

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# GuardDuty Indagine (anteprima)
<a name="guardduty-investigation"></a>

GuardDuty Investigation fornisce un'analisi di AI-powered sicurezza dei GuardDuty risultati e dei conti. Quando crei un'indagine, GuardDuty esamina il contesto del reperto, le attività correlate degli ultimi 90 giorni, le risorse interessate, l'intelligence sulle minacce e gli indicatori delle minacce utilizzando i Knowledge Graph. Ogni indagine fornisce una valutazione dell'attitudine alla minaccia con punteggio di confidenza, classificazione della tecnica MITRE ATT&CK®, prove a supporto e raccomandazioni attuabili.

Ogni indagine produce le seguenti informazioni:
+ **Livello di rischio**: valutazione del rischio complessivo: Info, Basso, Medio, Alto o Critico.
+ **Confidenza**: il livello di confidenza della valutazione: sconosciuto, basso, medio o alto.
+ **Riepilogo**: una descrizione dei risultati dell'indagine e delle osservazioni chiave.
+ **Dettagli dell'indagine**: informazioni e contesto aggiuntivi relativi all'indagine.
+ **Azioni consigliate**: è possibile eseguire azioni dettagliate, inclusi i comandi CLI, per risolvere i problemi identificati.

**Nota**  
GuardDuty Investigation è disponibile solo AWS nelle seguenti 10 regioni commerciali: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Canada (Centrale), Europa (Francoforte), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Stoccolma) e Asia Pacifico (Tokyo).

## Tipi di analisi
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty L'indagine supporta i seguenti tre tipi di analisi:
+ **Analisi dei** risultati: analizza GuardDuty risultati specifici, quando si specifica l'ID del risultato (esadecimale di 32 caratteri). In anteprima, GuardDuty Investigation supporta tutti i risultati Extended Threat Detection (XTD) e alcuni risultati dai piani Foundational, S3 e Runtime.
+ **Analisi dell'account**: analizza la situazione di minaccia di un AWS account, fornendo l'ID dell'account a 12 cifre. AWS 
+ **Analisi dell'organizzazione**: analizza il livello di minaccia dell'organizzazione. In anteprima, analizza fino a 100 account.

## Cross-Region inferenza
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty Investigation sfrutta Cross-Region Inference Service (CRIS), che seleziona automaticamente l'area geografica ottimale Regione AWS per elaborare l'analisi dell'indagine e generare il rapporto di indagine. Ciò massimizza le risorse di elaborazione disponibili, la disponibilità dei modelli e offre la migliore esperienza del cliente.

I tuoi dati rimangono archiviati solo nella regione in cui ha origine la richiesta di indagine. Tuttavia, i dati delle indagini e i risultati riepilogativi possono essere elaborati al di fuori di tale regione. Tutti i dati vengono trasmessi crittografati attraverso la rete sicura di Amazon.

GuardDuty L'indagine indirizza in modo sicuro le richieste di inferenza alle risorse di calcolo disponibili all'interno dell'area geografica in cui ha avuto origine la richiesta, come mostrato nella tabella seguente.


**Cross-Region routing di inferenza**  

| Area geografica supportata da  | GuardDuty Regione | Regioni di inferenza | 
| --- | --- | --- | 
| Stati Uniti | Stati Uniti orientali (Virginia settentrionale) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) | 
| Stati Uniti | Stati Uniti orientali (Ohio) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) | 
| Stati Uniti | Stati Uniti occidentali (Oregon) | Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) | 
| Stati Uniti | Canada (Centrale) | Canada (Centrale), Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon) | 
| Europa | Europa (Francoforte) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) | 
| Europa | Europa (Irlanda) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) | 
| Europa | Europa (Londra) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Londra), Europa (Parigi) | 
| Europa | Europa (Parigi) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) | 
| Europa | Europa (Stoccolma) | Europa (Francoforte), Europa (Stoccolma), Europa (Milano), Europa (Spagna), Europa (Irlanda), Europa (Parigi) | 
| Giappone | Asia Pacifico (Tokyo) | Asia Pacifico (Tokyo), Asia Pacifico (Osaka) | 

## Prerequisiti
<a name="guardduty-investigation-prerequisites"></a>

Prima di utilizzare GuardDuty Investigation, assicurati che siano soddisfatti i seguenti prerequisiti:
+ È necessario disporre di un GuardDuty rilevatore attivo nel luogo in Regione AWS cui si desidera creare le indagini. Per ulteriori informazioni sull'attivazione GuardDuty, vedere. [Guida introduttiva con GuardDuty](guardduty_settingup.md)
+ È necessario abilitare la funzione GuardDuty Investigation sul rilevatore.

------
#### [ Console ]

  1. Apri la GuardDuty console.

  1. Nel pannello di navigazione scegli **Impostazioni**.

  1. In **Indagini basate sull'intelligenza artificiale - Anteprima**, scegli **Abilita.**

------
#### [ API/CLI ]

  Chiama l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API e abilita la `AI_ANALYST` funzionalità sul tuo rilevatore.

