Amazon Detective

Amazon Detective 功能

为什么选择 Amazon Detective？

Amazon Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据，使您能够轻松地进行更快、更有效的安全调查。

Amazon Detective 可以分析来自多个数据来源的数万亿个事件，例如 Amazon Virtual Private Cloud（Amazon VPC）流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service（Amazon EKS）审计日志，以及来自 Amazon GuardDuty、AWS Security Hub 等多个服务的安全检测结果。Detective 会自动创建一个统一的交互视图，其中显示您的资源、用户及其在一段时间内的交互情况。使用这种统一视图，您可以集中直观呈现所有详细信息和上下文，确定检测结果的基本原因、深入研究相关的历史活动，并快速确定根本原因。

概览

跨您的所有 AWS 账户自动收集数据

Amazon Detective 会自动从所有已启用的账户中提取并处理相关数据。您不必配置或启用任何数据来源。Amazon Detective 可以收集和分析来自诸如 AWS CloudTrail、Amazon VPC 流日志、Amazon EKS 审计日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果和其他集成 AWS 安全性服务等数据来源的事件，并可将聚合数据保留长达一年以进行分析。

将不同的事件整合到图形模型中

Amazon Detective 可以分析来自各种数据类型的数万亿个事件，包括 IP 流量、AWS 管理操作以及潜在的恶意或未经授权的活动。Detective 使用机器学习、统计分析和图论构建图形模型，以构建用于安全调查的关联数据集。预建的图形模型包含与安全相关的关系，并提供上下文和行为见解，使您能够快速验证、比较和关联数据以得出结论。Amazon Detective 的可视化由图表模型提供支持，使您能够快速回答调查问题，而无需复杂地查询原始日志。例如，该图表提供了上下文和关系，例如 IP 地址何时连接到 EC2 实例以及角色在特定时间段内发出的 API 调用。

通过交互式可视化内容来提高调查效率

Amazon Detective 使用生成式人工智能提供交互式可视化和见解，从而可以更快速、更彻底地调查问题且减少工作量。借助统一视图，您可以集中直观了解所有上下文和自然语言摘要，从而更轻松地识别可以验证或反驳安全问题的模式，同时更轻松地理解受安全检测结果影响的所有资源。使用这些可视化内容和简介，您可以更轻松地根据特定时间范围筛选大型事件数据集，并使用各种详细信息、上下文和指导来帮助您快速进行调查。Amazon Detective 使您可以按地理位置查看登录尝试、深入研究相关历史活动、快速确定根本原因，并在必要时采取措施来解决问题。

API 调用总量

图表可视化向您显示单个安全事件的相关 AWS 安全检测结果以及受影响资源，例如 EC2 实例、IAM 角色和用户、S3 存储桶和 IP 地址。这些见解以自然语言描述安全事件期间发生的事件，以帮助您了解事件链。这可以帮助您快速、更轻松地调查异常或可疑活动。API 调用总量显示特定时间段内成功和失败的调用，并将其与已建立的基准进行比较。这可以帮助您识别异常活动的模式并验证安全检测结果。