What is Amazon Detective?
Detetive能夠幫助你調查資安事件發生的根本原因，透過機器學習、統計以及圖表，他可以從以時間單位為基礎的服務，例如:VPC flow log、API call、CloudTrail、GuardDuty等，找出資安問題的模式、受影響的項目以及超出你規定的活動。如果你有啟用GuardDuty，並與Detective串聯，在GuardDuty找到問題後，Detective會更進一步的列出問題的調查結果。

Detective 價格
啟用Detective之後前30天是免費的。之後Detective會依照從各資料來源擷取的流量費計算以東京為例，每一個Account前1000GB/月/region會收USD 2.7，後續 4,000 GB/帳戶/區域/月每 GB 1.35 USD，後續 5,000 GB/帳戶/區域/月每 GB 0.68 USD，超過 10,000 GB/帳戶/區域/月每 GB 0.34 USD。
(來源:https://aws.amazon.com/tw/detective/pricing/)

啟用Detective的前置作業
1.你必須啟用GuardDuty 至少48小時，這樣GuardDuty才能評估傳輸的資料量
2.你傳輸到Detective必須在上限以內，如果超過上限Detective無法偵測
3.我們在前面GuardDuty以及Security Hub的篇章講過服務都會有個管理帳戶，這邊也建議Detective的管理帳戶跟前兩個服務是同一個。如果有跨帳戶管理的需求Detective也可以設定
4.給予Detective相對應的IAM權限

{
    “Version”: “2012–10–17”,
    “Statement”: [
    {
        “Effect”: “Allow”,
        “Action”: [
        “detective:Get*”,
        “detective:CreateGraph”, |
        “detective:CreateMembers”,
        “detective:DeleteGraph”,
        “detective:DeleteMembers”,
        “detective:ListGraphs”,
        “detective:ListMembers”,
        “detective:SearchGraph”,
        “detective:StartMonitoringMember”,
        “detective:ListTagsForResource”,
        “detective:TagResource”,
        “detective:UntagResource”,
        “guardduty:ArchiveFindings”,
        “guardduty:ListDetectors” ], “Resource”: “*”
        }
    ]
}

5. 如果你想要更即時的知道調查結果，你可以調整GuardDuty的調查頻率(預設是六小時)

Detective 佈建
1.找到Detective，並按下Get started

2.上面的先決條件在這邊設定
(1)指定管理帳戶
(2)附上相對應的IAM Policy

3.加上tag，完成之後按Enable Amazon Detective，就完成了。如果出現下面錯誤，代表你的GuardDuty可能尚未啟用或是啟用了但還沒有超過48小時。

4.畫面會跳到Account management，如果要邀請成員進入Detective，按Invite accounts。

5.加入成員可透過Email邀請或是透過csv.檔匯入，下面會附上成員必須要加入的IAM Policy，之後按Invite就可以發出邀請，等到成員接受邀請就能加入

Detective找出的結果
1.在側邊選單選Summary

2.Detective 會列出找到的結果，例如在過去24小時哪個role跟user call最多API、哪台EC2在過去24小時近來最多流量以及在過去24小時從哪個地區call 的API是最多的


圖片來源:https://aws.amazon.com/tw/detective/features/

小結
如果想要更深入的探討任何異常狀況發生的原因，Detective能夠幫你列出更細節的相關資訊。五個面向以及相關服務的介紹就先到這邊，明天我們將介紹資安的隱藏第六面向。