本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 分析 Amazon Detective 中的問題清單
調查結果是偵測到的潛在惡意活動或其他風險的執行個體。Amazon GuardDuty 和安全性AWS調查結果會載入 Amazon Detective,以便您可以使用 Detective 調查與涉及實體相關聯的活動。GuardDuty 調查結果是 Detective 核心套件的一部分,預設下會予以擷取。Security Hub CSPM 彙總的所有其他AWS安全性調查結果都會擷取為選用的資料來源。如需詳細資訊,請參閱[行為圖表中使用的來源資料](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html)。
Detective 調查結果概觀提供有關調查結果的詳細資訊。它也會顯示涉及的實體的概觀,以及相關聯實體設定檔的連結。
如果調查結果與較大活動相關,Detective 會通知您**前往調查結果群組**。我們建議您使用調查結果群組繼續調查,因為透過調查結果群組,您能夠檢查與潛在安全事件相關的多個活動。請參閱 [分析調查結果群組](groups-about.md)。
Amazon Detective 提供調查結果群組的交互式視覺化。該視覺化效果旨在協助您通過更少的努力,以更快、更徹底地方式調查問題。調查結果群組**視覺化**面板會顯示調查結果群組中的涉及的調查結果和實體。您可以使用此互動式視覺化來分析、了解和分類調查結果群組的影響。此面板可協助視覺化**涉及的實體**和**涉及的調查結果**資料表中顯示的資訊。從視覺化顯示中,您可以選取調查結果或實體以供進一步分析。請參閱[尋找群組視覺化](https://docs.aws.amazon.com/detective/latest/userguide/group-visual-finding-group.html)。
**Topics**
+ [分析 Detective 中的調查結果概觀](finding-overview.md)
+ [分析調查結果群組](groups-about.md)
+ [由生成式 AI 提供支援的調查結果群組摘要](finding-group-summary.md)
+ [封存 Amazon GuardDuty 調查結果](finding-update-status.md)
# 分析 Detective 中的調查結果概觀
Detective 調查結果概觀提供有關調查結果的詳細資訊。它也會顯示涉及的實體的概觀,以及相關聯實體設定檔的連結。
## 用於調查結果概觀的範圍時間
調查結果概觀的範圍時間設為調查結果時間範圍。調查結果時間範圍會反映所觀測調查結果活動的首次和末次時間。
## 調查結果詳細資訊
右側的面板包含該調查結果的詳細資訊。此為調查結果提供者提供的詳細資訊。
從調查結果詳細資訊中,您也可以封存調查結果。如需詳細資訊,請參閱[封存 Amazon GuardDuty 調查結果](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)。
## 相關實體
調查結果概觀包含與調查結果相關的實體清單。針對每個實體,清單會提供實體的概觀資訊。此資訊會反映對應實體設定檔上實體資訊設定檔面板上的資訊。
您可以根據實體類型來篩選清單。您也可以根據實體識別符中的文字來篩選清單。
若要錨定至實體的設定檔,請選擇**查看設定檔**。錨定至實體設定檔時會發生以下情況:
+ 範圍時間設定為調查結果時間範圍。
+ 在實體的**關聯調查結果**面板上,系統會選取調查結果。調查結果詳細資訊仍會顯示在實體設定檔的右側。
## 故障診斷「找不到頁面」
當您瀏覽至 Detective 中的實體或調查結果時,可能會看到**找不到頁面**錯誤訊息。
若要解決此問題,請執行下列動作之一:
+ 確認實體或調查結果屬於您的其中一個成員帳戶。如需如何檢閱成員帳戶的資訊,請參閱[檢視帳戶清單](https://docs.aws.amazon.com/detective/latest/userguide/accounts-view-list.html)。
