View a markdown version of this page

KI-Ermittlungsagent - AWS Security Incident Response Benutzerleitfaden
-ÜbersichtFunktionsweiseVoraussetzungenDen Ermittlungsagenten verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KI-Ermittlungsagent

-Übersicht

Der KI-gestützte Ermittlungsagent arbeitet mit Kunden und AWS Security Incident Response Ingenieuren zusammen, um Sicherheitsuntersuchungen zu beschleunigen. Wenn ein Kunde einen AWS unterstützten Fall erstellt, wird der Agent automatisch parallel zum Einsatz des Security Incident Response-Technikers aktiviert, wodurch die Lösungszeit von Tagen auf Stunden reduziert wird.

Bei Kundeneskalationen können Fälle zur Reaktion auf Sicherheitsvorfälle von Ihnen oder proaktiv von Ihnen erstellt werden. AWS Security Incident Response Wenn ein neuer AWS unterstützter Fall erstellt wird, wird der Investigative Agent automatisch ausgelöst. Sie können alle Fälle über die Konsole, API oder EventBridge Amazon-Integrationen verwalten.

Die wichtigsten Vorteile

  • Parallele Untersuchung — Der Agent arbeitet gleichzeitig mit den Einsatzkräften zusammen und bietet sowohl KI-gestützte Automatisierung als auch menschliches Fachwissen.

  • Automatisierte Beweiserhebung — Eliminiert die manuelle Protokollanalyse durch automatische Abfragen AWS CloudTrail, IAM, Amazon EC2 und Cost Explorer.

  • Benutzeroberfläche in natürlicher Sprache — Beschreiben Sie Sicherheitsbedenken in einfacher Sprache, ohne dass Sie sich mit Protokollformaten auskennen müssen. AWS

  • Schnellere Reaktion — Zusammenfassungen der Ermittlungen sind innerhalb weniger Minuten auf der Registerkarte Untersuchung verfügbar.

  • Vollständige Überprüfbarkeit — Alle Agentenaktionen werden AWS CloudTrail unter der AWSServiceRoleForSupport Rolle protokolliert.

Wichtig

Diese Funktion ist nur für Fälle verfügbar, die von AWS-unterstützt werden. Selbstverwaltete Fälle beinhalten keine KI-Ermittlungsfunktionen.

Funktionsweise

Der KI-Ermittlungsagent folgt bei der Analyse AWS unterstützter Sicherheitsfälle einem strukturierten Arbeitsablauf:

Arbeitsablauf bei der Untersuchung

  1. Fallerstellung — Der Kunde erstellt in der Security Incident Response-Konsole einen AWS unterstützten Fall, in dem das Sicherheitsproblem beschrieben wird.

  2. Parallele Aktivierung

    • Die Techniker für die Reaktion auf Sicherheitsvorfälle befassen sich mit dem Fall.

    • Gleichzeitig beginnt der KI-Agent mit seinem Ermittlungsablauf.

  3. Kontextfragen (optional) — Der Agent kann klärende Fragen stellen, um spezifische Informationen zu erhalten:

    • AWS Betroffenes Konto IDs

    • Beteiligte IAM-Prinzipale (Benutzer, Rollen, Zugriffsschlüssel)

    • Spezifische Ressourcen-Identifikatoren (S3-Buckets, EC2-Instances,) ARNs

    • Zeitrahmen verdächtiger Aktivitäten

  4. Erfassung von Beweisen — Der Agent fragt automatisch AWS Datenquellen ab:

    • AWS CloudTrail— API-Aufrufe und Aktivitäten im Zusammenhang mit dem Vorfall

    • IAM — Benutzer- und Rollenberechtigungen, Richtlinienänderungen und Erstellung neuer Identitäten

    • Amazon EC2 EC2-Instance APIs — Informationen zu Rechenressourcen, falls betroffen

    • Cost Explorer — Kosten- und Nutzungskennzahlen für ungewöhnlichen Ressourcenverbrauch

  5. Analyse und Korrelation — Der Agent korreliert Beweise für verschiedene Dienste, identifiziert Muster und erstellt einen Zeitplan für Ereignisse.

