Mener une enquête Detective - Amazon Detective

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mener une enquête Detective

Utilisez Effectuer une enquête pour analyser des ressources telles que les utilisateurs IAM et les rôles IAM, et pour générer un rapport d’enquête. Le rapport généré détaille les comportements anormaux qui indiquent une compromission potentielle.

Console

Suivez ces étapes pour exécuter une enquête Detective depuis la page Investigations à l'aide de la console Amazon Detective.

  1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse https://console.aws.amazon.com/detective/.

  2. Dans le volet de navigation, choisissez Enquêtes.

  3. Sur la page Enquêtes, choisissez Exécuter une investigation dans le coin supérieur droit.

  4. Dans la section Sélectionner une ressource, vous pouvez effectuer une enquête de trois manières différentes. Vous pouvez choisir de lancer l'enquête pour une ressource recommandée par Detective. Vous pouvez exécuter l'enquête pour une ressource spécifique. Vous pouvez également enquêter sur une ressource depuis la page Rechercher de Detective.

    1. Choose a recommended resource— Detective recommande des ressources en fonction de son activité en matière de découvertes et de recherche de groupes. Pour exécuter l'enquête sur une ressource recommandée par Detective, dans le tableau des ressources recommandées, sélectionnez une ressource à examiner.

      Le tableau Ressources recommandées fournit les détails suivants :

      • ARN de la ressource : nom de ressource Amazon (ARN) de la AWS ressource.

      • Motif de l’enquête : affiche les principaux motifs menant à enquêter sur la ressource. Les motifs pour lesquels Detective recommande d’enquêter sur une ressource sont les suivants :

        • Si une ressource a été impliquée dans un résultat de haute gravité au cours des dernières 24 heures.

        • Si une ressource a été impliquée dans un groupe de résultats observé au cours des 7 derniers jours. Les groupes de résultats Detective vous permettent d’examiner plusieurs activités liées à un événement de sécurité potentiel. Pour en savoir plus, consultez Analyse des groupes de résultats.

        • Si une ressource a été impliquée dans un résultat observé au cours des 7 derniers jours.

      • Dernier résultat : les résultats les plus récents sont placés en tête de liste.

      • Type de ressource : identifie le type de ressource. Par exemple, un AWS utilisateur ou un AWS rôle.

    2. Specify an AWS role or user with an ARN— Vous pouvez sélectionner un AWS rôle ou un AWS utilisateur et lancer une enquête pour la ressource en question.

      Suivez ces étapes pour étudier un type de ressource spécifique.

      1. Dans la liste déroulante Sélectionner le type de ressource, sélectionnez AWS un rôle ou un AWS utilisateur.

      2. Entrez l'ARN de la ressource IAM. Pour plus de détails sur Resource ARNs, consultez Amazon Resource Names (ARNs) dans le guide de l'utilisateur IAM.

    3. Find a resource to investigate from the Search page— Vous pouvez effectuer des recherches dans toutes vos ressources IAM depuis la page Detective Search.

      Suivez ces étapes pour rechercher une ressource depuis la page de recherche.

      1. Dans le volet de navigation, sélectionnez Recherche.

      2. Sur la page de recherche, recherchez une ressource IAM.

      3. Accédez à la page de profil de la ressource et lancez une enquête à partir de là.

  5. Dans la section Durée de l'enquête, choisissez la durée de l'enquête afin d'évaluer l'activité de la ressource sélectionnée. Vous pouvez sélectionner une date de début et une heure de début, ainsi qu’une date de fin et une heure de fin au format UTC. La fenêtre de durée de validité sélectionnée peut être comprise entre un minimum de 3 heures et un maximum de 30 jours.

  6. Choisissez Exécuter une enquête.

API

Pour exécuter une enquête par programmation, utilisez le StartInvestigationfonctionnement de l'API Detective. Pour exécuter une enquête à l'aide de la AWS Command Line Interface (AWS CLI), exécutez la commande start-investigation.

Dans votre demande, utilisez les paramètres suivants pour effectuer une enquête dans Detective :

  • GraphArn : spécifiez l’Amazon Resource Name (ARN) du graphique de comportement.

  • EntityArn : spécifiez l’Amazon Resource Name (ARN) unique de l’utilisateur et du rôle IAM.

  • ScopeStartTime : spécifiez éventuellement la date et l’heure à partir desquelles l’enquête doit commencer. La valeur est une chaîne au format UTC ISO86 01. Par exemple, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime : spécifiez éventuellement la date et l’heure auxquelles l’enquête doit se terminer. La valeur est une chaîne au format UTC ISO86 01. Par exemple, 2021-08-18T16:35:56.284Z.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Vous pouvez également exécuter une enquête à partir des pages suivantes de Detective :

  • Page de profil d’utilisateur ou de rôle IAM dans Detective.

  • Volet de visualisation de graphique d’un groupe de résultats.

  • Colonne Actions d’une ressource impliquée.

  • Utilisateur ou rôle IAM sur une page de résultat.

Une fois que Detective a effectué l’enquête pour une ressource, un rapport d’enquête est généré. Pour accéder au rapport, accédez à Investigations dans le volet de navigation.