本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Detective 通过生成数据可视化来帮助您快速分析和调查一个或多个 AWS 账户的安全事件,这些数据可视化表示您的资源随时间推移的行为和交互方式。Detective 创建了 GuardDuty调查结果的可视化效果。
Detective 会提取所有调查发现类型的详细信息,并提供对实体配置文件的访问权限,以调查与调查发现相关的不同实体。实体可以是 AWS 账户、账户内的 AWS 资源或与您的资源交互的外部 IP 地址。 GuardDuty 控制台支持从以下实体转向 Amazon Detective,具体取决于查找类型: AWS 账户、IAM 角色、用户或角色会话、用户代理、联合用户、Amazon EC2 实例或 IP 地址。
启用集成
要使用 Amazon Detective, GuardDuty 必须先启用 Amazon Detective。有关如何启用 D etective 的信息,请参阅《亚马逊侦探用户指南》中的 Amazon Detective 入门。
当你同时启用 Detective GuardDuty 和 Detective 时,集成会自动启用。启用后,Detective 将立即提取您的 GuardDuty 发现数据。
注意
GuardDuty 根据调查结果的导出频率将 GuardDuty 调查结果发送给 Detective。默认情况下,现有调查发现更新的导出频率为 6 小时。为确保 Detective 收到最新发现的更新,建议您在使用 Detective 的每个区域将导出频率更改为 15 分钟 GuardDuty。有关更多信息,请参阅第 5 步 – 设置导出更新后活动调查发现的频率。
从一项发现转向 Amazon Detective GuardDuty
-
从您的调查发现表中选择一个调查发现。
-
从调查发现详细信息窗格中选择使用 Detective 调查。
-
选择调查发现的某个方面,使用 Amazon Detective 调查。这将为该调查发现或实体打开 Detective 控制台。
如果数据透视的行为不符合预期,请参阅《Amazon Detective 用户指南》中的数据透视问题排查。
注意
如果您将 GuardDuty 发现存档到 Detective 控制台中,则该发现也会存档在 GuardDuty 控制台中。
使用与 GuardDuty多账户环境的集成
如果您在中管理多账户环境 GuardDuty,则必须将您的成员账户添加到 Amazon Detective,才能查看这些账户中的发现和实体的侦探数据可视化效果。
建议您使用与 Detective 管理员帐户相同的 GuardDuty 管理员帐户。有关在 Detective 中添加成员账户的更多信息,请参阅 Amazon Detective 用户指南中的管理账户。
注意
Detective 是一项区域性服务,这意味着您必须在要使用该集成的每个地区启用 Detective 并添加成员账户。
