一般問題

問︰什麼是 Amazon Detective?

Amazon Detective 讓您可以輕鬆分析、調查和快速確定潛在安全問題清單或可疑活動的根本原因。Amazon Detective 可自動從您的 AWS 資源中收集日誌資料,並使用機器學習、統計分析和圖論來建置關聯的資料集,讓您能夠輕鬆地進行更快、更有效的安全調查。

問:Amazon Detective 有哪些主要優勢?

Amazon Detective 簡化了調查程序,並協助安全團隊進行更快、更有效的調查。Amazon Detective 預先建立了資料彙總、摘要和內容,可協助您快速分析並確定可能的安全問題的性質和程度。Amazon Detective 保留彙總資料最多一年,並透過一組視覺化檢視輕鬆提供,這些資料將顯示選定時段內活動類型和數量的變更,並將這些變更與安全問題清單相關聯。您不必預先支付任何費用,只需按分析的事件付費即可,不必部署或啟用日誌摘要。

問:Amazon Detective 的費用是多少?

Amazon Detective 的定價依據是從 AWS CloudTrail 日誌、Amazon VPC 流量日誌和 Amazon GuardDuty 問題清單擷取的資料量。您需要為每個帳戶/區域/月份擷取的每 GB 資料支付費用。Amazon Detective 可保留長達一年的彙總資料以進行分析。請參閱 Amazon Detective 定價頁面,了解最新的定價資訊。

問:是否提供免費試用?

是,任何新加入 Amazon Detective 的帳戶都可以免費試用服務 30 天。在免費試用期間,您將擁有完整功能集的存取權限。 

問:Amazon Detective 是區域服務還是全球服務?

Amazon Detective 需要按區域啟用,能讓您快速分析每個區域內所有帳戶的活動。這可確保所有資料都是按區域分析,而不是跨 AWS 區域邊界。

問:Amazon Detective 支援哪些區域?

想了解 Amazon Detective 的區域可用性,請參閱 AWS 區域表

Amazon Detective 入門

問:如何開始使用 Amazon Detective?

只要在 AWS 管理主控台按幾下,即可啟用 Amazon Detective。啟用後,Amazon Detective 會自動將資料整理成圖表模型,而且模型會在新資料可用時持續更新。您可以體驗 Amazon Detective,並開始調查潛在的安全問題。

問:如何啟用 Amazon Detective?

您可以在 AWS 管理主控台中啟用 Amazon Detective,或者使用 Amazon Detective API 來啟用。若您已經在使用 Amazon GuardDuty 或 AWS Security Hub 主控台,則應使用與 Amazon GuardDuty 或 AWS Security Hub 中的主帳戶相同的帳戶來啟用 Amazon Detective,以實現最佳的跨服務體驗。

問:是否可以使用 Amazon Detective 管理多個帳戶?

可以。Amazon Detective 是一項多帳戶服務,可將來自監控成員帳戶的資料彙總至同一區域內的單一主帳戶下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中設定主帳戶和成員帳戶的相同方式來設定多帳戶監控部署。

問:Amazon Detective 會分析哪些資料來源?

Amazon Detective 讓客戶能夠檢視與 AWS CloudTrail 事件以及 VPC Flow Logs 相關的摘要和分析資料。對於啟用 Amazon GuardDuty 的客戶,Detective 還將處理 Amazon GuardDuty 問題清單。

問:如果未啟用 Amazon GuardDuty,可以使用 Amazon Detective 嗎?

Amazon Detective 會要求您在帳戶中啟用 Amazon GuardDuty 至少 48 個小時,才能在這些帳戶中啟用 Detective。然而,您可以使用 Detective 調查的不僅僅是 GuardDuty 問題清單。Amazon Detective 針對您 AWS 帳戶、EC2 執行個體、AWS 使用者、角色和 IP 地址間的行為和互動,提供詳細的摘要、分析和視覺化檢視。此資訊在了解安全問題或操作帳戶活動時非常實用。

問:Amazon Detective 多久可以開始運作?

Amazon Detective 在日誌資料啟用後會立即開始收集,並提供對擷取資料的視覺化摘要和分析。Amazon Detective 還可將最近的活動與帳戶監控兩週後建立的歷史基準做比較。

問:我是否可以從 Amazon Detective 匯出原始日誌資料?

