一般性问题

问:什么是 Amazon Detective?

Amazon Detective 使您可以轻松分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据,使您能够轻松地进行更快、更有效的安全调查。

问:Amazon Detective 有哪些主要优势?

Amazon Detective 可以简化调查流程,帮助安全团队更快、更有效地进行调查。Amazon Detective 的预建数据聚合、摘要和上下文可以帮助您快速分析和确定可能存在的安全问题的性质和严重程度。Amazon Detective 最多可以将聚合数据保留一年,并通过一组可视化视图轻松提供,这些可视化视图会显示选定时间范围内的活动类型和数量变化,并将这些变化与安全检测结果联系起来。您无需预付任何费用,只需为分析的事件付费,不需要额外部署软件,也不需要启用日志馈送。

问:Amazon Detective 如何收费?

Amazon Detective 定价基于从 AWS CloudTrail Logs、Amazon VPC Flow 日志和 Amazon GuardDuty 检测结果中提取的数据量。您需要根据每个账户/区域/月产生的千兆字节 (GB) 数付费。Amazon Detective 最多可以将聚合数据保留一年以进行分析。请参阅 Amazon Detective 定价页面,了解最新定价信息。

问:可以免费试用吗?

可以,Amazon Detective 新账户均可以免费试用 30 天。免费试用期间,您可以使用所有功能集。 

问:Amazon Detective 是区域性服务还是全球性服务?

Amazon Detective 需要按区域启用,使您能够快速分析每个区域内所有账户的活动。这样可以确保分析的所有数据以区域为基础,且不会跨越 AWS 区域边界。

问:Amazon Detective 支持哪些区域?

提供 Amazon Detective 的区域的列表:AWS 区域表

开始使用 Amazon Detective

问:如何开始使用 Amazon Detective?

只需在 AWS 管理控制台中单击几次,即可启用 Amazon Detective。启用后,Amazon Detective 会自动将数据整理成图表模型,且随着新数据变得可用,该模型会不断更新。您可以体验 Amazon Detective 并开始调查潜在安全问题。

问:如何启用 Amazon Detective?

您可以在 AWS 管理控制台中启用 Amazon Detective,也可以使用 Amazon Detective API 来启用它。如果您已在使用 Amazon GuardDuty 或 AWS Security Hub 控制台,则应使用与 Amazon GuardDuty 或 AWS Security Hub 中的主账户来启用 Amazon Detective 以获得最佳跨服务体验。

问:可以使用 Amazon Detective 管理多个账户吗?

可以,Amazon Detective 是一项多账户服务,可以将来自受监控成员账户的数据聚合到同一区域内的一个主账户下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中配置主账户和成员账户的方式配置多账户监控部署。

问:Amazon Detective 可以分析哪些数据源?

Amazon Detective 使客户能够查看与 AWS CloudTrail 事件和 VPC 流日志相关的摘要及分析数据。对于已启用 Amazon GuardDuty 的客户,Detective 还会处理 Amazon GuardDuty 检测结果。

问:如果我没有启用 Amazon GuardDuty,可以使用 Amazon Detective 吗?

Amazon Detective 要求您至少在 48 小时之前为账户启用 Amazon GuardDuty,然后才能为这些账户启用 Detective。但是,您可以使用 Detective 进行更多调查,而不仅仅是 GuardDuty 的调查结果。Amazon Detective 提供有关 AWS 账户、EC2 实例、AWS 用户、角色和 IP 地址的行为和交互的详细摘要、分析结果和可视化内容。此信息对于了解安全问题或运营账户活动非常有用。

问:Amazon Detective 开始工作的速度有多快?

Amazon Detective 在启用后立即开始收集日志数据,提供对所提取数据的可视摘要和分析。Amazon Detective 还可以将近期活动与在账户监控两周后建立的历史基准进行比较。

问:是否可以从 Amazon Detective 导出原始日志数据?

Amazon Detective 将分析您的 AWS CloudTrail 日志和 VPC 流日志,但不提供原始日志导出服务。AWS 支持您通过其他服务导出这些日志。

问:Amazon Detective 存储哪些数据,是否加密,是否可以控制启用的数据源?

Amazon Detective 遵循 AWS 责任共担模型,包括有关数据保护的法规和准则。启用后,Amazon Detective 将针对已启用的任何账户处理来自 AWS CloudTrail 日志、VPC 流日志和 Amazon GuardDuty 检测结果的数据。

问:如果启用 Amazon Detective,是否会影响现有的 AWS 工作负载的性能或可用性?

由于 Amazon Detective 直接从 AWS 服务检索日志数据和检测结果,因此 Amazon Detective 对 AWS 基础设施的性能或可用性没有任何影响。

问:Amazon Detective 与 Amazon GuardDuty 和 AWS Security Hub 有何不同?

Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。借助 Security Hub,您可以设置单个位置,对来自多个 AWS 服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie),以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。Amazon Detective 旨在简化调查安全检测结果和确定根本原因的过程。Amazon Detective 会分析来自多个数据源(例如 VPC 流日志、AWS CloudTrail 日志和 Amazon GuardDuty 检测结果)的数万亿个事件并自动创建图形模型,为您提供有关您的资源、用户及其不同时间的交互情况的统一交互式视图。

问:如何让 Amazon Detective 停止查看我的日志和数据源?

借助 Amazon Detective,您可以分析和直观呈现来自 AWS CloudTrail 日志、VPC 流日志和 Amazon GuardDuty 检测结果的安全数据。要让 Amazon Detective 停止分析您账户的这些日志和检测结果,请使用 API 或通过 Amazon Detective 的 AWS 控制台的设置部分禁用此项服务。

使用 Amazon Detective 控制台

问:在如何调查安全问题方面,Amazon Detective 提供哪些指导?

Amazon Detective 提供各种可视化内容,展示有关 AWS 资源(例如 AWS 账户、EC2 实例、用户、角色、IP 地址和 Amazon GuardDuty 检测结果)的上下文和见解。每种可视化内容都旨在回答您在分析检测结果和相关活动时可能遇到的特定问题。每种可视化内容都提供文本指导,清楚地说明如何解释面板并使用其信息来回答您的调查问题。

问:Amazon Detective 如何与其他 AWS 安全服务(例如 Amazon GuardDuty 和 AWS Security Hub)集成?

Amazon Detective 通过支持与 Amazon GuardDuty 和 AWS Security Hub 之间的控制台集成来支持跨服务用户工作流程。这些服务在其控制台中提供链接,将您从选定的检测结果直接重定向到 Amazon Detective 页面,其中包含为调查选定检测结果而精选的一系列可视化内容。Amazon Detective 中的检测结果详细信息页面已根据检测结果的时间范围进行了调整,并显示与检测结果关联的相关数据。

问:如何将 Amazon Detective 的调查结果与补救和响应工具集成?

各种合作伙伴安全解决方案提供商已集成了 Amazon Detective,支持在其自动化手册和编排中启用调查步骤。这些产品在其响应工作流程中提供链接,将用户重定向到 Amazon Detective 页面,其中包含为调查工作流程中确定的检测结果和资源精选的可视化内容。

阅读文档
阅读文档

阅读文档,了解有关 Amazon Detective 功能和实施的更多信息。

阅读文档 
注册 AWS 账户
注册免费账户

立即享受 AWS 免费套餐。 

注册 
注册预览版
开始使用 Amazon Detective

开始使用 Amazon Detective 进行构建

开始使用