Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty Enquête (aperçu)
GuardDuty Investigation fournit une analyse de AI-powered sécurité de vos GuardDuty résultats et de vos comptes. Lorsque vous créez une enquête, GuardDuty examinez le contexte des recherches, les activités connexes menées au cours des 90 derniers jours, les ressources concernées, les informations sur les menaces et les indicateurs de menaces à l'aide de graphes de connaissances. Chaque enquête fournit une évaluation de l'élimination des menaces avec un score de confiance, une classification de la technique MITRE ATT&CK®, des preuves à l'appui et des recommandations exploitables.
Chaque enquête produit les informations suivantes :
-
Niveau de risque — Évaluation du risque global : informatif, faible, moyen, élevé ou critique.
-
Confiance : niveau de confiance de l'évaluation : inconnu, faible, moyen ou élevé.
-
Résumé — Description des résultats de l'enquête et des principales observations.
-
Détails de l'enquête — Informations supplémentaires et contexte liés à l'enquête.
-
Actions recommandées : actions détaillées, y compris les commandes de la CLI, que vous pouvez prendre pour résoudre les problèmes identifiés.
Note
GuardDuty L'enquête est disponible uniquement dans les 10 AWS régions commerciales suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Canada (Centre), Europe (Francfort), Europe (Irlande), Europe (Londres), Europe (Paris), Europe (Stockholm) et Asie-Pacifique (Tokyo).
Types d'analyses
GuardDuty L'investigation soutient les trois types d'analyse suivants :
-
Analyse des résultats : analyse des GuardDuty résultats spécifiques lorsque vous spécifiez l'ID de recherche (32 caractères hexadécimaux). Pour la version préliminaire, GuardDuty Investigation prend en charge tous les résultats de la détection étendue des menaces (XTD) et sélectionne les résultats des plans de base, S3 et Runtime.
-
Analyse du compte : analyse la position de menace d'un AWS compte lorsque vous fournissez l'identifiant à 12 chiffres du AWS compte.
-
Analyse de l'organisation : analyse le niveau de menace de votre organisation. Pour un aperçu, il analyse jusqu'à 100 comptes.
Cross-Region inférence
GuardDuty Investigation s'appuie sur le service d' Cross-Region inférence (CRIS), qui sélectionne automatiquement la solution optimale Région AWS dans votre zone géographique pour traiter l'analyse de l'enquête et générer le rapport d'enquête. Cela permet d'optimiser les ressources informatiques disponibles, la disponibilité des modèles et d'offrir la meilleure expérience client.
Vos données restent stockées uniquement dans la région d'où provient la demande d'enquête. Toutefois, les données d'enquête et les résultats sommaires peuvent être traités en dehors de cette région. Toutes les données sont transmises cryptées sur le réseau sécurisé d'Amazon.
GuardDuty Investigation achemine en toute sécurité vos demandes d'inférence vers les ressources informatiques disponibles dans la zone géographique d'origine de la demande, comme indiqué dans le tableau suivant.
| Zone géographique prise en charge | GuardDuty Région | Régions d'inférence |
|---|---|---|
| États-Unis | USA Est (Virginie du Nord) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) |
| États-Unis | USA Est (Ohio) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) |
| États-Unis | USA Ouest (Oregon) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) |
| États-Unis | Canada (Centre) | Canada (centre), États-Unis Est (Virginie du Nord), États-Unis Est (Ohio), États-Unis Ouest (Oregon) |
| Europe | Europe (Francfort) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) |
| Europe | Europe (Irlande) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) |
| Europe | Europe (Londres) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Londres), Europe (Paris) |
| Europe | Europe (Paris) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) |
| Europe | Europe (Stockholm) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) |
| Japon | Asie-Pacifique (Tokyo) | Asie-Pacifique (Tokyo), Asie-Pacifique (Osaka) |
Conditions préalables
Avant de pouvoir utiliser GuardDuty Investigation, assurez-vous que les conditions préalables suivantes sont remplies :
-
Vous devez disposer d'un GuardDuty détecteur actif à l' Région AWS endroit où vous souhaitez créer des enquêtes. Pour plus d'informations sur l'activation GuardDuty, consultezCommencer avec GuardDuty.
