本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
分析调查发现群组
Amazon Detective 调查发现组使您能够检查与潜在安全事件相关的多项活动。您可以使用查找组来分析高严重性 GuardDuty 发现的根本原因。如果威胁行为者试图破坏您的 AWS 环境,他们通常会执行一系列操作,从而导致多项安全发现和异常行为。这些操作通常跨越不同的时间和实体。如果单独调查安全调查发现,可能会导致对其重要性的误解,也可能导致难以找到根本原因。Amazon Detective 通过应用图表分析技术来解决这一问题,该技术可以推断出调查发现和实体之间的关系,并将它们分组在一起。我们建议将调查发现群组视为调查相关实体和调查发现的起点。
Detective 分析调查发现中的数据,并根据它们共享的资源将其与其他可能相关的调查发现分组。例如,与同一 IAM 角色会话所采取的操作或来自相同 IP 地址的操作相关的调查发现很可能是同一底层活动的一部分。即使 Detective 提出的关联不相关,将调查发现和证据作为一个组进行调查也很有价值。
除调查发现外,每个组还包括调查发现所涉及的实体。这些实体可以包含 IP 地址或用户代理之 AWS 类的外部资源。
注意
在出现与另一项 GuardDuty 发现相关的初步发现后,将在 48 小时内创建包含所有相关发现和所有相关实体的发现组。
了解调查发现群组页面
调查发现群组页面列出了 Amazon Detective 从您的行为图中收集的所有调查发现群组。请注意调查发现群组的以下属性:
- 群组的严重性
根据相关发现 AWS 的安全结果格式 (ASFF) 严重性为每个发现组分配一个严重性。ASFF 调查发现的严重性值从最严重到最不严重依次为 “急”、“高”、“中”、“低” 或 “信息性”。分组的严重性等于该分组中调查发现的最高严重性调查发现。
对于由影响大量实体的急或高严重性调查发现组成的群组,应优先进行调查,因为它们更有可能代表影响较大的安全问题。
- 群组标题
在“标题”栏中,每个群组都有一个唯一的 ID 和一个非唯一的标题。其依据是该群组的 ASFF 类型名称空间和集群中该名称空间内的调查发现数量。例如,如果一个分组的标题是:群组:TTP (2)、影响 (1) 和异常行为 (2),则总共包括五个调查发现,包括 TTP 名称空间中的两个调查发现、影响名称空间中的一个调查发现和异常行为名称空间中的两个调查发现。有关名称空间的完整列表,请参阅 ASFF 的类型分类法。
- 群组策略
群组策略栏详细说明了该活动属于哪个策略类别。以下列表中的策略、技术和程序类别与 MITRE ATT&CK 矩阵
一致。 你可以选择链上的战术来查看该战术的描述。链后面是组内检测到的策略列表。这些类别及其通常代表的活动如下:
初始存取 — 攻击者正试图进入他人的网络。
执行 — 攻击者正试图进入他人的网络。
维持 — 攻击者正努力保持其立足点。
权限升级 — 攻击者正试图获得更高级别的权限。
防御规避 — 攻击者正试图避免被检测到。
凭证访问 — 攻击者正试图窃取账户名和密码。
发现 — 攻击者正试图了解和学习环境。
横向移动 — 攻击者正试图在环境中移动。
收集 — 攻击者正试图收集与其目标相关的数据。
命令与控制 — 攻击者正试图进入他人的网络。
渗漏 — 攻击者正试图窃取数据。
影响 — 攻击者正试图操纵、中断或破坏您的系统和数据。
其他 — 表示调查发现中的活动与矩阵中列出的策略不一致。
- 群组内的实体
实体栏包含在该分组中检测到的特定实体的详细信息。选择此值可根据以下类别对实体进行细分:身份、网络、存储和计算。每个类别中的实体示例如下:
身份 — IAM 委托人和 AWS 账户,例如用户和角色
网络 — IP 地址或其他网络和 VPC 实体
存储 — Amazon S3 存储桶或 DDB
计算 Amazon EC2 实例或 Kubernetes 容器
- 群组内的账户
“账户” 列会告诉您哪些 AWS 账户拥有与群组中的调查结果相关的实体。 AWS 账户按名称和 AWS ID 列出,因此您可以优先调查涉及关键账户的活动。
- 群组内的调查发现
调查发现栏按严重性列出了群组内中的实体。调查结果包括亚马逊的调查 GuardDuty 结果、Amazon Inspector的调查结果、 AWS 安全调查结果和Detective的证据。您可以选择图表,查看按严重性分列的调查发现的精确计数。
GuardDuty 调查结果是 Detective 核心包的一部分,默认情况下会被摄取。由 Security Hub 汇总的所有其他 AWS 安全发现都将作为可选数据源摄取。有关更多详细信息,请参阅行为图中使用的源数据。
调查发现群组的信息调查发现
Amazon Detective 会根据您在过去 45 天内收集的行为图中的数据,识别与调查发现群组相关的其他信息。Detective 将这一信息作为一项调查发现与信息严重性一并提交。证据提供了辅助信息,突出显示了在调查发现群组内可能可疑的异常活动或未知行为。这可能包括在调查发现的范围内新观察到的地理位置或观察到的 API 调用。证据发现只能在 Detective 中查看,不会发送到。 AWS Security Hub
Detective 使用 MaxMind GeoIP 数据库确定请求的位置。 MaxMind 尽管准确性因国家和知识产权类型等因素而异,但它们在国家一级的数据的准确性非常高。有关的更多信息 MaxMind,请参阅 MaxMind IP 地理定位
