本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 了解调查发现群组页面 查找小组页面列出了 Amazon Detective 从您的行为图中收集的所有查找组。请注意查找结果组的以下属性: **群组的严重性** 根据相关发现AWS的安全结果格式 (ASFF) 严重性为每个发现组分配一个严重性。ASFF 调查发现的严重性值从最严重到最不严重依次为 “**急**”、“**高**”、“**中**”、“**低**” 或 “**信息性**”。分组的严重性等于该分组中调查发现的最高严重性调查发现。 对于由影响大量实体的**急**或**高**严重性调查发现组成的群组,应优先进行调查,因为它们更有可能代表影响较大的安全问题。 **群组标题** 在“**标题**”栏中,每个群组都有一个唯一的 ID 和一个非唯一的标题。其依据是该群组的 ASFF 类型名称空间和集群中该名称空间内的调查发现数量。例如,如果一个分组的标题是:群组:**TTP (2)、影响 (1) 和异常行为 (2)**,则总共包括五个调查发现,包括 **TTP** 名称空间中的两个调查发现、**影响**名称空间中的一个调查发现和**异常行为**名称空间中的两个调查发现。有关名称空间的完整列表,请参阅 [ASFF 的类型分类法](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html)。 **群组策略** 群组**策略**栏详细说明了该活动属于哪个策略类别。以下列表中的策略、技术和程序类别与 [MITRE ATT&CK 矩阵](https://attack.mitre.org/matrices/enterprise/)一致。 你可以选择链上的战术来查看该战术的描述。链后面是组内检测到的策略列表。这些类别及其通常代表的活动如下: + **初始存取** — 攻击者正试图进入他人的网络。 + **执行** — 攻击者正试图进入他人的网络。 + **维持** — 攻击者正努力保持其立足点。 + **权限升级** — 攻击者正试图获得更高级别的权限。 + **防御规避** — 攻击者正试图避免被检测到。 + **凭证访问** — 攻击者正试图窃取账户名和密码。 + **发现** — 攻击者正试图了解和学习环境。 + **横向移动** — 攻击者正试图在环境中移动。 + **收集** — 攻击者正试图收集与其目标相关的数据。 + **命令与控制** — 攻击者正试图进入他人的网络。 + **渗漏** — 攻击者正试图窃取数据。 + **影响** — 攻击者正试图操纵、中断或破坏您的系统和数据。 + **其他** — 表示调查发现中的活动与矩阵中列出的策略不一致。 **群组内的实体** **实体**栏包含在该分组中检测到的特定实体的详细信息。选择此值可根据以下类别对实体进行细分:**身份**、**网络**、**存储**和**计算**。每个类别中的实体示例如下: + **身份** — IAM 委托人和AWS 账户,例如用户和角色 + **网络** — IP 地址或其他网络和 VPC 实体 + **存储** — 亚马逊 S3 存储桶或 DDBs + **计算** Amazon EC2 实例或 Kubernetes 容器 **群组内的账户** “**账户**” 列会告诉您哪些AWS账户拥有与群组中的调查结果相关的实体。AWS账户按名称和AWS ID 列出,因此您可以优先调查涉及关键账户的活动。 **群组内的调查发现** **调查发现**栏按严重性列出了群组内中的实体。调查结果包括亚马逊的调查 GuardDuty 结果、Amazon Inspector的调查结果、AWS安全调查结果和Detective的证据。您可以选择图表,查看按严重性分列的调查发现的精确计数。 GuardDuty 调查结果是 Detective 核心包的一部分,默认情况下会被摄取。由 Security Hub CSPM 汇总的所有其他AWS安全发现都将作为可选数据源摄取。有关更多详细信息,请参阅[行为图中使用的源数据](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html)。