Amazon Detective 常見問答集

問︰什麼是 Amazon Detective？

Amazon Detective 讓您可以更輕鬆地分析、調查和快速確定潛在安全問題或可疑活動的根本原因。Amazon Detective 可自動從您的 AWS 資源中收集日誌資料，並使用機器學習、統計分析和圖論來建置關聯的資料集，讓您能夠輕鬆地進行更快、更有效的安全調查。

問：Amazon Detective 有哪些主要優勢？

Amazon Detective 簡化了調查程序，並協助安全團隊進行更快、更有效的調查。Amazon Detective 預先建立了資料彙總、摘要和內容，可協助您快速分析並確定可能的安全問題的性質和程度。Amazon Detective 保留彙總資料最多一年，並透過一組視覺化檢視輕鬆提供，這些資料將顯示選定時段內活動類型和數量的變更，並將這些變更與安全問題清單相關聯。您不必預先支付任何費用，只需按分析的事件付費即可，不必部署或啟用日誌摘要。

問：Amazon Detective 如何協助您分析安全調查？

Amazon Detective 從 AWS CloudTrail、Amazon Virtual Private Cloud (Amazon VPC) 流量日誌、Amazon GuardDuty 調查結果、AWS Security Hub 調查結果，以及 Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌中擷取以時間為基礎的事件，例如登入嘗試、API 呼叫和網路流量。Detective 會建立行為圖，此圖利用機器學習 (ML) 針對資源行為及其在一段時間內進行之互動建立統一的互動式檢視，尤其是此類以時間為基礎的事件。藉由探索行為圖表，您可分析登入失敗等安全事件
嘗試、可疑的 API 呼叫或調查結果群組，可協助您調查 AWS 安全調查結果的根本原因。

問：什麼是調查結果群組？它們如何縮短調查結果的時間？

威脅執行者在嘗試入侵您的 AWS 環境時，通常會執行一系列動作，這可能會在 AWS 資源中產生多個安全調查結果。調查結果群組是與單一潛在安全事件相關之安全調查結果和資源的集合，應該一起調查。調查結果群組有助於減少分類時間，因為您不需單獨調查個別的安全調查結果。您可從調查結果群組開始調查，這可讓您更全面地了解事件。它還提供互動式視覺效果，讓您能夠使用生成式 AI 來探索特定的調查結果和洞察，以自然語言描述事件鏈。如需詳細資訊，請閱讀分析調查結果群組。

問：什麼是自動調查，以及如何協助您縮短調查資源的時間？

自動調查可讓您調查 AWS Identity and Access Management (IAM) 實體，例如 IAM 使用者或角色，以確定這些實體是否可能遭到入侵。 自動調查透過查詢您的行為圖表，並使用機器學習來識別 IAM 實體是否表現異常行為，或顯示出入侵指標 (IoC) 來實現這一目標。這些 IoC 可能包括潛在的惡意活動，例如不可能的旅行登入、與已知錯誤 IP 地址關聯，以及安全調查結果歷史記錄。您不用分析 AWS CloudTrail 日誌，以及開發自己的指令碼來發現可疑活動，而是使用自動調查來回答「此 IAM 角色是否用於不可能的旅行登入？」、「此 IAM 角色工作階段是否被已知錯誤 IP 地址使用？」，或者「此 IAM 主要角色在安全事件期間觸發了哪些策略、技術和程序 (TTP)？」等問題，進而節省時間 如需詳細資訊，請參閱 Amazon Detective 使用者指南。

問：Amazon Detective 的費用是多少？

Amazon Detective 的定價係依據從 AWS CloudTrail 日誌、Amazon VPC 流程日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌、Amazon GuardDuty 調查結果，以及從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果中擷取的資料量而定。您需要為每個帳戶/區域/月份擷取的每 GB 資料支付費用。Amazon Detective 可保留長達一年的彙總資料以進行分析。請參閱 Amazon Detective 定價頁面，了解最新的定價資訊。Amazon EKS 和 AWS Security Hub 調查結果是選用的資料來源，如果您不希望 Detective 擷取此類資料來源，您可以將其停用。

問：是否提供免費試用？

是，任何新加入 Amazon Detective 的帳戶都可以免費試用服務 30 天。在免費試用期間，您將擁有完整功能集的存取權限。 

問：Amazon Detective 是區域服務還是全球服務？

Amazon Detective 需要按區域啟用，能讓您快速分析每個區域內所有帳戶的活動。這可確保所有資料都是按區域分析，而不是跨 AWS 區域邊界。

問：Amazon Detective 支援哪些區域？

想了解 Amazon Detective 的區域可用性，請參閱 AWS 區域表。

問：如何開始使用 Amazon Detective？

只要在 AWS 管理主控台按幾下，即可啟用 Amazon Detective。啟用後，Amazon Detective 會自動將資料整理成圖表模型，而且模型會在新資料可用時持續更新。您可以體驗 Amazon Detective，並開始調查潛在的安全問題。

