啟用 Detective 的建議 - Amazon Detective
建議與 GuardDuty 和 對齊 AWS Security Hub CSPM建議更新 GuardDuty CloudWatch 的通知頻率

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Detective 的建議

在啟用 Detective 之前,請考慮遵循這些建議

如果您已註冊 GuardDuty AWS Security Hub CSPM,我們建議您的帳戶是這些服務的管理員帳戶。如果這三項服務的管理員帳戶都相同,則以下整合點可順暢運作。

  • 在 GuardDuty 或 Security Hub CSPM 中,檢視 GuardDuty 調查結果的詳細資訊時,您可以從調查結果詳細資訊轉向 Detective 調查結果設定檔。

  • 在 Detective 中,調查 GuardDuty 調查結果時,您可以選擇封存該調查結果的選項。

如果您的 GuardDuty 和 Security Hub CSPM 有不同的管理員帳戶,我們建議您根據您更頻繁使用的服務來調整管理員帳戶。

  • 如果您更頻繁地使用 GuardDuty,請使用 GuardDuty 管理員帳戶啟用 Detective。

    如果您使用 AWS Organizations 管理帳戶,請將 GuardDuty 管理員帳戶指定為組織的 Detective 管理員帳戶。

  • 如果您更頻繁地使用 Security Hub CSPM,請使用 Security Hub CSPM 管理員帳戶啟用 Detective。

    如果您使用 Organizations 管理帳戶,請將 Security Hub CSPM 管理員帳戶指定為組織的 Detective 管理員帳戶。

如果您無法在所有服務中使用相同的管理員帳戶,則在啟用 Detective 之後,您可以選擇建立跨帳戶角色。此角色會授權管理員帳戶存取其他帳戶。

如需有關 IAM 如何支援此類角色的資訊,請參閱《IAM 使用者指南》中的提供存取權給您擁有的另一個 AWS 帳戶中IAM 使用者。

在 GuardDuty 中,偵測器會以 Amazon CloudWatch 通知頻率進行設定,以便報告後續發生的調查結果。這包括發送通知給 Detective。

根據預設,頻率為六小時。這意味著即使調查結果重複出現多次,直到六個小時後,新事件才會反映在 Detective 中。

為了減少 Detective 接收此類更新所需的時間,我們建議 GuardDuty 管理員帳戶將其偵測器上的設定變更為 15 分鐘。請注意,變更組態並不會影響使用 GuardDuty 的成本。

如需設定通知頻率的相關資訊,請參閱《Amazon GuardDuty 使用者指南》中的使用 Amazon CloudWatch Events 監控 GuardDuty 調查結果