  6. Generierung von Zusammenfassungen — Innerhalb weniger Minuten präsentiert der Agent auf der Registerkarte Untersuchung eine umfassende Zusammenfassung der Untersuchung.

Anmerkung

Alle Felder sind optional. Wenn innerhalb von 10 Minuten keine Antwort erfolgt, wird die Untersuchung automatisch gestartet. In einigen Fällen, wenn bereits ausreichende Informationen verfügbar sind, kann der Mitarbeiter die optionalen Fragen vollständig überspringen.

Zugriff auf Untersuchungsergebnisse

So sehen Sie sich die KI-Analyse an:

  1. Navigieren Sie in der Security Incident Response-Konsole zu Ihrem Fall.

  2. Wählen Sie den Tab Investigation aus.

  3. Sehen Sie sich die Zusammenfassung der Untersuchung mit Ergebnissen, Zeitplan und Kontext an.

Die Zusammenfassung der KI-Ermittlungsbeamten wird automatisch als Kommentar im Bereich Kommunikation des Falls veröffentlicht, sodass sie zusammen mit anderen Fallaktualisierungen leicht überprüft werden kann.

Datenzugriff und Berechtigungen

Der KI-Ermittlungsagent verwendet die AWSServiceRoleForSupport serviceverknüpfte Rolle, um auf AWS Ressourcen zuzugreifen. Diese Rolle bietet nur Leseberechtigungen, die für die Beweiserhebung erforderlich sind.

Alle vom Agenten ausgeführten Aktionen werden angemeldet AWS CloudTrail, sodass Kunden genau überprüfen können, auf welche Daten während der Untersuchung zugegriffen wurde. In den AWS CloudTrail Protokollen werden diese Aktionen zugeordnetAWSServiceRoleForSupport.

Voraussetzungen

Bevor Sie die KI-gestützten Ermittlungsfunktionen nutzen, stellen Sie Folgendes sicher:

Erforderliches Setup

  • AWS Security Incident Response aktiviert — Der Dienst muss über das AWS Organizations Verwaltungskonto aktiviert werden.

  • AWS unterstützter Falltyp — Die KI-Untersuchung ist nur für AWS unterstützte Fälle (nicht für selbst verwaltete Fälle) verfügbar.

  • AWSServiceRoleForSupport— Diese dienstbezogene Rolle wird automatisch erstellt und gewährt dem Ermittler die erforderlichen Berechtigungen.

Erforderliche -Berechtigungen

Um AWS unterstützte Fälle zu erstellen und auf Untersuchungsergebnisse zuzugreifen, benötigt der IAM-Principal die folgenden Berechtigungen: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

Den Ermittlungsagenten verwenden

Der KI-Ermittlungsagent wird automatisch aktiviert, wenn ein Fall erstellt wird, der von der KI AWS unterstützt wird.

Um den Fortschritt der KI-Untersuchung zu überwachen

  1. Öffnen Sie Ihren Fall in der AWS Security Incident Response Konsole.

  2. Wählen Sie den Tab Untersuchung.

  3. Zeigen Sie den Status der Untersuchung an (In Bearbeitung oder Abgeschlossen).

  4. Lesen Sie nach Abschluss die umfassende Zusammenfassung der Untersuchung mit Ergebnissen, Zeitplan und Empfehlungen.

Verantwortungsvolle Offenlegung von KI

Zusammenfassungen von Untersuchungen werden mithilfe AWS generativer KI-Funktionen erstellt. Sie sind dafür verantwortlich, KI-generierte Empfehlungen in Ihrem spezifischen Kontext zu bewerten, geeignete Aufsichtsmechanismen zu implementieren, die Ergebnisse unabhängig zu verifizieren und die menschliche Aufsicht über alle Sicherheitsentscheidungen aufrechtzuerhalten.

Verwendung von Kundendaten

AI Investigative Agent verwendet keine Kundendaten für Modelltrainings und gibt Kundendaten nicht an Dritte weiter.