Amazon Detective 功能

Amazon Detective 可自動從所有啟用的帳戶中擷取並處理相關資料。您不必設定或啟用任何資料來源。Amazon Detective 從資料來源 (如 AWS CloudTrail 日誌、Amazon VPC 流量日誌、Amazon EKS 稽核日誌和 Amazon GuardDuty 調查結果、AWS Security Hub 調查結果、其他整合 AWS 安全服務) 中收集並分析事件，並保留長達一年的彙總資料以進行分析。

Amazon Detective 可以分析來自各種資料類型的數億個事件，包括 IP 流量、AWS 管理作業以及潛在的惡意或未經授權的活動。  Detective 使用機器學習、統計分析和圖形理論建構圖形模型，以建立用於安全性調查的連結資料集。預先建置的圖形模型包含與安全相關的關係，並提供內容和行為方面的洞見，讓您能夠快速驗證、比較和關聯資料來得出結論。圖形模型支援 Amazon Detective 視覺化，讓您能夠快速回覆調查性問題，而無須查詢原始日誌。例如，該圖形提供 IP 地址連線至 EC2 執行個體，以及角色在特定時段發出 API 呼叫時的內容和關係。

Amazon Detective 使用生成式 AI 提供互動式視覺化和洞見，讓您更輕鬆、更快速、更徹底地調查問題。透過統一檢視，您可在一處視覺化呈現所有內容和自然語言摘要，從而更容易識別可驗證或反駁安全問題的模式，以及了解受安全調查結果影響的所有資源。憑藉這些視覺化檢視和洞見，您可以更輕鬆地將大量事件資料按特定時間範圍篩選，並提供所有詳細資訊、內容和指導，以協助您快速進行調查。Amazon Detective 讓您能夠按地理位置檢視登入嘗試，向下鑽研相關歷史活動，并快速確定根本原因，並在必要時採取措施解決問題。

圖形視覺化可顯示來自單一安全事件的相關 AWS Security 調查結果及受影響的資源，例如 EC2 執行個體、IAM 角色和使用者、S3 儲存貯體和 IP 地址。這些洞見以自然語言描述安全事件期間發生的事件，以協助您了解事件鏈。您由此可以更快速、更輕鬆地調查異常或可疑活動。

整體 API 叫用量顯示在特定時段成功和失敗的叫用，並將其與已建立的基准作比較。這可協助您識別異常活動的模式，並驗證安全性問題清單。

Amazon Detective 與 AWS 安全服務 (如 Amazon GuardDuty、AWS Security Hub、Amazon Inspector、Amazon Security Lake) 以及 AWS 合作夥伴安全產品整合，以協助快速調查這些服務中確定的安全性調查結果。只需從這些整合式服務執行一個步驟，即可移至 Amazon Detective，立即查看與調查結果相關的事件，向下鑽研相關的歷史活動並對問題展開調查。例如，您可在 Amazon GuardDuty 調查結果中，按一下「在 Detective 中調查」即可啟動 Amazon Detective，其中提供對所涉及資源的相關活動的即時洞見。透過 Detective，您可以查詢和擷取儲存在 Amazon Security Lake 中的日誌來源，而無需編寫查詢或離開 Detective 主控台。

Amazon Detective 支援 GuardDuty ECS 和 EKS 執行期監控的安全性調查，為新威脅的偵測提供增強的視覺化和額外的前後關聯。您可以使用來自 GuardDuty 的執行期威脅偵測，以及 Detective 的調查功能，改善對容器工作負載潛在威脅的偵測和回應。Detective 支援對這些新檢測進行調查，將其納入調查結果群組、視覺化和其他摘要，以加快安全性調查。

在 AWS 管理主控台中只需幾個步驟，即可啟用 Amazon Detective。無須部署軟體，安裝代理程序，或維護複雜的組態。此外，您也不必啟用資料來源，這意味著無須承擔啟用資料來源、資料傳輸和資料儲存存儲方面的費用。