Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Daten in einem Detective-Verhaltensdiagramm
In Amazon Detective führen Sie Untersuchungen anhand von Daten aus einem Verhaltensdiagramm von Detective durch. In diesem Abschnitt erfahren Sie mehr über die wichtigsten Datenquellen, die in einem Detective-Verhaltensdiagramm verwendet werden, und darüber, wie Detective die Quelldaten verwendet, um es zu füllen.
Ein Verhaltensdiagramm ist ein verknüpfter Datensatz, der aus den Detective-Quelldaten generiert wird und von einem oder mehreren Amazon Web Services (AWS)-Konten aufgenommen wurde.
Das Verhaltensdiagramm verwendet die Quelldaten für folgende Zwecke.
+ Verschaffen Sie sich ein Gesamtbild Ihrer Systeme, Benutzer und der Interaktionen zwischen ihnen im Laufe der Zeit
+ Führen Sie detailliertere Analysen bestimmter Aktivitäten durch, um Fragen zu beantworten, die sich bei der Durchführung von Untersuchungen ergeben
+ Korrelieren Sie Sammlungen von Erkenntnissen, Entitäten und Beweisen, die sich möglicherweise auf dasselbe Ereignis oder Sicherheitsproblem beziehen.
Beachten Sie, dass die gesamte Extraktion, Modellierung und Analyse von Verhaltensdiagrammdaten im Kontext jedes einzelnen Verhaltensdiagramms erfolgt.
Jedes Verhaltensdiagramm enthält Daten von einem oder mehreren Konten. Wenn ein Konto Detective aktiviert, wird es zum Administratorkonto für das Verhaltensdiagramm und wählt die Mitgliedskonten für das Verhaltensdiagramm aus. Ein Verhaltensdiagramm kann bis zu 1.200 Mitgliedskonten enthalten. Informationen darüber, wie ein Administratorkonto die Mitgliedskonten in einem Verhaltensdiagramm verwaltet, finden Sie unter [Konten in Detective verwalten](https://docs.aws.amazon.com/detective/latest/userguide/accounts.html).
**Topics**
+ [Wie Detective ein Verhaltensdiagramm auffüllt](behavior-graph-population-about.md)
+ [Einarbeitungszeit für neue Verhaltensdiagramme von Detektiven](detective-data-training-period.md)
+ [Überblick über die Datenstruktur des Verhaltensdiagramms](graph-data-structure-overview.md)
+ [Quelldaten, die in einem Detective-Verhaltensdiagramm verwendet werden](detective-source-data-about.md)
# Wie Detective ein Verhaltensdiagramm auffüllt
Um die Rohdaten für Untersuchungen bereitzustellen, führt Detective Daten aus Ihrer gesamten AWS -Umgebung und darüber hinaus zusammen, darunter die folgenden:
+ Protokolldaten, einschließlich Amazon Virtual Private Cloud (Amazon VPC) und AWS CloudTrail
+ Ergebnisse von Amazon GuardDuty
+ Ergebnisse von AWS Security Hub CSPM
Weitere Informationen zu den in einem Verhaltensdiagramm verwendeten Quelldaten finden Sie unter [In einem Verhaltensdiagramm verwendete Quelldaten](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
## Wie Detective Quelldaten verarbeitet
Wenn neue Daten eintreffen, verwendet Detective eine Kombination aus Extraktion und Analyse, um das Verhaltensdiagramm zu füllen.
![\[Diagramm, das den Datendurchfluss eingehender Quelldaten in Detective zeigt, wo sie zum Füllen des Verhaltensdiagramms verwendet werden.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)
## Detective-Extraktion
Die Extraktion basiert auf konfigurierten Zuordnungsregeln. Eine Zuordnungsregel besagt im Grunde: „Wann immer Sie diese Daten sehen, verwenden Sie sie auf diese spezielle Weise, um die Daten des Verhaltensdiagramms zu aktualisieren.“
Beispielsweise kann ein eingehender Detective-Quelldatensatz eine IP-Adresse enthalten. Ist dies der Fall, verwendet Detective die Informationen in diesem Datensatz, um eine neue IP-Adressentität zu erstellen oder eine bestehende IP-Adressentität zu aktualisieren.
