Das Detective-Übersichts-Dashboard verwenden - Amazon Detective
UntersuchungenNeu beobachtete GeolocationsAktive Erkenntnisgruppen in den letzten 7 TagenRollen und Benutzer mit dem höchsten API-AufrufvolumenEC2-Instances mit dem höchsten VerkehrsvolumenContainer-Cluster mit den meisten Kubernetes-PodsBenachrichtigung über den ungefähren Wert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das Detective-Übersichts-Dashboard verwenden

Verwenden Sie das Übersichts-Dashboard in Amazon Detective, um Entitäten zu identifizieren, um den Ursprung der Aktivitäten in den letzten 24 Stunden zu untersuchen. Das Amazon Detective Summary Dashboard hilft Ihnen dabei, Entitäten zu identifizieren, die mit bestimmten Arten ungewöhnlicher Aktivitäten in Verbindung stehen. Dies ist einer von mehreren möglichen Ausgangspunkten für eine Untersuchung.

Um das Übersichts-Dashboard anzuzeigen, wählen Sie im Navigationsbereich von Detective die Option Zusammenfassung aus. Das Übersichts-Dashboard wird standardmäßig auch angezeigt, wenn Sie die Detective-Konsole zum ersten Mal öffnen.

Im Übersichts-Dashboard können Sie Entitäten identifizieren, die die folgenden Kriterien erfüllen:

  • Untersuchungen, die auf potenzielle Sicherheitsereignisse hinweisen, die von Detective identifiziert wurden

  • Entitäten, die an Aktivitäten in neu beobachteten Geolokationen beteiligt sind

  • Entitäten, die die meisten API-Aufrufe getätigt haben

  • EC2-Instances mit dem größten Datenverkehrsvolumen

  • Container-Cluster mit der größten Anzahl von Containern

Von jedem Übersichts-Dashboard aus können Sie zum Profil einer ausgewählten Entität wechseln.

Während Sie sich das Übersichts-Dashboard ansehen, können Sie den Zeitraum für den Umfang anpassen, sodass Sie sich die Aktivität für einen beliebigen 24-Stunden-Zeitraum der letzten 365 Tage ansehen können. Wenn Sie das Startdatum und die Startzeit ändern, werden das Enddatum und die Endzeit automatisch auf 24 Stunden nach der ausgewählten Startzeit aktualisiert.

Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen.

Weitere Informationen zu Quelldaten in Detective finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.

Untersuchungen

Untersuchungen zeigen Ihnen die potenziellen Sicherheitsereignisse, die Detective identifiziert hat. Im Bereich „Untersuchungen“ können Sie sich kritische Untersuchungen und die entsprechenden AWS -Rollen und Benutzer ansehen, die über einen bestimmten Zeitraum von Sicherheitsereignissen betroffen waren. Bei der Untersuchung werden Indikatoren für eine Gefährdung zusammengefasst, um festzustellen, ob eine AWS Ressource an ungewöhnlichen Aktivitäten beteiligt ist, die auf bösartiges Verhalten und dessen Auswirkungen hinweisen könnten.

Wählen Sie Alle Untersuchungen anzeigen aus, um Erkenntnisse, Gruppen und Ressourcendetails zu überprüfen und so Ihre Sicherheitsuntersuchung zu beschleunigen. Untersuchungen werden je nach ausgewähltem Zeitbereich angezeigt. Sie können den Umfang so anpassen, dass die Untersuchungen in den letzten 365 Tagen innerhalb von 24 Stunden angezeigt werden. Sie können direkt zu Kritische Untersuchungen wechseln, um einen detaillierten Untersuchungsbericht zu sehen.

Wenn Sie eine AWS Rolle oder einen Benutzer identifizieren, der verdächtige Aktivitäten zu haben scheint, können Sie direkt vom Bereich Ermittlungen zu der Rolle oder dem Benutzer wechseln, um Ihre Untersuchung fortzusetzen. Wechseln Sie zu einer Rolle oder einem Benutzer und klicken Sie auf Untersuchung ausführen, um einen Untersuchungsbericht zu erstellen. Sobald Sie eine Untersuchung für eine Rolle oder einen Benutzer durchgeführt haben, wird die Rolle oder der Benutzer auf die Registerkarte Untersucht verschoben.

