Ikhtisar Cara kerjanya Prasyarat Menggunakan agen investigasi

Agen Investigasi AI

Ikhtisar

Agen investigasi bertenaga AI bekerja bersama pelanggan dan Respons Insiden Keamanan AWS insinyur untuk mempercepat penyelidikan keamanan. Ketika pelanggan membuat kasus yang AWS didukung, agen secara otomatis mengaktifkan secara paralel dengan keterlibatan insinyur Security Incident Response, mengurangi waktu resolusi dari hari ke jam.

Selama eskalasi pelanggan, kasus Respons Insiden Keamanan mungkin dibuat oleh Anda atau secara proaktif oleh. Respons Insiden Keamanan AWS Ketika kasus baru yang AWS didukung dibuat, agen investigasi secara otomatis terpicu. Anda dapat mengelola semua kasus melalui EventBridge integrasi konsol, API, atau Amazon.

Manfaat utama

Investigasi paralel — Agen bekerja secara bersamaan dengan responden — menyediakan otomatisasi bertenaga AI dan keahlian manusia.
Pengumpulan bukti otomatis — Menghilangkan analisis log manual dengan melakukan kueri secara otomatis AWS CloudTrail, IAM, Amazon EC2, dan Cost Explorer.
Antarmuka bahasa alami — Jelaskan masalah keamanan dalam bahasa sederhana tanpa memerlukan keahlian dalam format AWS log.
Respon lebih cepat — Ringkasan investigasi tersedia dalam beberapa menit di tab Investigasi.
Auditabilitas penuh — Semua tindakan agen masuk di AWS CloudTrail bawah AWSServiceRoleForSupport peran.

penting

Fitur ini hanya tersedia untuk kasus AWS yang didukung. Kasus yang dikelola sendiri tidak termasuk kemampuan investigasi AI.

Cara kerjanya

Agen investigasi AI mengikuti alur kerja terstruktur saat menganalisis kasus keamanan yang AWS didukung:

Alur kerja investigasi

Pembuatan kasus — Pelanggan membuat kasus yang AWS didukung di konsol Security Incident Response yang menjelaskan masalah keamanan.
Aktivasi paralel
- Insinyur Security Incident Response terlibat dengan kasus ini.
- Bersamaan dengan itu, agen AI memulai alur kerja penyelidikannya.
Pertanyaan kontekstual (opsional) — Agen dapat mengajukan pertanyaan klarifikasi untuk mengumpulkan detail spesifik:
- AWS Akun yang terpengaruh IDs
- Prinsipal IAM yang terlibat (pengguna, peran, kunci akses)
- Pengidentifikasi sumber daya tertentu (bucket S3, instans EC2,) ARNs
- Jangka waktu aktivitas mencurigakan
Pengumpulan bukti — Agen secara otomatis menanyakan sumber AWS data:
- AWS CloudTrail— Panggilan API dan aktivitas yang terkait dengan insiden tersebut
- IAM — Izin pengguna dan peran, perubahan kebijakan, dan pembuatan identitas baru
- Instans Amazon EC2 APIs — Informasi tentang sumber daya komputasi jika terlibat
- Cost Explorer — Metrik biaya dan penggunaan untuk konsumsi sumber daya yang tidak biasa
Analisis dan korelasi — Agen menghubungkan bukti di seluruh layanan, mengidentifikasi pola, dan membangun garis waktu peristiwa.
Pembuatan ringkasan — Dalam beberapa menit, agen menyajikan ringkasan investigasi komprehensif di tab Investigasi.

catatan

Semua bidang bersifat opsional. Jika tidak ada jawaban yang diberikan dalam 10 menit, penyelidikan dimulai secara otomatis. Dalam beberapa kasus, jika informasi yang cukup sudah tersedia, agen dapat melewatkan pertanyaan opsional sepenuhnya.

Mengakses hasil investigasi

Untuk melihat analisis AI:

Arahkan ke kasus Anda di konsol Security Incident Response.
Pilih tab Investigasi.
Tinjau ringkasan investigasi dengan temuan, garis waktu, dan konteks.

Ringkasan agen investigasi AI secara otomatis diposting sebagai komentar di bagian Komunikasi kasus, sehingga mudah untuk ditinjau bersama pembaruan kasus lainnya.

Akses dan izin data

Agen investigasi AI menggunakan Peran AWSServiceRoleForSupport Terkait Layanan untuk mengakses AWS sumber daya. Peran ini memberikan izin hanya-baca yang diperlukan untuk pengumpulan bukti.

Semua tindakan yang dilakukan oleh agen masuk AWS CloudTrail, memungkinkan pelanggan untuk mengaudit dengan tepat data apa yang diakses selama penyelidikan. Dalam AWS CloudTrail log, tindakan ini dikaitkan denganAWSServiceRoleForSupport.

Prasyarat

Sebelum menggunakan kemampuan investigasi bertenaga AI, pastikan hal-hal berikut:

Pengaturan yang diperlukan

Respons Insiden Keamanan AWS diaktifkan — Layanan harus diaktifkan melalui akun AWS Organizations manajemen.
AWS jenis kasus yang didukung - Investigasi AI hanya tersedia untuk kasus yang AWS didukung (bukan kasus yang dikelola sendiri).
AWSServiceRoleForSupport— Peran terkait layanan ini dibuat secara otomatis dan memberikan izin yang diperlukan untuk agen investigasi.

Izin yang diperlukan

Untuk membuat kasus yang AWS didukung dan mengakses hasil investigasi, prinsipal IAM memerlukan izin berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

Menggunakan agen investigasi

Agen investigasi AI aktif secara otomatis saat membuat kasus yang AWS didukung.

Untuk memantau kemajuan investigasi AI

Buka kasing Anda di Respons Insiden Keamanan AWS konsol.
Pilih tab Investigasi.
Lihat status investigasi (Sedang Berlangsung atau Selesai).
Setelah selesai, tinjau ringkasan investigasi komprehensif dengan temuan, garis waktu, dan rekomendasi.

Pengungkapan AI yang bertanggung jawab

Ringkasan investigasi dihasilkan menggunakan kemampuan AWS Generative AI. Anda bertanggung jawab untuk mengevaluasi rekomendasi yang dihasilkan AI dalam konteks spesifik Anda, menerapkan mekanisme pengawasan yang tepat, memverifikasi temuan secara independen, dan menjaga pengawasan manusia terhadap semua keputusan keamanan.

Penggunaan data pelanggan

Agen Investigasi AI tidak menggunakan data pelanggan untuk pelatihan model, dan tidak membagikan data pelanggan dengan pihak ketiga.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mendeteksi dan Menganalisis

Mengandung