Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere la pagina dei gruppi di risultati
La pagina dei gruppi di risultati elenca tutti i gruppi di risultati raccolti da Amazon Detective dal tuo grafico comportamentale. Prendi nota dei seguenti attributi dei gruppi di ricerca:
- Gravità di un gruppo
A ciascun gruppo di risultati viene assegnata una gravità basata sulla gravità dei risultati associati al AWS Security Finding Format (ASFF). I valori di gravità dei risultati ASFF sono Critica, Alta, Media, Bassa o Informativa, dal più grave al meno grave. La gravità di un raggruppamento è uguale al risultato con gravità più elevata tra tutti i risultati del gruppo.
Ai gruppi costituiti da risultati con gravità Critica o Elevata che hanno un impatto su un gran numero di entità dovrebbe essere data priorità ai fini delle indagini, poiché è più probabile che rappresentino problemi di sicurezza ad alto impatto.
- Titolo del gruppo
Nella colonna Titolo, ogni gruppo ha un ID univoco e un titolo non univoco. Questi si basano sullo spazio dei nomi di tipo ASFF per il gruppo e sul numero di risultati all'interno di tale spazio dei nomi nel cluster. Ad esempio, se un raggruppamento ha il titolo Gruppo con: TTP (2), Effetto (1) e Comportamento insolito (2), include cinque risultati totali costituiti da due risultati nello spazio dei nomi TTP, un risultato nello spazio dei nomi Effetto e due risultati nello spazio dei nomi Comportamento insolito. Per un elenco completo degli spazi dei nomi, consulta la sezione Types.
- Tattiche in un gruppo
La colonna Tattiche di un gruppo indica in quale categoria di tattiche rientra l'attività. Le categorie di tattiche, tecniche e procedure nell'elenco seguente sono allineate alla matrice MITRE ATT&CK
Puoi selezionare una tattica sulla catena per vedere una descrizione della tattica. Successivamente nella catena c'è un elenco delle tattiche rilevate all'interno del gruppo. Queste categorie e le attività che in genere rappresentano sono le seguenti:
Accesso iniziale: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esecuzione: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Persistenza: un malintenzionato sta cercando di mantenere il proprio punto d'appoggio.
Aumento dei privilegi: un malintenzionato sta cercando di ottenere autorizzazioni di livello superiore.
Evasione della difesa: un malintenzionato sta cercando di evitare di essere scoperto.
Accesso alle credenziali: un malintenzionato sta cercando di rubare nomi di account e password.
Rilevamento: un malintenzionato sta cercando di comprendere e conoscere un ambiente.
Movimento laterale: un malintenzionato sta cercando di muoversi in un ambiente.
Collezione: un malintenzionato sta cercando di raccogliere dati utili al suo obiettivo.
Comando e controllo: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esfiltrazione: un malintenzionato sta cercando di rubare dati.
Impatto: un malintenzionato sta cercando di manipolare, interrompere o distruggere i tuoi sistemi e i tuoi dati.
Altro: indica un'attività derivante da un risultato che non è in linea con le tattiche elencate nella matrice.
- Entità all'interno di un gruppo
La colonna Entità contiene dettagli sulle entità specifiche rilevate all'interno di questo raggruppamento. Seleziona questo valore per una suddivisione delle entità in base alle categorie Identità, Rete, Archiviazione ed Elaborazione. Esempi di entità in ogni categoria sono:
Identità: principi IAM e Account AWS, ad esempio, utente e ruolo
Rete: indirizzo IP o altre entità di rete e VPC
Storage: bucket Amazon S3 o DDBs
Calcola EC2 istanze Amazon o contenitori Kubernetes
- Account all'interno di un gruppo
La colonna Account indica quali AWS account possiedono le entità coinvolte nei risultati del gruppo. Gli AWS account sono elencati per nome e AWS ID in modo da poter dare priorità alle indagini sulle attività che coinvolgono account critici.
- Risultati all'interno di un gruppo
La colonna Risultati contiene un elenco delle entità all'interno di un gruppo per gravità. I risultati includono i risultati di Amazon, GuardDuty i risultati di Amazon Inspector, i risultati AWS sulla sicurezza e le prove di Detective. Puoi selezionare il grafico per visualizzare un conteggio esatto dei risultati in base alla gravità.
GuardDuty i risultati fanno parte del pacchetto principale di Detective e vengono inseriti di default. Tutti gli altri risultati AWS di sicurezza aggregati da Security Hub vengono inseriti come fonte di dati opzionale. Per maggiori dettagli, consulta Dati di origine utilizzati in un grafico di comportamento.
