Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty Indagine (anteprima)
GuardDuty Investigation fornisce un'analisi di AI-powered sicurezza dei GuardDuty risultati e dei conti. Quando crei un'indagine, GuardDuty esamina il contesto del reperto, le attività correlate degli ultimi 90 giorni, le risorse interessate, l'intelligence sulle minacce e gli indicatori delle minacce utilizzando i Knowledge Graph. Ogni indagine fornisce una valutazione dell'attitudine alla minaccia con punteggio di confidenza, classificazione della tecnica MITRE ATT&CK®, prove a supporto e raccomandazioni attuabili.
Ogni indagine produce le seguenti informazioni:
-
Livello di rischio: valutazione del rischio complessivo: Info, Basso, Medio, Alto o Critico.
-
Confidenza: il livello di confidenza della valutazione: sconosciuto, basso, medio o alto.
-
Riepilogo: una descrizione dei risultati dell'indagine e delle osservazioni chiave.
-
Dettagli dell'indagine: informazioni e contesto aggiuntivi relativi all'indagine.
-
Azioni consigliate: è possibile eseguire azioni dettagliate, inclusi i comandi CLI, per risolvere i problemi identificati.
Nota
GuardDuty Investigation è disponibile solo AWS nelle seguenti 10 regioni commerciali: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Canada (Centrale), Europa (Francoforte), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Stoccolma) e Asia Pacifico (Tokyo).
Tipi di analisi
GuardDuty L'indagine supporta i seguenti tre tipi di analisi:
-
Analisi dei risultati: analizza GuardDuty risultati specifici, quando si specifica l'ID del risultato (esadecimale di 32 caratteri). In anteprima, GuardDuty Investigation supporta tutti i risultati Extended Threat Detection (XTD) e alcuni risultati dai piani Foundational, S3 e Runtime.
-
Analisi dell'account: analizza la situazione di minaccia di un AWS account, fornendo l'ID dell'account a 12 cifre. AWS
-
Analisi dell'organizzazione: analizza il livello di minaccia dell'organizzazione. In anteprima, analizza fino a 100 account.
Cross-Region inferenza
GuardDuty Investigation sfrutta Cross-Region Inference Service (CRIS), che seleziona automaticamente l'area geografica ottimale Regione AWS per elaborare l'analisi dell'indagine e generare il rapporto di indagine. Ciò massimizza le risorse di elaborazione disponibili, la disponibilità dei modelli e offre la migliore esperienza del cliente.
I tuoi dati rimangono archiviati solo nella regione in cui ha origine la richiesta di indagine. Tuttavia, i dati delle indagini e i risultati riepilogativi possono essere elaborati al di fuori di tale regione. Tutti i dati vengono trasmessi crittografati attraverso la rete sicura di Amazon.
GuardDuty L'indagine indirizza in modo sicuro le richieste di inferenza alle risorse di calcolo disponibili all'interno dell'area geografica in cui ha avuto origine la richiesta, come mostrato nella tabella seguente.
| Area geografica supportata da | GuardDuty Regione | Regioni di inferenza |
|---|---|---|
| Stati Uniti | Stati Uniti orientali (Virginia settentrionale) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| Stati Uniti | Stati Uniti orientali (Ohio) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| Stati Uniti | Stati Uniti occidentali (Oregon) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| Stati Uniti | Canada (Centrale) | Canada (Centrale), Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) |
| Europa | Europa (Francoforte) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) |
| Europa | Europa (Irlanda) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) |
| Europa | Europa (Londra) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Londra), Europa (Parigi) |
| Europa | Europa (Parigi) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) |
| Europa | Europa (Stoccolma) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) |
| Giappone | Asia Pacifico (Tokyo) | Asia Pacifico (Tokyo), Asia Pacifico (Osaka) |
Prerequisiti
Prima di utilizzare GuardDuty Investigation, assicurati che siano soddisfatti i seguenti prerequisiti:
-
È necessario disporre di un GuardDuty rilevatore attivo nel luogo in Regione AWS cui si desidera creare le indagini. Per ulteriori informazioni sull'attivazione GuardDuty, vedere. Guida introduttiva con GuardDuty
-
È necessario abilitare la funzione GuardDuty Investigation sul rilevatore.