+ 請確定您的管理員帳戶與 GuardDuty 和/或 Security Hub CSPM 保持一致,以從這些服務轉向 Detective。如需建議,請參閱[與 GuardDuty 和 Security Hub CSPM 的建議對齊](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)。
+ 確認調查結果是在成員帳戶接受您的邀請後發生。
+ 確認 Detective 行為圖形是從選用的資料來源套件擷取資料。如需 Detective 行為圖表中使用的來源資料的詳細資訊,請參閱[行為圖表中使用的來源資料](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)。
+ 若要允許 Detective 從 Security Hub CSPM 擷取資料並將該資料新增至您的行為圖表,您必須啟用 Detective 做為資料來源套件AWS的安全性調查結果。如需詳細資訊,請參閱[AWS安全性調查結果](https://docs.aws.amazon.com//detective/latest/userguide/source-data-types-asff.html)。
+ 如果您要瀏覽至 Detective 中的實體設定檔或調查結果概觀,請確定 URL 格式正確。如需設定檔 URL 格式的詳細資訊,請參閱[使用 URL 瀏覽至實體設定檔或調查結果概觀](https://docs.aws.amazon.com/detective/latest/userguide/profile-navigate-url.html)。
# 分析調查結果群組
Amazon Detective 調查結果群組可讓您檢查與潛在安全事件相關的多項活動。Amazon Detective 中的調查結果群組會在 Detective 偵測到多個調查結果之間的模式或關係,暗示它們與相同的潛在安全事件相關時建立。此分組有助於更有效率地管理和調查相關調查結果。
您可以使用調查結果群組來分析高嚴重性 GuardDuty 調查結果的根本原因。如果威脅行為者嘗試入侵您的AWS環境,他們通常會執行一系列動作,導致多個安全調查結果和異常行為。在不同時間和實體中,此類動作均有所涉及。當對調查結果進行獨立調查時,可能會導致它們的重要性發生誤解,並且難以確定根本原因。Amazon Detective 透過應用圖表分析技術來推斷調查結果與實體之間的關係,並將它們進行分組,藉此解決此問題。我們建議將調查結果群組作為調查涉及的實體和調查結果的起點。
Detective 會分析調查結果中的資料,並根據它們共用的資源將它們與其他可能相關的調查結果進行分組。例如,由相同 IAM 角色工作階段所採取的動作或源自相同 IP 地址的動作相關的調查結果,很可能屬於相同的基礎活動。即使 Detective 所建立的關聯不相關,以群組形式調查調查結果仍具有價值。
調查結果群組是根據下列條件建立的。
+ 時間鄰近性 – 在接近時間範圍內發生的調查結果通常會分組在一起,因為它們可能與相同的事件有關。
+ 常見實體 – 涉及相同實體的問題清單會分組在一起,例如 IP 地址、使用者或資源。這有助於了解環境不同部分的事件範圍。
+ 模式和行為 – Detective 會分析調查結果中的模式和行為,例如類似類型的攻擊或可疑活動,以判斷關係並據此分組。
+ 策略、技術和程序 (TTPs) – 共用類似 TTPs 的調查結果,如 MITRE ATT&CK 等架構中所述,會分組在一起以突顯潛在的協同攻擊。
這些條件有助於簡化調查程序,讓您可以專注於可能代表相同安全事件的相互關聯調查結果。
除調查結果之外,各群組還包括調查結果所涉及的實體。實體可以包含 以外的資源,AWS例如 IP 地址或使用者代理程式。
**注意**
在與另一項調查結果相關的初始 GuardDuty 調查結果發生之後,會在 48 小時內建立包含所有相關調查結果和所有所涉實體的調查結果群組。
# 了解調查結果群組頁面
問題清單群組頁面會列出 Amazon Detective 從您的行為圖表收集的所有問題清單群組。請記下問題清單群組的下列屬性:
**群組的嚴重性**
每個調查結果群組都會根據相關調查結果AWS的安全調查結果格式 (ASFF) 嚴重性來指派嚴重性。ASFF 調查結果嚴重性值為**嚴重**、**高**、**中**、**低**或**資訊** (嚴重性從高到低排序)。群組的嚴重性等於該群組中調查結果中的最高嚴重性調查結果。
