Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Analisi dei risultati in Amazon Detective
Un risultato è un'istanza di un'attività potenzialmente dannosa o di altro rischio rilevato. Amazon GuardDuty e i risultati AWS di sicurezza vengono caricati in Amazon Detective in modo che tu possa utilizzare Detective per indagare sulle attività associate alle entità coinvolte. GuardDuty i risultati fanno parte del pacchetto principale di Detective e vengono inseriti di default. Tutti gli altri risultati AWS di sicurezza aggregati da Security Hub CSPM vengono inseriti come fonte di dati opzionale. Per maggiori dettagli, consulta [Dati di origine utilizzati in un grafico di comportamento](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html).
Una panoramica dei risultati di Detective fornisce informazioni dettagliate sul risultato. Visualizza anche un riepilogo delle entità coinvolte, con collegamenti ai profili delle entità associate.
Se un risultato è correlato a un'attività più ampia, Detective avvisa di **passare al gruppo di risultati**. Consigliamo di utilizzare i gruppi di risultati per continuare l'indagine in quanto questi gruppi consentono di esaminare più attività relative a un potenziale evento di sicurezza. Per informazioni, consulta [Analisi dei gruppi di risultati](groups-about.md).
Amazon Detective offre una visualizzazione interattiva dei gruppi di risultati. Questa visualizzazione è progettata per aiutarti a esaminare i problemi in modo più rapido e approfondito con meno sforzo. Il pannello **Visualizzazione** del gruppo di risultati mostra i risultati e le entità coinvolte in un gruppo di risultati. È possibile utilizzare questa visualizzazione interattiva per analizzare, comprendere e valutare l'impatto del gruppo di risultati. Questo pannello consente di visualizzare le informazioni presentate nella tabella **Entità coinvolte** e **Risultati coinvolti**. Dalla presentazione visiva, è possibile selezionare i risultati o le entità per ulteriori analisi. [Vedi Finding group visualization.](https://docs.aws.amazon.com/detective/latest/userguide/group-visual-finding-group.html)
**Topics**
+ [Analisi di una panoramica dei risultati in Detective](finding-overview.md)
+ [Analisi dei gruppi di risultati](groups-about.md)
+ [Riepilogo dei gruppi di risultati basato sull'IA generativa](finding-group-summary.md)
+ [Archiviazione di una ricerca su Amazon GuardDuty](finding-update-status.md)
# Analisi di una panoramica dei risultati in Detective
Una panoramica dei risultati di Detective fornisce informazioni dettagliate sul risultato. Visualizza anche un riepilogo delle entità coinvolte, con collegamenti ai profili delle entità associate.
## Periodo di validità utilizzato per la panoramica dei risultati
Il periodo di validità per una panoramica dei risultati è impostato sulla finestra dell'ora del risultato. La finestra dell'ora del risultato riporta la prima e l'ultima volta in cui l'attività del risultato è stata osservata.
## Dettagli degli esiti
Il pannello a destra contiene i dettagli del risultato. Questi sono i dettagli forniti dal provider dei risultati.
Dai dettagli del risultato, puoi anche archiviare il risultato. Per maggiori dettagli, consulta [Archiviazione di un GuardDuty risultato Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).
## Entità correlate
Una panoramica dei risultati contiene un elenco delle entità coinvolte nel risultato. Per ogni entità, l'elenco fornisce informazioni generali sull'entità. Queste informazioni riflettono le informazioni sul pannello del profilo dei dettagli dell'entità sul profilo dell'entità corrispondente.
Puoi filtrare l'elenco in base al tipo di entità. È possibile inoltre filtrare l'elenco in base al testo dell'identificatore di entità.
Per passare al profilo di un'entità, scegli **Vedi profilo**. Quando si passa al profilo dell'entità, si verifica quanto segue:
+ Il periodo di validità è impostato sulla finestra dell'ora del risultato.
+ Nel pannello **Risultati associati** per l'entità, il risultato è selezionato. I dettagli del risultato rimangono visualizzati sulla destra del profilo dell'entità.
## Risoluzione dei problemi relativi a "Pagina non trovata"
Quando accedi a un'entità o a un esito in Detective, potresti visualizzare un messaggio di errore **Pagina non trovata**.
Per risolvere il problema, procedi in uno dei seguenti modi:
+ Assicurati che l'entità o l'esito appartenga a uno dei tuoi account membro. Per informazioni su come esaminare gli account dei membri, consulta [Visualizzazione dell'elenco degli account](https://docs.aws.amazon.com/detective/latest/userguide/accounts-view-list.html).
