Amazon Detective 常見問答集

問︰什麼是 Amazon Detective？

Amazon Detective 讓您可以更輕鬆地分析、調查和快速確定潛在安全問題或可疑活動的根本原因。Amazon Detective 可自動從您的 AWS 資源中收集日誌資料，並使用機器學習、統計分析和圖論來建置關聯的資料集，讓您能夠輕鬆地進行更快、更有效的安全調查。

問：Amazon Detective 有哪些主要優勢？

Amazon Detective 簡化了調查程序，並協助安全團隊進行更快、更有效的調查。Amazon Detective 預先建立了資料彙總、摘要和內容，可協助您快速分析並確定可能的安全問題的性質和程度。Amazon Detective 保留彙總資料最多一年，並透過一組視覺化檢視輕鬆提供，這些資料將顯示選定時段內活動類型和數量的變更，並將這些變更與安全問題清單相關聯。您不必預先支付任何費用，只需按分析的事件付費即可，不必部署或啟用日誌摘要。

問：Amazon Detective 如何協助您分析安全調查？

Amazon Detective 從 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) 流程日誌、Amazon GuardDuty 調查結果，以及 Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌中擷取以時間為基礎的事件，例如登入嘗試、API 呼叫和網路流量。Detective 會建立行為圖，此圖利用機器學習 (ML) 針對資源行為及其在一段時間內進行之互動建立統一的互動式檢視，尤其是此類以時間為基礎的事件。透過探索行為圖，您可以分析安全事件，例如失敗的登入嘗試、可疑的 API 呼叫或調查結果群組，以協助您調查 Amazon GuardDuty 調查結果的根本原因。

問：什麼是 Amazon Detective 調查結果，以及如何縮短調查 GuardDuty 調查結果的時間？

威脅執行者在嘗試入侵您的 AWS 環境時，通常會執行一系列動作，這可能會在 AWS 資源中產生多個 GuardDuty 調查結果。調查結果群組是與單一潛在安全事件相關之調查結果及資源的集合，應該一起進行調查。Amazon Detective 調查結果群組有助於減少分類時間，因為您不需單獨調查個別的 GuardDuty 調查結果。您可以透過能夠讓您更完整了解事件的調查結果群組，以及讓您能夠探索特定調查結果及資源的互動式視覺化功能開始調查。如需詳細資訊，請閱讀分析調查結果群組。

問：Amazon Detective 的費用是多少？

Amazon Detective 的定價係依據從 AWS CloudTrail 日誌、Amazon VPC 流程日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌、Amazon GuardDuty 調查結果，以及從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果中擷取的資料量而定。您需要為每個帳戶/區域/月份擷取的每 GB 資料支付費用。Amazon Detective 可保留長達一年的彙總資料以進行分析。請參閱 Amazon Detective 定價頁面，了解最新的定價資訊。Amazon EKS 和 AWS Security Hub 調查結果是選用的資料來源，如果您不希望 Detective 擷取此類資料來源，您可以將其停用。

問：如果我要將 Amazon GuardDuty 調查結果轉寄至 AWS Security Hub，是否會收取雙倍費用？

不會，Amazon Detective 只會針對每項服務傳送的調查結果收取一次費用。

問：是否提供免費試用？

是，任何新加入 Amazon Detective 的帳戶都可以免費試用服務 30 天。在免費試用期間，您將擁有完整功能集的存取權限。 

問：Amazon Detective 是區域服務還是全球服務？

Amazon Detective 需要按區域啟用，能讓您快速分析每個區域內所有帳戶的活動。這可確保所有資料都是按區域分析，而不是跨 AWS 區域邊界。

問：Amazon Detective 支援哪些區域？

想了解 Amazon Detective 的區域可用性，請參閱 AWS 區域表。

問：如何開始使用 Amazon Detective？

只要在 AWS 管理主控台按幾下，即可啟用 Amazon Detective。啟用後，Amazon Detective 會自動將資料整理成圖表模型，而且模型會在新資料可用時持續更新。您可以體驗 Amazon Detective，並開始調查潛在的安全問題。

