

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# GuardDuty Enquête (aperçu)
<a name="guardduty-investigation"></a>

GuardDuty Investigation fournit une analyse de AI-powered sécurité de vos GuardDuty résultats et de vos comptes. Lorsque vous créez une enquête, GuardDuty examinez le contexte des recherches, les activités connexes menées au cours des 90 derniers jours, les ressources concernées, les informations sur les menaces et les indicateurs de menaces à l'aide de graphes de connaissances. Chaque enquête fournit une évaluation de l'élimination des menaces avec un score de confiance, une classification de la technique MITRE ATT&CK®, des preuves à l'appui et des recommandations exploitables.

Chaque enquête produit les informations suivantes :
+ **Niveau de risque** — Évaluation du risque global : informatif, faible, moyen, élevé ou critique.
+ **Confiance** : niveau de confiance de l'évaluation : inconnu, faible, moyen ou élevé.
+ **Résumé** — Description des résultats de l'enquête et des principales observations.
+ **Détails de l'enquête** — Informations supplémentaires et contexte liés à l'enquête.
+ **Actions recommandées : actions** détaillées, y compris les commandes de la CLI, que vous pouvez prendre pour résoudre les problèmes identifiés.

**Note**  
GuardDuty L'enquête est disponible uniquement dans les 10 AWS régions commerciales suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Canada (Centre), Europe (Francfort), Europe (Irlande), Europe (Londres), Europe (Paris), Europe (Stockholm) et Asie-Pacifique (Tokyo).

## Types d'analyses
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty L'investigation soutient les trois types d'analyse suivants :
+ **Analyse des** résultats : analyse des GuardDuty résultats spécifiques lorsque vous spécifiez l'ID de recherche (32 caractères hexadécimaux). Pour la version préliminaire, GuardDuty Investigation prend en charge tous les résultats de la détection étendue des menaces (XTD) et sélectionne les résultats des plans de base, S3 et Runtime.
+ **Analyse du compte** : analyse la position de menace d'un AWS compte lorsque vous fournissez l'identifiant à 12 chiffres du AWS compte.
+ **Analyse de l'organisation** : analyse le niveau de menace de votre organisation. Pour un aperçu, il analyse jusqu'à 100 comptes.

## Cross-Region inférence
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty Investigation s'appuie sur le service d' Cross-Region inférence (CRIS), qui sélectionne automatiquement la solution optimale Région AWS dans votre zone géographique pour traiter l'analyse de l'enquête et générer le rapport d'enquête. Cela permet d'optimiser les ressources informatiques disponibles, la disponibilité des modèles et d'offrir la meilleure expérience client.

Vos données restent stockées uniquement dans la région d'où provient la demande d'enquête. Toutefois, les données d'enquête et les résultats sommaires peuvent être traités en dehors de cette région. Toutes les données sont transmises cryptées sur le réseau sécurisé d'Amazon.

GuardDuty Investigation achemine en toute sécurité vos demandes d'inférence vers les ressources informatiques disponibles dans la zone géographique d'origine de la demande, comme indiqué dans le tableau suivant.


**Cross-Region routage par inférence**  

| Zone géographique prise en charge | GuardDuty Région | Régions d'inférence | 
| --- | --- | --- | 
| États-Unis | USA Est (Virginie du Nord) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) | 
| États-Unis | USA Est (Ohio) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) | 
| États-Unis | USA Ouest (Oregon) | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon) | 
| États-Unis | Canada (Centre) | Canada (centre), États-Unis Est (Virginie du Nord), États-Unis Est (Ohio), États-Unis Ouest (Oregon) | 
| Europe | Europe (Francfort) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) | 
| Europe | Europe (Irlande) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) | 
| Europe | Europe (Londres) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Londres), Europe (Paris) | 
| Europe | Europe (Paris) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) | 
| Europe | Europe (Stockholm) | Europe (Francfort), Europe (Stockholm), Europe (Milan), Europe (Espagne), Europe (Irlande), Europe (Paris) | 
| Japon | Asie-Pacifique (Tokyo) | Asie-Pacifique (Tokyo), Asie-Pacifique (Osaka) | 

## Conditions préalables
<a name="guardduty-investigation-prerequisites"></a>

Avant de pouvoir utiliser GuardDuty Investigation, assurez-vous que les conditions préalables suivantes sont remplies :
+ Vous devez disposer d'un GuardDuty détecteur actif à l' Région AWS endroit où vous souhaitez créer des enquêtes. Pour plus d'informations sur l'activation GuardDuty, consultez[Commencer avec GuardDuty](guardduty_settingup.md).
+ Vous devez activer la fonction GuardDuty Investigation sur votre détecteur.

------
#### [ Console ]

  1. Ouvrez la GuardDuty console.

  1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

  1. Sous **Investigations basées sur l'IA - Aperçu**, choisissez **Activer**.

------
#### [ API/CLI ]

  Appelez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API et activez la `AI_ANALYST` fonctionnalité sur votre détecteur.

