Day 29: Detective 简介与操作

What is Amazon Detective?
Detetive能够帮助你调查资安事件发生的根本原因,透过机器学习、统计以及图表,他可以从以时间单位为基础的服务,例如:VPC flow log、API call、CloudTrail、GuardDuty等,找出资安问题的模式、受影响的项目以及超出你规定的活动。如果你有启用GuardDuty,并与Detective串联,在GuardDuty找到问题後,Detective会更进一步的列出问题的调查结果。

Detective 价格
启用Detective之後前30天是免费的。之後Detective会依照从各资料来源撷取的流量费计算以东京为例,每一个Account前1000GB/月/region会收USD 2.7,後续 4,000 GB/帐户/区域/月每 GB 1.35 USD,後续 5,000 GB/帐户/区域/月每 GB 0.68 USD,超过 10,000 GB/帐户/区域/月每 GB 0.34 USD。
(来源:https://aws.amazon.com/tw/detective/pricing/)

启用Detective的前置作业
1.你必须启用GuardDuty 至少48小时,这样GuardDuty才能评估传输的资料量
2.你传输到Detective必须在上限以内,如果超过上限Detective无法侦测
3.我们在前面GuardDuty以及Security Hub的篇章讲过服务都会有个管理帐户,这边也建议Detective的管理帐户跟前两个服务是同一个。如果有跨帐户管理的需求Detective也可以设定
4.给予Detective相对应的IAM权限

{
    “Version”: “2012–10–17”,
    “Statement”: [
    {
        “Effect”: “Allow”,
        “Action”: [
        “detective:Get*”,
        “detective:CreateGraph”, |
        “detective:CreateMembers”,
        “detective:DeleteGraph”,
        “detective:DeleteMembers”,
        “detective:ListGraphs”,
        “detective:ListMembers”,
        “detective:SearchGraph”,
        “detective:StartMonitoringMember”,
        “detective:ListTagsForResource”,
        “detective:TagResource”,
        “detective:UntagResource”,
        “guardduty:ArchiveFindings”,
        “guardduty:ListDetectors” ], “Resource”: “*”
        }
    ]
}
  1. 如果你想要更即时的知道调查结果,你可以调整GuardDuty的调查频率(预设是六小时)

Detective 布建
1.找到Detective,并按下Get started
https://ithelp.ithome.com.tw/upload/images/20211011/20124610sW7iKjulMT.png

2.上面的先决条件在这边设定
(1)指定管理帐户
(2)附上相对应的IAM Policy
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Ye1DPoyahS.png

3.加上tag,完成之後按Enable Amazon Detective,就完成了。如果出现下面错误,代表你的GuardDuty可能尚未启用或是启用了但还没有超过48小时。
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Xri3ROdvdd.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610Iqt5hmjcuT.png

4.画面会跳到Account management,如果要邀请成员进入Detective,按Invite accounts。
https://ithelp.ithome.com.tw/upload/images/20211011/20124610FdMVP1jaTF.png

5.加入成员可透过Email邀请或是透过csv.档汇入,下面会附上成员必须要加入的IAM Policy,之後按Invite就可以发出邀请,等到成员接受邀请就能加入
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hKK4rqwvTn.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610AM6D0DZX1g.png

Detective找出的结果
1.在侧边选单选Summary
https://ithelp.ithome.com.tw/upload/images/20211011/20124610f3YiJKnm8T.png

2.Detective 会列出找到的结果,例如在过去24小时哪个role跟user call最多API、哪台EC2在过去24小时近来最多流量以及在过去24小时从哪个地区call 的API是最多的
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hCC8FcKo0C.png
https://ithelp.ithome.com.tw/upload/images/20211011/20124610hJdhFUeOx8.png
图片来源:https://aws.amazon.com/tw/detective/features/

小结
如果想要更深入的探讨任何异常状况发生的原因,Detective能够帮你列出更细节的相关资讯。五个面向以及相关服务的介绍就先到这边,明天我们将介绍资安的隐藏第六面向。


<<:  [Day 27] Reactive Programming - RSocket

>>:  [Day 26]从零开始学习 JS 的连续-30 Days---冒泡与捕捉事件

铁人赛後感言 - 趣闻分享、30天回顾、四大收获、Canvas游戏後续发展

本次铁人赛的作品,你玩过了吗? 先分享一件趣闻 在我上礼拜完成这个音乐游戏後,我将它分享给了一些人...

【Day30】Pixi-ParticleContainer+结语

PIXI.ParticleContainer 今天介绍用PIXI.ParticleContainer...

成为工具人应有的工具包-13 MZHistoryView

MZHistoryView 今天来认识 MZHistoryView 这个跟前面看历史纪录有点类似的小...

【Day 11】- 还在 PTT 点击已满 18 岁? 带上 cookies 吧!(实战 PTT 爬虫 1/3)

前情提要 前一篇文章带大家看了网路爬虫的种类,下次看到类似的名词时能想到那一类的爬虫的特性。 开始之...

用 Python 畅玩 Line bot - 07:Audio message

这次想要介绍的部分是 Audio message,它跟 Image message 一样可以透过li...