Amazon Detective 文档

Amazon Detective 会从已启用的账户中摄取并处理相关数据。Amazon Detective 可以收集并分析来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审核日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果以及其他集成式 AWS 安全服务等数据来源的事件，并将聚合的数据保留长达一年的时间以供分析。

Amazon Detective 可以分析来自各种数据类型的事件，这些事件包括 IP 流量、AWS 管理操作以及可能恶意或未经授权的活动。Detective 使用机器学习、统计分析和图论构建图形模型，以构建用于安全调查的关联数据集。预先构建的图形模型包含安全相关的关系并提供上下文和行为洞察，可以帮助您快速验证、比较和关联数据以便得出结论。Amazon Detective 的可视化内容由图形模型提供支持，可以帮助您回答调查问题，而无需进行复杂的原始日志查询。例如，图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系，也可以提供角色在特定时间段内进行的 API 调用。

Amazon Detective 可以分析来自多个独立数据来源的事件，以便构造图形模型。这些事件涉及 IP 流量、AWS 管理操作以及恶意或未经授权的活动。图形模型可以使用机器学习、统计分析和图论来蒸馏日志数据，以便构建一组用于进行安全调查的关联数据。还使用与安全相关的关系预先构建了图形模型，图形模型汇总了上下文和行为洞察，可以帮助您快速验证、比较和关联这些数据以便得出结论。Amazon Detective 的可视化内容由图形模型提供支持，可以帮助您回答调查问题，而无需进行复杂的原始日志查询。例如，图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系，也可以提供角色在特定时间段内发出的 API 调用。

Amazon Detective 地理位置地图可以向您显示来自新观察到（先前未观察到）的位置的活动。这样可以帮助您识别异常活动，并调查它是合法还是可疑的活动。

API 调用总量会显示特定时间段内成功和失败的调用，并将它们与既定的基准进行比较。这样可以帮助您识别异常活动的模式，并验证安全检测结果。

Amazon Detective 集成了多种 AWS 安全服务（例如 Amazon GuardDuty 和 AWS Security Hub）以及 AWS 合作伙伴安全产品，以便帮助您调查在这些服务中检测到的安全问题。使用这些集成式服务，您可以转到 Amazon Detective，以便查看与检测结果相关的事件、深入研究相关的历史活动并调查问题。例如，从 Amazon GuardDuty 检测结果中，您可以通过单击“在 Detective 中调查”来启动 Amazon Detective，并审查对相关资源的相关活动的洞察，从而为您提供详细信息和上下文，以便帮助您确定检测结果是否反映了实际的可疑活动。

Amazon Detective 支持 GuardDuty ECS 和 EKS 运行时系统监控的安全调查，为新的威胁检测提供增强的可视化效果和其他上下文信息。您可以使用来自 GuardDuty 的运行时环境威胁检测功能和 Detective 的调查功能来改善对容器工作负载潜在威胁的检测和响应。Detective 支持对这些新检测结果进行调查，方法是将它们包括在检测结果组、可视化以及其他摘要中，以加快安全调查。

您可以通过 AWS 管理控制台来启用 Amazon Detective。无需部署软件，无需安装代理，无需维护复杂配置。也无需启用任何数据来源。 

有关服务控制、安全特征和功能的更多信息，包括有关存储、检索、修改、限制和删除数据的信息（如适用），请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言，这些其他信息并不构成此文档的一部分。