## Detective-Analysen
Bei Analysen handelt es sich um komplexere Algorithmen, die die Daten analysieren, um Einblicke in Aktivitäten zu gewinnen, die mit Entitäten verknüpft sind.
Eine Art von Detective-Analyse analysiert beispielsweise, wie oft Aktivitäten auftreten, indem Algorithmen ausgeführt werden. Bei Entitäten, die API-Aufrufe tätigen, sucht der Algorithmus nach API-Aufrufen, die die Entität normalerweise nicht verwendet. Der Algorithmus sucht auch nach einem starken Anstieg der Anzahl von API-Aufrufen.
Analytische Erkenntnisse unterstützen Untersuchungen, indem sie Antworten auf wichtige Analystenfragen liefern. Sie werden häufig verwendet, um Profilbereiche mit Ergebnissen und Entitätsprofilen zu füllen.
# Einarbeitungszeit für neue Verhaltensdiagramme von Detektiven
Eine Möglichkeit, eine Erkenntnis zu untersuchen, besteht darin, die Aktivität während des Untersuchungszeitraums mit Aktivitäten zu vergleichen, die vor der Entdeckung der Erkenntnis stattgefunden haben. Bei Aktivitäten, die noch nie zuvor beobachtet wurden, ist die Wahrscheinlichkeit höher, dass sie verdächtig sind.
In einigen Profilbereichen von Amazon Detective werden Aktivitäten hervorgehoben, die in der Zeit vor dem Befund nicht beobachtet wurden. In mehreren Profilbereichen wird auch ein Basiswert angezeigt, der die durchschnittliche Aktivität in den 45 Tagen vor dem Untersuchungszeitraum anzeigt. Die Gültigkeitsdauer ist die Zusammenfassung der Aktivitäten einer Entität im Zeitverlauf.
Je mehr Daten in Ihr Verhaltensdiagramm extrahiert werden, desto genauer kann sich Detective ein Bild davon machen, welche Aktivitäten in Ihrem Unternehmen normal und welche ungewöhnlich sind.
Um dieses Bild zu erstellen, benötigt Detective jedoch Zugriff auf Daten von mindestens zwei Wochen. Der Reifegrad der Detective-Analyse nimmt auch mit der Anzahl der Konten im Verhaltensdiagramm zu.
Die ersten zwei Wochen nach der Aktivierung von Detective gelten als Trainingszeit. Während dieses Zeitraums wird in Profilbereichen, in denen Aktivitäten im Umfang und in der Zeit mit früheren Aktivitäten verglichen werden, die Meldung angezeigt, dass sich Detective in einer Trainingsphase befindet.
Während der Testphase empfiehlt Detective, dass Sie dem Verhaltensdiagramm so viele Mitgliedskonten wie möglich hinzufügen. Dadurch verfügt Detective über einen größeren Datenpool, der es ermöglicht, ein genaueres Bild der normalen Aktivitäten in Ihrem Unternehmen zu erstellen.
# Überblick über die Datenstruktur des Verhaltensdiagramms
Die Datenstruktur des Verhaltensdiagramms definiert die Struktur der extrahierten und analysierten Daten. Sie definiert auch, wie die Quelldaten dem Verhaltensdiagramm zugeordnet werden.
## Arten von Elementen in der Datenstruktur des Verhaltensdiagramms
Die Datenstruktur des Verhaltensdiagramms besteht aus den folgenden Informationselementen.
****Entität****
Eine Entität stellt ein Element dar, das aus den Detective-Quelldaten extrahiert wurde.
Jede Entität hat einen Typ, der den Objekttyp identifiziert, den sie repräsentiert. Beispiele für Entitätstypen sind IP-Adressen, Amazon EC2 EC2-Instances und AWS Benutzer.
Für jede Entität werden die Quelldaten auch verwendet, um Entitätseigenschaften aufzufüllen. Eigenschaftswerte können direkt aus Quelldatensätzen extrahiert oder über mehrere Datensätze hinweg aggregiert werden.
Einige Eigenschaften bestehen aus einem einzelnen skalaren oder aggregierten Wert. Für eine EC2-Instance verfolgt Detective beispielsweise den Instance-Typ und die Gesamtzahl der verarbeiteten Byte.
