与 Amazon Detective 集成 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 Amazon Detective 集成

Amazon Detective帮助您快速分析和调查一个或多个安全事件Amazon帐户,方法是生成数据可视化效果,表示资源随时间推移的行为和交互方式。Detective 为支持的查找类型创建 GuardDuty 调查结果的可视化效果。有关受支持的结果类型的列表,请参阅支持的结果类型

即使 Detective 不支持 GuardDuty 查找类型,您仍可以使用侦探的可视化效果来调查与调查结果相关的不同实体。实体可以是Amazon账户,一个Amazon资源,或与您的资源交互的外部 IP 地址。GuardDuty 控制台支持从以下实体透视亚马逊 Detective,具体取决于搜索结果类型:Amazon账户、IAM 用户、IAM 角色或角色会话、用户代理、联合用户、Amazon EC2 实例或 IP 地址。

启用集成

要使用亚马逊 Detective 与 GuardDuty 一起使用,您必须首先启用亚马逊 Detective。有关如何启用 Detective 的信息,请参阅。设置 Amazon Detective中的Amazon Detective 管理指南

同时启用 GuardDuty 和 Detective 时,集成将自动启用。启用后,Detective 将立即提取您的 GuardDuty 调查结果数据。

注意

GuardDuty 根据卫队调查结果导出频率将调查结果发送给 Detective。默认情况下,更新现有查找结果的导出频率为 6 小时。为了确保 Detective 收到您的调查结果的最新更新,建议您将导出 freqeuncy 更改为 15 分钟,使用 GuardDuty 的每个区域。有关更多信息,请参阅 设置导出更新的活动查找结果的频率

从一个 GuardDuty 调查结果中向亚马逊 Detective 透视

  1. 开放 GuardDutyhttps://console.aws.amazon.com/guardduty

  2. 从查找结果表中选择一个查找结果。

  3. Select与 Detective 一起调查查找结果详细信息窗格中。

  4. 选择调查结果的一个方面,以便与亚马逊 Detective 进行调查。这将打开该查找结果或实体的 “Detective” 控制台。

如果透视表未按预期行为,请参阅Pivot 排除方面的问题中的Amazon Detective 用户指南

注意

如果您在 Detective 控制台中存档 GuardDuty 查找结果,则查找结果也将存档在 GuardDuty 控制台中。

使用与 GuardDuty 多账户环境的集成

如果您在 GuardDuty 中管理多账户环境,则必须将您的成员账户添加到亚马逊 Detective,以便查看这些账户中的调查结果和实体的 Detective 数据可视化效果。

建议您使用与 Detective 的管理员帐户相同的 GuardDuty 管理员帐户。有关在 Detective 中添加成员帐户的更多信息,请参阅邀请成员帐户

注意

Detective 是一项区域性服务,这意味着您必须启用 Detective 并在您想要使用集成的每个区域添加您的成员帐户。