啟用 Detective - Amazon Detective
檢查 Detective 是否正在擷取資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Detective

您可以從 Detective 主控台、Detective API 或AWS Command Line Interface啟用 Detective。

每個區域中只能啟用一次 Detective。如果您已經是區域中行為圖表的管理員帳戶,則無法再次在該區域中啟用 Detective。

Console
若要啟用 Detective (主控台)

  1. 登入AWS 管理主控台。然後前往 https://console.aws.amazon.com/detective/ 開啟 Detective 主控台。

  2. 選擇開始使用

  3. 啟用 Amazon Detective 頁面上,對齊管理員帳戶 (建議使用) 說明在 Detective 和 Amazon GuardDuty 和AWS Security Hub CSPM之間對齊管理員帳戶的建議。請參閱 使用 GuardDuty 和AWS Security Hub CSPM的建議對齊

  4. 連接 IAM 政策按鈕會將您直接導向 IAM 主控台,並開啟建議的政策。您可以選擇將建議的政策連接到您用於 Detective 的主體。如果您沒有在 IAM 主控台中操作的許可,您可以在必要許可內複製 Amazon Resource Name (ARN),將其提供給 IAM 管理員。他們可以代表您附加政策。

    確認所需的 IAM 政策已就位。

  5. 透過新增標籤區段,您可將標籤新增至行為圖表。

    若要新增標籤,請執行以下操作:

    1. 選擇 Add new tag (新增標籤)

    2. 針對金鑰,輸入標籤的名稱。

    3. 針對,輸入標籤值。

    若要移除標籤,選擇該標籤的移除選項。

  6. 選擇啟用 Amazon Detective

  7. 啟用 Detective 後,您可以邀請成員帳戶加入您的行為圖表。

    若要導覽至帳戶管理頁面,選擇立即新增成員。如需邀請成員帳戶的相關資訊,請參閱 在 Detective 中管理受邀成員帳戶

Detective API,AWS CLI

您可以透過 Detective API 或AWS Command Line Interface啟用 Amazon Detective。

啟用 Detective (Detective API)AWS CLI

  • Detective API:使用 CreateGraph 操作。

  • AWS CLI:在命令列中執行 create-graph 命令。

    aws detective create-graph --tags '{"tagName": "tagValue"}'

    以下指令會啟用 Detective,並將 Department 標籤值設定為 Security

    aws detective create-graph --tags '{"Department": "Security"}'
Python script on GitHub

您可以在 GitHub.Detective 在 GitHub 中提供開放原始碼指令碼,執行下列動作:

  • 為指定的區域清單中的管理員帳戶啟用 Detective

  • 將提供的成員帳戶清單新增至每個產生的行為圖表

  • 向成員帳戶發送邀請電子郵件

  • 自動接受成員帳戶的邀請

如需如何設定和使用 GitHub 指令碼的相關資訊,請參閱 使用 Detective Python 指令碼來管理帳戶

檢查 Detective 正在從AWS您的帳戶擷取資料

啟用 Detective 之後,它會開始從AWS您的帳戶擷取資料並擷取到您的行為圖表。

對於初始擷取,資料通常會在 2 小時內出現在行為圖表中。

檢查 Detective 是否擷取資料的一種方法是在 Detective 搜尋頁面上尋找範例值。

若要檢查搜尋頁面上的範例值

  1. 前往 https://console.aws.amazon.com/detective/ 開啟 Amazon Detective 主控台。

  2. 在導覽窗格中,選擇搜尋

  3. 選取類型功能表中,選擇項目類型。

    資料中的範例包含行為圖表資料中已選取類型的識別符範例集。

    如果您可以看到範例值,則您知道系統正在提取資料並擷取到您的行為圖表中。