# 人工智能调查代理
<a name="ai-investigative-agent"></a>

## 概述
<a name="ai-investigative-agent-overview"></a>

 由人工智能驱动的调查代理与客户和 AWS 安全事件响应工程师协同工作，加快安全调查。当客户创建由 AWS 支持的案例时，该代理会在安全事件响应工程师参与的同时自动激活，从而将解决问题的时间从几天缩短到几小时。

 在客户升级期间，安全事件响应案例可以由客户创建，也可以由 AWS 安全事件响应主动创建。创建由 AWS 支持的新案例时，系统会自动触发调查代理。您可以通过控制台、API 或 Amazon EventBridge 集成来管理所有案例。

**主要优势**
+ **并行调查**：代理与响应人员同时工作，实现人工智能驱动的自动化与人类专业知识的结合。
+ **自动采集证据**：通过自动查询 AWS CloudTrail、IAM、Amazon EC2 和 Cost Explorer 成本管理服务，消除手动日志分析的需要。
+ **自然语言界面**：可用通俗易懂的语言描述安全问题，无需有关 AWS 日志格式的专业知识。
+ **更快响应**：几分钟之内即可在“调查”选项卡中查看调查摘要。
+ **完全可审计**：所有代理操作均在 AWS CloudTrail 中于 `AWSServiceRoleForSupport` 角色下记录。

**重要**  
 此功能仅适用于由 AWS 支持的案例。客户自行管理的案例不包括人工智能调查功能。

## 工作原理
<a name="ai-investigative-agent-how-it-works"></a>

 人工智能调查代理在分析由 AWS 支持的安全案例时遵循结构化的工作流：

**调查工作流**

1. **创建案例**：客户在安全事件响应控制台中创建一个由 AWS 支持的案例并提供有关安全问题的描述。

1. **并行激活**
   + 安全事件响应工程师参与处理该案例。
   + 人工智能代理同时启动其调查工作流。

1. **背景问题（可选）**：代理可以询问澄清性的问题来收集具体细节：
   + 受影响的 AWS 账户 ID
   + 涉及的 IAM 主体（用户、角色、访问密钥）
   + 具体的资源标识符（S3 存储桶、EC2 实例、ARN）
   + 可疑活动的时间线

1. **证据采集**：代理自动查询 AWS 数据来源：
   + *AWS CloudTrail*：与事件相关的 API 调用与活动
   + *IAM*：用户和角色权限、策略更改和新身份创建
   + *Amazon EC2 实例 API*：有关计算资源（如涉及）的信息
   + *Cost Explorer 成本管理服务*：异常资源消耗的成本和使用情况指标

1. **分析和关联**：代理将跨服务的证据关联起来，识别模式并确定事件发生的时间线。

1. **生成摘要**：代理将在几分钟之内在“调查”选项卡中显示一份全面的调查摘要。

**注意**  
 所有字段都是可选字段。如果在 10 分钟内未提供答案，则将自动启动调查。对于某些案例，如果已经有足够充分的信息，则代理可能会完全跳过可选问题。

**访问调查结果**

查看人工智能分析：

1. 在安全事件响应控制台中导航到您的案例。

1. 选择**调查**选项卡。

1. 查看调查摘要，包括调查发现、时间线和背景。

 人工智能调查代理摘要会作为备注在案例的**沟通**部分发布，便于结合其他案例更新查看。

**数据访问与权限**

 人工智能调查代理使用 `AWSServiceRoleForSupport` 服务相关角色来访问 AWS 资源。该角色提供了证据采集所需的只读权限：

 代理执行的所有操作均在 AWS CloudTrail 记录，以便客户能够准确审计在调查期间访问的数据。在 AWS CloudTrail 日志中，这些操作均归于 `AWSServiceRoleForSupport`。

## 先决条件
<a name="ai-investigative-agent-prerequisites"></a>

 在使用人工智能驱动的调查功能前，请确保您已满足下列条件：

**必需的设置**
+ **已启用 AWS 安全事件响应**：必须已通过 AWS Organizations 管理账户启用该服务。
+ **由 AWS 支持的案例类型**：人工智能调查仅适用于由 AWS 支持的案例（不适用于客户自行管理的案例）。
+ **AWSServiceRoleForSupport**：此服务相关角色会自动创建，为调查代理提供所需的权限。

**所需权限**

 要创建由 AWS 支持的案例并访问调查结果，该 IAM 主体需要具有以下权限：

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}
```

## 使用调查代理
<a name="ai-investigative-agent-using"></a>

 创建由 AWS 支持的案例时，人工智能调查代理会自动激活。

**监控人工智能调查进度**

1. 在 AWS 安全事件响应 控制台中打开您的案例。

1. 选择**调查**选项卡。

1. 查看调查状态（*正在进行*或*已完成*）。

1. 完成后，查看综合调查摘要，其中包括调查结果、时间线和建议。

**负责任的人工智能披露**

 调查摘要是使用 AWS 生成式人工智能功能生成的。您负责根据自己的具体背景评估人工智能生成的建议，实施恰当的监督机制，独立验证调查发现，并确保对所有安全决策实施人工监督。

**客户数据的使用**

 人工智能调查代理不使用客户数据进行模型训练，也不会与第三方共享客户数据。