Neu beobachtete Geolocations

Neu beobachtete Geolocations heben geografische Standorte hervor, von denen die Aktivitäten in den letzten 24 Stunden ausgegangen sind, die aber im Bezugszeitraum davor nicht beobachtet wurden.

Der Bereich umfasst bis zu 100 Geolocations. Die Standorte sind auf der Karte markiert und in der Tabelle unter der Karte aufgeführt.

Für jeden Standort zeigt die Tabelle die Anzahl der fehlgeschlagenen und erfolgreichen API-Aufrufe an, die in den letzten 24 Stunden von diesem Standort aus getätigt wurden.

Sie können jede Geolokalisierung erweitern, um die Liste der Benutzer und Rollen anzuzeigen, die API-Aufrufe von dieser Geolocation aus getätigt haben. In der Tabelle sind für jeden Prinzipal der Typ und die zugehörigen AWS-Konto aufgeführt.

Wenn Sie einen Benutzer oder eine Rolle identifizieren, die Ihnen verdächtig erscheinen, können Sie direkt vom Bereich zum Benutzer- oder Rollenprofil wechseln, um Ihre Untersuchung fortzusetzen. Um zu einem Profil zu wechseln, wählen Sie die Benutzer- oder Rollen-ID aus.

Detective bestimmt den Standort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter MaxMind IP-Geolokalisierung. Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter MaxMind Correct Geo IP2 Data eine Korrekturanfrage an Maxmind stellen.

Aktive Erkenntnisgruppen in den letzten 7 Tagen

Aktive Erkenntnisgruppen der letzten 7 Tage zeigt Ihnen korrelierte Gruppierungen von Detective-Erkenntnissen, Entitäten und Beweisen in Ihrer Umgebung, die über einen bestimmten Zeitraum aufgetreten sind. Diese Gruppierungen korrelieren ungewöhnliche Aktivitäten, die auf böswilliges Verhalten hinweisen könnten. Das Übersichts-Dashboard zeigt bis zu fünf Gruppen, sortiert nach den Gruppen mit den wichtigsten Ergebnissen, die in der letzten Woche aktiv waren.

Sie können Werte in den Inhalten Taktik, Konto, Ressource und Erkenntnisse auswählen, um weitere Details zu sehen.

Erkenntnisgruppen werden täglich generiert. Wenn Sie eine interessante Erkenntnisgruppe identifizieren, können Sie den Titel auswählen, um zu einer detaillierten Ansicht eines Gruppenprofils zu gelangen und Ihre Untersuchung fortzusetzen.

Rollen und Benutzer mit dem höchsten API-Aufrufvolumen

Rollen und Benutzer mit dem höchsten API-Aufrufvolumen identifiziert die Benutzer und Rollen, die in den letzten 24 Stunden die meisten API-Aufrufe getätigt haben.

Der Bereich kann bis zu 100 Benutzer und Rollen enthalten. Für jeden Benutzer oder jede Rolle können Sie den Typ (Benutzer oder Rolle) und das zugehörige Konto sehen. Sie können auch die Anzahl der API-Aufrufe sehen, die von diesem Benutzer oder dieser Rolle in den letzten 24 Stunden getätigt wurden.

Standardmäßig werden dienstbezogene Rollen angezeigt. Rollen, die mit Diensten verknüpft sind, können zu einem großen AWS CloudTrail Aktivitätsvolumen führen, wodurch die Hauptverantwortlichen, die Sie genauer untersuchen möchten, verdrängt werden. Sie können die Option Serviceverknüpfte Rollen anzeigen deaktivieren, um dienstbezogene Rollen aus der Übersichts-Dashboard-Ansicht herauszufiltern.

Sie können eine Datei mit kommagetrennten Werten (.csv) exportieren, die die Daten in diesem Bereich enthält.

Es gibt auch einen Zeitplan für das API-Aufrufvolumen der letzten 7 Tage. Anhand des Zeitplans können Sie feststellen, ob das Volumen der API-Aufrufe für diesen Prinzipal ungewöhnlich ist.

