调查阶段和起点

Amazon Detective 提供支持整个调查过程的工具。Detective 中的调查可以从调查发现、调查发现群组或实体开始。

调查阶段

任何调查过程都包括以下阶段：

分类

收到有关恶意或高风险活动的可疑实例时，调查过程就开始了。例如，您被指派调查亚马逊 GuardDuty 和Amazon Inspector等服务发现的结果或警报。

在分类阶段，要确定您认为该活动是真阳性（真正的恶意活动）还是假阳性（非恶意或高风险活动）。通过深入了解相关实体的活动，Detective 配置文件可为分类流程提供支持。

对于真阳性的实例，您可以继续进入下一阶段。

范围界定

在范围界定阶段，分析人员要确定恶意或高风险活动的范围以及根本原因。

范围界定可以回答以下类型的问题：

• 哪些系统和用户受到了威胁？

• 攻击的源头在哪里？

• 攻击持续了多长时间？

• 还有其他相关活动需要发现吗？ 例如，如果攻击者正在从系统中提取数据，他们是如何获得这些数据的？

Detective 可视化有助于确定涉及或受影响的其他实体。

响应

最后一步是对攻击做出响应，以阻止攻击，将损失降到最低，并防止类似攻击再次发生。

侦探调查的起点

Detective 中的每一项调查都有一个基本的出发点。例如，您可能会被分配一个要调查的 Amazon GuardDuty 或 AWS Security Hub 调查结果。或者，您可能担心某个 IP 地址会出现异常活动。

调查的典型起点包括检测到的调查结果 GuardDuty 和从 Detective 源数据中提取的实体。

检测到的结果 GuardDuty

GuardDuty 使用您的日志数据来发现可疑的恶意或高风险活动实例。Detective 提供的资源有助于您调查这些调查发现。

对于每项调查发现，Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体，例如 IP 地址和 AWS 账户。

然后，您就可以浏览相关实体的活动，以确定从调查发现中检测到的活动是否真正令人担忧。

有关更多信息，请参阅 分析调查结果概述。

AWS 由 Security Hub 汇总的安全调查结果

AWS Security Hub 将来自不同调查结果提供者的安全调查结果汇总到一个地方，并为您提供中 AWS安全状态的全面视图。Security Hub 消除了处理来自多个提供商的大量调查发现的复杂性。它可以减少管理和提高所有 AWS 账户、资源和工作负载安全所需的精力。Detective 提供的资源有助于您调查这些调查发现。

对于每项调查发现，Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体，例如 IP 地址和 AWS 账户。

有关更多信息，请参阅 分析调查结果概述。

从 Detective 源数据中提取的实体

Detective 从摄取的 Detective 源数据中提取 IP 地址和 AWS 用户等实体。您可以使用其中一个作为调查出发点。

Detective 提供有关该实体的一般详细信息，例如 IP 地址或用户名。它还提供了有关活动历史记录的详细信息。例如，Detective 可以报告某个实体已连接、被连接或使用的其他 IP 地址。

有关更多信息，请参阅 分析 Amazon Detective 中的实体。