由影響大量實體的**嚴重**或**高**嚴重性調查結果組成的群組應優先進行調查,因為它們代表高影響力的安全問題的可能性更高。
**群組標題**
在**標題**欄位中,各群組都有唯一的 ID 和非唯一標題。它們以該群組的 ASFF 類型命名空間以及叢集中該命名空間內調查結果的數目為基礎。例如,如果群組具有以下標題:群組具有:**TTP (2)、效果 (1) 和異常行為 (2)**,則會包含五個總調查結果,其中包含 **TTP** 命名空間中的兩個調查結果、一個在**效果**命名空間中的調查結果,以及兩個**異常行為**命名空間中的調查結果。如需命名空間的完整清單,請參閱 [ASFF 的類型分類](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-type-taxonomy.html)。
**群組中的政策**
群組中的**政策**欄位會詳細說明活動所屬的政策類別。以下清單中的政策、技術和程序類別與 [MITRE ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)一致。
您可以在鏈上選取策略,以查看策略的描述。鏈結下方為在群組內偵測到的策略清單。此類類別及其通常所代表的活動如下:
+ **初始訪問**:對手試圖進入他人的網路。
+ **執行**:對手試圖進入他人的網路。
+ **持續**:對手試圖保持他們的立足點。
+ **權限提升**:對手試圖獲得更高級別的許可。
+ **防禦規避**:對手試圖避免被發現。
+ **憑證存取**:對手試圖竊取帳戶名稱和密碼。
+ **發現**:對手試圖了解和學習某一環境。
+ **橫向運動**:對手試圖透過環境進行移動。
+ **收集**:對手試圖收集目標所感興趣的資料。
+ **命令與控制**:對手試圖進入他人的網路。
+ **滲透**:對手試圖奪取資料。
+ **影響**:對手試圖操縱、中斷或銷毀您的系統和資料。
+ **其他**:表示調查結果中的活動與矩陣中列出的政策不一致。
**群組中的實體**
**實體**欄位包含在此群組中所偵測到特定實體的詳細資訊。選取此值可根據以下類別對實體進行細分:**身分**、**網路**、**儲存**和**運算**。每個類別中的實體範例如下:
+ **Identity** – IAM 主體和AWS 帳戶,例如使用者和角色
+ **網路**:IP 地址或其他網路和 VPC 實體
+ **儲存**:Amazon S3 儲存貯體或 DDB
+ **計算** Amazon EC2 執行個體或 Kubernetes 容器
**群組內的帳戶**
**帳戶**欄會告訴您哪些AWS帳戶擁有與群組中調查結果相關的實體。AWS帳戶會依名稱和AWS ID 列出,因此您可以優先調查涉及重要帳戶的活動。
**群組內的調查結果**
**調查結果**欄位會依嚴重性列出群組內的實體。調查結果包括 Amazon GuardDuty 的調查結果、Amazon Inspector 的調查結果、AWS安全調查結果以及來自 Detective 的證據。您可以選取圖表,依嚴重性查看調查結果的確切計數。
GuardDuty 調查結果是 Detective 核心套件的一部分,預設下會予以擷取。Security Hub CSPM 彙總的所有其他AWS安全性問題清單都會擷取為選用的資料來源。如需詳細資訊,請參閱[行為圖表中使用的來源資料](https://docs.aws.amazon.com//detective/latest/userguide/detective-source-data-about.html)。
# 調查結果群組中的資訊調查結果
Amazon Detective 會根據您在過去 45 天內收集的行為圖表中的資料,識別與調查結果群組相關的其他資訊。Detective 會將此資訊呈現為具有**資訊**嚴重性的調查結果。證據會提供支援資訊,反白顯示在調查結果群組中檢視時,可能可疑的異常活動或未知行為。這可能包括在調查結果範圍時間內新觀察到的地理位置或所觀察到的 API 呼叫。證據調查結果只能在 Detective 中檢視,而且不會傳送到AWS Security Hub CSPM。
