Il contenuto dell'Amazon Detective Administration Guide è ora consolidato nella Amazon Detective User Guide. Amazon Detective Administration Guide raggiungerà la fine del supporto standard l'8 maggio 2024.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Analisi dei gruppi di risultati
I gruppi di risultati di Amazon Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. È possibile analizzare la causa principale dei GuardDuty risultati di elevata gravità utilizzando i gruppi di ricerca. Se un autore della minaccia sta tentando di compromettere l' AWS ambiente, in genere esegue una sequenza di azioni che portano a molteplici risultati di sicurezza e a comportamenti insoliti. Queste operazioni sono spesso distribuite nel tempo e nelle entità. L'indagine isolata dei risultati relativi alla sicurezza può portare a un'interpretazione errata del loro significato e alla difficoltà di individuarne la causa principale. Amazon Detective risolve questo problema applicando una tecnica di analisi dei grafici che deduce le relazioni tra risultati ed entità e li raggruppa in un gruppo di risultati. Consigliamo di trattare i gruppi di risultati come punto di partenza per indagare sulle entità e sui risultati coinvolti.
Detective analizza i dati dei risultati e li raggruppa con altri risultati che potrebbero essere correlati in base alle risorse che condividono. Ad esempio, è molto probabile che i risultati relativi a operazioni intraprese dalle stesse sessioni di ruolo IAM o provenienti dallo stesso indirizzo IP facciano parte della stessa attività sottostante. È utile indagare sui risultati e sulle prove in gruppo, anche se le associazioni fatte da Detective non sono correlate.
Oltre ai risultati, ogni gruppo include le entità coinvolte nei risultati. Le entità possono includere risorse esterne, AWS ad esempio indirizzi IP o agenti utente.
Nota
Dopo un GuardDuty risultato iniziale correlato a un altro risultato, il gruppo di ricerca con tutti i risultati correlati e tutte le entità coinvolte viene creato entro 48 ore.
Comprendere la pagina dei gruppi di risultati
La pagina dei gruppi di risultati riporta tutti i gruppi di risultati raccolti da Amazon Detective dal tuo grafico di comportamento. Prendi nota dei seguenti attributi dei gruppi di risultati:
- Gravità di un gruppo
A ciascun gruppo di ricerca viene assegnata una gravità basata sulla gravità dei risultati associati nel AWS Security Finding Format (ASFF). I valori di gravità dei risultati ASFF sono Critica, Alta, Media, Bassa o Informativa, dal più grave al meno grave. La gravità di un raggruppamento è uguale al risultato con gravità più elevata tra tutti i risultati del gruppo.
Ai gruppi costituiti da risultati con gravità Critica o Elevata che hanno un impatto su un gran numero di entità dovrebbe essere data priorità ai fini delle indagini, poiché è più probabile che rappresentino problemi di sicurezza ad alto impatto.
- Titolo del gruppo
Nella colonna Titolo, ogni gruppo ha un ID univoco e un titolo non univoco. Questi si basano sullo spazio dei nomi di tipo ASFF per il gruppo e sul numero di risultati all'interno di tale spazio dei nomi nel cluster. Ad esempio, se un raggruppamento ha il titolo Gruppo con: TTP (2), Effetto (1) e Comportamento insolito (2), include cinque risultati totali costituiti da due risultati nello spazio dei nomi TTP, un risultato nello spazio dei nomi Effetto e due risultati nello spazio dei nomi Comportamento insolito. Per un elenco completo degli spazi dei nomi, consulta la sezione Types.
- Tattiche in un gruppo
La colonna Tattiche di un gruppo indica in quale categoria di tattiche rientra l'attività. Le categorie di tattiche, tecniche e procedure nell'elenco seguente sono allineate alla matrice MITRE ATT&CK
Puoi selezionare una tattica sulla catena per vedere una descrizione della tattica e quali risultati all'interno del gruppo rientrano in quella categoria. Successivamente nella catena c'è un elenco delle tattiche rilevate all'interno del gruppo. Queste categorie e le attività che in genere rappresentano sono le seguenti:
Accesso iniziale: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esecuzione: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Persistenza: un malintenzionato sta cercando di mantenere il proprio punto d'appoggio.
Aumento dei privilegi: un malintenzionato sta cercando di ottenere autorizzazioni di livello superiore.
Evasione della difesa: un malintenzionato sta cercando di evitare di essere scoperto.
Accesso alle credenziali: un malintenzionato sta cercando di rubare nomi di account e password.
Rilevamento: un malintenzionato sta cercando di comprendere e conoscere un ambiente.
Movimento laterale: un malintenzionato sta cercando di muoversi in un ambiente.
Collezione: un malintenzionato sta cercando di raccogliere dati utili al suo obiettivo.
Comando e controllo: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esfiltrazione: un malintenzionato sta cercando di rubare dati.
Impatto: un malintenzionato sta cercando di manipolare, interrompere o distruggere i tuoi sistemi e i tuoi dati.
Altro: indica un'attività derivante da un risultato che non è in linea con le tattiche elencate nella matrice.
