本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub
在 Amazon GuardDuty 控制台中,您可以导航到与调查结果相关的实体的实体档案。
您还可以从 GuardDuty 和 AWS Security Hub 控制台导航到查找概览。这还提供了相关实体的实体配置文件链接。
这些链接有助于简化调查流程。您可以快速使用 Detective 查看关联的实体活动,并确定后续步骤。然后,如果调查发现是误报,则可以将其存档,也可以进一步深入了解,确定问题的范围。
如何转到 Amazon Detective 控制台
所有调查 GuardDuty 结果均有调查链接。 GuardDuty 还允许您选择是导航到实体配置文件还是导航到查找结果概览。
从 GuardDuty 主机切换到 Detective
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 如有必要,选择左侧导航窗格中的调查发现。
-
在 “ GuardDuty 调查结果” 页面上,选择调查结果。
调查发现详细信息窗格显示在调查发现列表的右侧。
在调查发现详细信息窗格上,选择在 Detective 中进行调查。
GuardDuty 显示 Detective 中可供调查的可用物品列表。
该列表既包含相关实体(例如 IP 地址或 EC2 实例),也包含调查发现。
-
选择实体或调查发现。
Detective 控制台将打开新的选项卡。控制台将打开实体或调查发现配置文件。
如果尚未启用 Detective,则控制台会打开一个登陆页面,提供 Detective 的概述。您可在此选择启用 Detective。
要从 Security Hub 控制台转到 Detective
打开 AWS Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 如有必要,选择左侧导航窗格中的调查发现。
-
在 Security Hub 调查结果页面上,选择一项 GuardDuty 调查结果。
在详细信息窗格中,选择在 Detective 中进行调查,然后选择对调查发现进行调查。
当您选择对调查发现进行调查时,在新的选项卡中将打开 Detective 控制台。打开控制台,显示调查发现概述。
即使从聚合区域进行转向,总是打开 Detective 控制台,显示调查发现来源的区域。有关调查发现聚合的更多信息,请参阅《AWS Security Hub 用户指南》中的跨区域聚合调查发现。
如果您未启用 Detective,则将打开控制台,显示 Detective 登录页面。您可在此启用 Detective。
对转向故障排除
要使用转向功能,必须满足以下条件之一:
-
账户必须既是 Detective 的管理员账户,也是要转向的服务的管理员账户。
-
已代入跨账户角色,该角色授予管理员账户访问行为图的权限。
有关调整管理员账户的建议的更多信息,请参阅与 Amazon 保持一致的建议 GuardDuty 和 AWS Security Hub。
如果转向功能不起作用,请检查以下内容。
-
在行为图中,该调查发现是否属于已启用的成员账户? 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。
如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。
-
调查发现是否存档? Detective 没有收到来自的存档调查结果 GuardDuty。
-
这一调查发现是否发生在 Detective 开始将数据导入行为图之前? 如果 Detective 采集的数据中不存在该调查发现,则行为图中就不包含相关数据。
-
调查发现是否来自正确的区域? 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。