View a markdown version of this page

人工智能调查代理 - AWS 安全事件响应 用户指南
概述工作原理先决条件使用调查代理

人工智能调查代理

概述

由人工智能驱动的调查代理与客户和 AWS 安全事件响应工程师协同工作,加快安全调查。当客户创建由 AWS 支持的案例时,该代理会在安全事件响应工程师参与的同时自动激活,从而将解决问题的时间从几天缩短到几小时。

在客户升级期间,安全事件响应案例可以由客户创建,也可以由 AWS 安全事件响应主动创建。创建由 AWS 支持的新案例时,系统会自动触发调查代理。您可以通过控制台、API 或 Amazon EventBridge 集成来管理所有案例。

主要优势

  • 并行调查:代理与响应人员同时工作,实现人工智能驱动的自动化与人类专业知识的结合。

  • 自动采集证据:通过自动查询 AWS CloudTrail、IAM、Amazon EC2 和 Cost Explorer 成本管理服务,消除手动日志分析的需要。

  • 自然语言界面:可用通俗易懂的语言描述安全问题,无需有关 AWS 日志格式的专业知识。

  • 更快响应:几分钟之内即可在“调查”选项卡中查看调查摘要。

  • 完全可审计:所有代理操作均在 AWS CloudTrail 中于 AWSServiceRoleForSupport 角色下记录。

重要

此功能仅适用于由 AWS 支持的案例。客户自行管理的案例不包括人工智能调查功能。

工作原理

人工智能调查代理在分析由 AWS 支持的安全案例时遵循结构化的工作流:

调查工作流

  1. 创建案例:客户在安全事件响应控制台中创建一个由 AWS 支持的案例并提供有关安全问题的描述。

  2. 并行激活

    • 安全事件响应工程师参与处理该案例。

    • 人工智能代理同时启动其调查工作流。

  3. 背景问题(可选):代理可以询问澄清性的问题来收集具体细节:

    • 受影响的 AWS 账户 ID

    • 涉及的 IAM 主体(用户、角色、访问密钥)

    • 具体的资源标识符(S3 存储桶、EC2 实例、ARN)

    • 可疑活动的时间线

  4. 证据采集:代理自动查询 AWS 数据来源:

    • AWS CloudTrail:与事件相关的 API 调用与活动

    • IAM:用户和角色权限、策略更改和新身份创建

    • Amazon EC2 实例 API:有关计算资源(如涉及)的信息

    • Cost Explorer 成本管理服务:异常资源消耗的成本和使用情况指标

  5. 分析和关联:代理将跨服务的证据关联起来,识别模式并确定事件发生的时间线。

  6. 生成摘要:代理将在几分钟之内在“调查”选项卡中显示一份全面的调查摘要。

注意

所有字段都是可选字段。如果在 10 分钟内未提供答案,则将自动启动调查。对于某些案例,如果已经有足够充分的信息,则代理可能会完全跳过可选问题。

访问调查结果

查看人工智能分析:

  1. 在安全事件响应控制台中导航到您的案例。

  2. 选择调查选项卡。

  3. 查看调查摘要,包括调查发现、时间线和背景。

人工智能调查代理摘要会作为备注在案例的沟通部分发布,便于结合其他案例更新查看。

数据访问与权限

人工智能调查代理使用 AWSServiceRoleForSupport 服务相关角色来访问 AWS 资源。该角色提供了证据采集所需的只读权限:

代理执行的所有操作均在 AWS CloudTrail 记录,以便客户能够准确审计在调查期间访问的数据。在 AWS CloudTrail 日志中,这些操作均归于 AWSServiceRoleForSupport

先决条件

在使用人工智能驱动的调查功能前,请确保您已满足下列条件:

必需的设置

  • 已启用 AWS 安全事件响应:必须已通过 AWS Organizations 管理账户启用该服务。

  • 由 AWS 支持的案例类型:人工智能调查仅适用于由 AWS 支持的案例(不适用于客户自行管理的案例)。

  • AWSServiceRoleForSupport:此服务相关角色会自动创建,为调查代理提供所需的权限。

所需权限

要创建由 AWS 支持的案例并访问调查结果,该 IAM 主体需要具有以下权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

使用调查代理

创建由 AWS 支持的案例时,人工智能调查代理会自动激活。

监控人工智能调查进度

  1. 在 AWS 安全事件响应 控制台中打开您的案例。

  2. 选择调查选项卡。

  3. 查看调查状态(正在进行已完成)。

  4. 完成后,查看综合调查摘要,其中包括调查结果、时间线和建议。

负责任的人工智能披露

调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议,实施恰当的监督机制,独立验证调查发现,并确保对所有安全决策实施人工监督。

客户数据的使用

人工智能调查代理不使用客户数据进行模型训练,也不会与第三方共享客户数据。