+ Assicurati che il tuo account amministratore sia allineato con il CSPM di Security Hub GuardDuty e/o con Security Hub per passare a Detective da questi servizi. Per i consigli, consulta [Allineamento consigliato con GuardDuty e Security Hub](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations) CSPM.
+ Verifica che l'esito si sia verificato dopo che l'account membro ha accettato l'invito.
+ Verifica che il grafico del comportamento di Detective stia importando dati da un pacchetto di origine dati opzionale. Per ulteriori informazioni sui dati di origine utilizzati nei grafici comportamentali del Detective, consulta [Dati di origine utilizzati in un grafico comportamentale](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
+ Per consentire a Detective di importare dati da Security Hub CSPM e aggiungerli al grafico del comportamento, è necessario abilitare Detective for AWS security findings come pacchetto di origine dati. [Per ulteriori informazioni, consulta AWS i risultati di sicurezza.](https://docs.aws.amazon.com//detective/latest/userguide/source-data-types-asff.html)
+ Se stai passando a un profilo di entità o a una panoramica dei risultati in Detective, assicurati che l'URL sia nel formato corretto. Per i dettagli sulla formazione dell'URL di un profilo, consulta [Navigazione a un profilo di entità o alla panoramica di risultati tramite un URL](https://docs.aws.amazon.com/detective/latest/userguide/profile-navigate-url.html).
# Analisi dei gruppi di risultati
I gruppi di risultati di Amazon Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. Un gruppo di ricerca in Amazon Detective viene creato quando Detective rileva uno schema o una relazione tra più risultati che suggerisce che siano correlati allo stesso potenziale incidente di sicurezza. Questo raggruppamento aiuta a gestire e analizzare i risultati correlati in modo più efficiente.
È possibile analizzare la causa principale dei GuardDuty risultati di elevata gravità utilizzando i gruppi di ricerca. Se un autore della minaccia sta tentando di compromettere l'AWS ambiente, in genere esegue una sequenza di azioni che portano a molteplici risultati di sicurezza e a comportamenti insoliti. Queste operazioni sono spesso distribuite nel tempo e nelle entità. L'indagine isolata dei risultati relativi alla sicurezza può portare a un'interpretazione errata del loro significato e alla difficoltà di individuarne la causa principale. Amazon Detective risolve questo problema applicando una tecnica di analisi dei grafici che deduce le relazioni tra risultati ed entità e li raggruppa in un gruppo di risultati. Consigliamo di trattare i gruppi di risultati come punto di partenza per indagare sulle entità e sui risultati coinvolti.
Detective analizza i dati dei risultati e li raggruppa con altri risultati che potrebbero essere correlati in base alle risorse che condividono. Ad esempio, è molto probabile che i risultati relativi a operazioni intraprese dalle stesse sessioni di ruolo IAM o provenienti dallo stesso indirizzo IP facciano parte della stessa attività sottostante. È utile indagare sui risultati e sulle prove in gruppo, anche se le associazioni fatte da Detective non sono correlate.
I gruppi di ricerca vengono creati in base ai seguenti criteri.
+ Prossimità temporale: i risultati che si verificano in un periodo di tempo ristretto vengono spesso raggruppati, poiché probabilmente sono correlati allo stesso incidente.
+ Entità comuni: i risultati che coinvolgono le stesse entità, come indirizzi IP, utenti o risorse, vengono raggruppati. Questo aiuta a comprendere la portata dell'incidente in diverse parti dell'ambiente.
+ Modelli e comportamenti — Il Detective analizza i modelli e i comportamenti contenuti nei risultati, come tipi simili di attacchi o attività sospette, per determinare le relazioni e raggrupparle di conseguenza.
+ Tattiche, tecniche e procedure (TTPs): i risultati che hanno caratteristiche simili TTPs, come descritto in framework come MITRE ATT&CK, vengono raggruppati per evidenziare potenziali attacchi coordinati.
Questi criteri aiutano a semplificare il processo di indagine in modo da potersi concentrare su risultati correlati che probabilmente rappresentano lo stesso incidente di sicurezza.
Oltre ai risultati, ogni gruppo include le entità coinvolte nei risultati. Le entità possono includere risorse esterne,AWS ad esempio indirizzi IP o agenti utente.
**Nota**
Dopo un GuardDuty risultato iniziale correlato a un altro risultato, il gruppo di ricerca con tutti i risultati correlati e tutte le entità coinvolte viene creato entro 48 ore.
