通过 Amazon Detective 调查安全事件 - 基于图分析的根本原因定位
解说通过 Detective 调查 GuardDuty 发现结果、实体画像和行为图的活用。
Detective 概述
Detective 是自动分析安全发现结果并调查根本原因的服务。在 GuardDuty 通知"检测到可疑 API 调用"后,支持"谁、何时、从哪里、做了什么"的深入调查阶段。自动聚合 CloudTrail、VPC Flow Logs、GuardDuty 的发现结果、EKS 审计日志和 S3 数据事件,通过行为图可视化异常模式。Detective 内置 ML 模型,自动对偏离基线的程度进行评分,安全分析师无需手动关联海量日志。
行为图与实体画像
行为图自动聚合 CloudTrail、VPC Flow Logs、GuardDuty 的发现结果,在图数据库中构建实体(IAM 用户、角色、EC2、IP 地址)间的关联。实体画像保持特定 IAM 用户或 EC2 实例过去 12 个月的行为模式(API 调用频率、通信目标 IP、数据传输量)作为基线,突出显示异常活动。从 GuardDuty 的发现结果跳转到 Detective 时,会显示相关实体的行为时间线,可追踪未授权访问路径。图结构按区域构建,通过 Organizations 集成可将最多 1200 个账户的数据聚合到一个行为图中。
调查工作流
Detective 的调查工作流从 GuardDuty 的发现结果开始。点击发现结果后显示相关 IAM 角色、EC2 实例、IP 地址的实体画像。画像中以时间线形式可视化过去 12 个月的 API 调用模式、网络连接和地理位置来源。可直观识别如"该角色突然访问了通常不访问的服务""来自异常 IP 地址的连接增加"等异常模式。Investigation 功能自动扩大调查范围,连锁追踪相关实体。Finding Group 功能将多个相关的 GuardDuty 发现结果归纳为一个攻击场景,以评分显示调查优先级。 如需深入了解安全调查,也可参考Amazon 上的相关书籍。
Detective 的费用
Detective 按摄取的数据量计费。CloudTrail 管理事件每 GB 约 2 美元,VPC Flow Logs 每 GB 约 0.75 美元。前 30 天为免费试用,可预先估算实际成本。通过 Organizations 集成聚合所有账户数据时,数据量可能较大,需事先确认成本。以 GuardDuty 数据为主要来源,根据安全要求启用 VPC Flow Logs 的摄取。免费试用期间控制台会显示预估月费,可在正式启用前确认。
与 GuardDuty、Security Hub 的联动与分工
Detective 与 GuardDuty 和 Security Hub 紧密集成,但各服务的角色明确不同。GuardDuty 负责威胁检测(通知「发生了什么」),Security Hub 负责发现结果的聚合和优先级排序(判断「哪个重要」),Detective 负责后续调查(分析「为什么发生、影响范围多大」)。可从 Security Hub 控制台直接跳转到 Detective,在 GuardDuty 发现结果上一键点击「Investigate in Detective」即可开始调查。但 Detective 本身无法进行检测。如果事先未启用 GuardDuty,Detective 将缺少足够的源数据进行分析。实务中的标准流程是在所有区域和账户启用 GuardDuty,将发现结果聚合到 Security Hub,然后对重要告警使用 Detective 进行深入调查。
调查最佳实践与常见陷阱
在实际使用 Detective 时有几个重要注意事项。首先,启用后行为图尚未充分构建,基线精度较低。启用后约 2 周正常行为画像开始积累,误报逐渐减少。其次,当 Investigation 功能检测到可疑实体需要立即进行事件响应(如禁用访问密钥或撤销 IAM 角色权限)时,Detective 无法直接执行这些操作,建议与 Systems Manager Automation Runbook 或 Step Functions 联动的架构。常见陷阱是 Detective 按区域构建行为图,如果在多个区域运营,攻击者跨区域的活动不会整合到一个图中。多区域环境需要分别检查各区域的 Detective。
总结
Detective 是通过行为图和实体画像调查安全事件根本原因的服务。从 GuardDuty 的发现结果开始调查,自动聚合 CloudTrail 和 VPC Flow Logs 数据,以时间线可视化过去 12 个月的 API 调用模式和网络连接异常。GuardDuty 负责「检测」、Security Hub 负责「优先级排序」、Detective 负责「调查」,三者结合可高效化事件响应周期。