Amazon Detective
Amazon Detective
Amazon Detective API 自动分析 AWS 日志(VPC Flow Logs、CloudTrail、GuardDuty)做安全事件调查,可视化攻击链。
自动 ingest 多种 AWS 日志做图谱化
依赖 GuardDuty(必须先开 GuardDuty)
EnableOrganizationAdminAccount(如有 Organizations)→ CreateGraph 创建调查图谱。Detective 自动开始 ingest 日志。
可用率 · 30 天窗口
GitHub 活跃度
关于这个 API
Detective 是 AWS 的安全调查工具。安全告警出来后(GuardDuty 说"这个 IAM role 行为异常"),下一步是 SOC 调查——发生了什么、攻击者从哪进来、影响了哪些资源、用户做了什么操作。传统做法是手动查 CloudTrail、VPC Flow Logs、看一堆 raw log。Detective 把这些日志自动 ingest 进图数据库,关联起来:「这个 IAM role 在过去 1 小时内被这个 IP 调用了 200 次,期间访问了这些 S3 bucket,下载了这些对象」。可视化呈现,调查时间从数小时缩短到分钟。和 Security Hub / GuardDuty 关系:GuardDuty 发现问题、Security Hub 聚合告警、Detective 做调查。
你可以做什么
- 1GuardDuty 触发告警后做事件调查
- 2安全审计追溯异常用户行为
- 3入侵后的横向移动分析
- 4合规事件取证
优劣对比
优点
- 自动 ingest 多种 AWS 日志做图谱化
- 基于 ML 识别异常 baseline
- 可视化攻击链节省调查时间
注意事项
- 依赖 GuardDuty(必须先开 GuardDuty)
- 按 ingested 数据量计费,大账户成本高
示例请求
curl https://github.com/mermade/aws2openapi/<endpoint>快速开始
EnableOrganizationAdminAccount(如有 Organizations)→ CreateGraph 创建调查图谱。Detective 自动开始 ingest 日志。
常见问题
Detective 必须先开 GuardDuty 吗?+
是的。Detective 设计上和 GuardDuty 联动,目前不能独立使用。
技术细节
- 认证方式
- unknown
- 计费
- unknown
- 协议
- REST
- SDK
- python, javascript, go, java, csharp
- 响应时间
- 17 ms
- 上次巡检
- 2026/5/12 07:36:33
更多来自 Amazon Web Services 的 API
AWS IAM Access Analyzer API 分析 IAM 资源策略找潜在的过度授权或外部访问,主动识别安全风险。
Amazon Chime SDK API 给应用嵌入实时音视频通话和聊天能力(meeting、消息、PSTN 通话)。
Amazon CloudFront 是 AWS 的 CDN 与 edge 服务,加速静态/动态内容分发,是网站性能优化的标准方案。
Amazon CloudSearch 是 AWS 的搜索引擎托管服务(已逐渐被 OpenSearch Service 取代)。
CloudWatch Application Insights API 自动监测应用问题:智能识别异常(如 SQL 慢查询、内存泄漏),减少人工配 alarm。
AWS Cognito Identity Pools API 给前端应用临时 AWS 凭证:身份联邦、guest 用户、AWS 资源直接访问。
Amazon Cognito 用户池提供托管的用户注册、登录、密码重置、MFA 等身份认证能力。
Amazon Connect Contact Lens API 用 AI 实时分析 Amazon Connect 通话:情感、关键词、合规检测、自动摘要。