Esecuzione di un'indagine investigativa - Amazon Detective

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione di un'indagine investigativa

Utilizza Esegui un'indagine per analizzare risorse quali gli utenti IAM e i ruoli IAM e per generare un report di indagini. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un potenziale compromesso.

Console

Segui questi passaggi per eseguire un'indagine investigativa dalla pagina Investigazioni utilizzando la console Amazon Detective.

  1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

  2. Nel riquadro di navigazione scegli Indagini

  3. Nella pagina Investigazioni, scegli Esegui indagine nell'angolo in alto a destra.

  4. Nella sezione Seleziona risorsa, hai tre modi per condurre un'indagine. Puoi scegliere di condurre l'indagine su una risorsa consigliata dal Detective. Puoi eseguire l'indagine per una risorsa specifica. Puoi anche esaminare una risorsa dalla pagina Ricerca di Detective.

    1. Choose a recommended resource— Detective consiglia le risorse in base alla sua attività nei risultati e nei gruppi di ricerca. Per eseguire l'indagine su una risorsa consigliata dal Detective, nella tabella Risorse consigliate, selezionare una risorsa da esaminare.

      La tabella Risorse consigliate fornisce i seguenti dettagli:

      • ARN della risorsa: l'Amazon Resource Name (ARN) della risorsa. AWS

      • Motivo dell'indagine: visualizza i motivi principali per esaminare la risorsa. I motivi per cui Detective suggerisce di esaminare una risorsa sono i seguenti:

        • Se una risorsa è stata coinvolta in un esito di elevata gravità nelle ultime 24 ore.

        • Se una risorsa è stata coinvolta in un gruppo di risultati osservati negli ultimi sette giorni. I gruppi di risultati di Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. Per ulteriori dettagli, consultare Analisi dei gruppi di risultati.

        • Se una risorsa è stata coinvolta in un esito negli ultimi sette giorni.

      • Risultati più recenti: i risultati più recenti hanno la priorità all'inizio dell'elenco.

      • Tipo di risorsa: identifica il tipo di risorsa. Ad esempio, un AWS utente o AWS un ruolo.

    2. Specify an AWS role or user with an ARN— È possibile selezionare un AWS ruolo o un AWS utente ed eseguire un'indagine per la risorsa specifica.

      Segui questi passaggi per esaminare un tipo di risorsa specifico.

      1. Dall'elenco a discesa Seleziona il tipo di risorsa, scegli AWS ruolo o AWS utente.

      2. Inserisci l'ARN della risorsa IAM. Per maggiori dettagli su Resource ARNs, consulta Amazon Resource Names (ARNs) nella IAM User Guide.

    3. Find a resource to investigate from the Search page— Puoi cercare tutte le tue risorse IAM dalla pagina Detective Search.

      Segui questi passaggi per esaminare una risorsa dalla pagina di ricerca.

      1. Nel riquadro di navigazione selezionare Search (Cerca).

      2. Nella pagina di ricerca, cerca una risorsa IAM.

      3. Vai alla pagina del profilo della risorsa ed esegui l'indagine da lì.

  5. Nella sezione Ambito temporale dell'indagine, scegli l'intervallo temporale dell'indagine per valutare l'attività della risorsa selezionata. Puoi selezionare una Data di inizio e un'Ora di inizio, nonché una Data di fine e un'Ora di fine. Il periodo di validità selezionato può essere compreso tra un minimo di 3 ore e un massimo di 30 giorni.

  6. Scegli Esegui indagine.

API

Per eseguire un'indagine a livello di codice, utilizza il StartInvestigationfunzionamento dell'API Detective. Per eseguire un'indagine utilizzando AWS Command Line Interface (AWS CLI), esegui il comando start-investigation.

Nella richiesta, utilizza questi parametri per eseguire un'indagine in Detective:

  • GraphArn: specifica il nome della risorsa Amazon (ARN) del grafico di comportamento.

  • EntityArn: specifica il nome della risorsa Amazon (ARN) univoco dell'utente IAM e del ruolo IAM.

  • ScopeStartTime: facoltativamente, specifica la data e l'ora a partire dalle quali deve iniziare l'indagine. Il valore è una stringa in formato UTC ISO86 01. Ad esempio,. 2021-08-18T16:35:56.284Z

  • ScopeEndTime: facoltativamente, specifica la data e l'ora in cui deve terminare l'indagine. Il valore è una stringa in formato UTC ISO86 01. Ad esempio,. 2021-08-18T16:35:56.284Z

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Puoi anche eseguire un'indagine dalle seguenti pagine di Detective:

  • Una pagina del profilo di un utente IAM o di un ruolo IAM in Detective.

  • Il pannello di visualizzazione grafica di un gruppo di ricerca.

  • La colonna Operazioni di una risorsa coinvolta.

  • Un utente IAm o un ruolo IAM in una pagina dei risultati.

Dopo che Detective ha eseguito l'indagine su una risorsa, viene generato un report di indagini. Per accedere al rapporto, vai a Indagini dal riquadro di navigazione.