Detective 會使用 MaxMind GeoIP 資料庫來決定請求的位置。MaxMind 會在國家/地區層級報告非常高的資料準確性,但準確性會根據國家/地區和 IP 類型等因素而有所不同。如需 MaxMind 的詳細資訊,請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確,您可以在 [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) 向 Maxmind 提交更正請求。
您可以觀察不同主體類型的證據 (例如 IAM 使用者或 IAM 角色)。針對部分證據類型,您可以觀察**所有帳戶**的證據。這意味著證據會影響您的整個行為圖表。如果所有帳戶均觀察到證據調查結果,您還會看到至少一個相同類型的額外資訊證據調查結果,而該證據調查結果是針對個別 IAM 角色。例如,如果您看到**針對所有帳戶觀察到的新地理位置**的調查結果,則您還會看到另一**針對主體觀察到的新地理位置**的調查結果。
****調查結果群組中的證據類型****
+ 觀察到新地理位置
+ 觀察到新自治系統組織 (ASO)
+ 觀察到新使用者代理程式
+ 已發出新 API 呼叫
+ 觀察到所有帳戶的新地理位置
+ 觀察到所有帳戶的新 IAM 主體
# 調查結果群組設定檔
當您選取群組標題時,系統會開啟調查結果群組設定檔,其中包含該群組的其他詳細資訊。在調查結果群組設定檔頁面的詳細資訊面板中,調查結果父項和子項群組可支援顯示高達 1000 個實體和調查結果。
群組設定檔頁面會顯示該群組已設定的**範圍時間**。這是從群組中包含的最早調查結果或證據到群組中最近更新的調查結果或證據的日期和時間。您也可以看到**調查結果群組嚴重性**,該嚴重性等於群組中調查結果之間最高嚴重性類別。此設定檔面板中的其他詳細資訊包括:
+ **涉及的策略**鏈顯示了歸屬於該群組中調查結果的策略。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。政策顯示為一串彩色圓點,代表從最早到最新階段的典型攻擊進度。這意味著鏈上最左邊的圓圈通常代表對手試圖獲得或維護您環境的存取較不嚴重的活動。相反,靠右方的活動嚴重性最高,可能包括資料篡改或破壞。
+ 該群組與其他群組的關係。有時,一或多個先前未連接的調查結果群組可能會根據新發現的連結合併到新群組中,例如,涉及現有群組中實體的調查結果。在此情況下,Amazon Detective 會停用父群組並建立子群組。您可以追蹤任何群組歷程至其父群組。群組可以具有以下關係:
+ **子調查結果群組**:當調查結果同時涉及兩個其他調查結果群組,且該調查結果又牽涉新調查結果時,系統將建立新調查結果群組。針對任何子群組列出調查結果的父群組。
+ **父調查結果群組**:當從調查結果群組中建立了一個子群組時,該群組就成為父群組。如果調查結果群組為父群組,則相關的子群組會與其一起列出。當父群組合併到**作用中**子群組時,其狀態會變成**非作用中**。
有兩個資訊標籤可開啟設定檔面板。您可以使用**涉及的實體**和**涉及的調查結果**標籤,檢視有關該群組的更多詳細資訊。
使用**執行調查**來產生調查報告。產生的報告會詳細說明指出入侵的異常行為。
## 群組內的設定檔
**涉及的實體**
著重於調查結果群組中的實體,包括每個實體所連結到的群組內的調查結果。系統還會顯示附加至每個實體的標籤,以便您可以根據標籤快速識別重要實體。選取一個實體,以檢視其實體設定檔。
**涉及的調查結果**
包含有關各調查結果的詳細資訊,包括調查結果的嚴重性、各個涉及的實體,以及該調查結果的初次和最後的出現時間。選取清單中的調查結果類型,以開啟包含該調查結果的其他資訊的調查結果詳細資訊面板。作為**涉及的調查結果**面板的一部分,您可能會根據您的行為圖表的 Detective 證據,發現**資訊性調查結果**。
# 調查結果群組視覺化
Amazon Detective 提供調查結果群組的交互式視覺化。該視覺化效果旨在協助您通過更少的努力,以更快、更徹底地方式調查問題。調查結果群組**視覺化**面板會顯示調查結果群組中的涉及的調查結果和實體。您可以使用此互動式視覺化來分析、了解和分類調查結果群組的影響。此面板可協助視覺化**涉及的實體**和**涉及的調查結果**資料表中顯示的資訊。從視覺化顯示中,您可以選取調查結果或實體以供進一步分析。