您可以观察不同主体类型(例如 IAM 用户或 IAM 角色)的证据。对于某些证据类型,您可以观察所有账户的证据。这意味着证据会影响您的整个行为图。如果在所有账户中都观察到证据调查发现,则在单个 IAM 角色中也会看到至少一个相同类型的其他信息证据调查发现。例如,如果出现观察到所有账户新的地理位置调查发现,则会出现另一个观察到主体新的地理位置。
调查发现群体的证据类型
观察到新的地理位置
观察到新的自治系统组织 (ASO)
观察到新的用户代理
已发出新的 API 调用
观察到所有账户新的地理位置
观察到所有账户新的 IAM 主体
调查发现群组配置文件
选择群组标题后,将打开一个调查发现群组配置文件,其中包含有关该群组的其他详细信息。调查发现群组配置文件页面中的详细信息面板支持显示多达 1000 个实体和调查发现,用于调查发现群组父组和子组。
群组配置文件页面显示群组的设定范围时间。这是一组中从最早的调查发现或证据到最近更新的调查发现或证据的日期和时间。还会出现调查发现群组的严重性,该严重性等于该群组中调查发现中最高的严重性类别。此配置文件面板中的其他详细信息包括:
涉及策略链会显示哪些策略归因于群组中调查发现。策略基于 MITRE ATT&CK 企业矩阵
。这些策略以彩色圆点链的形式显示,代表攻击从最早阶段到最新阶段的典型发展过程。这意味着,链上最左侧的圆圈通常代表不太严重的活动,即攻击者试图获取或保持对环境的访问权限。相反,右侧的活动最为严重,可能包括篡改或破坏数据。 该群组与其他群组的关系。有时,可以根据新发现的联系,将一组或多组以前没有联系的调查发现组合并为一组新的调查发现,例如,涉及现有组实体的调查发现。在这种情况下,Amazon Detective 会停用父群组并创建一个子群组。您可以追溯到任何群组的父群组。群组之间可能有以下关系:
子调查发现群组 — 当涉及其他两个调查发现群组的调查发现又涉及到一个新的调查发现时,就会创建一个调查发现群组。将列出所有子群组的调查发现的父群组。
父调查发现群组 — 从调查发现群组创建子群组时,该调查发现群组即为父群组。如果调查发现群组是父群组,则会随之列出相关的子群组。当父群组合并到活动子群组时,其状态变为非活动。
有两个信息选项卡可以打开配置文件面板。使用涉及的实体和涉及的调查发现选项卡,您可以查看有关群组的更多详细信息。
使用进行调查生成调查报告。生成的报告详细说明了表明存在漏洞的异常行为。
群组内的配置文件面板
- 涉及的实体
重点关注调查发现群组中的实体,包括每个实体与群组内哪些调查发现相关联。每个实体所附的标签也会显示出来,这样就可以根据标签快速识别重要实体。选择一个实体,查看其实体配置文件。
- 涉及的调查发现
提供有关每项调查发现的详细信息,包括调查发现的严重性、涉及的每个实体以及第一次和最后一次发现该调查发现的时间。在列表中选择调查发现类型以打开调查发现详细信息面板,其中包含有关该调查发现的更多信息。作为涉及的调查发现面板的一部分,可能会出现基于行为图中 Detective 证据的信息调查发现。
调查发现群组可视化
Amazon Detective 提供调查发现群组的交互式可视化。这种可视化设计有助于以更少的精力更快更彻底地调查问题。调查发现群组可视化面板显示调查发现群组中涉及的调查发现和实体。可以使用这种交互式可视化方法来分析、了解和分类调查发现群组的影响。该面板有助于可视化涉及的实体和涉及的调查发现表中显示的信息。可以从可视化演示中选择调查发现或实体进行进一步分析。
包含汇总调查发现的 Detective 调查发现群组是一个与相同类型资源相关的调查发现的集群。借助汇总调查发现,就可以快速评估调查发现群组的构成,更快地解释安全问题。在调查发现群组详细信息面板中,相似的调查发现被合并在一起,可以扩展调查发现,以便同时查看相对相似的调查发现。例如,汇总了一个证据节点,该节点具有相同类型的信息调查发现和中等调查发现。目前,可以查看具有汇总调查发现的调查发现群组的标题、来源、类型和严重性。
可以在此交互式面板上:
-
使用进行调查生成调查报告。生成的报告详细说明了表明存在漏洞的异常行为。
-
查看更多关于具有汇总调查发现的调查发现群组的详细信息,以分析涉及的证据、实体和调查发现。
-
查看实体和调查发现的标签,以确定存在潜在安全问题的受影响实体。您可以切换关闭标签。
-
重新排列实体和调查发现,以便更好地了解它们之间的相互关联性。通过移动调查发现群组中的选定项目,将实体和调查发现从群组中分离出来。
-
选择证据、实体和调查发现,查看有关它们的更多详细信息。要选择多个项目,请选择
command/control
,然后选择项目或使用指针拖放项目。 -
调整布局,使所有实体和调查发现都能在调查发现群组窗口中显示。查看调查发现群组中常见的实体类型。
注意
调查发现群组可视化面板支持显示包含多达 100 个实体和调查发现的调查发现群组。
您可以选择选择布局,以圆形、力导向或网格布局查看调查发现和实体。力导向布局可以定位实体和调查发现,使项目之间的链接长度保持一致,并且链接分布均匀。这有助于减少重叠。所选择的布局定义了调查发现在可视化面板中的位置。
![可显示调查发现群组中包含的实体和调查发现之间的相互联系得可视化面板。力导向布局可以定位实体和调查发现,使项目之间的链接长度保持一致,并且链接分布均匀。](images/screen_graph_visual.png)
动态图例会根据当前图表中的实体和调查发现进行更改。它有助于确定每个视觉元素所代表的内容。