengan jenis aktivitas tidak biasa tertentu. Ini adalah salah satu dari beberapa titik awal yang mungkin untuk penyelidikan.

Untuk menampilkan halaman Ringkasan, di panel navigasi Detektif, pilih Ringkasan. Halaman Ringkasan juga ditampilkan secara default saat Anda pertama kali membuka konsol Detektif.

Dari halaman Ringkasan, Anda dapat mengidentifikasi entitas yang memenuhi kriteria berikut:

• Investigasi yang menunjukkan potensi peristiwa keamanan yang diidentifikasi oleh Detektif

• Entitas yang terlibat dalam aktivitas yang terjadi di geolokasi yang baru diamati

• Entitas yang membuat jumlah panggilan API terbesar

• Instans EC2 yang memiliki volume lalu lintas terbesar

• Cluster kontainer yang memiliki jumlah kontainer terbesar

Dari setiap panel halaman Ringkasan, Anda dapat berputar ke profil untuk entitas yang dipilih.

Saat Anda meninjau halaman Ringkasan, Anda dapat menyesuaikan waktu Cakupan untuk melihat aktivitas untuk kerangka waktu 24 jam apa pun dalam 365 hari sebelumnya. Saat Anda mengubah tanggal dan waktu Mulai, tanggal dan waktu Berakhir secara otomatis diperbarui menjadi 24 jam setelah waktu mulai yang Anda pilih.

Dengan Detective, Anda dapat mengakses data peristiwa historis hingga satu tahun. Data ini tersedia melalui serangkaian visualisasi yang menunjukkan perubahan jenis dan volume aktivitas pada jendela waktu yang dipilih. Detektif menghubungkan perubahan ini dengan temuan. GuardDuty

Untuk informasi selengkapnya tentang sumber data di Detektif, lihat Sumber data yang digunakan dalam grafik perilaku.

Investigasi

Investigasi menunjukkan kepada Anda peristiwa keamanan potensial yang diidentifikasi oleh Detektif. Pada panel Investigasi, Anda dapat melihat Investigasi kritis dan AWS peran serta pengguna terkait yang terkena dampak peristiwa keamanan selama periode waktu tertentu. Investigasi mengelompokkan indikator kompromi untuk membantu menentukan apakah AWS sumber daya terlibat dalam aktivitas yang tidak biasa yang dapat menunjukkan perilaku jahat dan dampaknya.

Pilih Lihat semua investigasi untuk meninjau temuan, grup pencarian triase, dan detail sumber daya untuk mempercepat penyelidikan keamanan Anda. Investigasi ditampilkan tergantung pada waktu Lingkup yang dipilih. Anda dapat menyesuaikan waktu lingkup untuk melihat investigasi dalam kerangka waktu 24 jam dalam 365 hari sebelumnya. Anda dapat beralih langsung ke investigasi Kritis untuk melihat laporan investigasi terperinci.

Jika Anda mengidentifikasi AWS peran atau pengguna yang tampaknya memiliki aktivitas mencurigakan, Anda dapat beralih langsung dari panel Investigasi ke peran atau pengguna untuk melanjutkan penyelidikan Anda. Pivot ke peran atau pengguna dan klik Jalankan investigasi untuk menghasilkan laporan investigasi. Setelah Anda menjalankan investigasi terhadap peran atau pengguna, peran atau pengguna akan dipindahkan ke tab Investigasi.

Geolokasi yang baru diamati

Geolokasi yang baru diamati menyoroti lokasi geografis yang merupakan asal aktivitas selama 24 jam sebelumnya, tetapi itu tidak terlihat selama periode waktu awal sebelum itu.

Panel mencakup hingga 100 geolokasi. Lokasi ditandai pada peta dan tercantum dalam tabel di bawah peta.

Untuk setiap geolokasi, tabel menampilkan jumlah panggilan API yang gagal dan berhasil dilakukan dari geolokasi tersebut selama 24 jam sebelumnya.

Anda dapat memperluas setiap geolokasi untuk menampilkan daftar pengguna dan peran yang membuat panggilan API dari geolokasi tersebut. Untuk setiap prinsipal, tabel mencantumkan jenis dan yang terkait Akun AWS.

Jika Anda mengidentifikasi pengguna atau peran yang tampaknya mencurigakan, maka Anda dapat berputar langsung dari panel ke pengguna atau profil peran untuk melanjutkan penyelidikan Anda. Untuk berputar ke profil, pilih pengguna atau pengenal peran.

Detektif menentukan lokasi permintaan menggunakan database GeoIP MaxMind . MaxMind melaporkan akurasi data mereka yang sangat tinggi di tingkat negara, meskipun akurasi bervariasi sesuai dengan faktor-faktor seperti negara dan jenis IP. Untuk informasi selengkapnya MaxMind, lihat Geolokasi MaxMind IP. Jika menurut Anda salah satu data GeoIP salah, Anda dapat mengirimkan permintaan koreksi ke Maxmind di Data GeoIP2 MaxMind yang Benar.

Kelompok pencarian aktif dalam 7 hari terakhir

Kelompok temuan aktif dalam 7 hari terakhir menunjukkan kepada Anda pengelompokan berkorelasi temuan Detektif, entitas, dan bukti di lingkungan Anda yang terjadi selama periode waktu tertentu. Pengelompokan ini mengkorelasikan aktivitas yang tidak biasa yang dapat menunjukkan perilaku jahat. Halaman ringkasan menampilkan hingga lima kelompok yang diurutkan berdasarkan kelompok yang berisi temuan paling kritis yang telah aktif dalam seminggu terakhir.

