api-evangelist/amazon-detective

# Amazon Detective (amazon-detective) Amazon Detective 是一项安全调查服务，可以轻松分析、调查并快速识别潜在安全问题或可疑活动的根本原因。它会自动从您的 AWS 资源中收集日志数据，并使用机器学习、统计分析和图论来构建交互式可视化，帮助您更快、更高效地进行安全调查。 **URL：** [访问 Amazon Detective](https://aws.amazon.com/detective/) **运行：** [使用 Naftiko 的功能](https://github.com/naftiko/fleet?utm_source=api-evangelist&utm_medium=readme&utm_campaign=company-api-evangelist&utm_content=repo) ## 标签： - AWS，取证，调查，安全 ## 时间戳 - **创建时间：** 2024-01-15 - **修改时间：** 2026-04-19 ## API ### Amazon Detective API Amazon Detective API 提供了用于管理安全调查工作流程的编程接口。它使开发人员能够创建和管理行为图、邀请和管理成员账户、启动和管理调查、列出入侵指标、管理数据源包，以及配置 AWS Organizations 集成以实现多账户安全管理。 **人工 URL：** [https://aws.amazon.com/detective/](https://aws.amazon.com/detective/) #### 标签： - AWS，取证，调查，安全 #### 属性 - [文档](https://docs.aws.amazon.com/detective/) - [OpenAPI](openapi/amazon-detective-openapi.yml) - [定价](https://aws.amazon.com/detective/pricing/) - [入门指南](https://aws.amazon.com/detective/getting-started/) - [常见问题](https://aws.amazon.com/detective/faqs/) - [JSONSchema - Graph](json-schema/amazon-detective-graph-schema.json) - [JSONSchema - Member Detail](json-schema/amazon-detective-member-detail-schema.json) - [JSONSchema - Investigation Detail](json-schema/amazon-detective-investigation-detail-schema.json) - [JSONSchema - Indicator](json-schema/amazon-detective-indicator-schema.json) - [JSONSchema - Administrator](json-schema/amazon-detective-administrator-schema.json) - [JSONStructure - Graph](json-structure/amazon-detective-graph-structure.json) - [JSONStructure - Member Detail](json-structure/amazon-detective-member-detail-structure.json) - [JSONStructure - Investigation Detail](json-structure/amazon-detective-investigation-detail-structure.json) - [JSON-LD](json-ld/amazon-detective-context.jsonld) - [示例 - Graph](examples/amazon-detective-graph-example.json) - [示例 - Member Detail](examples/amazon-detective-member-detail-example.json) - [示例 - Investigation Detail](examples/amazon-detective-investigation-detail-example.json) ## 通用属性 - [门户](https://aws.amazon.com/) - [网站](https://aws.amazon.com/detective/) - [文档](https://docs.aws.amazon.com/detective/) - [服务条款](https://aws.amazon.com/service-terms/) - [隐私政策](https://aws.amazon.com/privacy/) - [支持](https://aws.amazon.com/premiumsupport/) - [GitHub 组织](https://github.com/aws) - [控制台](https://console.aws.amazon.com/detective/) - [注册](https://signin.aws.amazon.com/signup?request_type=register) - [登录](https://aws.amazon.com/console/) - [状态页面](https://health.aws.amazon.com/health/status) - [联系方式](https://aws.amazon.com/contact-us/) - [博客](https://aws.amazon.com/blogs/security/tag/amazon-detective/) - [发布说明](https://docs.aws.amazon.com/detective/latest/userguide/release-notes.html) - [Spectral 规则](rules/amazon-detective-spectral-rules.yml) - [词汇表](vocabulary/amazon-detective-vocabulary.yaml) - [Naftiko 功能](capabilities/security-investigation.yaml) ## 功能特性 | 名称 | 描述 | |------|-------------| | 行为图分析 | 使用机器学习和图论自动从日志数据构建行为图，以可视化安全问题。 | | 安全调查 | 在限定的时间范围和严重性评分下，针对 IAM 用户和角色启动并管理结构化的调查。 | | 入侵指标 | 自动识别包括不可能的旅行、被标记的 IP 地址、新地理位置、新用户代理和 TTP 观察在内的指标。 | | 多账户支持 | 使用管理员账户和成员账户模型，聚合来自多个 AWS 账户的安全数据。 | | AWS Organizations 集成 | 自动将组织中的新账户启用为组织行为图中的成员账户。 | | 数据源包 | 从 CloudTrail、VPC Flow Logs、GuardDuty 发现、EKS 审计日志和 Active Directory 审计日志中获取安全遥测数据。 | | 交互式可视化 | 在 AWS 控制台中提供交互式图表可视化，以探索实体关系和安全事件。 | | 调查严重性评分 | 根据入侵指标的可能性和影响分配严重性级别（信息、低、中、高、严重）。 | ## 用例 | 名称 | 描述 | |------|-------------| | 安全事件调查 | 通过分析整个 AWS 环境中的实体行为、网络活动和 API 调用模式，快速调查安全事件。 | | 威胁狩猎 | 使用行为分析和机器学习，在您的 AWS 账户中主动搜索可疑活动和潜在威胁。 | | 根本原因分析 | 通过探索行为图中资源、用户和事件之间的关系，识别安全问题的根本原因。 | | 合规取证 | 使用具有明确范围和时间范围的结构化调查，为合规调查收集和保留取证证据。 | | 多账户安全运营 | 从单个管理员账户集中管理整个 AWS 组织的安全调查。 | ## 集成 | 名称 | 描述 | |------|-------------| | Amazon GuardDuty | 自动将 GuardDuty 发现导入到行为图中，以提供更深入的调查上下文。 | | AWS CloudTrail | 导入 CloudTrail API 调用日志，以跟踪整个 AWS 环境中的用户和服务活动。 | | Amazon VPC Flow Logs | 分析 VPC 流日志以识别网络通信模式和异常。 | | Amazon EKS | 可选择导入 EKS 审计日志以监控 Kubernetes API 服务器活动。 | | AWS Organizations | 与 AWS Organizations 集成以管理多账户行为图并自动启用新账户。 | | AWS Security Hub | 在 Security Hub 中呈现 Detective 调查上下文，以整合安全发现。 | ## 构件 按格式组织的机器可读 API 规范。 ### OpenAPI - [Amazon Detective OpenAPI](openapi/amazon-detective-openapi.yml) ### JSON Schema - [Graph Schema](json-schema/amazon-detective-graph-schema.json) - [Member Detail Schema](json-schema/amazon-detective-member-detail-schema.json) - [Investigation Detail Schema](json-schema/amazon-detective-investigation-detail-schema.json) - [Indicator Schema](json-schema/amazon-detective-indicator-schema.json) - [Administrator Schema](json-schema/amazon-detective-administrator-schema.json) - [Account Schema](json-schema/amazon-detective-account-schema.json) - [Start Investigation Request Schema](json-schema/amazon-detective-start-investigation-request-schema.json) - [Get Investigation Response Schema](json-schema/amazon-detective-get-investigation-response-schema.json) - [List Indicators Response Schema](json-schema/amazon-detective-list-indicators-response-schema.json) - [Datasource Package Ingest Detail Schema](json-schema/amazon-detective-datasource-package-ingest-detail-schema.json) - [Membership Datasources Schema](json-schema/amazon-detective-membership-datasources-schema.json) ### JSON 结构 - [Graph 结构](json-structure/amazon-detective-graph-structure.json) - [Member Detail 结构](json-structure/amazon-detective-member-detail-structure.json) - [Investigation Detail 结构](json-structure/amazon-detective-investigation-detail-structure.json) - [Indicator 结构](json-structure/amazon-detective-indicator-structure.json) - [Account 结构](json-structure/amazon-detective-account-structure.json) ### JSON-LD - [Amazon Detective Context](json-ld/amazon-detective-context.jsonld) ## 功能 Naftiko 功能被组织为按 API 共享的定义，并组合成面向客户的工作流。 ### 按 API 共享的定义 - [Amazon Detective API](capabilities/shared/detective-api.yaml) — 包含 27 项操作，涉及行为图管理、成员账户、调查、指标、数据源、组织和标签 ### 工作流功能 | 工作流 | 组合的 API | 工具 | 角色 | |----------|--------------|-------|---------| | [安全调查](capabilities/security-investigation.yaml) | detective | 15 | SOC 分析师，安全工程师 | ## 词汇表 - [Amazon Detective 词汇表](vocabulary/amazon-detective-vocabulary.yaml) — 统一分类法，映射了操作 和功能 维度上的 8 种资源、10 种操作、1 种工作流和 2 种角色 ## 规则 - [Amazon Detective Spectral 规则](rules/amazon-detective-spectral-rules.yml) — 跨 10 个类别的 40 条规则，用于强制执行 Amazon Detective API 约定 ## 维护者 **FN：** Kin Lane **Email：** kin@apievangelist.com

标签：Amazon Detective, AMSI绕过, Apex, API, AWS, AWS Organizations, DPI, IoC, Mutation, ProjectDiscovery, SaaS, Security, 凭据导出, 可疑活动分析, 可视化, 图论, 多账户管理, 失陷指标, 威胁检测, 安全取证, 安全调查, 数据保护, 机器学习, 根因分析, 漏洞利用检测, 统计分析, 网络安全, 行为图谱, 隐私保护