发布于: Nov 26, 2023
Amazon Detective 现在支持自动调查 AWS Identity and Access Management (IAM) 实体的感染指标 (IoC)。这项新功能可帮助安全分析师确定 IAM 实体是否可能遭到入侵或参与了 MITRE ATT&CK 框架中的任何已知策略、技术和程序 (TTP)。
Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。启用后,Detective 会自动从 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建交互式可视化内容,使您能够进行更快、更有效的安全调查。您现在可以使用 Detective 自动分析 IAM 用户和 IAM 角色,以快速发现潜在的 IoC 和 TTP。Detective 还使用机器学习来突出显示指标出现异常并需要注意的情况。通过 Detective 管理控制台或新发布的公有 API,您可以根据 Amazon 资源名称 (ARN) 调查 IAM 资源,并获得一份报告,其中列出了参与异常行为的 IAM 实体的 IoC 和 TTP。
这项新功能不收取额外费用,现已面向 Detective 的所有现有客户和新客户提供。所有启用了 Detective 功能的 AWS 区域(包括 AWS GovCloud(美国)区域)都提供对调查 IAM 实体的支持。只需在 AWS 管理控制台中单击几下鼠标,即可开始免费试用 Detective 30 天。
Amazon Detective 用户指南中的 Detective IAM 调查功能。