Amazon Detective ได้เพิ่มฟีเจอร์ "Finding Group Visualization" ที่ช่วยให้สามารถมองเห็นการเชื่อมโยงของผลการตรวจจับได้
2024.12.05บทความนี้แปลมาจากบทความภาษาญี่ปุ่นที่ชื่อว่า [アップデート]Amazon Detectiveが検出結果の相関を可視化するFinding Group Visualization機能が追加されました โดยเจ้าของบทความนี้คือ คุณ 臼田佳祐
ครั้งนี้ อยากจะแนะนำฟีเจอร์ที่ถูกเพิ่มเข้าไปใน Amazon Detective ซึ่งจะช่วยให้การสืบสวนเหตุการณ์ที่ตรวจจับโดย Amazon GuardDuty เป็นไปได้อย่างราบรื่นมากขึ้น
ก่อนอื่นลองดูนี่
มันจะแสดงความสัมพันธ์ของทรัพยากรที่เกี่ยวข้องกับเหตุการณ์ที่ตรวจจับได้ในรูปแบบกราฟ โดยยืมภาพนี้มาจากคู่มือผู้ใช้
ในอดีต Amazon Detective สามารถแสดงรายการทรัพยากรที่เกี่ยวข้องกับเหตุการณ์ที่ตรวจจับได้, ค้นหา, และเจาะลึกด้วยวิธีต่างๆ แต่ไม่สามารถแสดงความสัมพันธ์ในหน้าจอเดียวได้
ฟีเจอร์ใหม่นี้ทำให้สิ่งนั้นเป็นไปได้ในทันที มาลองตรวจสอบเนื้อหาและการทำงานจริงกันเถอะ
สรุปการอัปเดต
การอัปเดตในครั้งนี้ไม่ได้เป็นเพียงแค่การเพิ่มฟีเจอร์การแสดงผลเท่านั้น แต่ยังมีการเพิ่มฟีเจอร์ที่ช่วยให้สามารถค้นหาความสัมพันธ์ของผลการตรวจจับ (Findings) ที่จัดการโดย Detective ได้โดยอัตโนมัติและจัดกลุ่มเป็น "Finding Group" ซึ่งในกลุ่มนี้จะมีฟีเจอร์การแสดงผลในรูปแบบกราฟเพิ่มเข้ามาด้วย
เดิมที Detective สามารถแสดงผลการตรวจจับที่เกี่ยวข้องกันได้ แต่การอัปเดตนี้ทำให้สามารถจัดกลุ่มและแสดงผลได้อย่างมีประสิทธิภาพ ช่วยให้การสืบสวนเป็นไปได้อย่างมีประสิทธิภาพมากขึ้น
ลองทำดู
งั้นมาดูหน้าจอกันเลย เมื่อเข้าถึงหน้าจอของ Amazon Detective จะเห็นว่าเมนู "Finding Group" ถูกเพิ่มเข้ามาในคอลัมน์ด้านซ้าย เมื่อเปิดเมนูนี้ จะเห็นผลการตรวจจับที่ถูกจัดกลุ่มไว้แสดงอยู่แบบนี้
ลองย้ายไปที่หน้าจอรายละเอียดกัน เมื่อดูรายละเอียด จะเห็นว่าผลการตรวจจับถูกแสดงตามกลยุทธ์ของ MITRE ATT&CK แสดงให้เห็นว่ามีการดำเนินการอะไรบ้าง ทำให้สามารถเข้าใจขอบเขตของผลกระทบได้ในทันที
อย่างไรก็ตาม ในกลุ่มผลการตรวจจับของนี้ การรวมผลการตรวจจับจำนวนมากจากอดีตไม่ได้มีความหมายมากนัก เนื่องจากผลการตรวจจับมีความแตกต่างกัน ซึ่งต้องมีการตรวจสอบตามสถานการณ์การโจมตี
และฟีเจอร์การแสดงผลที่ทุกคนรอคอยก็อยู่ด้านล่างนี้
น่าเสียดายที่เนื้อหามีมากเกินไปจนไม่สามารถแสดงผลได้ แต่ก็ไม่เป็นไร หากเป็นการโจมตีจริงๆคงไม่เป็นอย่างนี้
อย่างไรก็ตาม การแสดงผลทรัพยากรที่เกี่ยวข้อง (Entity) ยังคงสามารถทำได้
ในกรณีที่เป็นการสืบสวนจริง ฟีเจอร์นี้จะมีประโยชน์อย่างมาก แต่ในครั้งนี้เนื้อหามีประมาณ 500 รายการที่ถูกรวมเข้าด้วยกัน จึงเป็นเรื่องที่ยากที่จะจัดการ
สรุป
ฟีเจอร์ใหม่ที่เพิ่มเข้ามานี้ยอดเยี่ยมมาก
น่าเสียดายที่เมื่อทดลองในสภาพแวดล้อมทดสอบ ทำให้เกิดกลุ่มผลการตรวจจับที่ซับซ้อน แต่ไม่ต้องสงสัยเลยว่าฟีเจอร์นี้จะมีประสิทธิภาพมากในการรับมือกับเหตุการณ์จริง