問：如何啟用 Amazon Detective？

您可以在 AWS 管理主控台中啟用 Amazon Detective，或者使用 Amazon Detective API 來啟用。若您已經在使用 Amazon GuardDuty 或 AWS Security Hub 主控台，則應使用與 Amazon GuardDuty 或 AWS Security Hub 中的管理帳戶相同的帳戶來啟用 Amazon Detective，以實現最佳的跨服務體驗。

問：是否可以使用 Amazon Detective 管理多個帳戶？

可以。Amazon Detective 是一項多帳戶服務，可將來自監控成員帳戶的資料彙總至同一區域內的單一管理帳戶下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中設定管理帳戶和成員帳戶的相同方式來設定多帳戶監控部署。

問：Amazon Detective 會分析哪些資料來源？

Amazon Detective 讓客戶能夠檢視與 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌、AWS CloudTrail 日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌，以及從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果相關的摘要和分析資料。

問：如果未啟用 Amazon GuardDuty，可以使用 Amazon Detective 嗎？

Amazon Detective 會要求您在帳戶中啟用 Amazon GuardDuty 至少 48 個小時，才能在這些帳戶中啟用 Detective。然而，您可以使用 Amazon Detective 調查的不僅僅是 Amazon GuardDuty 問題清單。Amazon Detective 針對您 AWS 帳戶、EC2 執行個體、AWS 使用者、角色和 IP 地址間的行為和互動，提供詳細的摘要、分析和視覺化檢視。此資訊在了解安全問題或操作帳戶活動時非常實用。

問：Amazon Detective 多久可以開始運作？

Amazon Detective 在日誌資料啟用後會立即開始收集，並提供對擷取資料的視覺化摘要和分析。Amazon Detective 還可將最近的活動與帳戶監控兩週後建立的歷史基準做比較。

問：我是否可以從 Amazon Detective 匯出原始日誌資料？

Amazon Detective 會分析您的 AWS CloudTrail 日誌、Amazon VPC 流量日誌和 Amazon EKS 稽核日誌，但不會提供原始日誌匯出。AWS 可讓您透過其他服務來匯出這些日誌。

問︰Amazon Detective 會儲存哪些資料，是否已加密，我可以控制哪些啟用的資料來源？

Amazon Detective 遵循 AWS 共同責任模式，其中包括資料保護的法規和準則。啟用後，Amazon Detective 將為開啟服務的任何帳戶處理來自 AWS CloudTrail 日誌、Amazon VPC 流程日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果的資料。

問：啟用 Amazon Detective，我現有的 AWS 工作負載是否存在效能或可用性風險？

由於 Amazon Detective 直接從 AWS 服務擷取日誌資料和問題清單，因此 Amazon Detective 對 AWS 基礎架構的效能或可用性沒有影響。

問：Amazon Detective 與 Amazon GuardDuty 和 AWS Security Hub 有何不同？

Amazon GuardDuty 是一種威脅偵測服務，可持續監控是否有惡意活動和未經授權的行為，以保護 AWS 帳戶和工作負載。AWS Security Hub 將多項 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector 及 Amazon Macie) 和 AWS 合作夥伴解決方案的安全提醒或問題彙整於一處，妥善整理並依優先順序排序。Amazon Detective 簡化了調查安全調查結果和確定根本原因的過程。Amazon Detective 將分析來自多個資料來源 (例如 Amazon VPC 流程日誌、AWS CloudTrail 日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果) 的數萬億個事件，並自動建立圖形模型，這可為您提供資源、使用者，以及他們在一段時間內進行互動的統一互動式檢視。

問：如何停止 Amazon Detective 查閱我的日誌和資料來源？

Amazon Detective 可讓您分析並視覺化來自 AWS CloudTrail 日誌、Amazon VPC 流程日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果的安全資料。若要停止讓 Amazon Detective 分析您帳戶的這些日誌和調查結果，請使用 API 或適用於 Amazon Detective 的 AWS Console 中的設定部分來停用該服務。

問：Amazon Detective 在如何調查安全問題上提供了哪些指導？

Amazon Detective 提供各種視覺化檢視，可呈現有關 AWS 資源的內容和洞見，例如 AWS 帳戶、EC2 執行個體、使用者、角色、IP 地址和 Amazon GuardDuty 問題清單。每個視覺化檢視旨在答覆您在分析問題清單和相關活動時，可能出現的特定問題。每個視覺化檢視均提供文字指引，清楚地說明了如何解譯面板，並使用其資訊來回答您的調查性問題。