具有彙總調查結果的 Detective 調查結果群組是連線至相同類型資源的調查結果叢集。透過彙總的調查結果,您可以快速評估調查結果群組的組成,並更快地解釋安全問題。在調查結果群組詳細資訊面板中,系統會合併相似的調查結果,您可以展開調查結果,以一併檢視相對類似的調查結果。例如,對於具有相同類型資訊性調查結果和中等調查結果的證據節點,系統會將其進行彙總。目前,您可以檢視包含彙總調查結果的調查結果群組的標題、來源、類型和嚴重性。
在此互動面板中,您可以:
+ 使用**執行調查**來產生調查報告。產生的報告會詳述表示有危險狀況的異常行為。如需詳細資訊,請參閱 [Detective Investigations](https://docs.aws.amazon.com//detective/latest/userguide/investigations-about.html)。
+ 檢視有關具有彙總調查結果的調查結果群組的詳細資訊,以分析所涉證據、實體和調查結果。
+ 檢視實體和調查結果的標籤,以識別具有潛在安全問題的受影響實體。您可以關閉**標籤**。
+ 重新排列實體和調查結果,以更深入地理解它們的互連性。透過在調查結果群組中移動已選取的項目,從群組中隔離實體和調查結果。
+ 選取證據、實體及調查結果,以檢視有關它們的更多詳細資訊。若要選取多個項目,請選擇 **command/control** 並選擇項目,或使用指標拖放項目。
+ 調整配置,便於所有實體與調查結果符合調查結果群組視窗。檢視調查結果群組中較為普遍的實體類型。
**注意**
調查結果群組**視覺化**面板支援顯示具有最多 100 個實體和調查結果的調查結果群組。
您可以使用下拉式清單來檢視**放射**、**圓**、**力導向**或**網格**配置中的問題清單和實體。**放射**配置可改善視覺化效果,更輕鬆地解讀資料。**強制導向**配置會定位實體和調查結果,以便連結在項目之間保持一致的長度,並且能夠均勻分佈。此舉有助於減少重疊。您選取的配置會定義調查結果在**視覺化**面板中的位置。
## 時間軸配置
時間軸配置提供一種動態方式,以視覺化方式呈現問題清單群組如何隨時間演進。這可讓您看到事件的進展,協助您使用 Detective 進一步了解安全事件的順序和潛在因果關係。
使用視覺化面板底部的時間軸滑桿來選取特定時間點。視覺效果將會更新,以顯示此時的調查結果群組狀態。可讓您自動進行時間軸的播放按鈕。按一下播放按鈕以開始動畫。視覺效果會即時更新,顯示調查結果群組如何隨時間變更。使用暫停按鈕隨時停止動畫。
您現在可以使用篩選條件下拉式清單,根據問題清單的嚴重性等級來篩選問題清單。當您套用篩選條件時,視覺化效果會更新為僅顯示符合您所選嚴重性層級的問題清單。篩選條件只會影響時間軸中顯示的問題清單,而不會影響完整的問題清單群組視覺化。這可讓您快速專注於高優先順序的問題,或調查特定類型的問題清單。
您可以結合時間軸配置使用篩選功能,以查看不同嚴重性等級的問題清單如何隨時間出現和發展。
**增強型調查工作流程**
透過新增時間軸配置和篩選功能,您現在可以進行更全面的調查:
1. 首先,使用其中一個靜態配置 (放射、圓形、力導向或網格) 檢視整個調查結果群組。
1. 使用時間表來了解情況如何隨著時間發展。
1. 使用播放按鈕自動進行時間軸,觀察關鍵時刻或模式。
1. 在重要時間點暫停以進一步調查。
1. 套用篩選條件以專注於特定嚴重性層級的問題清單。
1. 使用鍵盤快速鍵和選擇工具,深入了解感興趣的實體和調查結果。
此增強型工作流程可讓您更精細且徹底地調查複雜的安全案例。您可以執行更有效率且更有效的安全調查,進而加快事件解決速度並改善整體安全狀態。
## 鍵盤快速鍵
您可以使用下列鍵盤快速鍵與問題清單群組視覺化面板互動:
+ 按一下 – 選取單一節點、取消選取所有其他節點、在按一下空格時取消選取所有節點。
+ Ctrl \$1 按一下 – 選取單一節點,不會取消選取其他節點。
+ 拖曳 – 平移檢視。
+ Ctrl \$1 拖曳 – Marquee 選取,不會取消選取其他節點。
+ Shift \$1 Drag – Marquee 選取、取消選取所有其他節點。
