View a markdown version of this page

AI 調查代理程式 - AWS 安全事件應變 使用者指南
概觀運作方式先決條件使用 調查代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AI 調查代理程式

概觀

採用 AI 技術的調查代理程式與客戶和 AWS 安全事件應變 工程師合作,以加速安全調查。當客戶建立 AWS 支援的案例時,客服人員會自動與安全事件回應工程師互動並行啟用,將解決時間從數天縮短為數小時。

在客戶呈報期間,安全事件回應案例可能由您建立或主動建立 AWS 安全事件應變。建立新的 AWS 支援案例時,調查客服人員會自動觸發。您可以透過主控台、API 或 Amazon EventBridge 整合來管理所有案例。

主要優點

  • 平行調查 – 代理程式與回應者同時運作,同時提供 AI 自動化和人類專業知識。

  • 自動化證據收集 – 透過自動查詢 AWS CloudTrail、IAM、Amazon EC2 和 Cost Explorer 來消除手動日誌分析。

  • 自然語言界面 – 以純語言描述安全問題,而不需要 AWS 日誌格式的專業知識。

  • 更快的回應 – 調查索引標籤中的調查摘要可在幾分鐘內提供。

  • 完整可稽核性 – 所有客服人員動作都會登入 AWSServiceRoleForSupport角色 AWS CloudTrail 下。

重要

此功能僅適用於 AWS支援的案例。自我管理的案例不包含 AI 調查功能。

運作方式

AI 調查代理程式在分析 AWS 支援的安全案例時遵循結構化工作流程:

調查工作流程

  1. 案例建立 – 客戶在描述安全問題的安全事件回應主控台中建立 AWS 支援的案例。

  2. 平行啟用

    • 安全事件回應工程師與案例互動。

    • 同時,AI 代理器會開始其調查工作流程。

  3. 內容問題 (選用) – 客服人員可能會詢問釐清問題,以收集特定詳細資訊:

    • 受影響的 AWS 帳戶 IDs

    • 涉及的 IAM 主體 (使用者、角色、存取金鑰)

    • 特定資源識別符 (S3 儲存貯體、EC2 執行個體、ARNs)

    • 可疑活動的時間範圍

  4. 證據收集 – 代理程式會自動查詢 AWS 資料來源:

    • AWS CloudTrail – 與事件相關聯的 API 呼叫和活動

    • IAM – 使用者和角色許可、政策變更和新身分建立

    • Amazon EC2 APIs – 涉及時運算資源的相關資訊

    • Cost Explorer – 異常資源耗用量的成本和用量指標

  5. 分析和相互關聯 – 代理程式跨服務關聯證據、識別模式並建置事件的時間軸。

  6. 產生摘要 – 在幾分鐘內,客服人員會在調查索引標籤中呈現完整的調查摘要。

注意

所有欄位都是選擇性的。如果未在 10 分鐘內提供答案,調查會自動開始。在某些情況下,如果已有足夠資訊可用,客服人員可能會完全略過選用問題。

存取調查結果

若要檢視 AI 分析:

  1. 在安全事件回應主控台中導覽至您的案例。

  2. 選取調查索引標籤。

  3. 檢閱調查結果、時間軸和內容的調查摘要。

AI 調查客服人員摘要會自動張貼為案例通訊區段中的註解,以便與其他案例更新一起檢閱。

資料存取和許可

AI 調查代理程式會使用AWSServiceRoleForSupport服務連結角色來存取 AWS 資源。此角色提供收集證據所需的唯讀許可。

客服人員執行的所有動作都會登入 AWS CloudTrail,讓客戶能夠確切稽核調查期間存取的資料。在 AWS CloudTrail 日誌中,這些動作歸因於 AWSServiceRoleForSupport

先決條件

使用 AI 支援的調查功能之前,請確定下列事項:

必要的設定

  • AWS 安全事件應變 已啟用 – 服務必須透過 AWS Organizations 管理帳戶啟用。

  • AWS支援的案例類型 – AI 調查僅適用於 AWS 支援的案例 (非自我管理案例)。

  • AWSServiceRoleForSupport – 此服務連結角色會自動建立,並提供調查代理程式所需的許可。

所需的 許可

若要建立 AWS 支援的案例並存取調查結果,IAM 主體需要下列許可:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

使用 調查代理程式

AI 調查代理程式會在建立 AWS支援的案例時自動啟用。

監控 AI 調查進度

  1. 在 AWS 安全事件應變 主控台中開啟您的案例。

  2. 選擇調查索引標籤。

  3. 檢視調查狀態 (進行中已完成)。

  4. 完成後,請檢閱包含調查結果、時間表和建議的全面調查摘要。

負責任的 AI 揭露

使用 AWS 生成式 AI 功能產生調查摘要。您有責任在特定內容中評估 AI 產生的建議、實作適當的監督機制、獨立驗證問題清單,以及維護所有安全決策的人工監督。

客戶資料的使用

AI 調查客服人員不會使用客戶資料進行模型訓練,也不會與第三方共用客戶資料。