-
Vous devez activer la fonction GuardDuty Investigation sur votre détecteur.
-
Votre identité IAM doit disposer des autorisations requises pour effectuer des actions d'investigation. Les actions IAM suivantes sont requises :
-
guardduty:CreateInvestigation— Nécessaire pour créer une nouvelle enquête. -
guardduty:GetInvestigation— Nécessaire pour récupérer les résultats de l'enquête. -
guardduty:ListInvestigations— Nécessaire pour répertorier les investigations relatives à un détecteur.
-
L'exemple de politique IAM suivant autorise l'utilisation de toutes les actions GuardDuty d'investigation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Modèle d'accès pour les comptes d'administrateur et de membre
Les règles d'accès suivantes s'appliquent à GuardDuty Investigation selon que vous utilisez un compte administrateur ou un compte membre :
-
Comptes d'administrateur : peuvent créer, obtenir et répertorier des enquêtes pour eux-mêmes et pour leurs comptes de membres.
-
Comptes de membres — Ils ne peuvent obtenir et répertorier les enquêtes que pour leur propre compte. Les comptes membres ne peuvent pas créer d'enquêtes et ne peuvent pas accéder aux enquêtes appartenant à d'autres comptes ou au compte administrateur.
Création d'une enquête
Vous pouvez créer une enquête pour analyser les GuardDuty résultats et les comptes de votre AWS environnement. L'enquête s'exécute de manière asynchrone en arrière-plan. Après avoir créé une enquête, utilisez l'identifiant de l'enquête pour vérifier son statut et récupérer les résultats.
Important
Pendant la version préliminaire, vous pouvez lancer jusqu'à 10 enquêtes par compte et par jour, avec une limite totale de 100 enquêtes par compte. Les enquêtes infructueuses ne sont pas prises en compte dans le calcul de ces quotas. Si vous utilisez le API/CLI, l'invite de déclenchement peut comporter jusqu'à 2 048 caractères.
Choisissez votre méthode d'accès préférée pour créer une enquête.
Afficher les résultats de l'enquête
Après avoir créé une enquête, vous pouvez récupérer les résultats, notamment le résumé, les détails de l'enquête, le niveau de confiance et les recommandations. Une enquête peut avoir l'un des statuts suivants :
-
EN COURS — L'enquête est toujours en cours.
-
TERMINÉE — L'enquête s'est terminée avec succès et les résultats sont disponibles.
-
ÉCHEC — L'enquête a rencontré une erreur. Consultez le champ d'erreur pour plus de détails.
Choisissez votre méthode d'accès préférée pour consulter les résultats de l'enquête.
AI-generated les analyses et les recommandations peuvent contenir des erreurs ou des évaluations incomplètes. Un examen humain est recommandé.
Interprétation des résultats d'enquêtes
Le tableau suivant décrit les niveaux de risque qu'une enquête peut générer :
| Niveau de risque | Description |
|---|---|
| Info (Infos) | Découverte informationnelle sans risque immédiat pour l'environnement. |
| Faible | Risque mineur qui ne nécessitera probablement pas une action immédiate. |
| Moyenne | Risque modéré que vous devez examiner et qui pourrait nécessiter des mesures correctives. |
| Élevée | Risque important nécessitant une enquête et des mesures correctives rapides. |
| Critique | Risque grave nécessitant une action immédiate pour empêcher toute nouvelle compromission. |
Le tableau suivant décrit les niveaux de confiance :
| Niveau de confiance | Description |
|---|---|
| Je ne sais pas | Données insuffisantes pour déterminer la fiabilité de l'évaluation. |
| Faible | Les preuves à l'appui de cette évaluation sont limitées. |
| Moyenne | Des preuves modérées appuient l'évaluation. |
| Élevée | Des preuves solides appuient cette évaluation. |
Enquêtes sur les listes
Vous pouvez répertorier toutes les investigations relatives à un détecteur, avec un tri et une pagination optionnels. Cela vous permet de consulter et de suivre le statut de plusieurs enquêtes.
Choisissez votre méthode d'accès préférée pour répertorier les enquêtes.