Navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta - Amazon Detective
Ir a partir de outro consoleNavegar usando um URLAdicionar URLs do Detective para descobertas ao Splunk

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta

Para navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta no Amazon Detective, você pode usar uma das seguintes opções.

  • Da Amazon GuardDuty ou AWS Security Hub, você pode passar de uma GuardDuty descoberta para o perfil de descoberta correspondente do Detective.

  • Você pode montar um URL do Detective que identifique uma descoberta ou entidade e defina o escopo de tempo a ser usado.

Navegando para um perfil de entidade ou encontrando uma visão geral da Amazon GuardDuty ou AWS Security Hub

No GuardDuty console da Amazon, você pode navegar até o perfil da entidade relacionada a uma descoberta.

Nos AWS Security Hub consoles GuardDuty e, você também pode navegar até uma visão geral das descobertas. Isso também fornece links para os perfis das entidades envolvidas.

Esses links podem ajudar a agilizar o processo de investigação. Você pode usar rapidamente o Detective para ver a atividade da entidade associada e determinar as próximas etapas. Você também pode arquivar uma descoberta se for um falso positivo ou explorar mais para determinar o escopo do problema.

Como migrar para o console do Amazon Detective

Os links da investigação estão disponíveis para todas as GuardDuty descobertas. GuardDuty também permite que você escolha se deseja navegar até um perfil de entidade ou até a visão geral da descoberta.

Para passar para Detective a partir do console GuardDuty

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. Se necessário, escolha Descobertas no painel de navegação esquerdo.

  3. Na página GuardDuty Descobertas, escolha a descoberta.

    O painel de detalhes da descoberta é exibido à direita da lista de descobertas.

  4. Escolha Investigar no Detective no painel de detalhes da descoberta.

    GuardDuty exibe uma lista de itens disponíveis para investigar em Detective.

    A lista contém as entidades relacionadas, tais como endereços IP ou instâncias do EC2, e a descoberta.

  5. Escolha uma entidade ou a descoberta.

    O console do Detective é aberto em uma nova guia. O console é aberto no perfil da entidade ou da descoberta.

    Se você não habilitou o Detective, o console abrirá em uma página inicial que fornece uma visão geral do Detective. A partir daí, você pode optar por habilitar o Detective.

Para migrar para o Detective a partir do console do Security Hub

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Se necessário, escolha Descobertas no painel de navegação esquerdo.

  3. Na página Descobertas do Security Hub, escolha uma GuardDuty descoberta.

  4. No painel de detalhes, escolha Investigar no Detective e, em seguida, escolha Investigar descoberta.

    Quando você escolhe Investigar descoberta, o console do Detective é aberto em uma nova guia. O console abre na visão geral da descoberta.

    O console do Detective sempre abre na região de origem da descoberta, mesmo que você saia da região de agregação. Para obter mais informações sobre agregação de descobertas, consulte Agregar descobertas entre regiões no Guia do usuário do AWS Security Hub .

    Se você não habilitou o Detective, o console abrirá na página inicial do Detective. A partir daí, você pode habilitar o Detective.

Solução de problemas de migração

Para usar a migração, uma das opções a seguir deve ser verdadeira:

  • Sua conta deve ser uma conta de administrador do Detective e do serviço do qual você estiver migrando.

  • Você assumiu uma função entre contas que concede à sua conta de administrador acesso ao gráfico de comportamento.

Para obter mais informações sobre a recomendação de alinhar contas de administrador, consulte Alinhamento recomendado com a Amazon e. GuardDuty AWS Security Hub

Se a migração não funcionar, verifique o seguinte.

  • A descoberta pertence a uma conta-membro habilitada em seu gráfico de comportamento? Se a conta associada não tiver sido convidada para o gráfico de comportamento como uma conta-membro, o gráfico de comportamento não conterá dados dessa conta.

    Se uma conta-membro convidada não tiver aceitado o convite, o gráfico de comportamento não conterá dados dessa conta.

  • A descoberta está arquivada? Detective não recebe descobertas arquivadas de. GuardDuty

  • A descoberta ocorreu antes de o Detective iniciar a ingestão de dados em seu gráfico de comportamento? Se a descoberta não estiver presente nos dados que o Detective ingeriu, o gráfico de comportamento não conterá os dados dela.

  • A descoberta é da região correta? Cada gráfico de comportamento é específico de uma região. Um gráfico de comportamento não contém dados de outras regiões.

Navegar até o perfil de uma entidade ou até a visão geral de uma descoberta usando um URL

Para navegar até o perfil de uma entidade ou até a visão geral de uma descoberta no Amazon Detective, você pode usar um URL que fornece um link direto a eles. O URL identifica a descoberta ou a entidade. Ele também pode especificar o escopo de tempo a ser usado no perfil. O Detective mantém até um ano do histórico de dados de eventos.

Formato do URL de um perfil

nota

Se você estiver usando o formato de URL antigo, o Detective redirecionará automaticamente para o novo URL. O formato de URL antigo era:

https://console.aws.amazon.com/detective/home?region=Region#type/namespace/instanceID?parameters

O novo formato do URL do perfil é o seguinte:

  • Para entidades: https://console.aws.amazon.com/detective/home?region=Region#entities/namespace/instanceID?parameters

  • Para descobertas: https://console.aws.amazon.com/detective/home?region=Region#findings/instanceID?parameters

O URL exige os seguintes valores.