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ La tua identità IAM deve disporre delle autorizzazioni necessarie per eseguire azioni di indagine. Sono richieste le seguenti azioni IAM:
  + `guardduty:CreateInvestigation`— Necessario per creare una nuova indagine.
  + `guardduty:GetInvestigation`— Necessario per recuperare i risultati delle indagini.
  + `guardduty:ListInvestigations`— Necessario per elencare le indagini relative a un rilevatore.

L'esempio seguente di policy IAM concede l'autorizzazione a utilizzare tutte le GuardDuty azioni di indagine:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### Modello di accesso per gli account degli amministratori e dei membri
<a name="guardduty-investigation-access-model"></a>

Le seguenti regole di accesso si applicano a GuardDuty Investigation a seconda che si utilizzi un account amministratore o un account membro:
+ **Account amministratore**: possono creare, ottenere ed elencare indagini per sé e per i propri account membro.
+ **Account membri**: possono ottenere ed elencare le indagini solo per il proprio account. Gli account dei membri non possono creare indagini e non possono accedere alle indagini appartenenti ad altri account o all'account amministratore.

## Creazione di un'indagine
<a name="guardduty-investigation-create"></a>

È possibile creare un'indagine per analizzare i GuardDuty risultati e gli account nel proprio AWS ambiente. L'indagine viene eseguita in modo asincrono in background. Dopo aver creato un'indagine, utilizza l'ID dell'indagine per controllarne lo stato e recuperare i risultati.

**Importante**  
Durante l'anteprima, puoi avviare fino a 10 indagini per account al giorno, con un limite totale di 100 indagini per account. Le indagini fallite non vengono conteggiate ai fini di queste quote. Se si utilizza il API/CLI, il prompt di attivazione può contenere fino a 2.048 caratteri.

Scegli il metodo di accesso preferito per creare un'indagine.

------
#### [ Console ]

1. Apri la GuardDuty console e vai a **Investigazioni** nella barra di navigazione a sinistra.

1. Scegli **Avvia indagine.**

1. Seleziona un ambito di indagine:
   + **Un risultato specifico**: inserisci l'ID del risultato che desideri analizzare.
   + **Il mio account** (solo indipendente): non è richiesto alcun input aggiuntivo. GuardDuty analizzerà il tuo account.
   + **Un account specifico** (solo amministratore): inserisci l'ID dell' AWS account a 12 cifre.
   + **Tutti gli account dell'organizzazione** (solo amministratore): non è richiesto alcun input aggiuntivo.

1. Scegli **Avvia indagine** per avviare l'analisi.

------
#### [ API/CLI ]

Esegui l'operazione CreateInvestigation API per avviare una nuova indagine. È necessario fornire l'ID del rilevatore e un prompt di attivazione che descriva cosa indagare.

Per trovare le `detectorId` informazioni relative al tuo account e alla regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

Nel comando precedente, sostituiscilo {{detector-id}} con il tuo ID del rilevatore e {{trigger-prompt}} con una descrizione di ciò che desideri esaminare.

Facoltativamente, puoi includere un `--client-token` parametro per l'idempotenza. Se riprovi la richiesta con lo stesso token client, GuardDuty restituisce l'indagine esistente invece di crearne una duplicata.

Output di esempio:

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**Requisiti di attivazione tempestiva**

Il prompt di attivazione deve descrivere cosa esaminare. GuardDuty determina il tipo di analisi in base al contenuto del prompt:
+ **Analisi di ricerca**: includi esattamente un ID di ricerca (stringa esadecimale di 32 caratteri) nel prompt. Il risultato deve esistere e appartenere all'account del chiamante o all'account di un membro. Non è possibile includere più ID di ricerca in un unico prompt.
+ **Analisi dell'account**: includi esattamente un ID AWS account a 12 cifre nella richiesta. Il chiamante deve essere l'amministratore di quell'account. Non è possibile includere più ID di account in un unico prompt.
+ **Analisi dell'organizzazione**: descrivi nel prompt un problema di sicurezza a livello di organizzazione. L'indagine analizza i segnali all'interno dell'organizzazione (fino a 100 account).

GuardDuty utilizza l'intelligenza artificiale per interpretare il prompt in formato libero e determinare l'ambito di analisi appropriato. Se includi un ID di ricerca, esegue l'analisi dei risultati. Se includi un ID account, esegue l'analisi dell'account. Se il prompt descrive un problema a livello di organizzazione, esegue un'analisi dell'organizzazione. Se il prompt non corrisponde a un tipo di analisi specifico, per impostazione predefinita l'indagine analizza l'account del chiamante.

