本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AI 調查代理程式
<a name="ai-investigative-agent"></a>

## 概觀
<a name="ai-investigative-agent-overview"></a>

 採用 AI 技術的調查代理程式與客戶和 AWS 安全事件應變 工程師合作，以加速安全調查。當客戶建立 AWS 支援的案例時，客服人員會自動與安全事件回應工程師互動並行啟用，將解決時間從數天縮短為數小時。

 在客戶呈報期間，安全事件回應案例可能由您建立或主動建立 AWS 安全事件應變。建立新的 AWS 支援案例時，調查客服人員會自動觸發。您可以透過主控台、API 或 Amazon EventBridge 整合來管理所有案例。

**主要優點**
+ **平行調查** – 代理程式與回應者同時運作，同時提供 AI 自動化和人類專業知識。
+ **自動化證據收集** – 透過自動查詢 AWS CloudTrail、IAM、Amazon EC2 和 Cost Explorer 來消除手動日誌分析。
+ **自然語言界面** – 以純語言描述安全問題，而不需要 AWS 日誌格式的專業知識。
+ **更快的回應** – 調查索引標籤中的調查摘要可在幾分鐘內提供。
+ **完整可稽核性** – 所有客服人員動作都會登入 `AWSServiceRoleForSupport`角色 AWS CloudTrail 下。

**重要**  
 此功能僅適用於 AWS支援的案例。自我管理的案例不包含 AI 調查功能。

## 運作方式
<a name="ai-investigative-agent-how-it-works"></a>

 AI 調查代理程式在分析 AWS 支援的安全案例時遵循結構化工作流程：

**調查工作流程**

1. **案例建立** – 客戶在描述安全問題的安全事件回應主控台中建立 AWS 支援的案例。

1. **平行啟用**
   + 安全事件回應工程師與案例互動。
   + 同時，AI 代理器會開始其調查工作流程。

1. **內容問題 （選用）** – 客服人員可能會詢問釐清問題，以收集特定詳細資訊：
   + 受影響的 AWS 帳戶 IDs
   + 涉及的 IAM 主體 （使用者、角色、存取金鑰）
   + 特定資源識別符 (S3 儲存貯體、EC2 執行個體、ARNs)
   + 可疑活動的時間範圍

1. **證據收集** – 代理程式會自動查詢 AWS 資料來源：
   + *AWS CloudTrail* – 與事件相關聯的 API 呼叫和活動
   + *IAM* – 使用者和角色許可、政策變更和新身分建立
   + *Amazon EC2 APIs* – 涉及時運算資源的相關資訊
   + *Cost Explorer* – 異常資源耗用量的成本和用量指標

1. **分析和相互關聯** – 代理程式跨服務關聯證據、識別模式並建置事件的時間軸。

1. **產生摘要** – 在幾分鐘內，客服人員會在調查索引標籤中呈現完整的調查摘要。

**注意**  
 所有欄位都是選擇性的。如果未在 10 分鐘內提供答案，調查會自動開始。在某些情況下，如果已有足夠資訊可用，客服人員可能會完全略過選用問題。

**存取調查結果**

若要檢視 AI 分析：

1. 在安全事件回應主控台中導覽至您的案例。

1. 選取**調查**索引標籤。

1. 檢閱調查結果、時間軸和內容的調查摘要。

 AI 調查客服人員摘要會自動張貼為案例**通訊**區段中的註解，以便與其他案例更新一起檢閱。

**資料存取和許可**

 AI 調查代理程式會使用`AWSServiceRoleForSupport`服務連結角色來存取 AWS 資源。此角色提供收集證據所需的唯讀許可。

 客服人員執行的所有動作都會登入 AWS CloudTrail，讓客戶能夠確切稽核調查期間存取的資料。在 AWS CloudTrail 日誌中，這些動作歸因於 `AWSServiceRoleForSupport`。

## 先決條件
<a name="ai-investigative-agent-prerequisites"></a>

 使用 AI 支援的調查功能之前，請確定下列事項：

**必要的設定**
+ **AWS 安全事件應變 已啟用** – 服務必須透過 AWS Organizations 管理帳戶啟用。
+ **AWS支援的案例類型** – AI 調查僅適用於 AWS 支援的案例 （非自我管理案例）。
+ **AWSServiceRoleForSupport** – 此服務連結角色會自動建立，並提供調查代理程式所需的許可。

**所需的 ** 許可

 若要建立 AWS 支援的案例並存取調查結果，IAM 主體需要下列許可：

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}
```

## 使用 調查代理程式
<a name="ai-investigative-agent-using"></a>

 AI 調查代理程式會在建立 AWS支援的案例時自動啟用。

**監控 AI 調查進度**

1. 在 AWS 安全事件應變 主控台中開啟您的案例。

1. 選擇**調查**索引標籤。

1. 檢視調查狀態 (*進行中*或*已完成*)。

1. 完成後，請檢閱包含調查結果、時間表和建議的全面調查摘要。

**負責任的 AI 揭露**

 使用 AWS 生成式 AI 功能產生調查摘要。您有責任在特定內容中評估 AI 產生的建議、實作適當的監督機制、獨立驗證問題清單，以及維護所有安全決策的人工監督。

**客戶資料的使用**

 AI 調查客服人員不會使用客戶資料進行模型訓練，也不會與第三方共用客戶資料。