In den Eigenschaften von Zeitreihen wird die Aktivität im Laufe der Zeit verfolgt. Für eine EC2-Instance verfolgt Detective beispielsweise im Laufe der Zeit die eindeutigen Ports, die sie verwendet hat.
****Beziehungen****
Eine Beziehung stellt eine Aktivität dar, die zwischen einzelnen Entitäten stattfindet. Beziehungen werden auch aus den Detective-Quelldaten extrahiert.
Ähnlich wie eine Entität hat eine Beziehung einen Typ, der die Typen der beteiligten Entitäten und die Richtung der Verbindung identifiziert. Ein Beispiel für einen Beziehungstyp sind IP-Adressen, die eine Verbindung zu EC2-Instances herstellen.
Für jede einzelne Beziehung, z. B. eine bestimmte IP-Adresse, die eine Verbindung zu einer bestimmten Instanz herstellt, verfolgt Detective die Ereignisse im Laufe der Zeit.
## Arten von Entitäten in der Datenstruktur des Verhaltensdiagramms
Die Datenstruktur des Verhaltensdiagramms besteht aus Entitäts- und Beziehungstypen, die Folgendes bewirken:
+ Verfolgen der verwendeten Server, IP-Adressen und Benutzeragenten
+ Verfolgen Sie die verwendeten AWS Benutzer, Rollen und Konten
+ Verfolgen Sie die Netzwerkverbindungen und Autorisierungen, die in Ihrer AWS -Umgebung auftreten
Die Datenstruktur des Verhaltensdiagramms enthält die folgenden Entitätstypen.
**AWS Konto**
AWS Konten, die in den Detective-Quelldaten vorhanden sind.
Für jedes Konto beantwortet Detective mehrere Fragen:
+ Welche API-Aufrufe hat das Konto verwendet?
+ Welche Benutzeragenten hat das Konto verwendet?
+ Welche autonomen Systemorganisationen (ASOs) hat das Konto verwendet?
+ An welchen geografischen Standorten war das Konto aktiv?
**AWS Rolle**
AWS Rollen, die in den Detective-Quelldaten vorhanden sind.
Für jede Rolle beantwortet Detective mehrere Fragen:
+ Welche API-Aufrufe hat die Rolle verwendet?
+ Welche Benutzeragenten hat die Rolle verwendet?
+ Welche Rolle ASOs wurde verwendet?
+ An welchen geografischen Standorten war die Rolle aktiv?
+ Welche Ressourcen haben diese Rolle übernommen?
+ Welche Rollen hat diese Rolle übernommen?
+ In welchen Rollensitzungen wurde diese Rolle behandelt?
**AWS Benutzer**
AWS Benutzer, die in den Detective-Quelldaten vorhanden sind.
Für jeden Benutzer beantwortet Detective mehrere Fragen:
+ Welche API-Aufrufe hat der Benutzer verwendet?
+ Welche Benutzeragenten hat der Benutzer verwendet?
+ An welchen geografischen Standorten war der Benutzer aktiv?
+ Welche Rollen hat dieser Benutzer übernommen?
+ An welchen Rollensitzungen war dieser Benutzer beteiligt?
**Verbundbenutzer**
Instances eines Verbundbenutzers. Beispiele für Verbundbenutzer sind unter anderem:
+ Eine Identität, die sich mit Security Assertion Markup Language (SAML) anmeldet
+ Eine Identität, die sich mithilfe eines Web-Identitätsverbunds anmeldet
Detective beantwortet für jeden Verbundbenutzer die folgenden Fragen:
+ Mit welchem Identitätsanbieter hat sich der Verbundbenutzer authentifiziert?
+ Was war die Zielgruppe des Verbundbenutzers? Die Zielgruppe identifiziert die Anwendung, die das Web-Identitätstoken des Verbundbenutzers angefordert hat.
+ An welchen geografischen Standorten war der Verbundbenutzer aktiv?
+ Welche Benutzeragenten hat der Verbundbenutzer verwendet?
+ Was ASOs hat der Verbundbenutzer verwendet?
+ Welche Rollen hat dieser Verbundbenutzer übernommen?
+ An welchen Rollensitzungen war dieser Verbundbenutzer beteiligt?
