View a markdown version of this page

Agente investigativo AI - AWS Security Incident Response Guida per l'utente
Panoramica diCome funzionaPrerequisitiUtilizzo dell'agente investigativo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Agente investigativo AI

Panoramica di

L'agente investigativo basato sull'intelligenza artificiale collabora con clienti e AWS Security Incident Response ingegneri per accelerare le indagini di sicurezza. Quando un cliente crea un caso AWS supportato, l'agente si attiva automaticamente in parallelo al coinvolgimento dei tecnici del Security Incident Response, riducendo i tempi di risoluzione da giorni a ore.

Durante le escalation di clienti, i casi di Security Incident Response potrebbero essere creati da te o in modo proattivo da. AWS Security Incident Response Quando viene creato un nuovo caso AWS supportato, l'agente investigativo si attiva automaticamente. Puoi gestire tutti i casi tramite la console, l'API o EventBridge le integrazioni Amazon.

Vantaggi principali

  • Indagine parallela: l'agente collabora contemporaneamente con i soccorritori, fornendo sia automazione basata sull'intelligenza artificiale che competenze umane.

  • Raccolta automatica delle prove: elimina l'analisi manuale dei log eseguendo interrogazioni automatiche su IAM AWS CloudTrail, Amazon EC2 e Cost Explorer.

  • Interfaccia in linguaggio naturale: descrivi i problemi di sicurezza in un linguaggio semplice senza bisogno di esperienza nei AWS formati di log.

  • Risposta più rapida: i riepiloghi delle indagini sono disponibili in pochi minuti nella scheda Indagine.

  • Verificabilità completa: tutte le azioni degli agenti vengono registrate AWS CloudTrail sotto il ruolo. AWSServiceRoleForSupport

Importante

Questa funzionalità è disponibile solo per i AWS casi supportati. I casi autogestiti non includono funzionalità di indagine basata sull'intelligenza artificiale.

Come funziona

L'agente investigativo basato sull'intelligenza artificiale segue un flusso di lavoro strutturato durante l'analisi dei casi di sicurezza AWS supportati:

Workflow di indagine

  1. Creazione del caso: il cliente crea un caso AWS supportato nella console Security Incident Response descrivendo il problema di sicurezza.

  2. Attivazione parallela

    • I tecnici del Security Incident Response si occupano del caso.

    • Contemporaneamente, l'agente AI inizia il flusso di lavoro investigativo.

  3. Domande contestuali (facoltative): l'agente può porre domande di chiarimento per raccogliere dettagli specifici:

    • Account interessato AWS IDs

    • Principali IAM coinvolti (utenti, ruoli, chiavi di accesso)

    • Identificatori di risorse specifici (bucket S3, istanze EC2,) ARNs

    • Intervallo di tempo in cui si verifica un'attività sospetta

  4. Raccolta di prove: l'agente interroga AWS automaticamente le fonti di dati:

    • AWS CloudTrail— Chiamate e attività API associate all'incidente

    • IAM: autorizzazioni per utenti e ruoli, modifiche alle policy e creazione di nuove identità

    • Istanza Amazon EC2 APIs: informazioni sulle risorse di elaborazione, se coinvolte

    • Cost Explorer: metriche di costo e utilizzo per un consumo insolito di risorse

  5. Analisi e correlazione: l'agente mette in correlazione le prove tra i servizi, identifica i modelli e crea una sequenza temporale degli eventi.

  6. Generazione di un riepilogo: in pochi minuti, l'agente presenta un riepilogo completo dell'indagine nella scheda Indagine.

Nota

Tutti i campi sono facoltativi. Se non viene fornita alcuna risposta entro 10 minuti, l'indagine viene avviata automaticamente. In alcuni casi, se sono già disponibili informazioni sufficienti, l'agente può saltare completamente le domande opzionali.

Accesso ai risultati delle indagini

Per visualizzare l'analisi dell'IA:

  1. Accedi al tuo caso nella console Security Incident Response.

  2. Seleziona la scheda Indagine.

  3. Consulta il riepilogo dell'indagine con i risultati, la tempistica e il contesto.

Il riepilogo dell'agente investigativo di AI viene pubblicato automaticamente come commento nella sezione Comunicazione del caso, facilitandone la lettura insieme ad altri aggiornamenti del caso.

Accesso ai dati e autorizzazioni

L'agente investigativo AI utilizza il AWSServiceRoleForSupport Service-Linked Role per accedere alle risorse. AWS Questo ruolo fornisce le autorizzazioni di sola lettura necessarie per la raccolta delle prove.

Tutte le azioni eseguite dall'agente vengono registrate AWS CloudTrail, permettendo ai clienti di verificare esattamente a quali dati hanno avuto accesso durante l'indagine. Nei AWS CloudTrail log, queste azioni sono attribuite a. AWSServiceRoleForSupport

Prerequisiti

Prima di utilizzare le funzionalità di indagine basate sull'intelligenza artificiale, assicurati quanto segue:

Configurazione richiesta

  • AWS Security Incident Response abilitato: il servizio deve essere abilitato tramite l'account AWS Organizations di gestione.

  • AWS tipo di caso supportato: l'indagine basata sull'IA è disponibile solo per i casi AWS supportati (non per i casi autogestiti).

  • AWSServiceRoleForSupport— Questo ruolo collegato al servizio viene creato automaticamente e fornisce le autorizzazioni necessarie all'agente investigativo.

Autorizzazioni richieste

Per creare casi AWS supportati e accedere ai risultati delle indagini, il responsabile IAM necessita delle seguenti autorizzazioni: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

Utilizzo dell'agente investigativo

L'agente investigativo basato sull'intelligenza artificiale si attiva automaticamente durante la creazione di un AWS caso supportato.

Per monitorare i progressi delle indagini sull'intelligenza artificiale

  1. Apri la custodia nella AWS Security Incident Response console.

  2. Scegli la scheda Indagine.

  3. Visualizza lo stato dell'indagine (In corso o Completata).

  4. Una volta completata, consulta il riepilogo completo dell'indagine con risultati, tempistica e raccomandazioni.

Divulgazione responsabile dell'IA

I riepiloghi delle indagini vengono generati utilizzando funzionalità di intelligenza AWS artificiale generativa. Sei responsabile della valutazione delle raccomandazioni generate dall'intelligenza artificiale nel tuo contesto specifico, dell'implementazione di meccanismi di supervisione appropriati, della verifica dei risultati in modo indipendente e del mantenimento della supervisione umana di tutte le decisioni di sicurezza.

Utilizzo dei dati dei clienti

AI Investigative Agent non utilizza i dati dei clienti per la formazione dei modelli e non condivide i dati dei clienti con terze parti.