什麼是 Amazon Detective？

Amazon Detective 會協助您分析、調查並快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容，協助您更快地進行有效率的安全調查。Detective 提供預先建置的資料彙總、摘要和內容，可協助您快速分析並判斷潛在安全問題的本質和範圍。

使用 Detective，您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得，視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 將這些更改與 GuardDuty 發現聯繫起來。如需 Detective 中來源資料的詳細資訊，請參閱 行為圖表中使用的來源資料。

Amazon Detective tor 透過自動彙總資料並提供視覺化工具，讓您能夠更快速、更有效率地進行安全調查。您可以快速分析潛在問題並判斷安全威脅的範圍。

Amazon Detective 的特點

以下是 Amazon Detective ess 有助於調查 AWS 環境中的可疑活動並分析資源以識別安全問題根本原因的一些關鍵方法。

Detective, 尋找, 組

Detective 尋找群組可讓您檢查與潛在安全性事件相關的多個活動。您可以使用尋找群組來分析高嚴重性 GuardDuty 發現項目的根本原因。如果威脅執行者試圖入侵您的 AWS 環境，他們通常會執行一系列產生多個安全性發現項目和異常行為的動作。

Detective 中的尋找群組頁面會在「尋找群組」頁面中，顯示從行為圖表擷取的所有相關尋找結果群組。您可以觀察不同主體類型的證據 (例如 IAM 使用者或 IAM 角色)。針對部分證據類型，您可以觀察所有帳戶的證據。

Detective tor 提供每個尋找群組的互動式視覺化，以協助您更快、更徹底地調查安全性問題。視覺效果旨在顯示安全性事件中涉及的實體和發現項目，讓您更容易瞭解連線和根本原因。協助您以更少的努力更快、更徹底地調查問題。調查結果群組視覺化面板會顯示調查結果群組中的涉及的調查結果和實體。

Detective 調查分流結果

透過 Detective 調查，您可以使用入侵指標調查 IAM 使用者和 IAM 角色，協助您判斷資源是否涉及安全事件。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品，可以 (具有高可信度) 識別惡意活動或安全事件。透過 Detective 調查，您可以將效率最大化、專注於安全性威脅，並強化事件回應能力。

Detective 調查使用機器學習模型和威脅情報，僅顯示最關鍵、可疑的問題，讓您專注於高階調查。它會自動分析您 AWS 環境中的資源，以識別潛在的入侵或可疑活動指標。這可讓您識別模式並了解哪些資源受到安全事件的影響，並提供主動式方法來識別和緩解威脅。

您可以通過運行 Detective 調查從 Detective 控制台使用開始 Detective 調查。若要以程式設計方式執行調查，請使用 Detective API 的StartInvestigation作業。如果您正在使用 AWS Command Line Interface （AWS CLI），請運行啟動調查命令。

Detective 整合 Amazon 安全湖

Detective 與 Amazon 安全湖集成，這意味著您可以查詢和檢索安全湖存儲的原始日誌數據。透過此整合，您可以從下列 Security Lake 原生支援的來源收集記錄檔和事件。

• AWS CloudTrail 管理事件

• Amazon Virtual Private Cloud (Amazon VPC) 流程日誌

將 Detective 與安全湖整合後，Detective 會開始從安全湖擷取與 AWS CloudTrail 管理事件和 Amazon VPC 流程日誌相關的原始日誌。您可以查詢原始記錄檔以檢視 Detective 中的記錄和事件。

調查 VPC 流量

您可以使用 Detective 以互動方式檢查 Amazon 彈性運算雲端 (Amazon EC2) 執行個體和 Kubernetes 網繭的虛擬私有雲 (VPC) 網路流程的活動詳細資料。Detective ess 會自動從您受監控的帳戶收集 VPC 流程日誌，並依 EC2 執行個體彙總，並呈現有關這些網路流程的視覺化摘要和分析。

針對 EC2 執行個體，整體 VPC 流量的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。

針對 Kubernetes Pod，整體 VPC 流量會針對所有目的地 IP 地址，顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。