**EC2-Instance**
EC2-Instances, die in den Detective-Quelldaten vorhanden sind.
Für EC2-Instances beantwortet Detective mehrere Fragen:
+ Welche IP-Adressen haben mit der Instance kommuniziert?
+ Welche Ports wurden für die Kommunikation mit der Instance verwendet?
+ Welches Datenvolumen wurde an und von der Instance gesendet?
+ Welche VPC enthält die Instance?
+ Welche API-Aufrufe hat die EC2-Instance verwendet?
+ Welche Benutzeragenten hat die EC2-Instance verwendet?
+ Welches ASOs hat die EC2-Instance verwendet?
+ An welchen geografischen Standorten war die EC2-Instance aktiv?
+ Welche Rollen hat die EC2-Instance übernommen?
**Rollensitzungen**
Instances einer Ressource, die eine Rolle übernimmt. Jede Rollensitzung wird durch die Rollen-ID und einen Sitzungsnamen identifiziert.
Für jede Rolle beantwortet Detective mehrere Fragen:
+ Welche Ressourcen waren an dieser Rollensitzung beteiligt? Mit anderen Worten, welche Rolle wurde übernommen und welche Ressource hat diese Rolle übernommen?
Beachten Sie, dass Detective bei kontoübergreifender Rollenübernahme die Ressource nicht identifizieren kann, die die Rolle übernommen hat.
+ Welche API-Aufrufe wurden in der Rollensitzung verwendet?
+ Welche Benutzeragenten wurden in der Rollensitzung verwendet?
+ Was ASOs wurde in der Rollensitzung verwendet?
+ An welchen geografischen Standorten war die Rollensitzung aktiv?
+ Welcher Benutzer oder welche Rolle hat diese Rollensitzung gestartet?
+ Welche Rollensitzungen wurden von dieser Rollensitzung aus gestartet?
**Erkenntnis**
Von Amazon aufgedeckte Ergebnisse, die in GuardDuty die Quelldaten von Detective eingespeist werden.
Für jeden Befund verfolgt Detective den Befundtyp, den Ursprung und das Zeitfenster für die Erkenntnisaktivität.
Außerdem werden Informationen gespeichert, die für die Erkenntnis spezifisch sind, z. B. Rollen oder IP-Adressen, die an der erkannten Aktivität beteiligt sind.
**IP-Adresse**
IP-Adressen, die in den Detective-Quelldaten vorhanden sind.
Für jede IP-Adresse beantwortet Detective mehrere Fragen:
+ Welche API-Aufrufe hat die Adresse verwendet?
+ Welche Ports hat die Adresse verwendet?
+ Welche Benutzer und Benutzeragenten haben die IP-Adresse verwendet?
+ An welchen geografischen Standorten war die IP-Adresse aktiv?
+ Welchen EC2-Instances wurde diese IP-Adresse zugewiesen und mit welchen wurde kommuniziert?
**S3-Bucket**
S3-Buckets, die sich in den Detective-Quelldaten befinden.
Für jeden S3-Bucket beantwortet Detective die folgenden Fragen:
+ Welche Prinzipale haben mit dem S3-Bucket interagiert?
+ Welche API-Aufrufe wurden an den S3-Bucket getätigt?
+ Von welchen geografischen Standorten aus haben Prinzipale API-Aufrufe an den S3-Bucket getätigt?
+ Welche Benutzeragenten wurden verwendet, um mit dem S3-Bucket zu interagieren?
+ Was ASOs wurde verwendet, um mit dem S3-Bucket zu interagieren?
Sie können einen S3-Bucket löschen und dann einen neuen Bucket mit demselben Namen erstellen. Da Detective den S3-Bucket-Namen verwendet, um den S3-Bucket zu identifizieren, behandelt er diese als eine einzelne S3-Bucket-Entität. Im Entitätsprofil ist die **Erstellungszeit** die erste Erstellungszeit. Die **Löschzeit** ist die letzte Löschzeit.
Um alle Erstellungs- und Löschereignisse anzuzeigen, legen Sie den Gültigkeitszeitraum so fest, dass er mit der Erstellungszeit beginnt und mit der Löschzeit endet. Zeigen Sie im Profilbereich für das **gesamte API-Aufrufvolumen** die Aktivitätsdetails für den Gültigkeitszeitraum an. Filtern Sie die API-Methoden zur Anzeige von `Create`- und `Delete`-Methoden. Siehe [Aktivitätsdetails für das gesamte API-Aufrufvolumen](profile-panel-drilldown-overall-api-volume.md).