+ 方向鍵 – 變更節點之間的焦點。
+ Ctrl \$1 空格 – 選取或取消選取目前聚焦的節點。
+ Shift \$1 Arrow 鍵 – 變更節點之間的焦點並選取它們。
動態**圖例**會根據目前圖表中的實體和調查結果而變更。它可以幫助您識別每個視覺化元素所代表的內容。
# 由生成式 AI 提供支援的調查結果群組摘要
根據預設,Amazon Detective 會自動提供個別調查結果群組的摘要。摘要由于 [Amazon Bedrock](https://docs.aws.amazon.com//bedrock/latest/userguide/what-is-bedrock.html) 上託管的生成式人工智能 (生成式 AI) 模型提供支援。如果啟用 Detective,則可免費使用問題清單群組摘要。
**注意**
自 2026 年 2 月 16 日起,Detective 的調查結果群組摘要功能會自動選取最佳 AWS 區域 (來自您地理位置內的區域端點群組),以處理您的調查結果群組資料,並使用 產生摘要[跨區域推論](#fg-summary-cross-region-inference)。
如果您不想使用此功能,您可以從 Detective 的主控台停用此功能,或在用於存取 Detective 主控台的 IAM 角色上使用拒絕許可。請參閱 [選擇退出問題清單群組摘要](#fg-summary-disable)。
透過使用調查結果群組,您可以檢查與潛在安全事件相關的多個安全調查結果,並識別潛在的威脅行為者。調查結果群組的調查結果群組摘要基於此類功能形成。調查結果群組摘要會使用調查結果群組的資料,快速分析調查結果與受影響資源之間的關係,然後以自然語言彙總潛在威脅。您可以利用此類摘要來識別較大的安全威脅、改善調查效率,並縮短回應時間表。
**注意**
由生成式 AI提供支援的調查結果群組摘要可能不會提供完全準確的資訊。如需詳細資訊,請參閱《[AWS 負責任 AI 政策](https://aws.amazon.com//machine-learning/responsible-ai/policy/)》。
## 檢閱調查結果群組摘要
通過調查結果群組的調查結果群組摘要,您會獲得安全事件的清晰詳細說明。說明將以自然語言編寫,包括簡潔的標題,涉及資源的摘要以及有關此類資源的精選資訊。
**若要檢閱調查結果群組摘要**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查結果群組**。
1. 在**調查結果群組**資料表中,選擇要顯示摘要的調查結果群組。系統將顯示詳細資訊頁面。
在詳細資訊頁面上,您可以使用**摘要**窗格來檢閱調查結果群組中最多調查結果的產生描述性摘要。您也可以檢閱調查結果群組中最多的安全威脅事件分析,然後您可以進一步調查。要將產生的摘要添加到您的筆記或票證系統中,請選擇窗格中的複製圖示。這會講摘要複製到您的剪貼簿中。您還可以在摘要中分享您對調查結果群組摘要輸出的反饋,以供在未來提供更好的體驗。若要分享您的反應,請根據反應的性質選擇大拇指向上或大拇指向下圖示。
**注意**
如果您提供有關調查結果群組摘要的反應,您的反饋不會用於模型調整。您的意見回應僅用於簡化有效制定 Detective 中的提示。
![\[摘要窗格包含調查結果群組中最多調查結果的描述性摘要,以及群組中最多的安全威脅事件分析。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/Detective-assistant.png)
## 選擇退出問題清單群組摘要
根據預設,調查結果群組會啟用調查結果群組摘要。不想使用調查結果群組摘要功能的客戶可以在使用者層級選擇退出,或透過用來存取 AWS 管理主控台的 IAM 角色選擇退出。
### 使用者層級選擇退出
每個存取 Detective 的使用者都可以設定其個別偏好設定,以選擇退出調查結果群組摘要功能。選擇退出摘要將阻止透過跨區域推論處理調查結果群組資料。
**選擇退出問題清單群組摘要**
1. 打開 Detective 主控台,網址為 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在導覽窗格中,選擇**偏好設定**。
