Amazon Detective 常见问题

问：什么是 Amazon Detective？

Amazon Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据，使您能够轻松地进行更快、更有效的安全调查。

问：Amazon Detective 有哪些主要优势？

Amazon Detective 可以简化调查流程，帮助安全团队更快、更有效地进行调查。Amazon Detective 的预建数据聚合、摘要和上下文可以帮助您快速分析和确定可能存在的安全问题的性质和严重程度。Amazon Detective 最多可以将聚合数据保留一年，并通过一组可视化视图轻松提供，这些可视化视图会显示选定时间范围内的活动类型和数量变化，并将这些变化与安全检测结果联系起来。您无需预付任何费用，只需为分析的事件付费，不需要额外部署软件，也不需要启用日志馈送。

问：Amazon Detective 如何帮助您分析安全调查？

Amazon Detective 从 AWS CloudTrail、Amazon Virtual Private Cloud（Amazon VPC）流日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果和 Amazon Elastic Kubernetes Service（Amazon EKS）审计日志中提取基于时间的事件，例如登录尝试、API 调用和网络流量。Detective 创建了一个行为图，该图利用机器学习（ML）来创建一个统一的交互式视图，显示一段时间内的资源行为及其交互情况，特别是针对这些基于时间的事件。通过浏览行为图，您可以分析登录失败
尝试、可疑 API 调用或检测结果组等安全事件，以帮助您调查 AWS 安全检测结果的根本原因。

问：什么是检测结果组？它们如何缩短调查这些检测结果的时间？

威胁行为者在试图入侵您的 AWS 环境时通常会执行一系列操作，这可能会导致您的 AWS 资源中出现多个安全检测结果。结果组是与您应共同调查的单个潜在安全事件相关的安全检测结果和资源的集合。检测结果组可以帮助缩短分类时间，因为您不必单独调查每个安全检测结果。您可以从检测结果组开始调查，这样可以更全面地了解事件。它还提供交互式可视化，可让您使用生成式人工智能来探索特定的发现和见解，以自然语言描述事件链。有关更多信息，请阅读分析检测结果组。

问：什么是自动调查？它们如何帮助您缩短调查资源的时间？

自动调查可让您调查 AWS Identity and Access Management （IAM）实体，例如 IAM 用户或角色，以确定这些实体是否可能遭到入侵。 自动调查采用如下方式达成目标：查询您的行为图并使用机器学习识别 IAM 实体是否表现出异常行为或显示感染指标（IoC）。这些 IOC 可能包含潜在的恶意活动，例如不可能的旅行登录、与已知错误 IP 地址的关联以及安全检测结果的历史记录。无需分析 AWS CloudTrail 日志并开发自己的脚本来发现可疑活动，而是可以使用自动调查回答如下问题来节省时间：“此 IAM 角色是否曾用于不可能的旅行登录？”，或者“此 IAM 角色会话是否由已知的错误 IP 地址使用？”，又或者“在安全事件期间，此 IAM 主体角色触发了哪些策略、技术和程序（TTP）？” 有关详细信息，请参阅 Amazon Detective 用户指南。

问：Amazon Detective 如何收费？

Amazon Detective 定价基于从 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon Elastic Kubernetes Service (Amazon EKS) 审计日志、Amazon GuardDuty 检测结果以及从集成 AWS 服务发送到 AWS Security Hub 的检测结果中提取的数据量。您需要根据每个账户/区域/月产生的千兆字节 (GB) 数付费。Amazon Detective 最多可以将聚合数据保留一年以进行分析。请参阅 Amazon Detective 定价页面，了解最新定价信息。Amazon EKS 和 AWS Security Hub 检测结果是可选的数据来源，如果您不希望 Detective 摄取这些数据来源，可以将其禁用。

问：可以免费试用吗？

可以，Amazon Detective 新账户均可以免费试用 30 天。免费试用期间，您可以使用所有功能集。 

问：Amazon Detective 是区域性服务还是全球性服务？

Amazon Detective 需要按区域启用，使您能够快速分析每个区域内所有账户的活动。这样可以确保分析的所有数据以区域为基础，且不会跨越 AWS 区域边界。