Region

A região que você deseja usar.

tipo

O tipo de item do perfil para o qual você está navegando.

  • entities: indica que você está navegando até o perfil de uma entidade

  • findings: indica que você está navegando para a visão geral de uma descoberta

namespace

Para entidades, o namespace é o nome do tipo de entidade.

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

instanceID

O identificador da instância da descoberta ou da entidade.

  • Para uma GuardDuty descoberta, o identificador da GuardDuty descoberta.

  • Para uma AWS conta, o ID da conta.

  • Para AWS funções e usuários, a ID principal da função ou do usuário.

  • Para usuários federados, a ID principal do usuário federado. A ID principal é <identityProvider>:<username> ou <identityProvider>:<audience>:<username>.

  • Para endereços IP, o endereço IP.

  • Para agentes de usuário, o nome do agente de usuário.

  • Para instâncias do EC2, a ID da instância.

  • Para sessões de função, o identificador da sessão. O identificador da sessão usa o formato <rolePrincipalID>:<sessionName>.

  • Para buckets do S3, o nome do bucket.

  • Para FindingGroups, um UUID. por exemplo, ca6104bc-a315-4b15-bf88-1c1e60998f83

  • Para recursos do EKS, use os seguintes formatos:

    • Cluster do EKS: <clusterName>~<accountId>~EKS

    • Pod Kubernetes: ~ ~ ~EKS <podUid><clusterName><accountId>

    • Sujeito do Kubernetes: <subjectName>~<clusterName>~<accountId>

    • Imagem de contêiner: <registry>/<repository>:<tag>@<digest>

A descoberta ou entidade deve estar associada a uma conta habilitada em seu gráfico de comportamento.

O URL também pode incluir os seguintes parâmetros opcionais, que são usados para definir o escopo de tempo. Para obter mais informações sobre o escopo de tempo e como ele é usado nos perfis, consulte Gerenciar o escopo de tempo.

scopeStart

Hora de início do escopo de tempo a ser usado no perfil. A hora de início deve estar nos últimos 365 dias.

O valor é o epoch timestamp.

Se você fornecer uma hora de início, mas não uma hora de término, o escopo de tempo terminará na hora atual.

scopeEnd

Hora de término do escopo de tempo a ser usado no perfil.

O valor é o epoch timestamp.

Se você fornecer uma hora de término, mas não uma hora de início, o escopo de tempo incluirá todo o tempo antes da hora de término.

Se você não especificar o escopo de tempo, o escopo de tempo padrão será usado.

  • Para descobertas, o escopo de tempo padrão usa a primeira e a última vez em que a atividade da descoberta foi observada.

  • Para entidades, o escopo de tempo padrão são as 24 horas anteriores.

A seguir, o exemplo de um URL do Detective:

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

Esse exemplo de URL fornece as instruções a seguir.

  • Exiba o perfil da entidade para o endereço IP 192.168.1.

  • Use um escopo de tempo que comece na segunda-feira, 18 de março de 2019, às 00:00:00 GMT, e que termine na segunda-feira, 18 de março de 2019, às 12:00:00 GMT.

Solução de problemas de URL

Se o URL não exibir o perfil esperado, primeiro verifique se o URL usa o formato correto e se você forneceu os valores corretos.

  • Você começou com o URL correto (findings ou entities)?

  • Você especificou o namespace correto?

  • Você forneceu o identificador correto?

Se os valores estiverem corretos, você também poderá verificar o seguinte.

  • A descoberta ou a entidade pertence a uma conta-membro habilitada em seu gráfico de comportamento? Se a conta associada não tiver sido convidada para o gráfico de comportamento como uma conta-membro, o gráfico de comportamento não conterá dados dessa conta.

    Se uma conta-membro convidada não tiver aceitado o convite, o gráfico de comportamento não conterá dados dessa conta.

  • Para uma descoberta, a descoberta está arquivada? Detective não recebe descobertas arquivadas da Amazon. GuardDuty

  • A descoberta ou a entidade ocorreu antes de o Detective iniciar a ingestão de dados em seu gráfico de comportamento? Se a descoberta ou entidade não estiver presente nos dados que o Detective ingeriu, o gráfico de comportamento não conterá os dados dela.

  • A descoberta ou a entidade é da região correta? Cada gráfico de comportamento é específico de uma região. Um gráfico de comportamento não contém dados de outras regiões.

Adicionar URLs do Detective para descobertas ao Splunk

O projeto Splunk Trumpet permite que você envie dados de AWS serviços para a Splunk.

Você pode configurar o projeto Trumpet para gerar URLs de Detective para descobertas da Amazon. GuardDuty Você também pode usar esses URLs para migrar diretamente do Splunk para os correspondentes perfis de descobertas do Detective.

O projeto Trumpet está disponível GitHub em https://github.com/splunk/. splunk-aws-project-trumpet

Na página de configuração do projeto Trumpet, em AWS CloudWatch Eventos, escolha Detective URLs. GuardDuty