本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解调查发现群组页面
查找小组页面列出了 Amazon Detective 从您的行为图中收集的所有查找组。请注意查找结果组的以下属性:
- 群组的严重性
根据相关发现AWS的安全结果格式 (ASFF) 严重性为每个发现组分配一个严重性。ASFF 调查发现的严重性值从最严重到最不严重依次为 “急”、“高”、“中”、“低” 或 “信息性”。分组的严重性等于该分组中调查发现的最高严重性调查发现。
对于由影响大量实体的急或高严重性调查发现组成的群组,应优先进行调查,因为它们更有可能代表影响较大的安全问题。
- 群组标题
在“标题”栏中,每个群组都有一个唯一的 ID 和一个非唯一的标题。其依据是该群组的 ASFF 类型名称空间和集群中该名称空间内的调查发现数量。例如,如果一个分组的标题是:群组:TTP (2)、影响 (1) 和异常行为 (2),则总共包括五个调查发现,包括 TTP 名称空间中的两个调查发现、影响名称空间中的一个调查发现和异常行为名称空间中的两个调查发现。有关名称空间的完整列表,请参阅 ASFF 的类型分类法。
- 群组策略
群组策略栏详细说明了该活动属于哪个策略类别。以下列表中的策略、技术和程序类别与 MITRE ATT&CK 矩阵
一致。 你可以选择链上的战术来查看该战术的描述。链后面是组内检测到的策略列表。这些类别及其通常代表的活动如下:
初始存取 — 攻击者正试图进入他人的网络。
执行 — 攻击者正试图进入他人的网络。
维持 — 攻击者正努力保持其立足点。
权限升级 — 攻击者正试图获得更高级别的权限。
防御规避 — 攻击者正试图避免被检测到。
凭证访问 — 攻击者正试图窃取账户名和密码。
发现 — 攻击者正试图了解和学习环境。
横向移动 — 攻击者正试图在环境中移动。
收集 — 攻击者正试图收集与其目标相关的数据。
命令与控制 — 攻击者正试图进入他人的网络。
渗漏 — 攻击者正试图窃取数据。
影响 — 攻击者正试图操纵、中断或破坏您的系统和数据。
其他 — 表示调查发现中的活动与矩阵中列出的策略不一致。
- 群组内的实体
实体栏包含在该分组中检测到的特定实体的详细信息。选择此值可根据以下类别对实体进行细分:身份、网络、存储和计算。每个类别中的实体示例如下:
身份 — IAM 委托人和AWS 账户,例如用户和角色
网络 — IP 地址或其他网络和 VPC 实体
存储 — 亚马逊 S3 存储桶或 DDBs
计算 Amazon EC2 实例或 Kubernetes 容器
- 群组内的账户
“账户” 列会告诉您哪些AWS账户拥有与群组中的调查结果相关的实体。AWS账户按名称和AWS ID 列出,因此您可以优先调查涉及关键账户的活动。
- 群组内的调查发现
调查发现栏按严重性列出了群组内中的实体。调查结果包括亚马逊的调查 GuardDuty 结果、Amazon Inspector的调查结果、AWS安全调查结果和Detective的证据。您可以选择图表,查看按严重性分列的调查发现的精确计数。
GuardDuty 调查结果是 Detective 核心包的一部分,默认情况下会被摄取。由 Security Hub CSPM 汇总的所有其他AWS安全发现都将作为可选数据源摄取。有关更多详细信息,请参阅行为图中使用的源数据。