# Comprendere la pagina dei gruppi di risultati
La pagina dei gruppi di risultati elenca tutti i gruppi di risultati raccolti da Amazon Detective dal tuo grafico comportamentale. Prendi nota dei seguenti attributi dei gruppi di ricerca:
**Gravità di un gruppo**
A ciascun gruppo di risultati viene assegnata una gravità basata sulla gravità dei risultati associati al AWS Security Finding Format (ASFF). I valori di gravità dei risultati ASFF sono **Critica**, **Alta**, **Media**, **Bassa** o **Informativa**, dal più grave al meno grave. La gravità di un raggruppamento è uguale al risultato con gravità più elevata tra tutti i risultati del gruppo.
Ai gruppi costituiti da risultati con gravità **Critica** o **Elevata** che hanno un impatto su un gran numero di entità dovrebbe essere data priorità ai fini delle indagini, poiché è più probabile che rappresentino problemi di sicurezza ad alto impatto.
**Titolo del gruppo**
Nella colonna **Titolo**, ogni gruppo ha un ID univoco e un titolo non univoco. Questi si basano sullo spazio dei nomi di tipo ASFF per il gruppo e sul numero di risultati all'interno di tale spazio dei nomi nel cluster. Ad esempio, se un raggruppamento ha il titolo Gruppo con: **TTP (2), Effetto (1) e Comportamento insolito (2)**, include cinque risultati totali costituiti da due risultati nello spazio dei nomi **TTP**, un risultato nello spazio dei nomi **Effetto** e due risultati nello spazio dei nomi **Comportamento insolito**. Per un elenco completo degli spazi dei nomi, consulta la sezione [Types](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html).
**Tattiche in un gruppo**
La colonna **Tattiche** di un gruppo indica in quale categoria di tattiche rientra l'attività. Le categorie di tattiche, tecniche e procedure nell'elenco seguente sono allineate alla matrice [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/)
Puoi selezionare una tattica sulla catena per vedere una descrizione della tattica. Successivamente nella catena c'è un elenco delle tattiche rilevate all'interno del gruppo. Queste categorie e le attività che in genere rappresentano sono le seguenti:
+ **Accesso iniziale**: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
+ **Esecuzione**: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
+ **Persistenza**: un malintenzionato sta cercando di mantenere il proprio punto d'appoggio.
+ **Aumento dei privilegi**: un malintenzionato sta cercando di ottenere autorizzazioni di livello superiore.
+ **Evasione della difesa**: un malintenzionato sta cercando di evitare di essere scoperto.
+ **Accesso alle credenziali**: un malintenzionato sta cercando di rubare nomi di account e password.
+ **Rilevamento**: un malintenzionato sta cercando di comprendere e conoscere un ambiente.
+ **Movimento laterale**: un malintenzionato sta cercando di muoversi in un ambiente.
+ **Collezione**: un malintenzionato sta cercando di raccogliere dati utili al suo obiettivo.
+ **Comando e controllo**: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
+ **Esfiltrazione**: un malintenzionato sta cercando di rubare dati.
+ **Impatto**: un malintenzionato sta cercando di manipolare, interrompere o distruggere i tuoi sistemi e i tuoi dati.
+ **Altro**: indica un'attività derivante da un risultato che non è in linea con le tattiche elencate nella matrice.
**Entità all'interno di un gruppo**
La colonna **Entità** contiene dettagli sulle entità specifiche rilevate all'interno di questo raggruppamento. Seleziona questo valore per una suddivisione delle entità in base alle categorie **Identità**, **Rete**, **Archiviazione** ed **Elaborazione**. Esempi di entità in ogni categoria sono:
+ **Identità**: principi IAM e Account AWS, ad esempio, utente e ruolo
+ **Rete**: indirizzo IP o altre entità di rete e VPC
+ **Storage**: bucket Amazon S3 o DDBs
+ **Calcola** EC2 istanze Amazon o contenitori Kubernetes
**Account all'interno di un gruppo**
La colonna **Account** indica quali AWS account possiedono le entità coinvolte nei risultati del gruppo. Gli AWS account sono elencati per nome e AWS ID in modo da poter dare priorità alle indagini sulle attività che coinvolgono account critici.
**Risultati all'interno di un gruppo**
La colonna **Risultati** contiene un elenco delle entità all'interno di un gruppo per gravità. I risultati includono i risultati di Amazon, GuardDuty i risultati di Amazon Inspector, i risultati AWS sulla sicurezza e le prove di Detective. Puoi selezionare il grafico per visualizzare un conteggio esatto dei risultati in base alla gravità.