**Benutzer-Agent**
Benutzeragenten, die in den Detective-Quelldaten vorhanden sind.
Für jeden Benutzeragenten beantwortet Detective Fragen wie die folgenden:
+ Welche API-Aufrufe hat der Benutzeragent verwendet?
+ Welche Benutzer und Rollen haben den Benutzeragenten verwendet?
+ Welche IP-Adressen haben den Benutzeragenten verwendet?
**EKS-Cluster**
EKS-Cluster, die in den Detective-Quelldaten vorhanden sind.
Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS-Auditprotokoll-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter [Optionale Datenquellen](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Für jeden EKS-Cluster beantwortet Detective Fragen wie die folgenden:
+ Welche Kubernetes-API-Aufrufe wurden in diesem Cluster ausgeführt?
+ Welche Kubernetes-Benutzer und Service-Konten (Subjekte) sind in diesem Cluster aktiv?
+ Welche Container wurden in diesem Cluster gestartet?
+ Welche Images werden verwendet, um Container in diesem Cluster zu starten?
**Kubernetes-Pod**
Kubernetes-Pods, die in den Detective-Quelldaten vorhanden sind.
Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS-Auditprotokoll-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter [Optionale Datenquellen](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Für jeden Pod beantwortet Detective Fragen wie die folgenden:
+ Welche Container-Images in diesem Pod sind in meinen Konten üblich?
+ Welche Aktivität wurde auf diesen Pod gerichtet?
+ Welche Container laufen in diesem Pod?
+ Sind Registrierungen von Containern in diesem Pod in meinen Konten üblich?
+ Welche anderen Container werden in den anderen Pods der Workload ausgeführt?
+ Gibt es ungewöhnliche Container in diesem Pod, die sich nicht in den anderen Pods des Workloads befinden?
**Container-Image**
Container-Images, die in den Detective-Quelldaten vorhanden sind.
Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS-Auditprotokoll-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter [Optionale Datenquellen](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Für jedes Container-Image beantwortet Detective Fragen wie die folgenden:
+ Welche anderen Images in meiner Umgebung nutzen dasselbe Repository oder dieselbe Registry wie dieses Image?
+ Wie viele Kopien dieses Images werden in meiner Umgebung ausgeführt?
**Kubernetes Betreff**
Kubernetes-Themen, die in den Detective-Quelldaten enthalten sind. Ein Kubernetes-Betreff ist ein Benutzer- oder Dienstkonto.
Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS-Auditprotokoll-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter [Optionale Datenquellen](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Zu jedem Thema beantwortet Detective Fragen wie die folgenden:
+ Welche IAM-Prinzipale haben sich für diesen Betreff authentifiziert?
+ Welche Erkenntnisse sind mit diesem Thema verbunden?
+ Welche IP-Adressen verwendet die Testperson?
# Quelldaten, die in einem Detective-Verhaltensdiagramm verwendet werden
Um ein Verhaltensdiagramm aufzufüllen, verwendet Amazon Detective Quelldaten aus dem Administratorkonto und den Mitgliedskonten des Verhaltensdiagramms.
Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen.
![\[Diagramm, das zeigt, wie ein Verhaltensdiagramm Daten aus dem Administratorkonto und den Mitgliedskonten sowie die Datenstruktur des Verhaltensdiagramms verwendet.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/diagram_graph_structure_overview.png)
Einzelheiten zur Datenstruktur des Verhaltensdiagramms finden Sie unter [Überblick über die Datenstruktur des Verhaltensdiagramms](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) im *Detective-Benutzerhandbuch*.
## Arten von Kerndatenquellen in Detective
Detective nimmt Daten aus diesen Arten von AWS Protokollen auf:
+ AWS CloudTrail Logs
+ Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle
+ Nimmt IPv4 sowohl IPv6 Datensätze als auch auf, jedoch keine von Elastic Fabric Adapters erstellten MAC-Datensätze.