问：Amazon Detective 支持哪些区域？

提供 Amazon Detective 的区域的列表：AWS 区域表

问：如何开始使用 Amazon Detective？

只需在 AWS 管理控制台中单击几次，即可启用 Amazon Detective。启用后，Amazon Detective 会自动将数据整理成图表模型，且随着新数据变得可用，该模型会不断更新。您可以体验 Amazon Detective 并开始调查潜在安全问题。

问：如何启用 Amazon Detective？

您可以在 AWS 管理控制台中启用 Amazon Detective，也可以使用 Amazon Detective API 来启用它。如果您已在使用 Amazon GuardDuty 或 AWS Security Hub 控制台，则应使用与 Amazon GuardDuty 或 AWS Security Hub 中的管理账户来启用 Amazon Detective 以获得最佳跨服务体验。

问：可以使用 Amazon Detective 管理多个账户吗？

可以，Amazon Detective 是一项多账户服务，可以将来自受监控成员账户的数据聚合到同一区域内的一个管理账户下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中配置主账户和成员账户的方式配置多账户监控部署。

问：Amazon Detective 可以分析哪些数据来源？

Amazon Detective 让客户能够查看与 Amazon Virtual Private Cloud（Amazon VPC）流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service（Amazon EKS）审计日志、AWS Security Hub 检测结果以及 Amazon GuardDuty 检测结果相关的摘要和分析数据。

问：如果我没有启用 Amazon GuardDuty，可以使用 Amazon Detective 吗？

Amazon Detective 要求您至少在 48 小时之前为账户启用 Amazon GuardDuty，然后才能为这些账户启用 Detective。但是，您可以使用 Amazon Detective 进行更多调查，而不仅仅是 Amazon GuardDuty 的调查结果。Amazon Detective 提供有关 AWS 账户、EC2 实例、AWS 用户、角色和 IP 地址的行为和交互的详细摘要、分析结果和可视化内容。此信息对于了解安全问题或运营账户活动非常有用。

问：Amazon Detective 开始工作的速度有多快？

Amazon Detective 在启用后立即开始收集日志数据，提供对所提取数据的可视摘要和分析。Amazon Detective 还可以将近期活动与在账户监控两周后建立的历史基准进行比较。

问：是否可以从 Amazon Detective 导出原始日志数据？

是的，您可以使用与 Amazon Security Lake 集成的方式导出 AWS CloudTrail 日志和 Amazon VPC 流日志。可以在“适用于 Amazon Security Lake 的 Amazon Detective”部分下查看此集成的运作方式。

问：Amazon Detective 存储哪些数据，是否加密，是否可以控制启用的数据来源？

Amazon Detective 遵循 AWS 责任共担模式，包括有关数据保护的法规和准则。启用后，Amazon Detective 将针对已启用的任何账户处理来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的数据。

问：如果启用 Amazon Detective，是否会影响现有的 AWS 工作负载的性能或可用性？

由于 Amazon Detective 直接从 AWS 服务检索日志数据和检测结果，因此 Amazon Detective 对 AWS 基础设施的性能或可用性没有任何影响。

问：Amazon Detective 与 Amazon GuardDuty 和 AWS Security Hub 有何不同？

Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载。借助 AWS Security Hub，您可以设置单个位置，对来自多个 AWS 服务（如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie），以及来自 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。Amazon Detective 旨在简化调查安全检测结果和确定根本原因的过程。Amazon Detective 会分析来自多个数据来源（例如 Amazon VPC 流日志、AWS CloudTrail 日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果）的数万亿个事件并自动创建图形模型，为您提供有关您的资源、用户及其不同时间的交互情况的统一交互式视图。

问：如何让 Amazon Detective 停止查看我的日志和数据来源？

借助 Amazon Detective，您可以分析和直观呈现来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审计日志、从集成 AWS 服务发送到 AWS Security Hub 的检测结果以及 Amazon GuardDuty 检测结果的安全数据。要让 Amazon Detective 停止分析您账户的这些日志和检测结果，请使用 API 或通过 Amazon Detective 的 AWS 管理控制台的设置部分禁用此项服务。

问：在如何调查安全问题方面，Amazon Detective 提供哪些指导？

Amazon Detective 提供各种可视化内容，展示有关 AWS 资源（例如 AWS 账户、EC2 实例、用户、角色、IP 地址和 Amazon GuardDuty 检测结果）的上下文和见解。每种可视化内容都旨在回答您在分析检测结果和相关活动时可能遇到的特定问题。每种可视化内容都提供文本指导，清楚地说明如何解释面板并使用其信息来回答您的调查问题。

