本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Detective 的建议
<a name="detective-recommendations"></a>

在启用 Detective 之前，请考虑遵循以下建议

## 建议与 GuardDuty 和对齐 AWS Security Hub CSPM
<a name="recommended-service-alignment"></a>

如果您已注册 GuardDuty 和 AWS Security Hub CSPM，我们建议您的账户成为这些服务的管理员帐户。如果所有三项服务的管理员账户相同，则以下集成点就能顺利运行。
+ 在我们 GuardDuty 的 Security Hub CSPM 中，在查看 GuardDuty 调查结果的详细信息时，您可以从查找结果详细信息转到侦探调查结果配置文件。
+ 在 Detective 中，在调查 GuardDuty 发现时，你可以选择将该发现存档的选项。

如果您对 GuardDuty 和 Security Hub CSPM 有不同的管理员帐户，我们建议您根据更频繁使用的服务来调整管理员帐户。
+ 如果您 GuardDuty 更频繁地使用，请使用 GuardDuty 管理员帐户启用 Detective。

  如果您使用管理帐户， AWS Organizations 请将 GuardDuty 管理员帐户指定为组织的 Detective 管理员帐户。
+ 如果你更频繁地使用 Security Hub CSPM，请使用 Security Hub CSPM 管理员帐户启用 Detective。

  如果您使用 Organizations 来管理帐户，请将 Security Hub CSPM 管理员帐户指定为该组织的 Detective 管理员帐户。

如果您无法在所有服务中使用相同的管理员账户，则在启用 Detective 后，可以选择创建跨账户角色。该角色赋予管理员账户访问其他账户的权限。

有关 IAM 如何支持此类角色的信息，请参阅 [IAM 用户*指南中的向您拥有的另一个 AWS 账户中的 IAM 用户*提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。

## GuardDuty CloudWatch 通知频率的建议更新
<a name="recommended-guardduty-config"></a>

在中 GuardDuty，探测器配置了 Amazon CloudWatch 通知频率，用于报告发现的后续事件。这包括向 Detective 发送通知。

默认情况下，频率为 6 小时。这意味着，即使一项调查发现重复出现多次，新出现的情况也要到 6 个小时之后才会反映在 Detective 中。

为了缩短 Detective 接收这些更新的时间，我们建议 GuardDuty 管理员帐户将其探测器的设置更改为 15 分钟。请注意，更改配置不会影响使用成本 GuardDuty。

有关设置通知频率的信息，请参阅《亚马逊* GuardDuty 用户指南》中的 “使用亚马逊 CloudWatch *[事件监控 GuardDuty 结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html)”。