訪問 Amazon Detective

大多數都有 Amazon Detective AWS 區域。如需目前提供 Detective 的區域清單，請參閱 AWS 一般參考. 如需管理您的帳戶 AWS 區域 的相關資訊 AWS 帳戶，請參閱AWS Account Management 參考指南中的「指定 AWS 區域 您的帳戶可以使用的項目」。

在每個地區，您可以通過以下任何一種方式與 Detective 合作。

AWS Management Console

這 AWS Management Console 是一個基於瀏覽器的介面，您可以使用它來建立和管理 AWS 資源。作為該主控台的一部分，Amazon Detective 主控台可讓您存取 Detective 帳戶、資料和資源。您可以使用 Detective 主控台來執行任何 Detective 工作：檢閱潛在的安全威脅，以及分析、調查和識別安全發現項目的根本原因。

AWS 命令行工具

使用 AWS 命令行工具，您可以在系統的命令行中發出命令以執行 Detective 任務和 AWS 任務。使用命令行可以比使用控制台更快，更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組指令行工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI，請參閱《使AWS Command Line Interface 用指南》。若要取得有關安裝和使用的「工具」的資訊 PowerShell，請參閱《使AWS Tools for PowerShell 用指南》。

AWS 開發套件

AWS 提供包含各種程式設計語言和平台 (例如 Java、Go、Python、C++ 和 .NET) 的程式庫和範例程式碼的開發套件。SDK 提供方便、程式化的方式存取 Detective 和其他功能。 AWS 服務他們還處理諸如密碼編譯簽名請求，管理錯誤以及自動重試請求等任務。如需安裝和使用 AWS SDK 的詳細資訊，請參閱建置在其上 AWS的工具。

Amazon Detective 休息 API

Amazon Detective REST API 可讓您以程式化的方式全面存取 Detective 帳戶、資料和資源。使用此 API，您可以將 HTTPS 請求直接發送給 Detective。但是，與 AWS 命令行工具和 SDK 不同，使用此 API 需要您的應用程序處理低級別的詳細信息，例如生成散列以簽署請求。如需有關此 API 的詳細資訊，請參閱 Detective API 參考資料。

Amazon Detective 的定價

與其他 AWS 產品一樣，使用 Amazon Detective tor 沒有合約或最低承諾。

Detective 定價是以多種維度為基礎，無論來源為何，都會針對所有資料收取每 GB 的分層統一費率。如需詳細資訊，請參閱 Amazon Detective 定價。

為了幫助您了解並預測使用 Detective 的費用，Detective 會為您的帳戶提供估計的使用費用。您可以在 Amazon Detective 主控台上查看這些估計值，並使用 Amazon Detective API 存取這些估計值。根據您使用服務的方式，您可能會因為將其他 AWS 服務 功能與某些 Detective 功能（例如安全湖整合和 Detective 調查）結合使用而產生額外費用。

當您首次啟用 Detective 時，系統會自動註冊 Detective 的 30 天免費試用版。 AWS 帳戶 這包括在中作為組織一部分啟用的個別帳戶 AWS Organizations。在免費試用期間，在適用的情況下使用 Detective 不收取任何費用 AWS 區域。

為了幫助您了解並預測免費試用結束後使用 Detective 的費用，Detective 會根據您在試用期間使用 Detective 的情況為您提供估計的使用費用。您的使用量資料也會指出免費試用期結束前剩餘的時間長度。您可以在 Amazon Detective 主控台上檢閱這些資料，並使用 Amazon Detective API 存取這些資料。

Detective 如何運作？

Detective 會自動擷取以時間為基礎的事件，例如登入嘗試、API 呼叫和網路流量，以 AWS CloudTrail 及 Amazon VPC 流量日誌。它也會擷取由 GuardDuty偵測到的發現項目。

