Amazon Detective 常见问题

问：什么是 Amazon Detective？

Amazon Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据，使您能够轻松地进行更快、更有效的安全调查。

问：Amazon Detective 有哪些主要优势？

Amazon Detective 可以简化调查流程，帮助安全团队更快、更有效地进行调查。Amazon Detective 的预建数据聚合、摘要和上下文可以帮助您快速分析和确定可能存在的安全问题的性质和严重程度。Amazon Detective 最多可以将聚合数据保留一年，并通过一组可视化视图轻松提供，这些可视化视图会显示选定时间范围内的活动类型和数量变化，并将这些变化与安全检测结果联系起来。您无需预付任何费用，只需为分析的事件付费，不需要额外部署软件，也不需要启用日志馈送。

问：Amazon Detective 如何帮助您分析安全调查？

Amazon Detective 从 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) 流日志、Amazon GuardDuty 检测结果和 Amazon Elastic Kubernetes Service (Amazon EKS) 审计日志中提取基于时间的事件，例如登录尝试、API 调用和网络流量。Detective 创建了一个行为图，该图利用机器学习 (ML) 来创建一个统一的交互式视图，显示一段时间内的资源行为及其交互情况，特别是针对这些基于时间的事件。通过浏览行为图，您可以分析安全事件，例如登录尝试失败、可疑 API 调用或结果组，以帮助您调查 Amazon GuardDuty 检测结果的根本原因。

问：Amazon Detective 有哪些结果组？它们如何缩短调查 GuardDuty 检测结果的时间？

威胁行为者在试图入侵您的 AWS 环境时通常会执行一系列操作，这可能会导致您的 AWS 资源中出现多个 GuardDuty 检测结果。结果组是与单个潜在安全事件相关的检测结果和资源的集合，应一起进行调查。Amazon Detective 结果组可以帮助缩短分类时间，因为您不必单独调查每个 GuardDuty 检测结果。您可以从结果组开始调查，这样可以更全面地了解事件，还可以通过交互式可视化来探索具体的检测结果和资源。有关更多信息，请阅读分析结果组。

问：Amazon Detective 如何收费？

Amazon Detective 定价基于从 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon Elastic Kubernetes Service (Amazon EKS) 审计日志、Amazon GuardDuty 检测结果以及从集成 AWS 服务发送到 AWS Security Hub 的检测结果中提取的数据量。您需要根据每个账户/区域/月产生的千兆字节 (GB) 数付费。Amazon Detective 最多可以将聚合数据保留一年以进行分析。请参阅 Amazon Detective 定价页面，了解最新定价信息。Amazon EKS 和 AWS Security Hub 检测结果是可选的数据来源，如果您不希望 Detective 摄取这些数据来源，可以将其禁用。

问：如果我将 Amazon GuardDuty 检测结果转发给 AWS Security Hub，我会被收取两次费用吗？

不，Amazon Detective 只会对每项服务发送的检测结果收取一次费用。

问：可以免费试用吗？

可以，Amazon Detective 新账户均可以免费试用 30 天。免费试用期间，您可以使用所有功能集。 

问：Amazon Detective 是区域性服务还是全球性服务？

Amazon Detective 需要按区域启用，使您能够快速分析每个区域内所有账户的活动。这样可以确保分析的所有数据以区域为基础，且不会跨越 AWS 区域边界。

问：Amazon Detective 支持哪些区域？

提供 Amazon Detective 的区域的列表：AWS 区域表

问：如何开始使用 Amazon Detective？

只需在 AWS 管理控制台中单击几次，即可启用 Amazon Detective。启用后，Amazon Detective 会自动将数据整理成图表模型，且随着新数据变得可用，该模型会不断更新。您可以体验 Amazon Detective 并开始调查潜在安全问题。

问：如何启用 Amazon Detective？

您可以在 AWS 管理控制台中启用 Amazon Detective，也可以使用 Amazon Detective API 来启用它。如果您已在使用 Amazon GuardDuty 或 AWS Security Hub 控制台，则应使用与 Amazon GuardDuty 或 AWS Security Hub 中的管理账户来启用 Amazon Detective 以获得最佳跨服务体验。

问：可以使用 Amazon Detective 管理多个账户吗？

可以，Amazon Detective 是一项多账户服务，可以将来自受监控成员账户的数据聚合到同一区域内的一个管理账户下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中配置主账户和成员账户的方式配置多账户监控部署。

问：Amazon Detective 可以分析哪些数据来源？

Amazon Detective 让客户能够查看与 Amazon Virtual Private Cloud (Amazon VPC) 流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service (Amazon EKS) 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果相关的摘要和分析数据。

问：如果我没有启用 Amazon GuardDuty，可以使用 Amazon Detective 吗？

Amazon Detective 要求您至少在 48 小时之前为账户启用 Amazon GuardDuty，然后才能为这些账户启用 Detective。但是，您可以使用 Amazon Detective 进行更多调查，而不仅仅是 Amazon GuardDuty 的调查结果。Amazon Detective 提供有关 AWS 账户、EC2 实例、AWS 用户、角色和 IP 地址的行为和交互的详细摘要、分析结果和可视化内容。此信息对于了解安全问题或运营账户活动非常有用。

问：Amazon Detective 开始工作的速度有多快？

Amazon Detective 在启用后立即开始收集日志数据，提供对所提取数据的可视摘要和分析。Amazon Detective 还可以将近期活动与在账户监控两周后建立的历史基准进行比较。

问：是否可以从 Amazon Detective 导出原始日志数据？

Amazon Detective 将分析您的 AWS CloudTrail 日志、Amazon VPC 流日志和 Amazon EKS 审计日志，但不提供原始日志导出服务。AWS 支持您通过其他服务导出这些日志。

