发布于: Sep 20, 2021
Amazon Detective 扩展支持对 Amazon GuardDuty 上的 Amazon Simple Storage Service(S3)和 DNS 相关调查结果开展安全调查,全面覆盖来自 GuardDuty 的所有调查。借助这一功能,Detective 现在可让安全分析师更轻松地使用更完美的用户体验调查实体和行为。
现在,安全分析师可以轻松调查其 S3 存储桶上的异常活动,并回答各种问题,例如“谁创建了此 S3 存储桶?”、“此 S3 存储桶是什么时候创建的?”、“是谁将此 S3 存储桶设为公有的?”以及“该用户是否在其他 S3 存储桶上执行了禁用日志记录等敏感的 API?”。他们还可以深入探究与声誉不佳的域名(例如与加密货币相关活动有关的域名)和算法生成的域名有关的调查结果。借助这一功能,安全分析师现在可以使用 Detective 轻松分析、调查并快速确定所有 GuardDuty 调查结果类型的根本原因。
Amazon Detective 还改进了现有的资源配置文件页面,以让客户能够更快速地关注与调查结果所涉实体有关的活动。 新的调查结果概览提供了有关各项调查结果的更完整详细信息,并提供了各个所涉实体的配置文件链接。借助这些信息,分析师可以进一步了解各种实体(例如 EC2 实例、IAM 委托人和 IP 地址)与调查结果之间的联系。例如,Detective 会从 S3 存储桶配置文件中的现有数据源汇总 S3 存储桶级别的活动以及相关调查上下文,从而辅助调查,并让分析师能够调查其他资源,例如访问该存储桶的 IAM 用户/角色会话资源,或者在范围时间内调查 S3 存储桶级别 API 的远程 IP 地址。
对于已经在安全调查过程中使用 Detective 的安全分析师而言,这些新功能已经启用,无需执行任何额外的步骤。他们还可以在 GuardDuty 和 Security Hub 中使用“Investigate in Detective“(在 Detective 中调查)选项,从而跳转到 Detective 以进一步调查新支持的调查结果。要详细了解如何从 GuardDuty 和 Security Hub 跳转到 Detective,请参阅 Detective 用户指南。
Amazon Detective 让您能够轻松分析、调查和快速确定潜在安全问题的根本原因。要开始使用,只需在 AWS 管理控制台中点击几次启用 Amazon Detective 的 30 天免费试用即可。有关已推出 Detective 的所有区域,请参阅 AWS 区域页面。要了解详情,请访问 Amazon Detective 产品页面。