+ Nimmt Protokolldatensätze auf, wenn sich der Wert des `log-status` Felds im `OK` Status befindet. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields) im Amazon VPC-Benutzerhandbuch.
+ Nimmt Flow-Logs auf, die von Amazon Elastic Compute Cloud-Instances erstellt wurden, die VPCs nur in diesen ausgeführt werden. Es werden keine anderen Ressourcen wie NAT-Gateways, RDS-Instances oder Fargate-Cluster verwendet.
+ Nimmt sowohl akzeptierten als auch abgelehnten Datenverkehr auf.
+ Für Konten, für die registriert ist GuardDuty, nimmt Detective auch Ergebnisse auf. GuardDuty
Detective verarbeitet CloudTrail und protokolliert VPC-Flow-Ereignisse mithilfe unabhängiger und duplizierter Streams von CloudTrail VPC-Flow-Logs. Diese Prozesse wirken sich nicht auf Ihre vorhandenen Konfigurationen und Ihre VPC-Flow-Log-Konfigurationen aus CloudTrail und verwenden diese auch nicht. Sie wirken sich auch nicht auf die Leistung dieser Dienste aus und erhöhen auch nicht Ihre Kosten.
## Arten optionaler Datenquellen in Detective
Detective bietet zusätzlich zu den drei Datenquellen, die im Detective-Kernpaket angeboten werden, optionale Quellpakete an (das Kernpaket umfasst AWS CloudTrail Protokolle, VPC Flow-Protokolle und GuardDuty Ergebnisse). Ein optionales Datenquellenpaket kann für ein Verhaltensdiagramm jederzeit gestartet oder gestoppt werden.
Detective bietet eine kostenlose 30-Tage-Testversion für alle Kern- und optionalen Quellpakete pro Region.
**Anmerkung**
Detective bewahrt alle von jedem Datenquellenpaket empfangenen Daten bis zu 1 Jahr lang auf.
Derzeit sind die folgenden optionalen Quellpakete verfügbar:
+ **EKS-Auditprotokolle**
Mit diesem optionalen Datenquellenpaket kann Detective detaillierte Informationen zu EKS-Clustern in Ihrer Umgebung aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Detective korreliert Benutzeraktivitäten mit CloudTrail AWS-Management-Ereignissen und Netzwerkaktivitäten mit Amazon VPC Flow Logs, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Details dazu finden Sie unter [Amazon EKS-Auditprotokolle](source-data-types-EKS.md).
+ **AWS Ergebnisse zur Sicherheit**
Mit diesem optionalen Datenquellenpaket kann Detective Daten aus Security Hub CSPM aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Details dazu finden Sie unter [**AWS Ergebnisse zur Sicherheit**](source-data-types-asff.md).
****Starten oder Stoppen einer optionalen Datenquelle:****
1. Öffnen Sie die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Klicken Sie im Navigationsbereich unter **Einstellungen** auf **Allgemein**.
1. Wählen Sie unter **Optionale Quellpakete** die Option **Update** aus. Wählen Sie dann die Datenquelle aus, die Sie aktivieren oder deaktivieren möchten, ein Feld für eine bereits aktivierte Datenquelle und wählen Sie **Aktualisieren**, um zu ändern, welche Datenquellenpakete aktiviert sind.
**Anmerkung**
Wenn Sie eine optionale Datenquelle beenden und dann neu starten, sehen Sie eine Lücke in den in einigen Entitätsprofilen angezeigten Daten. Diese Lücke wird in der Konsolenanzeige angezeigt und steht für den Zeitraum, in dem die Datenquelle gestoppt wurde. Wenn eine Datenquelle neu gestartet wird, nimmt Detective keine Daten rückwirkend auf.
# Amazon EKS-Auditprotokolle
Amazon EKS Audit Logs sind ein optionales Datenquellenpaket, das Ihrem Detective-Verhaltensdiagramm hinzugefügt werden kann. Sie können die verfügbaren optionalen Quellpakete und deren Status in Ihrem Konto auf der **Einstellungsseite** in der Konsole oder über die Detective-API einsehen.
Für diese Datenquelle steht eine kostenlose 30-Tage-Testversion zur Verfügung. Weitere Informationen hierzu finden Sie unter [Kostenlose Testversion für optionale Datenquellen](free-trial-overview.md#free-trial-datasource).