問：如何啟用 Amazon Detective？

您可以在 AWS 管理主控台中啟用 Amazon Detective，或者使用 Amazon Detective API 來啟用。若您已經在使用 Amazon GuardDuty 或 AWS Security Hub 主控台，則應使用與 Amazon GuardDuty 或 AWS Security Hub 中的管理帳戶相同的帳戶來啟用 Amazon Detective，以實現最佳的跨服務體驗。

問：是否可以使用 Amazon Detective 管理多個帳戶？

可以。Amazon Detective 是一項多帳戶服務，可將來自監控成員帳戶的資料彙總至同一區域內的單一管理帳戶下。您可以按照在 Amazon GuardDuty 和 AWS Security Hub 中設定管理帳戶和成員帳戶的相同方式來設定多帳戶監控部署。

問：Amazon Detective 會分析哪些資料來源？

Amazon Detective 讓客戶能夠檢視與 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌、AWS CloudTrail 日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌、AWS Security Hub 調查結果，以及 Amazon GuardDuty 調查結果相關的摘要和分析資料。

問：如果未啟用 Amazon GuardDuty，可以使用 Amazon Detective 嗎？

Amazon Detective 會要求您在帳戶中啟用 Amazon GuardDuty 至少 48 個小時，才能在這些帳戶中啟用 Detective。然而，您可以使用 Amazon Detective 調查的不僅僅是 Amazon GuardDuty 問題清單。Amazon Detective 針對您 AWS 帳戶、EC2 執行個體、AWS 使用者、角色和 IP 地址間的行為和互動，提供詳細的摘要、分析和視覺化檢視。此資訊在了解安全問題或操作帳戶活動時非常實用。

問：Amazon Detective 多久可以開始運作？

Amazon Detective 在日誌資料啟用後會立即開始收集，並提供對擷取資料的視覺化摘要和分析。Amazon Detective 還可將最近的活動與帳戶監控兩週後建立的歷史基準做比較。

問：我是否可以從 Amazon Detective 匯出原始日誌資料？

是，您可使用與 Amazon Security Lake 的整合功能，來匯出 AWS CloudTrail 日誌和 Amazon VPC 流量日誌。您可在「適用於 Amazon Security Lake 的 Amazon Detective 章節」中檢閱整合功能的運作方式。

問︰Amazon Detective 會儲存哪些資料，是否已加密，我可以控制哪些啟用的資料來源？

Amazon Detective 遵循 AWS 共同責任模式，其中包括資料保護的法規和準則。啟用後，Amazon Detective 將為開啟服務的任何帳戶處理來自 AWS CloudTrail 日誌、Amazon VPC 流程日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果的資料。

問：啟用 Amazon Detective，我現有的 AWS 工作負載是否存在效能或可用性風險？

由於 Amazon Detective 直接從 AWS 服務擷取日誌資料和問題清單，因此 Amazon Detective 對 AWS 基礎架構的效能或可用性沒有影響。

問：Amazon Detective 與 Amazon GuardDuty 和 AWS Security Hub 有何不同？

Amazon GuardDuty 是一種威脅偵測服務，可持續監控是否有惡意活動和未經授權的行為，以保護 AWS 帳戶和工作負載。AWS Security Hub 將多項 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector 及 Amazon Macie) 和 AWS 合作夥伴解決方案的安全提醒或問題彙整於一處，妥善整理並依優先順序排序。Amazon Detective 簡化了調查安全調查結果和確定根本原因的過程。Amazon Detective 將分析來自多個資料來源 (例如 Amazon VPC 流程日誌、AWS CloudTrail 日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果) 的數萬億個事件，並自動建立圖形模型，這可為您提供資源、使用者，以及他們在一段時間內進行互動的統一互動式檢視。

問：如何停止 Amazon Detective 查閱我的日誌和資料來源？

Amazon Detective 可讓您分析並視覺化來自 AWS CloudTrail 日誌、Amazon VPC 流量日誌、Amazon EKS 稽核日誌、從整合式 AWS 服務傳送至 AWS Security Hub 的調查結果，以及 Amazon GuardDuty 調查結果的安全資料。若要停止讓 Amazon Detective 分析您帳戶的這些日誌和調查結果，請使用 API 或適用於 Amazon Detective 的 AWS Console 中的設定部分來停用該服務。