问：Amazon Detective 存储哪些数据，是否加密，是否可以控制启用的数据来源？

Amazon Detective 遵循 AWS 责任共担模式，包括有关数据保护的法规和准则。启用后，Amazon Detective 将针对已启用的任何账户处理来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的数据。

问：如果启用 Amazon Detective，是否会影响现有的 AWS 工作负载的性能或可用性？

由于 Amazon Detective 直接从 AWS 服务检索日志数据和检测结果，因此 Amazon Detective 对 AWS 基础设施的性能或可用性没有任何影响。

问：Amazon Detective 与 Amazon GuardDuty 和 AWS Security Hub 有何不同？

Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载。借助 AWS Security Hub，您可以设置单个位置，对来自多个 AWS 服务（如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie），以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。Amazon Detective 旨在简化调查安全检测结果和确定根本原因的过程。Amazon Detective 会分析来自多个数据来源（例如 Amazon VPC 流日志、AWS CloudTrail 日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果）的数万亿个事件并自动创建图形模型，为您提供有关您的资源、用户及其不同时间的交互情况的统一交互式视图。

问：如何让 Amazon Detective 停止查看我的日志和数据来源？

借助 Amazon Detective，您可以分析和直观呈现来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的安全数据。要让 Amazon Detective 停止分析您账户的这些日志和检测结果，请使用 API 或通过 Amazon Detective 的 AWS 管理控制台的设置部分禁用此项服务。

问：在如何调查安全问题方面，Amazon Detective 提供哪些指导？

Amazon Detective 提供各种可视化内容，展示有关 AWS 资源（例如 AWS 账户、EC2 实例、用户、角色、IP 地址和 Amazon GuardDuty 检测结果）的上下文和见解。每种可视化内容都旨在回答您在分析检测结果和相关活动时可能遇到的特定问题。每种可视化内容都提供文本指导，清楚地说明如何解释面板并使用其信息来回答您的调查问题。

问：Amazon Detective 如何与其他 AWS 安全服务（例如 Amazon GuardDuty 和 AWS Security Hub）集成？

Amazon Detective 通过支持与 Amazon GuardDuty 和 AWS Security Hub 之间的控制台集成来支持跨服务用户工作流程。这两项服务都在其控制台中提供链接，将您从选定的检测结果直接重定向到 Amazon Detective 页面，其中包含为调查选定检测结果而精选的一系列可视化内容。Amazon Detective 中的检测结果详细信息页面已根据检测结果的时间范围进行了调整，并显示与检测结果关联的相关数据。

问：如何将 Amazon Detective 的调查结果与补救和响应工具集成？

各种合作伙伴安全解决方案提供商已集成了 Amazon Detective，支持在其自动化手册和编排中启用调查步骤。这些产品在其响应工作流程中提供链接，将用户重定向到 Amazon Detective 页面，其中包含为调查工作流程中确定的检测结果和资源精选的可视化内容。

问：适用于 Amazon EKS 审计日志的 Amazon Detective 工作原理是什么？

启用之后，Amazon Detective 自动地连续分析并关联您的 Amazon EKS 工作负载中的用户、网络和配置活动。Amazon Detective 自动提取 Amazon EKS 审计日志，并通过 Amazon VPC 流日志关联用户活动与 AWS CloudTrail 管理事件和网络活动，而无需您手动启用或存储这些日志。该服务从这些日志收集关键安全信息，并将它们保存在安全行为图形数据库中，以便快速地对十二个月的活动进行交叉引用访问。Amazon Detective 提供数据分析和可视化层，以依托行为图形数据库帮助您回答常见安全问题，使您能够更快地调查与 Amazon EKS 工作负载相关的潜在恶意行为。

问：我需要启用 Amazon EKS 审计日志记录吗？

不，您不需要启用或配置 Amazon EKS 审计日志记录。您只需在 Amazon Detective 控制台或 API 中启用 Amazon EKS 审计日志作为新的数据来源。Amazon Detective 对 Amazon EKS 审计日志的消耗不会影响 Amazon EKS 工作负载的性能，因为 Amazon Detective 使用独立且重复的审计日志流消耗这些审计日志。这样，Amazon Detective 对 Amazon EKS 审计日志的消耗将不会增加您使用 Amazon EKS 的成本。

问：使用 Amazon Detective 保护我的 Amazon EKS 工作负载安全时如何收费？

Amazon Detective 对 Amazon EKS 审计日志的消耗根据 Amazon Detective 处理和分析的审计日志的量来定价。Amazon Detective 向启用了 Amazon EKS 覆盖的所有客户提供免费的 30 天试用版，让客户能够确保 Amazon Detective 的功能满足其安全需求，并且在承诺付费使用之前估算该服务的每月成本。

问：我已在使用 Amazon Detective；怎样才能在 Amazon Detective 上打开 Amazon EKS 审计日志支持？

使用 Amazon Detective 的现有客户将需要在其帐户的 Amazon Detective 控制台上打开 Amazon EKS 审计日志。客户可以更改此选择，并利用单击 Amazon Detective 控制台启用/禁用 Amazon EKS 审计日志。

问：Amazon Detective 可让您了解 AWS Fargate 上的 Amazon EKS 工作负载、EC2 上的或 ES Anywhere 的非托管 Kubernetes？

此功能目前仅支持在您的 AWS 账户中的 EC2 实例上运行的 Amazon EKS 部署。

问：是否必须在每个 AWS 区域中分别启用 Amazon EKS 审计日志？

是。Amazon EKS 审计日志必须单独地在每个 AWS 区域中启用。