与 Amazon Detective 集成
Amazon Detective 通过生成数据可视化来帮助您快速分析和调查一个或多个 AWS 账户的安全事件,这些数据可视化表示您的资源随时间推移的行为和交互方式。Detective 创建 GuardDuty 调查发现的可视化。
Detective 会提取所有调查发现类型的详细信息,并提供对实体配置文件的访问权限,以调查与调查发现相关的不同实体。实体可以是 AWS 账户、账户内的 AWS 资源或已与您的资源交互的外部 IP 地址。GuardDuty 控制台支持从以下实体转向 Amazon Detective,具体取决于调查发现类型:AWS 账户、IAM 角色、用户或角色会话、用户代理、联合用户、Amazon EC2 实例或 IP 地址。
启用集成
要在 GuardDuty 中使用 Amazon Detective,您必须先启用 Amazon Detective。有关如何启用 Detective 的信息,请参阅《Amazon Detective User Guide》中的 Geting started with Amazon Detective。
当您同时启用 GuardDuty 和 Detective 时,集成将自动启用。启用后,Detective 将立即提取您的 GuardDuty 调查发现数据。
注意
GuardDuty 根据 GuardDuty 调查发现的导出频率将调查发现发送给 Detective。默认情况下,现有调查发现更新的导出频率为 6 小时。为确保 Detective 收到最新调查发现的更新,建议您在将 GuardDuty 与 Detective 同时使用的每个地区内,将导出频率更改为 15 分钟。有关更多信息,请参阅 第 5 步 – 设置导出更新后活动调查发现的频率。
从 GuardDuty 的调查发现转向 Amazon Detective
-
登录 https://console.aws.amazon.com/guardduty
控制台。 -
从您的调查发现表中选择一个调查发现。
-
从调查发现详细信息窗格中选择使用 Detective 调查。
-
选择调查发现的某个方面,使用 Amazon Detective 调查。这将为该调查发现或实体打开 Detective 控制台。
如果数据透视的行为不符合预期,请参阅《Amazon Detective 用户指南》中的数据透视问题排查。
注意
如果您在 Detective 控制台中存档 GuardDuty 的调查发现,则该调查发现也会存档在 GuardDuty 控制台中。
使用与 GuardDuty 多账户环境的集成
如果您在 GuardDuty 中管理多账户环境,则必须将您的成员账户添加到 Amazon Detective,才能查看这些账户中的调查发现和实体的 Detective 数据可视化。
建议您使用与 Detective 管理员账户相同的 GuardDuty 管理员账户。有关在 Detective 中添加成员账户的更多信息,请参阅《Amazon Detective User Guide》中的 Managing accounts。
注意
Detective 是一项区域性服务,这意味着您必须在要使用该集成的每个地区启用 Detective 并添加成员账户。