Durch die Aktivierung von Amazon EKS-Auditprotokollen kann Detective Ihrem Verhaltensdiagramm detaillierte Informationen über mit Amazon EKS erstellte Ressourcen hinzufügen. Diese Datenquelle erweitert die bereitgestellten Informationen zu den folgenden Entitätstypen: EKS-Cluster, Kubernetes-Pod, Container-Image und Kubernetes-Sujet.
Wenn Sie EKS-Audit-Logs als Datenquelle in Amazon aktiviert haben, können GuardDuty Sie außerdem Details zu den Ergebnissen von Kubernetes einsehen. GuardDuty Weitere Informationen zur Aktivierung dieser Datenquelle GuardDuty finden Sie unter [Kubernetes-Schutz in Amazon](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html). GuardDuty
**Anmerkung**
Diese Datenquelle ist standardmäßig für neue Verhaltensdiagramme aktiviert, die nach dem 26. Juli 2022 erstellt wurden. Für Verhaltensdiagramme, die vor dem 26. Juli 2022 erstellt wurden, muss sie manuell aktiviert werden.
****Hinzufügen oder Entfernen von Amazon EKS-Auditprotokollen als optionale Datenquelle:****
1. Öffnen Sie die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Klicken Sie im Navigationsbereich unter **Einstellungen** auf **Allgemein**.
1. Wählen Sie unter **Quellpakete** die Option **EKS-Auditprotokolle** aus, um diese Datenquelle zu aktivieren. Wenn sie bereits aktiviert ist, wählen Sie sie erneut aus, um die Aufnahme von **EKS-Auditprotokollen** in Ihr Verhaltensdiagramm zu beenden.
# **AWS Ergebnisse zur Sicherheit**
**AWS security findings** ist ein optionales Datenquellenpaket, das zu Ihrem Detective-Verhaltensdiagramm hinzugefügt werden kann.
Sie können die verfügbaren optionalen Quellpakete und deren Status in Ihrem Konto auf der Einstellungsseite in der Konsole oder über die Detective-API einsehen.
Für diese Datenquelle steht eine kostenlose 30-Tage-Testversion zur Verfügung. Weitere Informationen hierzu finden Sie unter [Kostenlose Testversion für optionale Datenquellen](free-trial-overview.md#free-trial-datasource).
Durch die Aktivierung von **AWS Sicherheitsergebnissen** kann Detective die Ergebnisse aus Security Hub CSPM, die von Security Hub aus vorgelagerten Diensten aggregiert wurden, in einem Standardergebnisformat, dem AWS Security Format (ASFF), verwenden, wodurch zeitaufwändige Datenkonvertierungen überflüssig werden. Anschließend werden aufgenommene Funde über Produkte hinweg korreliert, um die wichtigsten zu priorisieren.
****Hinzufügen oder Entfernen von AWS Sicherheitsergebnissen als optionale Datenquelle:****
**Anmerkung**
Die Datenquelle für AWS Sicherheitsergebnisse ist standardmäßig für neue Verhaltensdiagramme aktiviert, die nach dem 16. Mai 2023 erstellt wurden. Für Verhaltensdiagramme, die vor dem 16. Mai 2023 erstellt wurden, muss sie manuell aktiviert werden.
1. Öffnen Sie die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Klicken Sie im Navigationsbereich unter **Einstellungen** auf **Allgemein**.
1. Wählen Sie unter **Quellpakete** die AWS Sicherheitsergebnisse aus, um diese Datenquelle zu aktivieren. Wenn sie bereits aktiviert ist, wählen Sie sie erneut aus, um die Aufnahme von Erkenntnissen des AWS Security Finding Format (ASFF) in Ihr Verhaltensdiagramm zu beenden.
## Derzeit unterstützte Erkenntnisse
Detective nimmt alle ASFF-Ergebnisse in Security Hub CSPM von Diensten auf, die Amazon gehören oder. AWS
+ Eine Liste der unterstützten Service-Integrationen finden Sie unter [Verfügbare AWS-Serviceintegrationen](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html) im AWS Security Hub Benutzerhandbuch.
+ Eine Liste der unterstützten Ressourcen finden Sie unter [Ressourcen](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html) im AWS Security Hub -Benutzerhandbuch.
