Amazon Detective 常见问题

只需在 AWS 管理控制台中单击几次，即可启用 Amazon Detective。启用后，Amazon Detective 会自动将数据整理成图表模型，且随着新数据变得可用，该模型会不断更新。您可以体验 Amazon Detective 并开始调查潜在安全问题。

您可以在 AWS 管理控制台中启用 Amazon Detective，也可以使用 Amazon Detective API 来启用它。如果您已在使用 Amazon GuardDuty 或 AWS Security Hub 控制台，则应使用与 Amazon GuardDuty 或 AWS Security Hub 中的管理账户来启用 Amazon Detective 以获得最佳跨服务体验。

可以，Amazon Detective 是一项多账户服务，可以将来自受监控成员账户的数据聚合到同一区域内的一个管理账户下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中配置主账户和成员账户的方式配置多账户监控部署。

Amazon Detective 让客户能够查看与 Amazon Virtual Private Cloud（Amazon VPC）流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service（Amazon EKS）审计日志、AWS Security Hub 检测结果以及 Amazon GuardDuty 检测结果相关的摘要和分析数据。

可以，如果您没有在账户中激活 Amazon GuardDuty，可以使用 Amazon Detective。您可以使用 Amazon Detective 获取有关 AWS 账户、EC2 实例、AWS 用户、角色和 IP 地址的行为和交互的详细摘要、分析结果和可视化内容。此信息对于了解安全问题或运营账户活动非常有用。Amazon GuardDuty 是规范指引 — AWS 安全参考架构（SRA）中的一项服务，作为“AWS SRA 关键实施指南”的一部分。

Amazon Detective 在启用后立即开始收集日志数据，提供对所提取数据的可视摘要和分析。Amazon Detective 还可以将近期活动与在账户监控两周后建立的历史基准进行比较。

是的，您可以使用与 Amazon Security Lake 集成的方式导出 AWS CloudTrail 日志和 Amazon VPC 流日志。可以在“适用于 Amazon Security Lake 的 Amazon Detective”部分下查看此集成的运作方式。

Amazon Detective 遵循 AWS 责任共担模式，包括有关数据保护的法规和准则。启用后，Amazon Detective 将针对已启用的任何账户处理来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的数据。

由于 Amazon Detective 直接从 AWS 服务检索日志数据和检测结果，因此 Amazon Detective 对 AWS 基础设施的性能或可用性没有任何影响。

Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载。借助 AWS Security Hub，您可以设置单个位置，对来自多个 AWS 服务（如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie），以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。Amazon Detective 旨在简化调查安全检测结果和确定根本原因的过程。Amazon Detective 会分析来自多个数据来源（例如 Amazon VPC 流日志、AWS CloudTrail 日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果）的数万亿个事件并自动创建图形模型，为您提供有关您的资源、用户及其不同时间的交互情况的统一交互式视图。

借助 Amazon Detective，您可以分析和直观呈现来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的安全数据。要让 Amazon Detective 停止分析您账户的这些日志和检测结果，请使用 API 或通过 Amazon Detective 的 AWS 管理控制台的设置部分禁用此项服务。

Amazon Detective 提供各种可视化内容，展示有关 AWS 资源（例如 AWS 账户、EC2 实例、用户、角色、IP 地址和 Amazon GuardDuty 检测结果）的上下文和见解。每种可视化内容都旨在回答您在分析检测结果和相关活动时可能遇到的特定问题。每种可视化内容都提供文本指导，清楚地说明如何解释面板并使用其信息来回答您的调查问题。

Amazon Detective 通过支持与 Amazon GuardDuty、AWS Security Hub 和 Amazon Security Lake 之间的控制台集成来支持跨服务用户工作流程。GuardDuty 和 Security Hub 都在其控制台中提供链接，将您从选定的检测结果直接重定向到 Amazon Detective 页面，其中包含为调查选定检测结果而精选的一系列可视化内容。Amazon Detective 根据您的调查提供预先构建的查询，这些查询可以从 Amazon Security Lake 查询和下载日志文件。Amazon Detective 中的检测结果详细信息页面已根据检测结果的时间范围进行了调整，并显示与检测结果关联的相关数据。

各种合作伙伴安全解决方案提供商已集成了 Amazon Detective，支持在其自动化手册和编排中启用调查步骤。这些产品在其响应工作流程中提供链接，将用户重定向到 Amazon Detective 页面，其中包含为调查工作流程中确定的检测结果和资源精选的可视化内容。

启用后，Amazon Detective 会自动持续分析并关联与 AWS Security Hub 集成的 AWS 服务的用户、网络和配置活动。Amazon Detective 通过名为 AWS 安全检测结果的可选数据来源，自动摄取从 AWS 安全服务发送到 AWS Security Hub 的安全检测结果。

AWS Security Hub 支持与多个 AWS 服务集成。由于预计 Amazon Macie 会发现敏感数据检测结果，因此您自动选择加入与 Security Hub 集成的所有其他 AWS 服务。如果您已打开 Security Hub 和任何集成服务，这些服务会将检测结果发送到 Security Hub。Detective 会提取这些检测结果并将其添加到您的图表中，这样您就可以对所有集成的 AWS 服务进行安全调查。这些服务包括 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS Health、AWS Identity and Access Management Access Analyzer、Amazon Inspector、AWS IoT Device Defender、Amazon Macie 和 AWS Systems Manager 补丁管理器。