透過此類事件，Detective 使用機器學習和視覺化來建立資源行為的統一互動式檢視，以及它們之間在一段時間後的互動。您可以探索此行為圖表，以檢查潛在的惡意動作，例如失敗的登入嘗試或可疑的 API 呼叫。您也可以查看這些動作如何影響 AWS 帳戶和 Amazon EC2 執行個體等資源。您可以針對各種任務調整行為圖表的範圍和時間軸：

• 快速調查任何超出規範的活動。

• 識別可能表示安全問題的模式。

• 了解所有受調查結果影響的資源。

Detective 量身訂做的視覺化可為帳戶資訊提供基準並進行摘要。此類調查結果可以幫助回答「這是否為對此角色的異常 API 呼叫」等問題嗎？ 或「這是預期來自此執行個體的流量激增嗎」？

透過 Detective，您就無需再整理任何資料，也無需再開發、設定或調整自己的查詢和演算法。沒有前期成本，您僅需為分析的事件付費，不再需要部署其他軟體或訂閱其他摘要。

誰在使用 Detective？

當帳戶啟用 Detective 後，它會成為行為圖表的管理員帳戶。行為圖表是從一或多個 AWS 帳戶擷取和分析資料的連結集合。管理員帳戶邀請成員帳戶將其資料提供至管理員帳戶的行為圖表。

Detective 也集成在一起 AWS Organizations。組織管理帳戶會指定組織的 Detective 管理員帳戶。Detective 管理員帳戶會在組織行為圖表中啟用組織帳戶作為成員帳戶。

如需 Detective 如何使用行為圖表帳戶中來源資料的相關資訊，請參閱 行為圖表中使用的來源資料。

如需管理員帳戶如何管理行為圖表的相關資訊，請參閱 管理帳戶。如需成員帳戶如何管理其行為圖表邀請和成員資格的相關資訊，請參閱 針對成員帳戶：管理行為圖表邀請和成員資格。

管理員帳戶會使用行為圖表產生的分析和視覺效果來調查 AWS 資源和 GuardDuty 發現項目。使用與 GuardDuty和的 Detective 整合 AWS Security Hub，您可以從這些服務中的 GuardDuty 搜尋項目直接轉換至 Detective 主控台。

Detective 調查著重於與所涉 AWS 資源相關的活動。有關 Detective 中調查過程的概觀，請參閱《Detective 使用者指南》中的 Amazon Detective 如何用於調查。

相關服務

為了在中進一步保護您的資料、工作負載和應用程式 AWS，請考慮將以下 AWS 服務 內容與 Amazon Detective ess 結合使用。

AWS Security Hub

AWS Security Hub 可讓您全面檢視 AWS 資源的安全狀態，並協助您根據安全性產業標準和最佳實務來檢查 AWS 環境。這部分原因是從多個 AWS 服務 （包括 Detective）和支援的 AWS 合作夥伴網路 (APN) 產品中使用、彙總、組織和優先順序排列您的安全發現結果。Security Hub 可協助您分析安全性趨勢，並識別 AWS 環境中最優先順序的安全性問題。

若要進一步了解資訊 Security Hub，請參閱使AWS Security Hub 用者指南。

Amazon GuardDuty

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的 AWS 日誌，例如 Amazon S3 的 AWS CloudTrail 資料事件日誌和 CloudTrail 管理事件日誌。它會使用威脅情報摘要，例如惡意 IP 位址和網域清單，以及機器學習來識別您 AWS 環境中的未預期和潛在未經授權和惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南。

Amazon Security Lake

Amazon Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake，將來自環 AWS 境、SaaS 供應商、內部部署來源、雲端來源和第三方來源的安全性資料，自動集中至儲存在您帳戶中的專用資料湖。 AWS Security Lake 可協助您分析安全資料，讓您更全面地了解整個組織的安全狀態。透過 Security Lake，您還可以改善工作負載、應用程式和資料的保護。

若要進一步了解安全湖，請參閱 Amazon 安全湖使用者指南。要了解有關使用 Detective 和安全湖的更多信息，請參閱與 Amazon Security Lake 整合。

若要瞭解其他 AWS 安全性服務，請參閱上的安全性、身分識別和合規性 AWS。