Di seguito sono riportati alcuni esempi di prompt di attivazione per ogni tipo di analisi:
+ **Analisi** dei risultati: `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **Analisi dell'account** — `"Analyze findings in account with id 123456789012"`
+ **Analisi dell'organizzazione** — `"Analyze findings in my organization"`

**Creazione di un'indagine per un account membro**

Se sei un account amministratore, puoi creare un'indagine per un account membro includendo l'ID dell'account membro nella richiesta di attivazione. Usa l'ID del rilevatore dell'account amministratore nel comando. I risultati dell'indagine conterranno i risultati dell'account membro specificato.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

Nel comando precedente, sostituiscilo {{detector-id}} con l'ID del rilevatore del tuo account amministratore. L'ID dell'account a 12 cifre nel prompt di attivazione identifica l'account del membro su cui indagare.

------

## Visualizzazione dei risultati dell'indagine
<a name="guardduty-investigation-get"></a>

Dopo aver creato un'indagine, puoi recuperare i risultati, tra cui il riepilogo, i dettagli dell'indagine, il livello di affidabilità e la raccomandazione. Un'indagine può avere uno dei seguenti stati:
+ **IN CORSO** — L'indagine è ancora in corso.
+ **COMPLETATA** — L'indagine si è conclusa con successo e i risultati sono disponibili.
+ **FALLITA**: l'indagine ha rilevato un errore. Controlla il campo di errore per i dettagli.

Scegli il metodo di accesso preferito per visualizzare i risultati delle indagini.

*AI-generated l'analisi e le raccomandazioni possono contenere errori o valutazioni incomplete. Si raccomanda la revisione umana.*

------
#### [ Console ]

1. Apri la GuardDuty console e vai a **Investigazioni** nella barra di navigazione a sinistra.

1. Nella tabella delle indagini, trova l'indagine completata che desideri esaminare.

1. Scegli il link del titolo dell'indagine per aprire la pagina dei dettagli.

**Nota**  
**I titoli delle indagini sono selezionabili solo quando lo stato è Completato.**

------
#### [ API/CLI ]

Esegui l'operazione GetInvestigation API per recuperare tutti i dettagli di un'indagine completata.

Per trovare le `detectorId` informazioni relative al tuo account e alla regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

Esempio di output per un'indagine completata:

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

Il `Summary` campo contiene una stringa JSON con i risultati completi dell'indagine, comprese le osservazioni chiave, le contromisure con i comandi CLI e una valutazione delle minacce MITRE ATT&CK®.

------

### Interpretazione dei risultati delle indagini
<a name="guardduty-investigation-interpret-results"></a>

La tabella seguente descrive i livelli di rischio che un'indagine può restituire:


**Livelli di rischio delle indagini**  

| Livello di rischio | Description | 
| --- | --- | 
| Informazioni | Reperimento informativo senza rischi immediati per l'ambiente. | 
| Bassa | Rischio minore che difficilmente richiederebbe un'azione immediata. | 
| Media | Rischio moderato che è necessario esaminare e che potrebbe richiedere una correzione. | 
| Elevata | Rischio significativo che richiede un'indagine e una correzione tempestive. | 
| Critica | Rischio grave che richiede un'azione immediata per prevenire ulteriori compromessi. | 

La tabella seguente descrive i livelli di confidenza:


**Livelli di confidenza delle indagini**  

| Livello di confidenza | Description | 
| --- | --- | 
| Sconosciuto | Dati insufficienti per determinare l'affidabilità della valutazione. | 
| Bassa | Prove limitate supportano la valutazione. | 
| Media | Prove moderate supportano la valutazione. | 
| Elevata | Evidenze convincenti supportano la valutazione. | 

## Elencare le indagini
<a name="guardduty-investigation-list"></a>

È possibile elencare tutte le indagini relative a un rilevatore, con ordinamento e impaginazione opzionali. Ciò consente di esaminare e tenere traccia dello stato di più indagini.

Scegli il metodo di accesso preferito per elencare le indagini.

------
#### [ Console ]

1. Apri la GuardDuty console e vai a **Investigazioni nella barra** di navigazione a sinistra.

1. La tabella delle indagini mostra tutte le indagini relative al rilevatore corrente con il relativo stato, livello di rischio e data e ora.

------
#### [ API/CLI ]

Esegui l'operazione ListInvestigations API per elencare i riepiloghi delle indagini relative a un rilevatore.

Per trovare le `detectorId` informazioni relative al tuo account e alla regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

Puoi ordinare i risultati specificando un `--sort-criteria` parametro. L'esempio seguente elenca le indagini ordinate per ora di inizio in ordine decrescente:

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

Gli attributi di ordinamento disponibili sono`START_TIME`,, `END_TIME``STATUS`, `RISK_LEVEL` e. `CONFIDENCE` È possibile ordinare in ordine `ASC` (crescente) o `DESC` (decrescente).

Output di esempio:

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

Se la risposta include un `NextToken` valore, passalo in una richiesta successiva per recuperare la pagina successiva di risultati. Puoi recuperare fino a 50 risultati per pagina.

------