- Entità all'interno di un gruppo
La colonna Entità contiene dettagli sulle entità specifiche rilevate all'interno di questo raggruppamento. Seleziona questo valore per una suddivisione delle entità in base alle categorie Identità, Rete, Archiviazione ed Elaborazione. Esempi di entità in ogni categoria sono:
Identità: principi IAM e Account AWS, ad esempio, utente e ruolo
Rete: indirizzo IP o altre entità di rete e VPC
Archiviazione: bucket Amazon S3 o DDB
Elaborazione: istanze Amazon EC2 o container Kubernetes
- Account all'interno di un gruppo
La colonna Account indica quali AWS account possiedono le entità coinvolte nei risultati del gruppo. Gli AWS account sono elencati per nome e AWS ID in modo da poter dare priorità alle indagini sulle attività che coinvolgono account critici.
- Risultati all'interno di un gruppo
La colonna Risultati contiene un elenco delle entità all'interno di un gruppo per gravità. I risultati includono i risultati di Amazon, GuardDuty i risultati di Amazon Inspector, i risultati AWS sulla sicurezza e le prove di Detective. Puoi selezionare il grafico per visualizzare un conteggio esatto dei risultati in base alla gravità.
GuardDuty i risultati fanno parte del pacchetto principale di Detective e vengono inseriti di default. Tutti gli altri risultati AWS di sicurezza aggregati da Security Hub vengono inseriti come fonte di dati opzionale. Per maggiori dettagli, consulta Dati di origine utilizzati in un grafico di comportamento.
Risultati informativi nei gruppi di risultati
Amazon Detective identifica ulteriori informazioni relative a un gruppo di risultati sulla base dei dati del grafico di comportamento raccolti negli ultimi 45 giorni. Detective presenta queste informazioni come un risultato con gravità informativa. Le prove forniscono informazioni di supporto che evidenziano un'attività insolita o un comportamento sconosciuto potenzialmente sospetto se osservati all'interno di un gruppo di risultati. Ciò potrebbe includere le geolocalizzazioni appena osservate o chiamate API osservate nel periodo di validità di un risultato. I risultati delle prove sono visualizzabili solo in Detective e non vengono inviati a AWS Security Hub.
Detective determina la posizione delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di IP. Per ulteriori informazioni su MaxMind, consulta Geolocalizzazione MaxMind IP
È possibile osservare le prove per diversi tipi di principali (come l'utente IAM o il ruolo IAM). Per alcuni tipi di prove, puoi osservare le prove per tutti gli account. Ciò significa che le prove influiscono sull'intero grafico di comportamento. Se viene osservato un risultato prova per tutti gli account, vedrai anche almeno un risultato prova informativo aggiuntivo dello stesso tipo per un singolo ruolo IAM. Ad esempio, se visualizzi un risultato Nuova geolocalizzazione osservata per tutti gli account, ne vedrai un altra per Nuova geolocalizzazione osservata per un principale.
Tipi di prove nei gruppi di risultati
Nuova geolocalizzazione osservata
Nuova organizzazione autonoma del sistema (ASO) osservata
Nuovo agente utente osservato
Nuova chiamata API emessa
Nuova geolocalizzazione osservata per tutti gli account
Nuovo principale IAM osservato per tutti gli account
Profili dei gruppi di risultati
Quando si seleziona il titolo di un gruppo, si apre un profilo del gruppo di risultati con ulteriori dettagli su quel gruppo. Il pannello dei dettagli nella pagina del profilo dei gruppi di risultati supporta la visualizzazione di un massimo di 1.000 entità e risultati per i gruppi di risultati principali e secondari.
La pagina del profilo del gruppo mostra il periodo di validità impostato per il gruppo. Si tratta della data e dell'ora comprese tra il primo risultato o la prima prova inclusi nel gruppo al risultato o alla prova più recente aggiornata in un gruppo. Puoi anche vedere la gravità del gruppo di risultati, che è uguale alla categoria di gravità più alta tra i risultati del gruppo. Altri dettagli all'interno di questo pannello del profilo includono:
La catena Tattiche coinvolte mostra quali tattiche sono attribuite ai risultati del gruppo. Le tattiche si basano sulla matrice MITRE ATT&CK per Enterprise
. Le tattiche sono mostrate come una catena di punti colorati che rappresenta la progressione tipica di un attacco dalle fasi iniziali a quelle più recenti. Ciò significa che i cerchi più a sinistra della catena rappresentano in genere attività meno gravi dove un malintenzionato sta tentando di ottenere o mantenere l'accesso al tuo ambiente. Al contrario, le attività rivolte a destra sono le più gravi e possono includere la manomissione o la distruzione dei dati. Le relazioni che questo gruppo intrattiene con altri gruppi. Occasionalmente, uno o più gruppi di risultati precedentemente non collegati potrebbero essere uniti in un nuovo gruppo sulla base di un collegamento appena scoperto, ad esempio un esito che coinvolge entità dei gruppi esistenti. In questo caso, Amazon Detective disattiva i gruppi principali e crea un gruppo secondario. Puoi ricondurre la discendenza di qualsiasi gruppo ai suoi gruppi principali. I gruppi possono avere le relazioni seguenti:
Gruppo di risultati secondario: un gruppo di risultati creato quando un risultato coinvolto in altri due gruppi di risultati è coinvolto in un nuovo risultato. I gruppi principali dei risultati sono elencati per ogni gruppo secondario.