Amazon Detective 會分析您的 AWS CloudTrail logs 和 VPC Flow Logs,但不會提供原始日誌匯出。AWS 可讓您透過其他服務來匯出這些日誌。

問︰Amazon Detective 會儲存哪些資料,是否已加密,我可以控制哪些啟用的資料來源?

Amazon Detective 遵循 AWS 共同的責任模型,其中包括資料保護的法規和準則。啟用後,Amazon Detective 將為開啟服務的任何帳戶處理來自 AWS CloudTrail logs、VPC Flow Logs 和 Amazon GuardDuty 問題清單的資料。

問:啟用 Amazon Detective,我現有的 AWS 工作負載是否存在效能或可用性風險?

由於 Amazon Detective 直接從 AWS 服務擷取日誌資料和問題清單,因此 Amazon Detective 對 AWS 基礎架構的效能或可用性沒有影響。

問:Amazon Detective 與 Amazon GuardDuty 和 AWS Security Hub 有何不同?

Amazon GuardDuty 是一種威脅偵測服務,可持續監控是否有惡意活動和未經授權的行為,以保護 AWS 帳戶和工作負載。Security Hub 將多項 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector 及 Amazon Macie) 和 AWS 合作夥伴解決方案的安全提醒或問題彙整於一處,妥善整理並依優先順序排序。Amazon Detective 簡化了調查安全問題清單和確定根本原因的過程。Amazon Detective 將分析來自多個資料來源 (例如 VPC Flow Logs、AWS CloudTrail logs 和 Amazon GuardDuty 問題清單) 的數万億個事件,並自動建立圖形模型,這可為您提供資源、使用者,以及他們在一段時間進行互動的統一互動式檢視。

問:如何停止 Amazon Detective 查閱我的日誌和資料來源?

Amazon Detective 可讓您分析並視覺化呈現來自 AWS CloudTrail logs、VPC Flow logs 和 Amazon GuardDuty 問題清單的安全資料。若要停止讓 Amazon Detective 分析您帳戶的這些日誌和問題清單,請使用 API 或適用於 Amazon Detective 的 AWS 主控台中的設定部分來停用該服務。

在 Amazon Detective 主控台中使用

問:Amazon Detective 在如何調查安全問題上提供了哪些指導?

Amazon Detective 提供各種視覺化檢視,可呈現有關 AWS 資源的內容和洞見,例如 AWS 帳戶、EC2 執行個體、使用者、角色、IP 地址和 Amazon GuardDuty 問題清單。每個視覺化檢視旨在答覆您在分析問題清單和相關活動時,可能出現的特定問題。每個視覺化檢視均提供文字指引,清楚地說明了如何解譯面板,並使用其資訊來回答您的調查性問題。

問:Amazon Detective 如何與其他 AWS 安全服務整合,例如 Amazon GuardDuty 和 AWS Security Hub?

Amazon Detective 透過整合 Amazon GuardDuty 和 AWS Security Hub 的主控台,對跨服務使用者工作流程提供支援。這些服務提供其主控台內的連結,可將您從選定的問題清單,直接重新定向至包含一系列精選視覺化內容的 Amazon Detective 頁面,以便對選定的問題清單展開調查。Amazon Detective 中的問題清單詳細資訊頁面,已經與問題清單的時間範圍相對應,並顯示與問題清單關聯的相關資料。

問:我如何將 Amazon Detective 調查結果與補救和回應工具整合在一起?

各種合作夥伴安全解決方案供應商已將其服務與 Amazon Detective 整合,以便在其自動化手冊和協調流程中啟用調查步驟。這些產品提供來自回應工作流程中的連結,可將使用者重新定向至 Amazon Detective 頁面,其中包含經過整理的視覺化檢視,以便調查工作流程中識別的問題清單和資源。

閱讀文件
閱讀文件

閱讀文件,進一步了解有關 Amazon Detective 功能和實作的資訊。

閱讀文件 
註冊 AWS 帳戶
註冊免費帳戶

立即存取 AWS 免費方案 

註冊 
註冊預覽版
開始使用 Amazon Detective

開始使用 Amazon Detective 進行建置。

開始使用