GuardDuty i risultati fanno parte del pacchetto principale di Detective e vengono inseriti di default. Tutti gli altri risultati AWS di sicurezza aggregati da Security Hub CSPM vengono inseriti come fonte di dati opzionale. Per maggiori dettagli, consulta [Dati di origine utilizzati in un grafico di comportamento](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html).
# Risultati informativi nei gruppi di risultati
Amazon Detective identifica ulteriori informazioni relative a un gruppo di risultati sulla base dei dati del grafico di comportamento raccolti negli ultimi 45 giorni. Detective presenta queste informazioni come un risultato con gravità **informativa**. Le prove forniscono informazioni di supporto che evidenziano un'attività insolita o un comportamento sconosciuto potenzialmente sospetto se osservati all'interno di un gruppo di risultati. Ciò potrebbe includere le geolocalizzazioni appena osservate o chiamate API osservate nel periodo di validità di un risultato. I risultati delle prove sono visualizzabili solo in Detective e non vengono inviati a AWS Security Hub CSPM.
Detective determina la posizione delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di IP. Per ulteriori informazioni su MaxMind, consulta la sezione [Geolocalizzazione MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Se ritieni che uno qualsiasi dei dati GeoIP sia errato, puoi inviare una richiesta di correzione a Maxmind all'indirizzo [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2
È possibile osservare le prove per diversi tipi di principali (come l'utente IAM o il ruolo IAM). Per alcuni tipi di prove, puoi osservare le prove per **tutti gli account**. Ciò significa che le prove influiscono sull'intero grafico di comportamento. Se viene osservato un risultato prova per tutti gli account, vedrai anche almeno un risultato prova informativo aggiuntivo dello stesso tipo per un singolo ruolo IAM. Ad esempio, se visualizzi un risultato **Nuova geolocalizzazione osservata per tutti gli account**, ne vedrai un altra per **Nuova geolocalizzazione osservata per un principale**.
****Tipi di prove nei gruppi di risultati****
+ Nuova geolocalizzazione osservata
+ Nuova organizzazione autonoma del sistema (ASO) osservata
+ Nuovo agente utente osservato
+ Nuova chiamata API emessa
+ Nuova geolocalizzazione osservata per tutti gli account
+ Nuovo principale IAM osservato per tutti gli account
# Profili dei gruppi di risultati
Quando si seleziona il titolo di un gruppo, si apre un profilo del gruppo di risultati con ulteriori dettagli su quel gruppo. Il pannello dei dettagli nella pagina del profilo dei gruppi di risultati supporta la visualizzazione di un massimo di 1.000 entità e risultati per i gruppi di risultati principali e secondari.
La pagina del profilo del gruppo mostra il **periodo di validità** impostato per il gruppo. Si tratta della data e dell'ora comprese tra il primo risultato o la prima prova inclusi nel gruppo al risultato o alla prova più recente aggiornata in un gruppo. Puoi anche vedere la **gravità del gruppo di risultati**, che è uguale alla categoria di gravità più alta tra i risultati del gruppo. Altri dettagli all'interno di questo pannello del profilo includono:
+ La catena **Tattiche coinvolte** mostra quali tattiche sono attribuite ai risultati del gruppo. Le tattiche si basano sulla [matrice MITRE ATT&CK per Enterprise](https://attack.mitre.org/matrices/enterprise/). Le tattiche sono mostrate come una catena di punti colorati che rappresenta la progressione tipica di un attacco dalle fasi iniziali a quelle più recenti. Ciò significa che i cerchi più a sinistra della catena rappresentano in genere attività meno gravi dove un malintenzionato sta tentando di ottenere o mantenere l'accesso al tuo ambiente. Al contrario, le attività rivolte a destra sono le più gravi e possono includere la manomissione o la distruzione dei dati.
+ Le relazioni che questo gruppo intrattiene con altri gruppi. Occasionalmente, uno o più gruppi di risultati precedentemente non collegati potrebbero essere uniti in un nuovo gruppo sulla base di un collegamento appena scoperto, ad esempio un esito che coinvolge entità dei gruppi esistenti. In questo caso, Amazon Detective disattiva i gruppi principali e crea un gruppo secondario. Puoi ricondurre la discendenza di qualsiasi gruppo ai suoi gruppi principali. I gruppi possono avere le relazioni seguenti:
+ **Gruppo di risultati secondario**: un gruppo di risultati creato quando un risultato coinvolto in altri due gruppi di risultati è coinvolto in un nuovo risultato. I gruppi principali dei risultati sono elencati per ogni gruppo secondario.