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ Votre identité IAM doit disposer des autorisations requises pour effectuer des actions d'investigation. Les actions IAM suivantes sont requises :
  + `guardduty:CreateInvestigation`— Nécessaire pour créer une nouvelle enquête.
  + `guardduty:GetInvestigation`— Nécessaire pour récupérer les résultats de l'enquête.
  + `guardduty:ListInvestigations`— Nécessaire pour répertorier les investigations relatives à un détecteur.

L'exemple de politique IAM suivant autorise l'utilisation de toutes les actions GuardDuty d'investigation :

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### Modèle d'accès pour les comptes d'administrateur et de membre
<a name="guardduty-investigation-access-model"></a>

Les règles d'accès suivantes s'appliquent à GuardDuty Investigation selon que vous utilisez un compte administrateur ou un compte membre :
+ **Comptes d'administrateur** : peuvent créer, obtenir et répertorier des enquêtes pour eux-mêmes et pour leurs comptes de membres.
+ **Comptes de membres** — Ils ne peuvent obtenir et répertorier les enquêtes que pour leur propre compte. Les comptes membres ne peuvent pas créer d'enquêtes et ne peuvent pas accéder aux enquêtes appartenant à d'autres comptes ou au compte administrateur.

## Création d'une enquête
<a name="guardduty-investigation-create"></a>

Vous pouvez créer une enquête pour analyser les GuardDuty résultats et les comptes de votre AWS environnement. L'enquête s'exécute de manière asynchrone en arrière-plan. Après avoir créé une enquête, utilisez l'identifiant de l'enquête pour vérifier son statut et récupérer les résultats.

**Important**  
Pendant la version préliminaire, vous pouvez lancer jusqu'à 10 enquêtes par compte et par jour, avec une limite totale de 100 enquêtes par compte. Les enquêtes infructueuses ne sont pas prises en compte dans le calcul de ces quotas. Si vous utilisez le API/CLI, l'invite de déclenchement peut comporter jusqu'à 2 048 caractères.

Choisissez votre méthode d'accès préférée pour créer une enquête.

------
#### [ Console ]

1. Ouvrez la GuardDuty console et accédez à **Investigations** dans le volet de navigation de gauche.

1. Choisissez **Lancer une enquête**.

1. Sélectionnez le périmètre de l'enquête :
   + **Une constatation spécifique** — Entrez l'ID de recherche que vous souhaitez analyser.
   + **Mon compte** (autonome uniquement) — Aucune saisie supplémentaire n'est requise. GuardDuty analysera votre compte.
   + **Un compte spécifique** (administrateur uniquement) — Entrez l'identifiant de AWS compte à 12 chiffres.
   + **Tous les comptes de l'organisation** (administrateur uniquement) : aucune saisie supplémentaire n'est requise.

1. Choisissez **Lancer l'investigation** pour démarrer l'analyse.

------
#### [ API/CLI ]

Exécutez l'opération CreateInvestigation API pour démarrer une nouvelle enquête. Vous devez fournir l'identifiant du détecteur et une invite de déclenchement décrivant les éléments à examiner.

`detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

Dans la commande précédente, remplacez le {{detector-id}} par votre propre identifiant de détecteur et {{trigger-prompt}} par une description de ce que vous souhaitez étudier.

Vous pouvez éventuellement inclure un `--client-token` paramètre pour l'idempuissance. Si vous réessayez la demande avec le même jeton client, GuardDuty renvoie l'enquête existante au lieu de créer un doublon.

Exemple de sortie :

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**Exigences relatives à l'invite de déclenchement**

L'invite de déclenchement doit décrire les éléments à examiner. GuardDuty détermine le type d'analyse en fonction du contenu de votre invite :
+ **Analyse des résultats** — Incluez exactement un identifiant de recherche (chaîne hexadécimale de 32 caractères) dans l'invite. Le résultat doit exister et appartenir au compte de l'appelant ou à un compte membre. Vous ne pouvez pas inclure plusieurs identifiants de recherche dans une seule invite.
+ **Analyse du compte** — Incluez exactement un identifiant de AWS compte à 12 chiffres dans l'invite. L'appelant doit être l'administrateur de ce compte. Vous ne pouvez pas inclure plusieurs identifiants de compte dans une seule invite.
+ **Analyse de l'organisation** — Décrivez un problème de sécurité à l'échelle de l'organisation dans votre message. L'enquête analyse les signaux au sein de l'organisation (jusqu'à 100 comptes).

GuardDuty utilise l'IA pour interpréter votre demande de forme libre et déterminer la portée d'analyse appropriée. Si vous incluez un identifiant de recherche, il effectue une analyse de recherche. Si vous incluez un identifiant de compte, il effectue une analyse du compte. Si votre message décrit un problème à l'échelle de l'organisation, il effectue une analyse de l'organisation. Si l'invite ne correspond pas à un type d'analyse spécifique, l'enquête analyse par défaut le compte de l'appelant.

