Amazon Detective 功能

Amazon Detective 会自动从所有已启用的账户中提取并处理相关数据。您不必配置或启用任何数据来源。Amazon Detective 可以收集和分析来自诸如 AWS CloudTrail、Amazon VPC 流日志、Amazon EKS 审计日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果和其他集成 AWS 安全性服务等数据来源的事件，并可将聚合数据保留长达一年以进行分析。

Amazon Detective 可以分析来自各种数据类型的数万亿个事件，包括 IP 流量、AWS 管理操作以及潜在的恶意或未经授权活动。  Detective 使用机器学习、统计分析和图论构建图形模型，以构建用于安全调查的关联数据集。预先构建的图形模型包含安全相关的关系并提供上下文和行为见解，使您能够快速验证、比较和关联数据以得出结论。Amazon Detective 的可视化内容由图形模型提供支持，使您能够快速回答调查问题，而无需进行复杂的原始日志查询。例如，图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系，也可以提供角色在特定时间段内执行的 API 调用。

Amazon Detective 使用生成式人工智能提供交互式可视化和见解，从而可以更快速、更彻底地调查问题且减少工作量。借助统一视图，您可以集中直观了解所有上下文和自然语言摘要，从而更轻松地识别可以验证或反驳安全问题的模式，同时更轻松地理解受安全检测结果影响的所有资源。使用这些可视化内容和简介，您可以更轻松地根据特定时间范围筛选大型事件数据集，并使用各种详细信息、上下文和指导来帮助您快速进行调查。Amazon Detective 使您可以按地理位置查看登录尝试、深入研究相关历史活动、快速确定根本原因，并在必要时采取措施来解决问题。

图表可视化向您显示单个安全事件的相关 AWS 安全检测结果以及受影响资源，例如 EC2 实例、IAM 角色和用户、S3 存储桶和 IP 地址。这些见解以自然语言描述安全事件期间发生的事件，以帮助您了解事件链。这可以帮助您快速、更轻松地调查异常或可疑活动。

API 调用总量显示特定时间段内成功和失败的调用，并将其与已建立的基准进行比较。这可以帮助您识别异常活动的模式并验证安全检测结果。

Amazon Detective 集成了 AWS 安全服务（例如 Amazon GuardDuty、AWS Security Hub 和 Amazon Inspector、Amazon Security Lake）以及 AWS 合作伙伴安全产品，有助于快速调查在这些服务中检测到的安全问题。使用这些集成服务中的单个步骤，您可转到 Amazon Detective，立即查看与检测结果相关的事件、深入研究相关的历史活动并调查问题。例如，根据 Amazon GuardDuty 的检测结果，您可以通过单击“在 Detective 中调查”来启动 Amazon Detective，这样可以即时了解所涉及资源的相关活动。在 Detective 中，您可以查询和检索存储在 Amazon Security Lake 中的日志源，而无需编写查询或离开 Detective 控制台。

Amazon Detective 支持 GuardDuty ECS 和 EKS 运行时系统监控的安全调查，为新的威胁检测提供增强的可视化效果和其他上下文信息。您可以使用来自 GuardDuty 的运行时环境威胁检测功能和 Detective 的调查功能来改善对容器工作负载潜在威胁的检测和响应。Detective 支持对这些新检测结果进行调查，方法是将它们包括在检测结果组、可视化以及其他摘要中，以加快安全调查。

只需在 AWS 管理控制台中执行几个步骤，即可启用 Amazon Detective。无需部署软件，无需安装代理，无需维护复杂配置。也无需启用数据源，这意味着您不必承担数据源启用、数据传输和数据存储费用。