本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 Amazon S3 集成
Amazon Detective 通过生成数据可视化来帮助您快速分析和调查一个或多个Amazon账户的安全事件,这些数据可视化表示您的资源随时间推移的行为和交互方式。Detective 创建 GuardDuty 发现的可视化效果。
Detective 会提取所有发现类型的查找细节,并提供对实体配置文件的访问权限,以调查与发现相关的不同实体。实体可以是Amazon Web Services 账户、账户内的Amazon资源或与您的资源交互的外部 IP 地址。GuardDuty 控制台支持从以下实体转向 Amazon Detective,具体取决于查找Amazon Web Services 账户类型:、IAM 角色、用户或角色会话、用户代理、联合用户、Amazon EC2 实例或 IP 地址。
启用集成
要在 GuardDuty 中使用 Amazon Detective,你必须先启用 Amazon Detective。有关如何启用 Detective 的信息,请参阅《亚马逊侦探管理指南》中的 “设置 A mazon Det ective”。
当您同时启用 GuardDuty 和 Detective 时,集成将自动启用。启用后,Detective 将立即提取你的 GuardDuty 调查结果数据。
注意
GuardDuty 根据 GuardDuty 调查结果的导出频率将调查结果发送给 Detective。默认情况下,现有发现更新的导出频率为 6 小时。为确保 Detective 收到最新发现的更新,建议您在使用 Detective with GuardDuty 的每个区域将导出频率更改为 15 分钟。有关更多信息,请参阅步骤 5-设置导出更新的活动发现的频率。
从 GuardDuty 的发现转向 Amazon Detective
-
通过以下网址打开 控制台:https://console.aws.amazon.com/guardduty。
-
从您的发现结果表中选择一个发现。
-
从调查结果详细信息窗格中选择 “使用 Detec tive 调查”。
-
选择调查结果的某个方面,与 Amazon Detective 一起调查。这将为该发现或实体打开 Detective 控制台。
如果数据透视的行为不符合预期,请参阅 Amazon Detective 用户指南中的数据透视疑难解答。
注意
如果你在 Detective 控制台中存档 GuardDuty 的调查结果,则该发现也会存档在 GuardDuty 主机中。
使用与 GuardDuty 多账户环境的集成
如果您在 GuardDuty 中管理多账户环境,则必须将您的成员账户添加到 Amazon Detective,才能查看这些账户中的发现和实体的侦探数据可视化效果。
建议您使用与 Detective 管理员帐户相同的 GuardDuty 管理员帐户。有关在 Detective 中添加成员账户的更多信息,请参阅邀请成员账户。
注意
Detective 是一项区域性服务,这意味着您必须启用 Detective,并在要使用该集成的每个地区添加您的会员账户。