+ **Gruppo di risultati principale**: un gruppo di risultati è principale quando da esso è stato creato un gruppo secondario. Se un gruppo di risultati è un gruppo principale, i relativi gruppi secondari vengono elencati insieme ad esso. Lo stato di un gruppo principale diventa **Inattivo** quando viene unito a un gruppo secondario **Attivo**.
Ci sono due schede informative che aprono i pannelli del profilo. Utilizzando le schede **Entità coinvolte** e **Risultati coinvolti**, è possibile visualizzare ulteriori dettagli sul gruppo.
Usa **Esegui indagine** per generare un report sulle indagini. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un compromesso.
## Profilo all'interno dei gruppi
**Entità coinvolte**
Si concentra sulle entità del gruppo di risultati, compresi i risultati all'interno del gruppo a cui ciascuna entità è collegata. Vengono inoltre visualizzati i tag allegati a ciascuna entità in modo da poter identificare rapidamente le entità importanti in base ai tag. Seleziona un'entità per visualizzarne il profilo.
**Risultati coinvolti**
Contiene dettagli su ogni risultato, inclusa la gravità del risultato, ogni entità coinvolta e quando quel risultato è stato visto per la prima e l'ultima volta. Seleziona un tipo di risultato nell'elenco per aprire un pannello dei dettagli del risultato con informazioni aggiuntive su tale risultato. Come parte del pannello **Risultati coinvolti**, potresti visualizzare risultati **informativi** basati su prove di Detective dal tuo grafico di comportamento.
# Visualizzazione dei gruppi di risultati
Amazon Detective offre una visualizzazione interattiva dei gruppi di risultati. Questa visualizzazione è progettata per aiutarti a esaminare i problemi in modo più rapido e approfondito con meno sforzo. Il pannello **Visualizzazione** del gruppo di risultati mostra i risultati e le entità coinvolte in un gruppo di risultati. È possibile utilizzare questa visualizzazione interattiva per analizzare, comprendere e valutare l'impatto del gruppo di risultati. Questo pannello consente di visualizzare le informazioni presentate nella tabella **Entità coinvolte** e **Risultati coinvolti**. Dalla presentazione visiva, è possibile selezionare i risultati o le entità per ulteriori analisi.
I gruppi di risultati di Detective con risultati aggregati sono un gruppo di risultati collegati allo stesso tipo di risorsa. Con i risultati aggregati, puoi valutare rapidamente la composizione di un gruppo di risultati e interpretare più rapidamente i problemi di sicurezza. Nel pannello dei dettagli dei gruppi di risultati, vengono combinati risultati simili ed è possibile espandere i risultati per visualizzare insieme risultati relativamente simili. Ad esempio, un nodo di evidenza, che presenta risultati informativi e risultati medi dello stesso tipo. Al momento, è possibile visualizzare il titolo, l'origine, il tipo e la gravità dei gruppi di risultati con risultati aggregati.
Da questo pannello interattivo puoi:
+ Usa **Esegui indagine** per generare un report sulle indagini. Il report generato descrive in dettaglio il comportamento anomalo che indica una compromissione. Per maggiori dettagli, vedi [Investigazioni Detective](https://docs.aws.amazon.com//detective/latest/userguide/investigations-about.html).
+ Visualizzare maggiori dettagli sui gruppi di risultati con risultati aggregati per analizzare le prove, le entità e i risultati coinvolti.
+ Visualizza le etichette delle entità e dei risultati per identificare le entità interessate con potenziali problemi di sicurezza. Puoi disattivare l'**etichetta**.
+ Riorganizza le entità e i risultati per comprendere meglio la loro interconnessione. Isola le entità e i risultati da un gruppo spostando l'elemento selezionato nel gruppo di risultati.
+ Seleziona le prove, le entità e i risultati per visualizzare maggiori dettagli su di essi. Per selezionare più elementi, scegli **command/control** e scegli gli elementi o trascinali e rilasciali usando il puntatore.
+ Modifica il layout per adattare tutte le entità e i risultati alla finestra del gruppo di risultati. Visualizza quali tipi di entità sono prevalenti in un gruppo di risultati.
**Nota**
Il pannello **Visualizzazione** del gruppo di risultati supporta la visualizzazione di gruppi di risultati con un massimo di 100 entità e risultati.