1. 在**調查結果群組摘要**中,選擇**編輯**。
1. 關閉**已啟用**。
1. 選擇**儲存**。
### IAM 角色型選擇退出
可透過修改用於存取 Detective 的 IAM 角色,選擇不接收調查結果群組摘要功能。為角色的`detective:InvokeAssistant`許可新增拒絕陳述式將阻止透過該角色存取 Detective 的所有使用者使用調查結果群組摘要功能,防止透過跨區域推論處理調查結果群組資料。然後,使用者可以個別遵循使用者層級選擇退出步驟,以防止摘要窗格出現。
**使用 IAM 選擇退出問題清單群組摘要**
1. 識別用於存取 Amazon Detective 的 IAM 角色。
1. 將具有 `detective:InvokeAssistant` 動作`Deny`效果的 IAM 政策陳述式新增至角色。
## 啟用調查結果群組摘要
如果您先前選擇不接收調查結果群組的調查結果群組摘要,您可以隨時再次啟用它們。
**啟用調查結果群組摘要**
1. 打開 Detective 主控台,網址為 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在導覽窗格中,選擇**偏好設定**。
1. 在**調查結果群組摘要**中,選擇**編輯**。
1. 打開**已啟用**。
1. 選擇**儲存**。
## 跨區域推論
Detective 會自動選取您地理位置內的最佳 AWS 區域,以處理您的調查結果群組資料並產生摘要。這可將可用的運算資源、模型可用性最大化,並提供最佳客戶體驗。您的調查結果群組資料只會儲存在摘要請求產生的區域中,但調查結果群組資料和摘要結果可能會在該區域之外處理。所有資料都會透過 Amazon 的安全網路進行加密傳輸。
Detective 會將您的推論請求安全地路由到發出請求的地理區域內的可用運算資源,如下表所示。
**跨區域推論路由**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/finding-group-summary.html)
## 支援的區域
**問題清單群組摘要**可在下列 AWS 區域取得。
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (奧勒岡)
+ 亞太地區 (東京)
+ 歐洲 (法蘭克福)
# 封存 Amazon GuardDuty 調查結果
當您完成對 Amazon GuardDuty 調查結果的調查後,您可以封存 Amazon Detective 的調查結果。此舉可以節省傳回至 GuardDuty 進行更新的麻煩。封存調查結果表示您已完成對該調查結果的調查。
如果您也是與調查結果相關聯帳戶的 GuardDuty 管理員帳戶,則只能從 Detective 內部封存 GuardDuty 調查結果。如果您不是 GuardDuty 管理員帳戶,而且您嘗試封存調查結果,則 GuardDuty 會顯示錯誤。
**若要封存 GuardDuty 調查結果**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在 Detective 主控台的調查結果詳細資訊面板中,選擇**封存調查結果**。
1. 出現確認提示時,選擇**封存**。
您可以在 GuardDuty 主控台中檢視已封存的 GuardDuty 調查結果。封存的調查結果會存放在 GuardDuty 90 天,您可以在該期間內隨時檢視。您可以在 GuardDuty 主控台中檢視隱藏的問題清單,方法是從問題清單資料表中選取封存,或透過 GuardDuty API 使用[ListFindings](https://docs.aws.amazon.com//guardduty/latest/APIReference/API_ListFindings.html) API搭配 afindingCriteriacriterion of service.archived 等於 true。若要進一步了解,請參閱《Amazon GuardDuty 使用者指南》**中的[隱藏規則](https://docs.aws.amazon.com//guardduty/latest/ug/findings_suppression-rule.html)。