本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 Detective 的建議
<a name="detective-recommendations"></a>

在啟用 Detective 之前，請考慮遵循這些建議

## 建議與 GuardDuty 和 對齊 AWS Security Hub CSPM
<a name="recommended-service-alignment"></a>

如果您已註冊 GuardDuty AWS Security Hub CSPM，我們建議您的帳戶是這些服務的管理員帳戶。如果這三項服務的管理員帳戶都相同，則以下整合點可順暢運作。
+ 在 GuardDuty 或 Security Hub CSPM 中，檢視 GuardDuty 調查結果的詳細資訊時，您可以從調查結果詳細資訊轉向 Detective 調查結果設定檔。
+ 在 Detective 中，調查 GuardDuty 調查結果時，您可以選擇封存該調查結果的選項。

如果您的 GuardDuty 和 Security Hub CSPM 有不同的管理員帳戶，我們建議您根據您更頻繁使用的服務來調整管理員帳戶。
+ 如果您更頻繁地使用 GuardDuty，請使用 GuardDuty 管理員帳戶啟用 Detective。

  如果您使用 AWS Organizations 管理帳戶，請將 GuardDuty 管理員帳戶指定為組織的 Detective 管理員帳戶。
+ 如果您更頻繁地使用 Security Hub CSPM，請使用 Security Hub CSPM 管理員帳戶啟用 Detective。

  如果您使用 Organizations 管理帳戶，請將 Security Hub CSPM 管理員帳戶指定為組織的 Detective 管理員帳戶。

如果您無法在所有服務中使用相同的管理員帳戶，則在啟用 Detective 之後，您可以選擇建立跨帳戶角色。此角色會授權管理員帳戶存取其他帳戶。

如需有關 IAM 如何支援此類角色的資訊，請參閱《[IAM 使用者指南》中的提供存取權給您擁有的另一個 AWS 帳戶中](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)的 *IAM* 使用者。

## 建議更新 GuardDuty CloudWatch 的通知頻率
<a name="recommended-guardduty-config"></a>

在 GuardDuty 中，偵測器會以 Amazon CloudWatch 通知頻率進行設定，以便報告後續發生的調查結果。這包括發送通知給 Detective。

根據預設，頻率為六小時。這意味著即使調查結果重複出現多次，直到六個小時後，新事件才會反映在 Detective 中。

為了減少 Detective 接收此類更新所需的時間，我們建議 GuardDuty 管理員帳戶將其偵測器上的設定變更為 15 分鐘。請注意，變更組態並不會影響使用 GuardDuty 的成本。

如需設定通知頻率的相關資訊，請參閱《Amazon GuardDuty 使用者指南**》中的[使用 Amazon CloudWatch Events 監控 GuardDuty 調查結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html)。