Anda dapat memilih nilai dalam konten Taktik, Akun, Sumber Daya, dan Temuan untuk melihat detail selengkapnya.

Kelompok temuan dihasilkan setiap hari. Jika Anda mengidentifikasi kelompok yang menarik, Anda dapat memilih judul untuk dipindahkan ke tampilan detail profil grup untuk melanjutkan penyelidikan Anda.

Peran dan pengguna dengan volume panggilan API terbanyak

Peran dan pengguna dengan volume panggilan API terbanyak mengidentifikasi pengguna dan peran yang telah membuat jumlah panggilan API terbesar selama 24 jam sebelumnya.

Panel dapat mencakup hingga 100 pengguna dan peran. Untuk setiap pengguna atau peran, Anda dapat melihat jenis (pengguna atau peran) dan akun terkait. Anda juga dapat melihat jumlah panggilan API yang dikeluarkan oleh pengguna atau peran tersebut selama 24 jam sebelumnya.

Secara default, peran terkait layanan ditampilkan. Peran terkait layanan dapat menghasilkan volume AWS CloudTrail aktivitas yang besar, yang menggantikan prinsip-prinsip yang ingin Anda selidiki lebih lanjut. Anda dapat memilih untuk menonaktifkan Tampilkan peran terkait layanan, untuk memfilter peran terkait layanan dari tampilan halaman ringkasan.

Anda dapat mengekspor file nilai dipisahkan koma (.csv) yang berisi data di panel ini.

Ada juga timeline volume panggilan API selama 7 hari sebelumnya. Garis waktu dapat membantu Anda menentukan apakah volume panggilan API tidak biasa untuk prinsipal tersebut.

Jika Anda mengidentifikasi pengguna atau peran yang volume panggilan API tampak mencurigakan, maka Anda dapat berputar langsung dari panel ke pengguna atau profil peran untuk melanjutkan penyelidikan Anda. Anda juga dapat melihat profil akun yang terkait dengan pengguna atau peran. Untuk melihat profil, pilih pengguna, peran, atau pengenal akun.

Instans EC2 dengan volume lalu lintas terbanyak

Instans EC2 dengan volume lalu lintas terbanyak mengidentifikasi instans EC2 yang memiliki total volume lalu lintas terbesar selama 24 jam sebelumnya.

Panel dapat mencakup hingga 100 instans EC2. Untuk setiap instans EC2, Anda dapat melihat akun terkait dan jumlah byte masuk, byte keluar, dan total byte dari 24 jam sebelumnya.

Anda dapat mengekspor file nilai dipisahkan koma (.csv) yang berisi data di panel ini.

Anda juga dapat melihat garis waktu yang menunjukkan lalu lintas masuk dan keluar selama 7 hari sebelumnya. Garis waktu dapat membantu menentukan apakah volume lalu lintas tidak biasa untuk instans EC2 tersebut.

Jika Anda mengidentifikasi instans EC2 yang memiliki volume lalu lintas mencurigakan, maka Anda dapat langsung pergi dari panel ke profil instans EC2 untuk melanjutkan penyelidikan Anda. Anda juga dapat melihat profil akun yang memiliki instans EC2. Untuk melihat profil, pilih instans EC2 atau pengenal akun.

Cluster kontainer dengan pod Kubernetes terbanyak

Cluster kontainer dengan pod Kubernetes terbanyak yang dibuat mengidentifikasi cluster yang memiliki kontainer paling banyak berjalan selama 24 jam sebelumnya.

Panel ini mencakup hingga 100 cluster yang diatur oleh cluster mana memiliki temuan paling banyak yang terkait dengannya. Untuk setiap cluster, Anda dapat melihat akun terkait, jumlah kontainer saat ini di cluster tersebut, dan jumlah temuan yang terkait dengan cluster tersebut selama 24 jam terakhir. Anda dapat mengekspor file nilai dipisahkan koma (.csv) yang berisi data di panel ini.

Jika Anda mengidentifikasi klaster dengan temuan terbaru, Anda dapat berputar langsung dari panel ke profil klaster untuk melanjutkan penyelidikan Anda. Anda juga dapat berputar ke profil akun yang memiliki cluster. Untuk berputar ke profil, pilih nama cluster atau pengenal akun.

Perkiraan pemberitahuan nilai

Pada Peran dan pengguna dengan volume panggilan API terbanyak dan instans EC2 dengan volume lalu lintas terbanyak, jika nilai diikuti oleh tanda bintang (*), itu berarti nilainya adalah perkiraan. Nilai sebenarnya sama dengan atau lebih besar dari nilai yang ditampilkan.

Hal ini terjadi karena metode yang digunakan Detective untuk menghitung volume untuk setiap interval waktu. Pada halaman Ringkasan, interval waktu adalah satu jam.

Untuk setiap jam, Detective menghitung total volume untuk 1.000 pengguna, peran, atau instans EC2 dengan volume terbesar. Ini mengecualikan data untuk pengguna, peran, atau instans EC2 yang tersisa.

Jika sumber daya terkadang berada di 1.000 teratas dan terkadang tidak, maka volume yang dihitung untuk sumber daya itu mungkin tidak mencakup semua data. Data untuk interval waktu di mana tidak berada di 1.000 teratas dikecualikan.

Perhatikan bahwa ini hanya berlaku untuk halaman Ringkasan. Profil untuk pengguna, peran, atau instans EC2 memberikan detail yang tepat.