問：Amazon Detective 在如何調查安全問題上提供了哪些指導？

Amazon Detective 提供各種視覺化檢視，可呈現有關 AWS 資源的內容和洞見，例如 AWS 帳戶、EC2 執行個體、使用者、角色、IP 地址和 Amazon GuardDuty 問題清單。每個視覺化檢視旨在答覆您在分析問題清單和相關活動時，可能出現的特定問題。每個視覺化檢視均提供文字指引，清楚地說明了如何解譯面板，並使用其資訊來回答您的調查性問題。

問：Amazon Detective 如何與其他 AWS 安全服務整合，例如 Amazon GuardDuty、AWS Security Hub 和 Amazon Security Lake？

Amazon Detective 透過整合 Amazon GuardDuty、AWS Security Hub 和 Amazon Security Lake 的主控台，對跨服務使用者工作流程提供支援。GuardDuty 和 Security Hub 提供其主控台內的連結，可將您從選定的調查結果，直接重新定向至包含一系列精選視覺化內容的 Amazon Detective 頁面，以便對選定的問題清單展開調查。Amazon Detective 根據您的調查，提供預先建置的查詢，可從 Amazon Security Lake 查詢和下載日誌檔案。Amazon Detective 中的調查結果詳細資訊頁面，已經與問題清單的時間範圍相對應，並顯示與調查結果關聯的相關資料。

問：我如何將 Amazon Detective 調查結果與補救和回應工具整合在一起？

各種合作夥伴安全解決方案供應商已將其服務與 Amazon Detective 整合，以便在其自動化手冊和協調流程中啟用調查步驟。這些產品提供來自回應工作流程中的連結，可將使用者重新定向至 Amazon Detective 頁面，其中包含經過整理的視覺化檢視，以便調查工作流程中識別的調查結果和資源。

問：AWS Security Hub 的 Amazon Detective 如何運作？

啟用後，Amazon Detective 會針對與 AWS Security Hub 整合的 AWS 服務，自動、持續分析和關聯使用者、網路和組態活動。Amazon Detective 透過名為 AWS Security 調查結果的選用資料來源，自動擷取從 AWS 安全服務轉送至 AWS Security Hub 的安全調查結果。

問：什麼是 AWS 安全調查結果？

AWS Security Hub 支援與多項 AWS 服務的整合。由於期望 Amazon Macie 的敏感資料調查結果，您會自動選擇加入所有其他與 Security Hub 整合的 AWS 服務。如果您已開啟 Security Hub 和任何整合服務，這些服務會將調查結果傳送至 Security Hub。Deeptive 會擷取這些調查結果，並將其新增至您的圖表，以便您能針對所有整合的 AWS 服務進行安全調查。這些服務包括 AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS Health、AWS Identity and Access Management (IAM) Access Analyzer、Amazon Inspector、AWS IoT Device Defender、Amazon Macie 和 AWS Systems Manager Patch Manager。

問：是否需要開啟 AWS 安全調查結果？

預設會啟用 AWS 安全調查結果，做為使用 Detective 的新帳戶的資料來源。如果您在發布對 AWS 安全調查結果的支援之前使用 Detective，您可能需要啟用此資料來源。您可遵循《管理指南》中 AWS 安全調查結果列出的步驟，確認 Detective 的資料來源。針對您計劃使用 Detective 的每個區域啟用此資料來源。

Amazon Detective 對 Amazon Security 調查結果的取用旨在不影響您的 Amazon 安全服務效能，因為 Amazon Detective 會使用獨立且重複的日誌串流來取用安全調查結果。在這種方式下，Amazon Detective 對 AWS 安全調查結果的取用不會增加您使用 AWS Security Hub 或任何整合 AWS 安全服務的成本。

問：使用 Amazon Detective 調查 AWS 安全服務的調查結果如何收費？

Amazon Detective 對 AWS Security 調查結果的取用定價依據 Amazon Detective 處理和分析的調查結果量而定。Amazon Detective 針對所有啟用 AWS Security 調查結果的客戶提供 30 天免費試用，讓客戶能確保 Amazon Detective 的功能滿足其安全需求，並在為付費用量付款之前估算該服務的每月成本。