問：Amazon Detective 如何與其他 AWS 安全服務整合，例如 Amazon GuardDuty 和 AWS Security Hub？

Amazon Detective 透過整合 Amazon GuardDuty 和 AWS Security Hub 的主控台，對跨服務使用者工作流程提供支援。這兩項服務提供其主控台內的連結，可將您從選定的問題清單，直接重新定向至包含一系列精選視覺化內容的 Amazon Detective 頁面，以便對選定的問題清單展開調查。Amazon Detective 中的問題清單詳細資訊頁面，已經與問題清單的時間範圍相對應，並顯示與問題清單關聯的相關資料。

問：我如何將 Amazon Detective 調查結果與補救和回應工具整合在一起？

各種合作夥伴安全解決方案供應商已將其服務與 Amazon Detective 整合，以便在其自動化手冊和協調流程中啟用調查步驟。這些產品提供來自回應工作流程中的連結，可將使用者重新定向至 Amazon Detective 頁面，其中包含經過整理的視覺化檢視，以便調查工作流程中識別的問題清單和資源。

問：適用於 Amazon EKS 的 Amazon Detective 稽核日誌如何運作？

啟用後，Amazon Detective 會自動、持續地分析和關聯您的 Amazon EKS 工作負載中的使用者、網路和組態活動。Amazon Detective 會自動擷取 Amazon EKS 稽核日誌，並將使用者活動與 AWS CloudTrail 管理事件，以及將網路活動與 Amazon VPC 流量日誌建立關聯，而無需您手動啟用或存放這些日誌。該服務從這些日誌中收集關鍵安全資訊，並將其保留在安全行為圖形資料庫中，從而可快速交叉引用存取十二個月的活動。Amazon Detective 提供資料分析和視覺化層，協助您回答行為圖形資料庫支援的常見安全問題，讓您能夠更快地調查與您的 Amazon EKS 工作負載關聯的潛在惡意行為。

問：是否需要開啟 Amazon EKS 稽核日誌？

否，您不需要啟用或設定 Amazon EKS 稽核日誌記錄。您只需在 Amazon Detective 主控台或 API 中，啟用 Amazon EKS 稽核日誌作為新的資料來源。Amazon Detective 對 Amazon EKS 稽核日誌的取用旨在不影響您的 Amazon EKS 工作負載效能，因為 Amazon Detective 會使用獨立且重複的稽核日誌串流來取用稽核日誌。透過這種方式，Amazon Detective 對您的 Amazon EKS 稽核日誌的取用不會增加您使用 Amazon EKS 的成本。

問：使用 Amazon Detective 保護我的 Amazon EKS 工作負載如何收費？

Amazon Detective 對 Amazon EKS 稽核日誌的取用定價依據 Amazon Detective 處理和分析的稽核日誌量而定。Amazon Detective 針對所有啟用 Amazon EKS 覆蓋範圍的客戶提供 30 天免費試用，讓客戶能確保 Amazon Detective 的功能滿足其安全需求，並在承諾付費用量之前估算該服務的每月成本。

問：我已經在使用 Amazon Detective；如何在 Amazon Detective 上開啟 Amazon EKS 稽核日誌支援？

針對使用 Amazon Detective 的現有客戶，需要在 Amazon Detective 主控台上為其帳戶開啟 Amazon EKS 稽核日誌。客戶只需按一下 Amazon Detective 主控台即可變更此選擇，並啟用/停用 Amazon EKS 稽核日誌。

問：Amazon Detective 是否提供對 AWS Fargate 上的 Amazon EKS 工作負載、EC2 上的非受管 Kubernetes 或 ES Anywhere 的可視性？

目前，此功能僅支援在您 AWS 帳戶中 EC2 執行個體上執行的 Amazon EKS 部署。

問：是否必須在每個 AWS 區域中個別啟用 Amazon EKS 稽核日誌？

是。必須在每個 AWS 區域單獨啟用 Amazon EKS 稽核日誌。