**È possibile utilizzare il menu a discesa per visualizzare i risultati e le entità in un layout **radiale, **circolare**, diretto** dalla **forza** o a griglia.** Il layout **radiale** offre una visualizzazione migliorata per una più facile interpretazione dei dati. Il layout **a forza diretta** posiziona le entità e i risultati in modo che i collegamenti abbiano una lunghezza costante tra gli elementi e che siano distribuiti in modo uniforme. Questo aiuta a ridurre le sovrapposizioni. Il layout selezionato definisce il posizionamento dei risultati nel pannello **Visualizzazione**.
## Layout della sequenza temporale
Il layout della sequenza temporale offre un modo dinamico per visualizzare l'evoluzione dei gruppi di ricerca nel tempo. Questo ti consente di vedere la progressione degli eventi, aiutandoti a comprendere meglio la sequenza e la potenziale causalità degli incidenti di sicurezza utilizzando Detective.
Usa il cursore della timeline nella parte inferiore del pannello di visualizzazione per selezionare un momento specifico. La visualizzazione verrà aggiornata per mostrare lo stato del gruppo di ricerca in quel momento. Il pulsante play che ti consente di avanzare automaticamente nella timeline. Fai clic sul pulsante play per avviare l'animazione. La visualizzazione si aggiornerà in tempo reale, mostrando come cambia il gruppo di ricerca nel tempo. Usa il pulsante di pausa per interrompere l'animazione in qualsiasi momento.
Ora puoi filtrare i risultati in base al loro livello di gravità utilizzando il menu a discesa Filtro. Quando applichi un filtro, la visualizzazione si aggiornerà per mostrare solo i risultati che corrispondono al livello di gravità selezionato. Il filtro influisce solo sui risultati mostrati nella timeline, non nella visualizzazione completa di Finding Group. Ciò consente di concentrarsi rapidamente su problemi ad alta priorità o di esaminare tipi specifici di risultati.
Puoi utilizzare la funzionalità di filtro in combinazione con il layout della sequenza temporale per vedere come emergono ed evolvono nel tempo i risultati con diversi livelli di gravità.
**Workflow investigativo migliorato**
Con l'aggiunta del layout della sequenza temporale e delle funzionalità di filtro, ora puoi condurre indagini ancora più complete:
1. Inizia visualizzando l'intero gruppo di risultati utilizzando uno dei layout statici (Radial, Circle, Force-directed o Grid).
1. Usa le tempistiche per capire come si è sviluppata la situazione nel tempo.
1. Usa il pulsante play per avanzare automaticamente nella timeline, osservando i momenti o gli schemi chiave.
1. Fai una pausa nei punti significativi per approfondire le tue ricerche.
1. Applica filtri per concentrarti sui risultati di livelli di gravità specifici.
1. Usa le scorciatoie da tastiera e gli strumenti di selezione per approfondire le entità e i risultati di interesse.
Questo flusso di lavoro migliorato consente un'indagine più dettagliata e approfondita di scenari di sicurezza complessi. È possibile condurre indagini di sicurezza più efficienti ed efficaci, con conseguente risoluzione degli incidenti più rapida e un miglioramento del livello di sicurezza generale.
## Tasti di scelta rapida
Puoi utilizzare le seguenti scorciatoie da tastiera per interagire con il pannello di visualizzazione del gruppo di risultati:
+ Clic: seleziona un singolo nodo, deseleziona tutti gli altri nodi, deseleziona tutti i nodi se si fa clic su uno spazio bianco.
+ Ctrl \$1 Click: seleziona un singolo nodo, non deseleziona gli altri nodi.
+ Trascina: sposta la vista.
+ Ctrl \$1 Drag — Marquee seleziona, non deseleziona gli altri nodi.
+ Shift \$1 Drag — Marquee seleziona e deseleziona tutti gli altri nodi.
+ Tasti freccia: modifica il focus tra i nodi.
+ Ctrl \$1 Space: seleziona o deseleziona il nodo attualmente focalizzato.
+ Shift \$1 Tasti freccia: modifica il focus tra i nodi e li seleziona.
La **legenda** dinamica cambia in base alle entità e ai risultati nel grafico corrente. Ti aiuta a identificare ciò che rappresenta ogni elemento visivo.