Gruppo di risultati principale: un gruppo di risultati è principale quando da esso è stato creato un gruppo secondario. Se un gruppo di risultati è un gruppo principale, i relativi gruppi secondari vengono elencati insieme ad esso. Lo stato di un gruppo principale diventa Inattivo quando viene unito a un gruppo secondario Attivo.
Ci sono due schede informative che aprono i pannelli del profilo. Utilizzando le schede Entità coinvolte e Risultati coinvolti, è possibile visualizzare ulteriori dettagli sul gruppo.
Usa Esegui indagine per generare un report sulle indagini. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un compromesso.
Pannelli di profilo all'interno dei gruppi
- Entità coinvolte
Si concentra sulle entità del gruppo di risultati, compresi i risultati all'interno del gruppo a cui ciascuna entità è collegata. Vengono inoltre visualizzati i tag allegati a ciascuna entità in modo da poter identificare rapidamente le entità importanti in base ai tag. Seleziona un'entità per visualizzarne il profilo.
- Risultati coinvolti
Contiene dettagli su ogni risultato, inclusa la gravità del risultato, ogni entità coinvolta e quando quel risultato è stato visto per la prima e l'ultima volta. Seleziona un tipo di risultato nell'elenco per aprire un pannello dei dettagli del risultato con informazioni aggiuntive su tale risultato. Come parte del pannello Risultati coinvolti, potresti visualizzare risultati informativi basati su prove di Detective dal tuo grafico di comportamento.
Visualizzazione dei gruppi di risultati
Amazon Detective offre una visualizzazione interattiva dei gruppi di risultati. Questa visualizzazione è progettata per aiutarti a esaminare i problemi in modo più rapido e approfondito con meno sforzo. Il pannello Visualizzazione del gruppo di risultati mostra i risultati e le entità coinvolte in un gruppo di risultati. È possibile utilizzare questa visualizzazione interattiva per analizzare, comprendere e valutare l'impatto del gruppo di risultati. Questo pannello consente di visualizzare le informazioni presentate nella tabella Entità coinvolte e Risultati coinvolti. Dalla presentazione visiva, è possibile selezionare i risultati o le entità per ulteriori analisi.
I gruppi di risultati di Detective con risultati aggregati sono un gruppo di risultati collegati allo stesso tipo di risorsa. Con i risultati aggregati, puoi valutare rapidamente la composizione di un gruppo di risultati e interpretare più rapidamente i problemi di sicurezza. Nel pannello dei dettagli dei gruppi di risultati, vengono combinati risultati simili ed è possibile espandere i risultati per visualizzare insieme risultati relativamente simili. Ad esempio, un nodo di evidenza, che presenta risultati informativi e risultati medi dello stesso tipo. Al momento, è possibile visualizzare il titolo, l'origine, il tipo e la gravità dei gruppi di risultati con risultati aggregati.
Da questo pannello interattivo puoi:
-
Usa Esegui indagine per generare un report sulle indagini. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un compromesso.
-
Visualizzare maggiori dettagli sui gruppi di risultati con risultati aggregati per analizzare le prove, le entità e i risultati coinvolti.
-
Visualizza le etichette delle entità e dei risultati per identificare le entità interessate con potenziali problemi di sicurezza. Puoi disattivare l'etichetta.
-
Riorganizza le entità e i risultati per comprendere meglio la loro interconnessione. Isola le entità e i risultati da un gruppo spostando l'elemento selezionato nel gruppo di risultati.
-
Seleziona le prove, le entità e i risultati per visualizzare maggiori dettagli su di essi. Per selezionare più elementi, scegli
command/controle scegli gli elementi o trascinali e rilasciali usando il puntatore. -
Modifica il layout per adattare tutte le entità e i risultati alla finestra del gruppo di risultati. Visualizza quali tipi di entità sono prevalenti in un gruppo di risultati.
Nota
Il pannello Visualizzazione del gruppo di risultati supporta la visualizzazione di gruppi di risultati con un massimo di 100 entità e risultati.
Puoi scegliere Seleziona layout per visualizzare i risultati e le entità in un layout circolare, a forza diretta o a griglia. Il layout a forza diretta posiziona le entità e i risultati in modo che i collegamenti abbiano una lunghezza costante tra gli elementi e che siano distribuiti in modo uniforme. Questo aiuta a ridurre le sovrapposizioni. Il layout selezionato definisce il posizionamento dei risultati nel pannello Visualizzazione.
La legenda dinamica cambia in base alle entità e ai risultati nel grafico corrente. Ti aiuta a identificare ciò che rappresenta ogni elemento visivo.
