什麼是 Amazon Detective？

Detective 調查結果群組可讓您檢查與潛在安全事件相關的多個活動。您可以使用調查結果群組來分析高嚴重性 GuardDuty 調查結果的根本原因。如果威脅行為者嘗試入侵您的 AWS 環境，他們通常會執行一系列動作，產生多個安全調查結果和異常行為。

Detective 中的調查結果群組頁面會顯示從您的行為圖表擷取的所有相關調查結果群組。如需如何利用調查結果群組來分析安全調查結果根本原因的詳細資訊，請參閱 Detective 中的分析調查結果群組。

Detective 提供每個調查結果群組的互動式視覺化，協助您更快速且更徹底地調查安全問題。視覺化旨在顯示與安全事件相關的實體和調查結果，讓您更輕鬆地了解連線和根本原因。 可協助您更快速、更徹底地調查問題，而不需費力。問題清單群組視覺化面板會顯示問題清單群組中涉及的問題清單和實體。

透過 Detective Investigation，您可以使用入侵指標調查 IAM 使用者和 IAM 角色，這可協助您判斷資源是否涉及安全事件。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品，可以 (具有高可信度) 識別惡意活動或安全事件。透過 Detective 調查，您可以最大化效率、專注於安全威脅，並強化事件回應功能。

Detective Investigation 使用機器學習模型和威脅情報，僅顯示最關鍵、可疑的問題，讓您專注於高階調查。它會自動分析您 AWS 環境中的資源，以識別入侵或可疑活動的潛在指標。這可讓您識別模式，並了解哪些資源受到安全事件的影響，提供主動的威脅識別和緩解方法。

您可以透過執行 Detective 調查，從 Detective 主控台使用啟動 Detective 調查。若要以程式設計方式執行調查，請使用 Detective API 的 StartInvestigation 操作。若要使用 AWS Command Line Interface (AWS CLI) 執行調查，請執行 start-investigation 命令。

Detective 與 Amazon Security Lake 整合，這表示您可以查詢和擷取 Security Lake 存放的原始日誌資料。透過此整合，您可以從 Security Lake 原生支援的下列來源收集日誌和事件。

將 Detective 與 Security Lake 整合之後，Detective 會開始從 Security Lake 提取與 AWS CloudTrail 管理事件和 Amazon VPC 流程日誌相關的原始日誌。您可以查詢原始日誌以檢視 Detective 中的日誌和事件。

透過 Detective，您可以互動方式檢查 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和 Kubernetes Pod 的虛擬私有雲端 (VPC) 網路流程的活動詳細資訊。Amazon EC2 Detective 會自動從您的受監控帳戶收集 VPC 流程日誌、依 EC2 執行個體彙總它們，並呈現這些網路流程的視覺化摘要和分析。

針對 EC2 執行個體，整體 VPC 流量的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。

針對 Kubernetes Pod，整體 VPC 流量會針對所有目的地 IP 地址，顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。

AWS 管理主控台 是以瀏覽器為基礎的界面，可用來建立和管理 AWS 資源。作為該主控台的一部分，Amazon Detective 主控台可讓您存取 Detective 帳戶、資料和資源。您可以使用 Detective 主控台來執行任何 Detective 任務：檢閱潛在的安全威脅，並分析、調查和識別安全調查結果的根本原因。

使用 AWS 命令列工具，您可以在系統的命令列發出命令，以執行 Detective 任務和 AWS 任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組命令列工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。如需安裝和使用 的詳細資訊 AWS CLI，請參閱AWS Command Line Interface 《 使用者指南》。如需安裝和使用 Tools for PowerShell 的相關資訊，請參閱 AWS Tools for PowerShell 使用者指南。

AWS 提供 SDKs其中包含適用於各種程式設計語言和平台的程式庫和範本程式碼，例如 Java、Go、Python、C++ 和 .NET。SDKs提供 Detective 和其他 的便利、程式設計存取 AWS 服務。它們也會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 AWS SDKs的資訊，請參閱要建置的工具 AWS。

Amazon Detective REST API 可讓您以程式設計方式存取 Detective 帳戶、資料和資源。使用此 API，您可以將 HTTPS 請求直接傳送至 Detective。不過，與 AWS 命令列工具和SDKs不同，使用此 API 需要您的應用程式處理低階詳細資訊，例如產生雜湊來簽署請求。如需此 API 的相關資訊，請參閱 Detective API 參考。

AWS Security Hub CSPM 可讓您全面檢視 AWS 資源的安全狀態，並協助您根據安全產業標準和最佳實務檢查 AWS 環境。這部分是透過取用、彙總、組織和排定來自多個 AWS 服務 （包括 Detective) 和支援 AWS 合作夥伴網路 (APN) 產品的安全性調查結果優先順序來執行。Security Hub 可協助您分析安全趨勢，並識別整個 AWS 環境中最優先的安全問題。

若要進一步了解 Security Hub，請參閱 AWS Security Hub CSPM 使用者指南。

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的 AWS 日誌，例如 Amazon S3 和 CloudTrail 管理事件日誌 AWS CloudTrail 的資料事件日誌。它使用威脅情報摘要，例如惡意 IP 地址和網域的清單，以及機器學習，來識別您 AWS 環境中非預期和可能未經授權的惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南。

Amazon Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake，將來自 AWS 環境、SaaS 提供者、內部部署來源、雲端來源和第三方來源的安全資料，自動集中到存放在您 AWS 帳戶中的專用資料湖。Security Lake 可協助您分析安全資料，讓您更全面地了解整個組織的安全狀態。透過 Security Lake，您還可以改善工作負載、應用程式和資料的保護。

若要進一步了解 Security Lake，請參閱 Amazon Security Lake 使用者指南。若要進一步了解如何同時使用 Detective 和 Security Lake，請參閱 Amazon Detective 與 Amazon Security Lake 整合。