# Riepilogo dei gruppi di risultati basato sull'IA generativa
Per impostazione predefinita, Amazon Detective fornisce automaticamente i riepiloghi di un singolo gruppo di risultati. I riepiloghi sono basati su modelli di intelligenza artificiale generativa (IA generativa) ospitati su [Amazon Bedrock](https://docs.aws.amazon.com//bedrock/latest/userguide/what-is-bedrock.html). Finding Group Summary è disponibile senza costi aggiuntivi se Detective è abilitato.
**Nota**
A partire dal 16 febbraio 2026, la funzione Finding Group Summary di Detective selezionerà automaticamente la regione AWS ottimale (da un raggruppamento di endpoint regionali all'interno della tua area geografica) per elaborare i dati del gruppo di ricerca e generare riepiloghi utilizzando. [Inferenza tra regioni](#fg-summary-cross-region-inference)
Se non desideri utilizzare questa funzionalità, puoi disabilitarla dalla console di Detective o utilizzando le autorizzazioni di negazione sul ruolo IAM utilizzato per accedere alla console di Detective. Per informazioni, consulta [Disattivazione della ricerca del riepilogo del gruppo](#fg-summary-disable).
Con i gruppi di risultati, puoi esaminare più risultati di sicurezza, in quanto si riferiscono a un potenziale evento di sicurezza, e identificare i potenziali attori delle minacce. I riepiloghi dei gruppi di risultati si basano su queste funzionalità. I riepiloghi di gruppi di risultati utilizzano i dati per un gruppo di sicurezza, analizzano rapidamente le relazioni tra i risultati e le risorse interessate, quindi riassumono le potenziali minacce in linguaggio naturale. Puoi utilizzare questi riepiloghi per identificare le maggiori minacce alla sicurezza, migliorare l'efficienza delle indagini e abbreviare i tempi di risposta.
**Nota**
I riepiloghi dei gruppi di sicurezza basati sull'IA generativa possono fornire, e non sempre, informazioni completamente accurate. Per ulteriori informazioni, consulta [Politica sull'IA responsabile di AWS](https://aws.amazon.com//machine-learning/responsible-ai/policy/).
## Revisione del riepilogo del gruppo di risultati
Il riepilogo del gruppo di risultati per un gruppo di risultati fornisce una spiegazione chiara e dettagliata di un evento di sicurezza. In linguaggio naturale, la spiegazione include un titolo succinto, un riepilogo delle risorse coinvolte e le informazioni dettagliate su tali risorse.
**Rivedere un riepilogo del gruppo di risultati**
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione scegli **Gruppi di risultati**.
1. Nella tabella **Gruppi di risultati**, scegli il gruppo di risultati di cui desideri visualizzare un riepilogo. Viene visualizzata una pagina dei dettagli.
Nella pagina dei dettagli, è possibile utilizzare il riquadro **Riepilogo** per esaminare un riepilogo descrittivo generato dei principali risultati del gruppo di risultati. È inoltre possibile esaminare un'analisi dei principali eventi di minaccia nel gruppo di risultati, che possono essere approfonditi ulteriormente. Per aggiungere il riepilogo generato alle tue note o a un sistema di creazione di ticket, scegli l'icona di copia nel riquadro. In questo modo, il riepilogo viene copiato negli appunti. Puoi anche condividere il tuo feedback sull'output di riepilogo del gruppo di risultati contenuto nel riepilogo, che può fornire un'esperienza migliore in futuro. Per condividere il tuo feedback, scegli l'icona con il pollice in su o il pollice in giù, a seconda della natura del feedback.
**Nota**
Se fornisci un feedback sul riepilogo del gruppo di risultati, il tuo feedback non viene utilizzato per la messa a punto del modello. Li usiamo solo per garantire che le istruzioni in Detective siano realizzate in modo efficace.
![\[Il riquadro Riepilogo, con un riepilogo descrittivo generato dei principali risultati di un gruppo di risultati e un'analisi dei principali eventi di minaccia del gruppo.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/Detective-assistant.png)
## Disattivazione della ricerca del riepilogo del gruppo
Per impostazione predefinita, il riepilogo dei gruppi di risultati è abilitato per i gruppi di risultati. I clienti che non desiderano utilizzare la funzionalità di riepilogo del gruppo di ricerca possono disattivarlo a livello di utente o tramite il ruolo IAM utilizzato per accedere alla console di AWS gestione.
### Disattivazione a livello di utente
Ogni utente che accede a Detective può impostare le proprie preferenze individuali per disattivare la funzione di riepilogo del gruppo di ricerca. La disattivazione del riepilogo impedirà l'elaborazione dei dati del gruppo di ricerca tramite inferenza interregionale.