问：Amazon Detective 如何与其他 AWS 安全服务（例如 Amazon GuardDuty、AWS Security Hub 和 Amazon Security Lake）集成？

Amazon Detective 通过支持与 Amazon GuardDuty、AWS Security Hub 和 Amazon Security Lake 之间的控制台集成来支持跨服务用户工作流程。GuardDuty 和 Security Hub 都在其控制台中提供链接，将您从选定的检测结果直接重定向到 Amazon Detective 页面，其中包含为调查选定检测结果而精选的一系列可视化内容。Amazon Detective 根据您的调查提供预先构建的查询，这些查询可以从 Amazon Security Lake 查询和下载日志文件。Amazon Detective 中的检测结果详细信息页面已根据检测结果的时间范围进行了调整，并显示与检测结果关联的相关数据。

问：如何将 Amazon Detective 的调查结果与补救和响应工具集成？

各种合作伙伴安全解决方案提供商已集成了 Amazon Detective，支持在其自动化手册和编排中启用调查步骤。这些产品在其响应工作流程中提供链接，将用户重定向到 Amazon Detective 页面，其中包含为调查工作流程中确定的检测结果和资源精选的可视化内容。

问：适用于 AWS Security Hub 的 Amazon Detective 是如何运作的？

启用后，Amazon Detective 会自动持续分析并关联与 AWS Security Hub 集成的 AWS 服务的用户、网络和配置活动。Amazon Detective 通过名为 AWS 安全检测结果的可选数据来源，自动摄取从 AWS 安全服务发送到 AWS Security Hub 的安全检测结果。

问：什么是 AWS 安全检测结果？

AWS Security Hub 支持与多个 AWS 服务集成。由于预计 Amazon Macie 会发现敏感数据检测结果，因此您自动选择加入与 Security Hub 集成的所有其他 AWS 服务。如果您已打开 Security Hub 和任何集成服务，这些服务会将检测结果发送到 Security Hub。Detective 会提取这些检测结果并将其添加到您的图表中，这样您就可以对所有集成的 AWS 服务进行安全调查。这些服务包括 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS Health、AWS Identity and Access Management Access Analyzer、Amazon Inspector、AWS IoT Device Defender、Amazon Macie 和 AWS Systems Manager 补丁管理器。

问：我需要开启 AWS 安全检测结果吗？

默认情况下，使用 Detective 将 AWS 安全检测结果作为新账户的数据源启用。如果您在发布 AWS 安全检测结果支持之前使用 Detective，则可能需要启用此数据源。您可以按照《管理指南》的 AWS 安全检测结果中列出的步骤来确认 Detective 的数据源。应为计划使用 Detective 的每个区域启用此数据源。

Amazon Detective 对 AWS 安全检测结果的使用设计为不影响您的 AWS 安全服务的性能，因为 Amazon Detective 使用独立和重复的日志流来处理安全检测结果。这样，Amazon Detective 对 AWS 安全检测结果的使用不会增加使用 AWS Security Hub 或任何集成 AWS 安全服务的成本。

问：使用 Amazon Detective 调查 AWS 安全服务检测结果的费用如何？

Amazon Detective 对 AWS 安全检测结果的使用根据 Amazon Detective 处理和分析的检测结果量定价。Amazon Detective 向启用了 AWS 安全检测结果的所有客户提供免费的 30 天试用版，让客户能够确保 Amazon Detective 的功能满足其安全需求，并且在承诺付费使用之前估算该服务的每月成本。

问：如果我将 Amazon GuardDuty 检测结果转发给 AWS Security Hub，我会被收取两次费用吗？

不，Amazon Detective 只会对每项服务发送的检测结果收取一次费用。 

问：适用于 Amazon Security Lake 的 Amazon Detective 如何运作？

集成这两项服务后，Amazon Detective 可以从 Amazon Security Lake 查询和检索 AWS CloudTrail 日志和 Amazon Virtual Private Cloud（Amazon VPC）流日志以进行安全调查。如果您需要存储在日志中的其他详细信息，可以使用此集成在 Amazon Detective 中开始调查，并且预览或下载特定的 AWS CloudTrail 日志或 Amazon VPC 流日志。例如，如果您正在调查过去 24 小时内来自 IAM 用户的可疑活动，则可以使用 Amazon Detective 在 API 方法面板下获取 IAM 用户与之互动的服务的摘要。如果您观察到与代表潜在安全问题的服务的交互，例如用于描述角色的 API 调用，则可以为该 IAM 用户下载 AWS CloudTrail 日志。Amazon Detective 将使用 Amazon Athena 提供预先构建的 SQL 查询，其范围限定为受调查的时间和实体（IAM 用户为过去 24 小时），从而简化查询和日志检索。这种集成无需从头开始编写 SQL 查询，从而帮助您节省时间，并且您无需离开 Amazon Detective 控制台即可预览和下载结果。