-
La tua identità IAM deve disporre delle autorizzazioni necessarie per eseguire azioni di indagine. Sono richieste le seguenti azioni IAM:
-
guardduty:CreateInvestigation— Necessario per creare una nuova indagine. -
guardduty:GetInvestigation— Necessario per recuperare i risultati delle indagini. -
guardduty:ListInvestigations— Necessario per elencare le indagini relative a un rilevatore.
-
L'esempio seguente di policy IAM concede l'autorizzazione a utilizzare tutte le GuardDuty azioni di indagine:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Modello di accesso per gli account degli amministratori e dei membri
Le seguenti regole di accesso si applicano a GuardDuty Investigation a seconda che si utilizzi un account amministratore o un account membro:
-
Account amministratore: possono creare, ottenere ed elencare indagini per sé e per i propri account membro.
-
Account membri: possono ottenere ed elencare le indagini solo per il proprio account. Gli account dei membri non possono creare indagini e non possono accedere alle indagini appartenenti ad altri account o all'account amministratore.
Creazione di un'indagine
È possibile creare un'indagine per analizzare i GuardDuty risultati e gli account nel proprio AWS ambiente. L'indagine viene eseguita in modo asincrono in background. Dopo aver creato un'indagine, utilizza l'ID dell'indagine per controllarne lo stato e recuperare i risultati.
Importante
Durante l'anteprima, puoi avviare fino a 10 indagini per account al giorno, con un limite totale di 100 indagini per account. Le indagini fallite non vengono conteggiate ai fini di queste quote. Se si utilizza il API/CLI, il prompt di attivazione può contenere fino a 2.048 caratteri.
Scegli il metodo di accesso preferito per creare un'indagine.
Visualizzazione dei risultati dell'indagine
Dopo aver creato un'indagine, puoi recuperare i risultati, tra cui il riepilogo, i dettagli dell'indagine, il livello di affidabilità e la raccomandazione. Un'indagine può avere uno dei seguenti stati:
-
IN CORSO — L'indagine è ancora in corso.
-
COMPLETATA — L'indagine si è conclusa con successo e i risultati sono disponibili.
-
FALLITA: l'indagine ha rilevato un errore. Controlla il campo di errore per i dettagli.
Scegli il metodo di accesso preferito per visualizzare i risultati delle indagini.
AI-generated l'analisi e le raccomandazioni possono contenere errori o valutazioni incomplete. Si raccomanda la revisione umana.
Interpretazione dei risultati delle indagini
La tabella seguente descrive i livelli di rischio che un'indagine può restituire:
| Livello di rischio | Description |
|---|---|
| Informazioni | Reperimento informativo senza rischi immediati per l'ambiente. |
| Bassa | Rischio minore che difficilmente richiederebbe un'azione immediata. |
| Media | Rischio moderato che è necessario esaminare e che potrebbe richiedere una correzione. |
| Elevata | Rischio significativo che richiede un'indagine e una correzione tempestive. |
| Critica | Rischio grave che richiede un'azione immediata per prevenire ulteriori compromessi. |
La tabella seguente descrive i livelli di confidenza:
| Livello di confidenza | Description |
|---|---|
| Sconosciuto | Dati insufficienti per determinare l'affidabilità della valutazione. |
| Bassa | Prove limitate supportano la valutazione. |
| Media | Prove moderate supportano la valutazione. |
| Elevata | Evidenze convincenti supportano la valutazione. |
Elencare le indagini
È possibile elencare tutte le indagini relative a un rilevatore, con ordinamento e impaginazione opzionali. Ciò consente di esaminare e tenere traccia dello stato di più indagini.
Scegli il metodo di accesso preferito per elencare le indagini.