本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與 Amazon Detective 整合
Amazon Detective 可透過產生資料視覺化來代表資源隨時間的行為和互動方式,協助您快速分析和調查一或多個 AWS 帳戶的安全事件。Detective 將 GuardDuty 的調查結果建立視覺化效果。
Detective 會擷取所有調查結果類型的調查結果詳細資訊,並提供實體設定檔的存取權,以調查與調查結果有關的不同實體。實體可以是 AWS 帳戶、 帳戶中 AWS 的資源,或已與您的資源互動的外部 IP 地址。GuardDuty 主控台支援從下列實體樞紐至 Amazon Detective,取決於問題清單類型:IAM AWS 帳戶角色、使用者或角色工作階段、使用者代理程式、聯合身分使用者、Amazon EC2 執行個體或 IP 地址。
啟用整合
若要將 Amazon Detective 與 GuardDuty 一起使用,您必須首先啟用 Amazon Detective。如需有關如何啟用 Detective 的資訊,請參閱《Amazon Detective 使用者指南》中的開始使用 Amazon Detective。
當您同時啟用 GuardDuty 和 Detective 時,會自動啟用整合。啟用後,Detective 將立即擷取 GuardDuty 調查結果資料。
注意
GuardDuty 會根據 GuardDuty 調查結果的匯出頻率,將調查結果傳送給 Detective。根據預設,現有調查結果更新的匯出頻率為 6 小時。為了確保 Detective 能夠收到您調查結果的最新更新,建議您在 Detective 與 GuardDuty 一起使用的每個區域中將匯出頻率變更為 15 分鐘。如需詳細資訊,請參閱步驟 5 – 設定匯出更新之作用中問題清單的頻率。
從 GuardDuty 調查結果樞紐至 Amazon Detective
-
登入主控台,網址為 https://console.aws.amazon.com/guardduty/
。 -
從調查結果表中選擇單個調查結果。
-
從調查結果詳細資訊窗格中選擇使用 Detective 來調查。
-
選擇調查結果的一個方面,以使用 Amazon Detective 來調查。這會針對該調查結果或實體開啟 Detective 主控台。
如果樞紐未如預期般運作,請參閱 Amazon Detective User Guide 中的 Troubleshooting the pivot。
注意
如果您在 Detective 主控台中封存 GuardDuty 調查結果,該調查結果也會封存在 GuardDuty 主控台中。
使用與 GuardDuty 多帳戶環境的整合
如果您要在 GuardDuty 中管理多帳戶環境,您必須將成員帳戶新增至 Amazon Detective,才能檢視這些帳戶中問題清單和實體的 Detective 資料視覺化。
建議您使用與 Detective 的管理員帳戶相同的 GuardDuty 管理員帳戶。如需在 Detective 中新增成員帳戶的詳細資訊,請參閱《Amazon Detective 使用者指南》中的管理帳戶。
注意
Detective 是一項區域性服務,這意味著您必須啟用 Detective,並在要使用整合的每個區域中新增成員帳戶。