转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub - Amazon Detective
如何转到 Amazon Detective 控制台对转向故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub

在 Amazon GuardDuty 控制台中,您可以导航到与调查结果相关的实体的实体档案。

您还可以从 GuardDuty 和 AWS Security Hub 控制台导航到查找概览。这还提供了相关实体的实体配置文件链接。

这些链接有助于简化调查流程。您可以快速使用 Detective 查看关联的实体活动,并确定后续步骤。然后,如果调查发现是误报,则可以将其存档,也可以进一步深入了解,确定问题的范围。

如何转到 Amazon Detective 控制台

所有调查 GuardDuty 结果均有调查链接。 GuardDuty 还允许您选择是导航到实体配置文件还是导航到查找结果概览。

从 GuardDuty 主机切换到 Detective

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 如有必要,选择左侧导航窗格中的调查发现

  3. 在 “ GuardDuty 调查结果” 页面上,选择调查结果。

    调查发现详细信息窗格显示在调查发现列表的右侧。

  4. 在调查发现详细信息窗格上,选择在 Detective 中进行调查

    GuardDuty 显示 Detective 中可供调查的可用物品列表。

    该列表既包含相关实体(例如 IP 地址或 EC2 实例),也包含调查发现。

  5. 选择实体或调查发现。

    Detective 控制台将打开新的选项卡。控制台将打开实体或调查发现配置文件。

    如果尚未启用 Detective,则控制台会打开一个登陆页面,提供 Detective 的概述。您可在此选择启用 Detective。

要从 Security Hub 控制台转到 Detective

  1. 打开 AWS Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 如有必要,选择左侧导航窗格中的调查发现

  3. 在 Security Hub 调查结果页面上,选择一项 GuardDuty 调查结果。

  4. 在详细信息窗格中,选择在 Detective 中进行调查,然后选择对调查发现进行调查

    当您选择对调查发现进行调查时,在新的选项卡中将打开 Detective 控制台。打开控制台,显示调查发现概述。

    即使从聚合区域进行转向,总是打开 Detective 控制台,显示调查发现来源的区域。有关调查发现聚合的更多信息,请参阅《AWS Security Hub 用户指南》中的跨区域聚合调查发现

    如果您未启用 Detective,则将打开控制台,显示 Detective 登录页面。您可在此启用 Detective。

对转向故障排除

要使用转向功能,必须满足以下条件之一:

  • 账户必须既是 Detective 的管理员账户,也是要转向的服务的管理员账户。

  • 已代入跨账户角色,该角色授予管理员账户访问行为图的权限。

有关调整管理员账户的建议的更多信息,请参阅与 Amazon 保持一致的建议 GuardDuty 和 AWS Security Hub

如果转向功能不起作用,请检查以下内容。

  • 在行为图中,该调查发现是否属于已启用的成员账户? 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。

    如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。

  • 调查发现是否存档? Detective 没有收到来自的存档调查结果 GuardDuty。

  • 这一调查发现是否发生在 Detective 开始将数据导入行为图之前? 如果 Detective 采集的数据中不存在该调查发现,则行为图中就不包含相关数据。

  • 调查发现是否来自正确的区域? 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。