+ AWS Serviceergebnisse, bei denen der Compliance-Status nicht auf festgelegt ist, `FAILED` und regionsübergreifende aggregierte Ergebnisse werden nicht aufgenommen.
## Wie Detective Quelldaten aufnimmt und speichert
Wenn Detective aktiviert ist, beginnt es mit der Aufnahme von Quelldaten aus dem Administratorkonto für Verhaltensdiagramme. Sobald Mitgliedskonten zum Verhaltensdiagramm hinzugefügt werden, beginnt Detective auch, die Daten aus diesen Mitgliedskonten zu verwenden.
Die Quelldaten von Detective bestehen aus strukturierten und verarbeiteten Versionen der ursprünglichen Feeds. Um Detective Analytics zu unterstützen, speichert Detective Kopien der Detective-Quelldaten.
Der Detective-Ingest-Prozess speist Daten in Amazon Simple Storage Service (Amazon S3)-Buckets im Detective-Quelldatenspeicher. Sobald neue Quelldaten eintreffen, nehmen andere Detective-Komponenten die Daten auf und starten die Extraktions- und Analyseprozesse. Weitere Informationen finden Sie unter [So verwendet Detective Quelldaten, um ein Verhaltensdiagramm zu füllen](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) im *Detective-Benutzerhandbuch*.
## Wie Detective das Datenvolumenkontingent für Verhaltensdiagramme durchsetzt
Detective hat strenge Kontingente für das Datenvolumen, das in jedem Verhaltensdiagramm zulässig ist. Das Datenvolumen ist die Datenmenge pro Tag, die in das Detective-Verhaltensdiagramm fließt.
Detective setzt diese Kontingente durch, wenn ein Administratorkonto Detective aktiviert und wenn ein Mitgliedskonto eine Einladung annimmt, zu einem Verhaltensdiagramm beizutragen.
+ Wenn das Datenvolumen für ein Administratorkonto 10 TB pro Tag übersteigt, kann das Administratorkonto Detective nicht aktivieren.
+ Wenn das hinzugefügte Datenvolumen von einem Mitgliedskonto dazu führen würde, dass das Verhaltensdiagramm 10 TB pro Tag überschreitet, kann das Mitgliedskonto nicht aktiviert werden.
Das Datenvolumen für ein Verhaltensdiagramm kann im Laufe der Zeit auch auf natürliche Weise zunehmen. Detective überprüft täglich das Datenvolumen des Verhaltensdiagramms, um sicherzustellen, dass das Kontingent nicht überschritten wird.
Wenn sich das Datenvolumen des Verhaltensdiagramms dem Kontingent nähert, zeigt Detective eine Warnmeldung auf der Konsole an. Um zu verhindern, dass das Kontingent überschritten wird, können Sie Mitgliedskonten entfernen.
Wenn das Datenvolumen des Verhaltensdiagramms 10 TB pro Tag überschreitet, können Sie dem Verhaltensdiagramm kein neues Mitgliedskonto hinzufügen.
Wenn das Datenvolumen des Verhaltensdiagramms 15 TB pro Tag überschreitet, beendet Detective die Aufnahme von Daten in das Verhaltensdiagramm. Das Kontingent von 15 TB pro Tag spiegelt sowohl das normale Datenvolumen als auch Spitzenwerte beim Datenvolumen wider. Wenn dieses Kontingent erreicht ist, werden keine neuen Daten in das Verhaltensdiagramm aufgenommen, aber vorhandene Daten werden nicht entfernt. Sie können diese historischen Daten weiterhin für Untersuchungen verwenden. In der Konsole wird eine Meldung angezeigt, die darauf hinweist, dass die Datenaufnahme für das Verhaltensdiagramm unterbrochen wurde.
Wenn die Datenaufnahme unterbrochen wurde, müssen Sie damit arbeiten, sie wieder Support zu aktivieren. Versuchen Sie nach Möglichkeit, vor der Kontaktaufnahme Mitgliedskonten zu entfernen Support, um das Datenvolumen unter das Kontingent zu bringen. Dadurch ist es einfacher, die Datenaufnahme für das Verhaltensdiagramm wieder zu aktivieren.