Wenn Sie einen Benutzer oder eine Rolle identifizieren, für die das API-Aufrufvolumen verdächtig erscheint, können Sie direkt vom Bereich zum Benutzer- oder Rollenprofil wechseln, um Ihre Untersuchung fortzusetzen. Sie können auch das Profil des Kontos einsehen, das dem Benutzer oder der Rolle zugeordnet ist. Um ein Profil anzuzeigen, wählen Sie den Benutzer, die Rolle oder die Konto-ID aus.

EC2-Instances mit dem höchsten Verkehrsvolumen

EC2-Instances mit dem höchsten Verkehrsvolumen identifizieren die EC2-Instances, die in den letzten 24 Stunden das größte Gesamtverkehrsvolumen hatten.

Der Bereich kann bis zu 100 EC2-Instances enthalten. Für jede EC2-Instance können Sie das zugehörige Konto und die Anzahl der eingehenden Bytes, ausgehenden Bytes und die Gesamtzahl der Bytes der letzten 24 Stunden sehen.

Sie können eine CSV-Datei (komma-getrennte Werte) exportieren, die die Daten in diesem Bereich enthält.

Sie können auch eine Zeitleiste sehen, in der der eingehende und ausgehende Verkehr der letzten 7 Tage angezeigt wird. Anhand der Zeitleiste können Sie feststellen, ob das Verkehrsaufkommen für diese EC2-Instance ungewöhnlich ist.

Wenn Sie eine EC2-Instance mit verdächtigem Datenverkehrsvolumen identifizieren, können Sie direkt vom Bereich zum EC2-Instance-Profil wechseln, um Ihre Untersuchung fortzusetzen. Sie können auch das Profil des Kontos einsehen, dem die EC2-Instance gehört. Um ein Profil anzuzeigen, wählen Sie die EC2-Instance oder Konto-ID aus.

Container-Cluster mit den meisten Kubernetes-Pods

Containercluster mit den meisten erstellten Kubernetes-Pods identifizieren die Cluster, in denen in den letzten 24 Stunden die meisten Container ausgeführt wurden.

Dieser Bereich umfasst bis zu 100 Cluster, die danach geordnet sind, mit welchen Clustern die meisten Erkenntnisse verknüpft wurden. Für jeden Cluster können Sie das zugehörige Konto, die aktuelle Anzahl von Containern in diesem Cluster und die Anzahl der mit diesem Cluster verknüpften Erkenntnisse in den letzten 24 Stunden sehen. Sie können eine CSV-Datei (komma-getrennte Werte) exportieren, die die Daten in diesem Bereich enthält.

Wenn Sie einen Cluster mit aktuellen Erkenntnissen identifizieren, können Sie direkt vom Bereich zum Clusterprofil wechseln, um Ihre Untersuchung fortzusetzen. Sie können auch zum Profil des Accounts wechseln, dem der Cluster gehört. Um zu einem Profil zu wechseln, wählen Sie den Clusternamen oder die Konto-ID aus.

Benachrichtigung über den ungefähren Wert

Wenn bei Rollen und Benutzern mit dem meisten API-Aufrufvolumen und bei EC2-Instances mit dem meisten Datenverkehrsvolumen auf einen Wert ein Sternchen (*) folgt, bedeutet dies, dass es sich bei dem Wert um einen Näherungswert handelt. Der wahre Wert ist entweder gleich oder größer als der angezeigte Wert.

Dies liegt an der Methode, mit der Detective das Volumen für jedes Zeitintervall berechnet. Auf der Übersichtsseite ist das Zeitintervall eine Stunde.

Für jede Stunde berechnet Detective das Gesamtvolumen für die 1.000 Benutzer, Rollen oder EC2-Instances mit dem größten Volumen. Es schließt die Daten für die verbleibenden Benutzer, Rollen oder EC2-Instances aus.

Wenn eine Ressource manchmal unter den Top 1.000 war und manchmal nicht, beinhaltet das berechnete Volumen für diese Ressource möglicherweise nicht alle Daten. Die Daten für die Zeitintervalle, in denen sie nicht zu den obersten 1.000 gehörte, werden nicht berücksichtigt.

Beachten Sie, dass dies nur für die Übersichtsseite gilt. Das Profil für den Benutzer, die Rolle oder die EC2-Instance enthält genaue Details.