問：如果我要將 Amazon GuardDuty 調查結果轉寄至 AWS Security Hub，是否會收取雙倍費用？

否，Amazon Detective 只會針對每項服務傳送的調查結果收取一次費用。 

問：適用於 Amazon Security Lake 的 Amazon Detective 如何運作？

整合這兩項服務之後，Amazon Detective 可透過 Amazon Security Lake 查詢和擷取 AWS CloudTrail 日誌和 Amazon Virtual Private Cloud (Amazon VPC) 流量日誌，以進行安全調查。如果您需要存放在日誌中的額外詳細資訊，您可使用此整合在 Amazon Detective 中開始調查，以及預覽或下載特定的 AWS CloudTrail 日誌或 Amazon VPC 流量日誌。例如，如果您在過去 24 小時內調查 IAM 使用者的可疑活動，您可使用 Amazon Detective 取得 IAM 使用者在 API 方法面板與 IAM 使用者互動的服務摘要。如果您發現與服務的互動顯示潛在的安全問題，例如描述角色 API 呼叫，您可下載該 IAM 使用者的 AWS CloudTrail 日誌。Amazon Detective 將使用 Amazon Athena，根據調查的時間和實體 (IAM 使用者過去 24 小時) 的範圍，提供預先建置的 SQL 查詢，以使查詢和日誌擷取更容易。此整合可協助您節省時間，無需從頭開始量身定製 SQL 查詢，而且您無需離開 Amazon Detective 主控台，即可預覽和下載結果。

問：如何啟用 Amazon Detective 與 Amazon Security Lake 之間的整合功能？

若要啟用兩項服務之間的整合功能，您需要執行 Amazon CloudFormation 範本。此範本會建立一個訂閱用戶帳戶，具有足夠的許可來查詢和使用 Amazon Security Lake 的日誌，並在您的帳戶中部署用於查詢和下載日誌的額外 AWS 服務。您可在 Amazon Detective 使用者指南中，檢視 Amazon CloudFormation 範本部署的內容。

問：使用 Amazon Detective 與 Amazon Security Lake 的整合功能會如何計費？

根據 Amazon Detective 定價和 Amazon Security Lake 定價對每項服務計費。此外，使用 Amazon Athena 的每個查詢都會產生費用，並且會對在您帳戶中部署的用於支援整合的其他 AWS 服務計費。您可使用 AWS 定價計算器，來估算整合兩項服務的總成本。

問：是否必須在每個 AWS 區域個別啟用 Amazon Detective 與 Amazon Security Lake 的整合功能？

是。您需要在您想要整合 Amazon Detective 與 Amazon Security Lake 的每個 AWS 區域，執行 Amazon CloudFormation 範本。 

問：適用於 Amazon EKS 的 Amazon Detective 稽核日誌如何運作？

啟用後，Amazon Detective 會自動、持續地分析和關聯您的 Amazon EKS 工作負載中的使用者、網路和組態活動。Amazon Detective 會自動擷取 Amazon EKS 稽核日誌，並將使用者活動與 AWS CloudTrail 管理事件，以及將網路活動與 Amazon VPC 流量日誌建立關聯，而無需您手動啟用或存放這些日誌。該服務從這些日誌中擷取關鍵安全資訊，並將其保留在安全行為圖形資料庫中，從而可快速交叉引用存取十二個月的活動。Amazon Detective 提供資料分析和視覺化層，協助您回答行為圖形資料庫支援的常見安全問題，讓您能夠更快地調查與您的 Amazon EKS 工作負載關聯的潛在惡意行為。

問：是否需要開啟 Amazon EKS 稽核日誌？

預設會啟用 Amazon EKS 稽核記錄，做為使用 Detective 的帳戶的資料來源。如果您在發布對 EKS 稽核日誌的支援之前使用 Detective，您可能需要啟用此資料來源。您可遵循《管理指南》中適用於 Detective 的 Amazon EKS 稽核日誌列出的步驟，確認 Detective 的資料來源。針對您計劃使用 Detective 的每個區域啟用此資料來源。

Amazon Detective 對 Amazon EKS 稽核日誌的取用旨在不影響您的 Amazon EKS 工作負載效能，因為 Amazon Detective 會使用獨立且重複的稽核日誌串流來取用稽核日誌。透過這種方式，Amazon Detective 對您的 Amazon EKS 稽核日誌的取用不會增加您使用 Amazon EKS 的成本。

問：使用 Amazon Detective 保護我的 Amazon EKS 工作負載如何收費？

Amazon Detective 對 Amazon EKS 稽核日誌的取用定價依據 Amazon Detective 處理和分析的稽核日誌量而定。Amazon Detective 針對所有啟用 Amazon EKS 覆蓋範圍的客戶提供 30 天免費試用，讓客戶能確保 Amazon Detective 的功能滿足其安全需求，並在承諾付費用量之前估算該服務的每月成本。

問：Amazon Detective 是否提供對 AWS Fargate 上的 Amazon EKS 工作負載、EC2 上的非受管 Kubernetes 或 ES Anywhere 的可視性？

目前，此功能支援在您 AWS 帳戶中 EC2 執行個體上執行的 Amazon EKS 部署。Detective 還為 Amazon GuardDuty EKS 執行期監控和 ECS 執行期監控提供支援 (其中包括對 Amazon ECS on Fargate 的監控)。此功能不提供對非受管 Kubernetes on EC2 或 ES Anywhere 的可見性。