Voici des exemples d'invite de déclenchement pour chaque type d'analyse :
+ **Recherche d'une analyse** — `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **Analyse du compte** — `"Analyze findings in account with id 123456789012"`
+ **Analyse de l'organisation** — `"Analyze findings in my organization"`

**Création d'une enquête pour un compte membre**

Si vous êtes un compte administrateur, vous pouvez créer une enquête pour un compte membre en incluant l'identifiant du compte membre dans l'invite de déclenchement. Utilisez l'ID du détecteur du compte administrateur dans la commande. Les résultats de l'enquête contiendront les résultats du compte membre spécifié.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

Dans la commande précédente, remplacez le par {{detector-id}} l'ID du détecteur de votre compte administrateur. L'identifiant de compte à 12 chiffres indiqué dans l'invite de déclenchement identifie le compte du membre à examiner.

------

## Afficher les résultats de l'enquête
<a name="guardduty-investigation-get"></a>

Après avoir créé une enquête, vous pouvez récupérer les résultats, notamment le résumé, les détails de l'enquête, le niveau de confiance et les recommandations. Une enquête peut avoir l'un des statuts suivants :
+ **EN COURS** — L'enquête est toujours en cours.
+ **TERMINÉE** — L'enquête s'est terminée avec succès et les résultats sont disponibles.
+ **ÉCHEC** — L'enquête a rencontré une erreur. Consultez le champ d'erreur pour plus de détails.

Choisissez votre méthode d'accès préférée pour consulter les résultats de l'enquête.

*AI-generated les analyses et les recommandations peuvent contenir des erreurs ou des évaluations incomplètes. Un examen humain est recommandé.*

------
#### [ Console ]

1. Ouvrez la GuardDuty console et accédez à **Investigations** dans le volet de navigation de gauche.

1. Dans le tableau des enquêtes, recherchez l'enquête terminée que vous souhaitez examiner.

1. Cliquez sur le lien du titre de l'enquête pour ouvrir la page de détails.

**Note**  
Les titres des enquêtes ne sont cliquables que lorsque le statut est **Terminé**.

------
#### [ API/CLI ]

Exécutez l'opération GetInvestigation API pour récupérer tous les détails d'une enquête terminée.

`detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

Exemple de résultat pour une enquête terminée :

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

Le `Summary` champ contient une chaîne JSON contenant les résultats complets de l'enquête, y compris les principales observations, les contre-mesures à l'aide de commandes CLI et une évaluation des menaces MITRE ATT&CK®.

------

### Interprétation des résultats d'enquêtes
<a name="guardduty-investigation-interpret-results"></a>

Le tableau suivant décrit les niveaux de risque qu'une enquête peut générer :


**Niveaux de risque liés aux enquêtes**  

| Niveau de risque | Description | 
| --- | --- | 
| Info (Infos) | Découverte informationnelle sans risque immédiat pour l'environnement. | 
| Faible | Risque mineur qui ne nécessitera probablement pas une action immédiate. | 
| Moyenne | Risque modéré que vous devez examiner et qui pourrait nécessiter des mesures correctives. | 
| Élevée | Risque important nécessitant une enquête et des mesures correctives rapides. | 
| Critique | Risque grave nécessitant une action immédiate pour empêcher toute nouvelle compromission. | 

Le tableau suivant décrit les niveaux de confiance :


**Niveaux de confiance des enquêtes**  

| Niveau de confiance | Description | 
| --- | --- | 
| Je ne sais pas | Données insuffisantes pour déterminer la fiabilité de l'évaluation. | 
| Faible | Les preuves à l'appui de cette évaluation sont limitées. | 
| Moyenne | Des preuves modérées appuient l'évaluation. | 
| Élevée | Des preuves solides appuient cette évaluation. | 

## Enquêtes sur les listes
<a name="guardduty-investigation-list"></a>

Vous pouvez répertorier toutes les investigations relatives à un détecteur, avec un tri et une pagination optionnels. Cela vous permet de consulter et de suivre le statut de plusieurs enquêtes.

Choisissez votre méthode d'accès préférée pour répertorier les enquêtes.

------
#### [ Console ]

1. Ouvrez la GuardDuty console et accédez à **Investigations** dans le volet de navigation de gauche.

1. Le tableau des enquêtes affiche toutes les enquêtes relatives au détecteur actuel avec leur statut, leur niveau de risque et leur horodatage.

------
#### [ API/CLI ]

Exécutez l'opération ListInvestigations API pour répertorier les résumés des enquêtes relatives à un détecteur.

`detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

Vous pouvez trier les résultats en spécifiant un `--sort-criteria` paramètre. L'exemple suivant répertorie les enquêtes triées par heure de début dans l'ordre décroissant :

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

Les attributs de tri disponibles sont `START_TIME``END_TIME`,`STATUS`,`RISK_LEVEL`, et`CONFIDENCE`. Vous pouvez trier par ordre `ASC` (croissant) ou `DESC` (décroissant).

Exemple de sortie :

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

Si la réponse inclut une `NextToken` valeur, transmettez-la dans une demande ultérieure pour récupérer la page de résultats suivante. Vous pouvez récupérer jusqu'à 50 résultats par page.

------