Fasi e punti di partenza delle indagini

Amazon Detective fornisce strumenti che supportano l'intero processo di indagine. Un'indagine in Detective può iniziare da un risultato, un gruppo di risultati o un'entità.

Fasi dell'indagine

Qualsiasi processo di indagine prevede le seguenti fasi:

Triage

Il processo di indagine inizia quando si riceve una notifica relativa a un caso sospetto di attività dannosa o ad alto rischio. Ad esempio, ti viene assegnato il compito di esaminare i risultati o gli avvisi rilevati da servizi come Amazon GuardDuty e Amazon Inspector.

Nella fase di triage, stabilisci se ritieni che l'attività sia un vero positivo (una reale attività dannosa) o un falso positivo (attività non dannosa o ad alto rischio). I profili Detective supportano il processo di triage fornendo informazioni sull'attività dell'entità coinvolta.

Per i casi di vero positivo, si passa alla fase successiva.

Analisi dell'ambito

Durante la fase di analisi dell'ambito, gli analisti determinano l'entità dell'attività dannosa o ad alto rischio e la causa sottostante.

L'analisi dell'ambito risponde ai seguenti tipi di domande:

• Quali sistemi e utenti sono stati compromessi?

• Da dove ha avuto origine l'attacco?

• Da quanto tempo è in corso l'attacco?

• Ci sono altre attività correlate da considerare? Ad esempio, se un utente malintenzionato sta estraendo dati dal sistema, come li ha ottenuti?

Le visualizzazioni di Detective possono aiutarti a identificare altre entità coinvolte o interessate.

Risposta

Il passaggio finale consiste nel rispondere all'attacco per fermarlo, minimizzare i danni ed evitare che un attacco simile si ripeta.

Punti di partenza per un'indagine investigativa

Ogni indagine in Detective ha un punto di partenza essenziale. Ad esempio, ti potrebbe essere assegnato un Amazon GuardDuty o un AWS Security Hub risultato su cui indagare. Oppure potresti essere preoccupato per le attività insolite relative a un indirizzo IP specifico.

I punti di partenza tipici di un'indagine includono i risultati rilevati dai dati di origine del Detective GuardDuty e le entità estratte dai dati di origine.

Risultati rilevati da GuardDuty

GuardDuty utilizza i dati di registro per scoprire casi sospetti di attività dannose o ad alto rischio. Detective fornisce risorse che ti aiutano a indagare su questi risultati.

Per ogni risultato, Detective fornisce i relativi dettagli. Detective mostra anche le entità, come gli indirizzi IP e AWS gli account, collegate alla scoperta.

È quindi possibile esaminare l'attività delle entità coinvolte per determinare se l'attività rilevata dal risultato sia davvero motivo di preoccupazione.

Per ulteriori informazioni, consulta Analisi di una panoramica dei risultati.

AWS risultati di sicurezza aggregati da Security Hub

AWS Security Hub aggrega i risultati di sicurezza di vari fornitori di risultati in un unico posto e offre una visione completa dello stato di sicurezza in. AWS Centrale di sicurezza elimina la complessità di indirizzare grandi volumi di risultati provenienti da più provider. Riduce lo sforzo richiesto per gestire e migliorare la sicurezza di tutti gli AWS account, le risorse e i carichi di lavoro. Detective fornisce risorse che ti aiutano a indagare su questi risultati.

Per ogni risultato, Detective fornisce i relativi dettagli. Detective mostra anche le entità, come gli indirizzi IP e AWS gli account, collegate alla scoperta.

Per ulteriori informazioni, consulta Analisi di una panoramica dei risultati.

Entità estratte dai dati di origine di Detective

Dai dati di origine di Detective importati, Detective estrae entità come indirizzi IP e utenti AWS . Puoi usare una di queste entità come punto di partenza per l'indagine.

Detective fornisce dettagli generali sull'entità, come l'indirizzo IP o il nome utente. Fornisce anche i dettagli sulla cronologia delle attività. Ad esempio, Detective può segnalare a quali altri indirizzi IP un'entità si è connessa, è stata connessa o ha utilizzato.

Per ulteriori informazioni, consulta Analisi delle entità in Amazon Detective.