Amazon Detective 概念和術語 - Amazon Detective

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Detective 概念和術語

以下術語和概念相當重要,能協助您了解 Amazon Detective 及其運作方式。

管理員帳戶

所以此 AWS 帳戶 擁有行為圖,並使用行為圖表進行調查。

管理員帳戶會邀請成員帳戶將其資料提供至行為圖表。如需詳細資訊,請參閱在 Detective 中管理受邀成員帳戶

對於組織行為圖表,管理員帳戶是組織管理帳戶指定的 Detective 管理員帳戶。如需詳細資訊,請參閱 指定組織的 Detective 管理員。Detective 管理員帳戶可以在組織行為圖表中將任何組織帳戶作為成員帳戶啟用。如需詳細資訊,請參閱 以 Detective 成員帳戶管理組織帳戶

管理員帳戶也可以檢視行為圖表的資料用量,並從行為圖表中移除成員帳戶。

自治系统组织 ASO

被分配了自治系統的標題組織。該自主系統是異質網路或一組使用類似路由邏輯和政策的網路。

行為圖表

從傳入來源資料產生的連結資料集,該資料與一個或多個相關聯 AWS 帳戶.

每個行為圖表都使用相同的調查結果、實體和關係。

委派的管理員帳戶 (AWS Organizations)

在組織中,服務的委派管理員帳戶能夠管理組織服務的使用情況。

在 Detective 中,Detective 管理員帳戶也是委派的管理員帳戶,除非 Detective 管理員帳戶是組織管理帳戶。組織管理帳戶無法成爲委派的管理員帳戶。

在 Detective 中,允許自我委派。組織管理帳戶可以委派自己的帳戶成為 Detective 的委派管理員,但這只能在 Detective 的範圍內註冊或記住,並不是適用於組織。

Detective 管理員帳戶

組織管理帳戶指定為區域中組織行為圖表的管理員帳戶的帳戶。如需詳細資訊,請參閱 指定組織的 Detective 管理員

Detective 建議組織管理帳戶選擇其帳戶以外的帳戶。

如果帳戶非組織管理帳戶,則 Detective 管理員帳戶也組織中 Detective 的委派管理員帳戶。

Detective 來源資料

來自以下摘要類型的已處理、結構化資訊版本:

  • 記錄來源 AWS 服務,例如 AWS CloudTrail 日誌和 Amazon VPC 流量日誌

  • GuardDuty 發現

Detective 使用 Detective 來源資料來填入行為圖表。Detective 也會儲存 Detective 來源資料的副本,以支援其分析。

實體

從擷取資料中擷取的項目。

每個實體都有一個類型,用來識別它所代表的物件類型。實體類型的範例包括 IP 地址、Amazon EC2 執行個體和 AWS 使用者。

實體可以 AWS 您管理的資源,或與資源互動的外部 IP 位址。

針對每個實體,來源資料也會用來填入實體屬性。屬性值可以直接從來源記錄中擷取,也可以跨多個記錄彙總。

問題清單

Amazon 檢測到的安全問題 GuardDuty。

調查結果群組

可能與相同事件或安全問題相關的相關調查結果、實體和證據的集合。Detective 會根據內建的機器學習模型產生調查結果群組。

Detective 証据

Detective 會根據您在過去 45 天內收集的行為圖表中的資料,識別與調查結果群組相關的其他證據。此證據顯示為嚴重性值為資訊性的調查結果。證據會提供支援資訊,反白顯示在調查結果群組中檢視時,可能可疑的異常活動或未知行為。這方面的一個例子可能是新觀察到的地理位置或在發現的範圍內觀察到的API呼叫。目前,此類調查結果只能在 Detective 中檢視,不會傳送至 Security Hub。

尋找概述

提供調查結果資訊摘要的單一頁面。

調查結果概觀包含調查結果的相關實體清單。從清單中,您可以錨定至實體的設定檔。

調查結果概觀也包含含有調查結果屬性的詳細資訊面板。

大容量實體

在時間間隔內與大量其他實體之間有連線或來自大量其他實體的實體。例如,EC2執行個體可能有來自數百萬個 IP 位址的連線。連線數目超過 Detective 可容納的臨界值。

當目前的範圍時間包含大量的時間間隔時,Detective 會通知使用者。

如需詳細資訊,請參閱《Amazon Detective 使用者指南》中的檢視大量實體的詳細資訊

調查

分類可疑或有趣活動,確定其範圍,取得其基礎來源或原因,然後確定如何繼續的過程。

成員帳戶

同時 AWS 帳戶 受邀將資料貢獻至行為圖的管理員帳戶。在組織行為圖表中,成員帳戶可以是 Detective 管理員帳戶已啟用為成員帳戶的組織帳戶。

受邀成員帳戶可以回應行為圖表邀請,並從行為圖表中移除其帳戶。如需詳細資訊,請參閱 針對成員帳戶:管理行為圖表邀請和成員資格

組織帳戶無法在組織行為圖表中變更其成員資格。

所有成員帳戶也可以在提供資料的行為圖表中檢視其帳戶的用量資訊。

他們沒有對行為圖表的其他存取。

組織行為圖

Detective 管理員帳戶所擁有的行為圖表。組織管理帳戶會指定 Detective 管理員帳戶。如需詳細資訊,請參閱 指定組織的 Detective 管理員

在組織行為圖表中,Detective 管理員帳戶控制組織帳戶是否為成員帳戶。組織帳戶無法從組織行為圖表中移除本身。

Detective 管理員帳戶也可以邀請其他帳戶加入組織行為圖表。

設定檔

提供與實體活動相關資料視覺化集合的單一頁面。

針對調查結果,設定檔可幫助分析師確定該調查結果是否為真正關注的問題還是誤報。

檔案提供資訊以支援對某項調查結果進行調查,或用於常規尋找可疑活動。

設定檔面板

設定檔上的單一視覺化。每個設定檔面板都旨在幫助回答特定問題,以協助分析師進行調查。

設定檔面板可以包含鍵值對、資料表、時間軸、長條圖或地理位置圖。

關係

個別實體之間發生的活動。也會從引入來源資料中擷取關係。

與實體類似,關係具有類型,可識別涉及的實體類型和連接方向。關係類型的一個範例是連接到 Amazon EC2 執行個體的 IP 地址。

範圍名稱

用於設定檔上顯示資料範圍的時間範圍。

調查結果的預設範圍時間會反映觀察到可疑活動的首次和末次時間。

實體設定檔的預設範圍時間為前 24 小時。