使用摘要頁面來識別感興趣的實體

使用 Amazon Detective 中的摘要頁面來識別實體，以調查過去 24 小時內活動來源。Amazon Detective 摘要頁面可協助您識別與特定類型異常活動相關聯的實體。這是進行調查的數個可能起點之一。

若要顯示摘要頁面，請在 Detective 導覽窗格中選擇摘要。當您首次開啟 Detective 主控台時，系統按照預設也會顯示摘要頁面。

在摘要頁面中，您可以識別符合以下條件的實體：

• 顯示 Detective 發現的潛在安全事件的調查

• 在新觀察到的地理位置中發生活動所涉及的實體

• 進行最多 API 呼叫次數的實體

• 流量最大的 EC2 執行個體

• 容器數量最多的容器叢集

您可以從每個摘要頁面面板錨定至所選實體的設定檔。

檢閱摘要頁面時，您可以調整範圍時間，以檢視過去 365 天內任何 24 小時時間範圍的活動。當您變更開始日期和時間時，結束日期和時間會自動更新為您選擇的開始時間之後的 24 小時。

使用 Detective，您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得，視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 將這些更改與 GuardDuty 發現聯繫起來。

如需有關 Detective 中來源資料的詳細資訊，請參閱行為圖中使用的來源資料。

调查

調查顯示 Detective 確定的潛在安全事件。在調查面板上，您可以檢視嚴重調查，以及在一段時間內受到安全事件影響的對應 AWS 角色和使用者。調查會將入侵指標分組在一起，以協助判斷 AWS 資源是否涉及可能指出惡意行為及其影響的異常活動。

選取檢視所有調查以檢閱調查結果、分類調查結果群組和資源詳細資訊，以加速您的安全調查。系統會根據選取的範圍時間顯示調查。您可以調整範圍時間，以檢視在過去 365 天 24 小時中的調查。您可以直接錨定至關鍵調查，以查看詳細的調查報告。

如果您識別似乎有可疑活動的 AWS 角色或使用者，您可以直接從「調查」面板轉換至該角色或使用者，以繼續調查。轉移至角色或使用者，然後按一下執行調查以產生調查報告。對角色或使用者執行調查後，該角色或使用者會移至已調查標籤。

新觀察到的地理位置

新觀察到的地理位置反白顯示了前 24 小時內活動來源的地理位置，但在此之前的基準時間段內未發現該地理位置。

該面板最多包含 100 個地理位置。位置會標示在地圖上，並列在地圖下方的資料表中。

針對每個地理位置，資料表會顯示過去 24 小時內從該地理位置發出的失敗和成功 API 呼叫次數。

您可以展開每個地理位置，以顯示從該地理位置進行 API 呼叫的使用者和角色清單。資料表會針對每個主體列出類型及相關聯的 AWS 帳戶。

如果您識別似乎有可疑的使用者或角色，則可以直接從面板錨定至使用者或角色設定檔，以繼續調查。若要錨定至設定檔，請選擇使用者或角色識別符。

Detective 使用 MaxMind GeoIP 數據庫確定請求的位置。 MaxMind 雖然準確性因國家/地區和 IP 類型等因素而異，但在國家/地區層面報告其數據的準確性非常高。如需相關資訊 MaxMind，請參閱 MaxMind IP 地理位置。如果您認為任何 GeoIP 數據不正確，可以通過「正確的 GeoIP2 數據」向 Maxmind 提交更MaxMind 正請求。

過去 7 天內作用中的調查結果群組

過去 7 天內作用中的調查結果群組會顯示您環境中發生在設定時間內的 Detective 調查結果、實體和證據的關聯分組。這些分組關聯可能表示惡意行為的異常活動。摘要頁面最多會顯示五個群組，依群組排序，群組包含最重要的調查結果，此類調查結果在上週處於作用中狀態。

您可以在政策、帳戶、資源和調查結果內容中選取值，以查看更多詳細資訊。

每天會產生調查結果群組。如果您識別出感興趣的調查結果群組，您可以選取要移至群組設定檔詳細檢視的標題，以繼續調查。

具有最大 API 呼叫量的角色和使用者

具有最大 API 呼叫量的角色和使用者可識別過去 24 小時內進行最多 API 呼叫的使用者和角色。

該面板可以包含高達 100 個使用者和角色。您可以查看每個使用者或角色的類型 (使用者或角色) 和相關聯的帳戶。您也可以查看該使用者或角色在過去 24 小時內發出的 API 呼叫次數。

根據預設，系統會顯示服務連結角色。服務連結角色可能會產生大量 AWS CloudTrail 活動，這會取代您要進一步調查的主參與者。您可以選擇關閉顯示服務連結角色，以便從摘要頁面檢視中篩選出服務連結角色。

您可以匯出包含此面板中資料的逗號分隔值 (.csv) 檔案。

還有一個過去 7 天的 API 呼叫量的時間軸。時間軸可協助您判斷該主體的 API 呼叫量是否存在異常。

如果您在 API 呼叫量方面識別似乎有可疑的使用者或角色，則可以直接從面板錨定至使用者或角色設定檔，以繼續調查。您也可以檢視與使用者或角色相關聯的帳戶設定檔。若要檢視設定檔，請選擇使用者、角色或帳戶識別符。

具有最大流量的 EC2 執行個體

具有最大流量的 EC2 執行個體可識別過去 24 小時內總流量最大的 EC2 執行個體。

該面板可以包含高達 100 個 EC2 執行個體。針對每個 EC2 執行個體，您可以查看關聯的帳戶以及前 24 小時內傳入位元組、傳出位元組和總位元組數。

您可以匯出包含此面板中資料的逗號分隔值 (.csv) 設定檔。

您還可以看到顯示過去 7 天內傳入和傳出流量的時間軸。時間軸可協助判斷該 EC2 執行個體的流量是否存在異常。

如果您識別有可疑流量的 EC2 執行個體，則可以直接從面板前往 EC2 執行個體設定檔繼續調查。您也可以檢視擁有 EC2 執行個體的帳戶設定檔。若要檢視設定檔，請選擇 EC2 執行個體或帳戶識別符。

具有最多 Kubernetes Pod 的容器叢集

所建立具有最多 Kubernetes Pod 的容器叢集可識別在過去 24 小時內執行最多容器的叢集。

此面板包含最多 100 個叢集組織的叢集，此類叢集與叢集相關聯的調查結果最多。針對每個叢集，您可以看到相關聯的帳戶、該叢集中目前的容器數目以及過去 24 小時內與該叢集相關聯的調查結果數目。您可以匯出包含此面板中資料的逗號分隔值 (.csv) 設定檔。

如果您識別有近期調查結果的叢集，您可以直接從面板錨定至叢集設定檔，以繼續進行調查。您也可以錨定至擁有叢集之帳戶的設定檔。若要錨定至設定檔，請選擇叢集名稱或帳戶識別符。

近似值通知

在具有最大 API 呼叫量的角色和使用者和具有最大流量的 EC2 執行個體上，如果值後面加上星號 (*)，則表示該值為近似值。真值可能等於或大於顯示值。

這是因為 Detective 用來計算每個時間間隔的體積的方法所致。在摘要頁面上，時間間隔為一小時。

Detective 會每小時計算具有最大流量的 1,000 個使用者、角色或 EC2 執行個體的總量。它會排除剩餘使用者、角色或 EC2 執行個體的資料。

如果某一資源有時位於前 1,000 名，則該資源的計算量可能不會包含所有資料。排除非前 1,000 名的時間間隔的資料。

請注意，這僅適用於摘要頁面。使用者、角色或 EC2 執行個體的設定檔提供精確的詳細資訊。