**Per disattivare la ricerca del riepilogo del gruppo**
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione, scegli **Preferences** (Preferenze).
1. In **Riepilogo del gruppo di risultati**, scegli **Modifica**.
1. Disattiva **Abilitato**.
1. Scegli **Save** (Salva).
### Disattivazione basata sui ruoli IAM
È possibile disattivare la funzionalità di riepilogo del gruppo di ricerca modificando il ruolo IAM utilizzato per accedere a Detective. L'aggiunta di un'istruzione Deny per l'`detective:InvokeAssistant`autorizzazione sul ruolo impedirà a tutti gli utenti che accedono a Detective tramite quel ruolo di utilizzare la funzione di riepilogo del gruppo di ricerca, impedendo l'elaborazione dei dati di ricerca del gruppo tramite inferenza interregionale. Gli utenti possono quindi seguire individualmente i passaggi di opt-out a livello utente per impedire la visualizzazione del riquadro di riepilogo.
**Per disattivare la ricerca del riepilogo del gruppo utilizzando IAM**
1. Identifica i ruoli IAM utilizzati per accedere ad Amazon Detective.
1. Aggiungi al ruolo una dichiarazione politica IAM con l'`Deny`effetto dell'`detective:InvokeAssistant`azione.
## Abilitazione del riepilogo del gruppo di risultati
Se in precedenza hai disattivato la ricerca del riepilogo dei gruppi per la ricerca dei gruppi, puoi riattivarli in qualsiasi momento.
**Abilitare il riepilogo del gruppo di risultati**
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione, scegli **Preferences** (Preferenze).
1. In **Riepilogo del gruppo di risultati**, scegli **Modifica**.
1. Attiva **Abilitato**.
1. Scegli **Save** (Salva).
## Inferenza tra regioni
Detective seleziona automaticamente la AWS regione ottimale all'interno della tua area geografica per elaborare i dati del gruppo di ricerca e generare riepiloghi. Ciò ottimizza le risorse di elaborazione disponibili, la disponibilità dei modelli e offre la migliore esperienza al cliente. I dati del gruppo di ricerca rimangono archiviati solo nella regione in cui ha origine la richiesta di riepilogo, tuttavia, i dati del gruppo di ricerca e i risultati di riepilogo possono essere elaborati al di fuori di tale regione. Tutti i dati vengono trasmessi crittografati attraverso la rete sicura di Amazon.
Detective indirizza in modo sicuro le richieste di inferenza alle risorse di calcolo disponibili all'interno dell'area geografica in cui ha avuto origine la richiesta, come mostrato nella tabella seguente.
**Routing di inferenza tra regioni**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/finding-group-summary.html)
## Regioni supportate
**Il riepilogo del gruppo di ricerca è disponibile nelle seguenti regioni.** AWS
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Asia Pacifico (Tokyo)
+ Europa (Francoforte)
# Archiviazione di una ricerca su Amazon GuardDuty
Una volta completata l'indagine su un GuardDuty ritrovamento di Amazon, puoi archiviarlo su Amazon Detective. Questo ti evita la fatica di dover tornare GuardDuty per effettuare l'aggiornamento. L'archiviazione di un risultato indica che l'indagine è terminata.
Puoi archiviare un GuardDuty risultato dall'interno di Detective solo se sei anche l'account GuardDuty amministratore dell'account associato al risultato. Se non sei un account GuardDuty amministratore e tenti di archiviare un risultato, GuardDuty visualizza un errore.
**Per archiviare un GuardDuty risultato**
1. Accedi alla console AWS di gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nella console Detective, nel pannello dei dettagli dei risultati, scegli **Archivia ricerca**.
1. Quando viene chiesto di confermare, seleziona **Archivia**.
Puoi visualizzare i GuardDuty risultati archiviati nella GuardDuty console. I risultati archiviati vengono archiviati GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo. Puoi visualizzare i risultati soppressi nella GuardDuty console selezionando Archived dalla tabella dei risultati o tramite l' GuardDuty API utilizzando l'[ListFindingsAPI](https://docs.aws.amazon.com//guardduty/latest/APIReference/API_ListFindings.html) con un criterio findingCriteria di service.archived uguale a true. Per ulteriori informazioni, consulta [Suppression Rules](https://docs.aws.amazon.com//guardduty/latest/ug/findings_suppression-rule.html) nella *Amazon GuardDuty User Guide*.