默认情况下，使用 Detective 将 AWS 安全检测结果作为新账户的数据源启用。如果您在发布 AWS 安全检测结果支持之前使用 Detective，则可能需要启用此数据源。您可以按照《管理指南》的 AWS 安全检测结果中列出的步骤来确认 Detective 的数据来源。应为计划使用 Detective 的每个区域启用此数据源。

Amazon Detective 对 AWS 安全检测结果的使用设计为不影响您的 AWS 安全服务的性能，因为 Amazon Detective 使用独立和重复的日志流来处理安全检测结果。这样，Amazon Detective 对 AWS 安全检测结果的使用不会增加使用 AWS Security Hub 或任何集成 AWS 安全服务的成本。

Amazon Detective 对 AWS 安全检测结果的使用根据 Amazon Detective 处理和分析的检测结果量定价。Amazon Detective 向启用了 AWS 安全检测结果的所有客户提供免费的 30 天试用版，让客户能够确保 Amazon Detective 的功能满足其安全需求，并且在承诺付费使用之前估算该服务的每月成本。

不，Amazon Detective 只会对每项服务发送的检测结果收取一次费用。 

集成这两项服务后，Amazon Detective 可以从 Amazon Security Lake 查询和检索 AWS CloudTrail 日志和 Amazon Virtual Private Cloud（Amazon VPC）流日志以进行安全调查。如果您需要存储在日志中的其他详细信息，可以使用此集成在 Amazon Detective 中开始调查，并且预览或下载特定的 AWS CloudTrail 日志或 Amazon VPC 流日志。例如，如果您正在调查过去 24 小时内来自 IAM 用户的可疑活动，则可以使用 Amazon Detective 在 API 方法面板下获取 IAM 用户与之互动的服务的摘要。如果您观察到与代表潜在安全问题的服务的交互，例如用于描述角色的 API 调用，则可以为该 IAM 用户下载 AWS CloudTrail 日志。Amazon Detective 将使用 Amazon Athena 提供预先构建的 SQL 查询，其范围限定为受调查的时间和实体（IAM 用户为过去 24 小时），从而简化查询和日志检索。这种集成无需从头开始编写 SQL 查询，从而帮助您节省时间，并且您无需离开 Amazon Detective 控制台即可预览和下载结果。

要启用这两种服务之间的集成，您需要运行 Amazon CloudFormation 模板。此模板创建一个订阅者账户，该账户具有充分的权限来查询和使用来自 Amazon Security Lake 的日志，并在您的账户中部署用于查询和下载日志的其他 AWS 服务。可以在 Amazon Detective 用户指南中查看 Amazon CloudFormation 模板部署的内容。

我们将根据 Amazon Detective 定价和 Amazon Security Lake 定价向您收取每项服务的费用。此外，使用 Amazon Athena 进行每次查询都将产生费用，在您的账户中为支持集成而部署的额外 AWS 服务也将收取费用。可以使用 AWS 定价计算器来估算集成这两项服务的总成本。

符合。您需要在要将 Amazon Detective 与 Amazon Security Lake 集成的每个 AWS 区域运行 Amazon CloudFormation 模板。 

适用于 Amazon Elastic Kubernetes Service（Amazon EKS）的 Amazon Detective

启用之后，Amazon Detective 自动地连续分析并关联您的 Amazon EKS 工作负载中的用户、网络和配置活动。Amazon Detective 自动提取 Amazon EKS 审计日志，并通过 Amazon VPC 流日志关联用户活动与 AWS CloudTrail 管理事件和网络活动，而无需您手动启用或存储这些日志。该服务从这些日志提取关键安全信息，并将它们保存在安全行为图形数据库中，以便快速地对十二个月的活动进行交叉引用访问。Amazon Detective 提供数据分析和可视化层，以依托行为图形数据库帮助您回答常见安全问题，使您能够更快地调查与 Amazon EKS 工作负载相关的潜在恶意行为。

默认情况下，Amazon EKS 审计日志记录作为使用 Detective 的账户的数据源启用。如果您在发布 EKS 审计日志支持之前使用 Detective，则可能需要启用此数据源。您可以按照《管理指南》的适用于 Detective 的 Amazon EKS 审计日志中列出的步骤来确认 Detective 的数据来源。应为计划使用 Detective 的每个区域启用此数据源。

Amazon Detective 对 Amazon EKS 审计日志的消耗不会影响 Amazon EKS 工作负载的性能，因为 Amazon Detective 使用独立且重复的审计日志流消耗这些审计日志。这样，Amazon Detective 对 Amazon EKS 审计日志的消耗将不会增加您使用 Amazon EKS 的成本。

Amazon Detective 对 Amazon EKS 审计日志的消耗根据 Amazon Detective 处理和分析的审计日志的量来定价。Amazon Detective 向启用了 Amazon EKS 覆盖的所有客户提供免费的 30 天试用版，让客户能够确保 Amazon Detective 的功能满足其安全需求，并且在承诺付费使用之前估算该服务的每月成本。

此功能目前支持在您的 AWS 账户中的 EC2 实例上运行的 Amazon EKS 部署。Detective 还为 Amazon GuardDuty EKS 运行时系统监控和 ECS 运行时系统监控（包括在 Fargate 上监控 Amazon ECS）提供支持。此功能无法提供对 EC2 或 ES Anywhere 上非托管的 Kubernetes 的可见性。