问：如何启用 Amazon Detective 和 Amazon Security Lake 之间的集成？

要启用这两种服务之间的集成，您需要运行 Amazon CloudFormation 模板。此模板创建一个订阅者账户，该账户具有充分的权限来查询和使用来自 Amazon Security Lake 的日志，并在您的账户中部署用于查询和下载日志的其他 AWS 服务。可以在 Amazon Detective 用户指南中查看 Amazon CloudFormation 模板部署的内容。

问：使用 Amazon Detective 与 Amazon Security Lake 的集成如何收费？

我们将根据 Amazon Detective 定价和 Amazon Security Lake 定价向您收取每项服务的费用。此外，使用 Amazon Athena 进行每次查询都将产生费用，在您的账户中为支持集成而部署的额外 AWS 服务也将收取费用。可以使用 AWS 定价计算器来估算集成这两项服务的总成本。

问：我是否必须在每个 AWS 区域单独启用 Amazon Detective 与 Amazon Security Lake 的集成？

可以。您需要在要将 Amazon Detective 与 Amazon Security Lake 集成的每个 AWS 区域运行 Amazon CloudFormation 模板。 

问：适用于 Amazon EKS 审计日志的 Amazon Detective 工作原理是什么？

启用之后，Amazon Detective 自动地连续分析并关联您的 Amazon EKS 工作负载中的用户、网络和配置活动。Amazon Detective 自动提取 Amazon EKS 审计日志，并通过 Amazon VPC 流日志关联用户活动与 AWS CloudTrail 管理事件和网络活动，而无需您手动启用或存储这些日志。该服务从这些日志提取关键安全信息，并将它们保存在安全行为图形数据库中，以便快速地对十二个月的活动进行交叉引用访问。Amazon Detective 提供数据分析和可视化层，以依托行为图形数据库帮助您回答常见安全问题，使您能够更快地调查与 Amazon EKS 工作负载相关的潜在恶意行为。

问：我需要启用 Amazon EKS 审计日志记录吗？

默认情况下，Amazon EKS 审计日志记录作为使用 Detective 的账户的数据源启用。如果您在发布 EKS 审计日志支持之前使用 Detective，则可能需要启用此数据源。您可以按照《管理指南》的适用于 Detective 的 Amazon EKS 审计日志中列出的步骤来确认 Detective 的数据源。应为计划使用 Detective 的每个区域启用此数据源。

Amazon Detective 对 Amazon EKS 审计日志的消耗不会影响 Amazon EKS 工作负载的性能，因为 Amazon Detective 使用独立且重复的审计日志流消耗这些审计日志。这样，Amazon Detective 对 Amazon EKS 审计日志的消耗将不会增加您使用 Amazon EKS 的成本。

问：使用 Amazon Detective 保护我的 Amazon EKS 工作负载安全时如何收费？

Amazon Detective 对 Amazon EKS 审计日志的消耗根据 Amazon Detective 处理和分析的审计日志的量来定价。Amazon Detective 向启用了 Amazon EKS 覆盖的所有客户提供免费的 30 天试用版，让客户能够确保 Amazon Detective 的功能满足其安全需求，并且在承诺付费使用之前估算该服务的每月成本。

问：Amazon Detective 可让您了解 AWS Fargate 上的 Amazon EKS 工作负载、EC2 上的或 ES Anywhere 的非托管 Kubernetes？

此功能目前支持在您的 AWS 账户中的 EC2 实例上运行的 Amazon EKS 部署。Detective 还为 Amazon GuardDuty EKS 运行时系统监控和 ECS 运行时系统监控（包括在 Fargate 上监控 Amazon ECS）提供支持。此功能无法提供对 EC2 或 ES Anywhere 上非托管的 Kubernetes 的可见性。