Aktivitätsdetails für das gesamte API-Aufrufvolumen - Amazon Detective
Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2 Instanzen, S3-Buckets)Inhalt der Aktivitätsdetails (IP-Adressen)Sortierung der AktivitätsdetailsFilterung der AktivitätsdetailsAuswählen des Zeitbereichs für die AktivitätsdetailsAbfragen von unformatierten Protokollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivitätsdetails für das gesamte API-Aufrufvolumen

Die Aktivitätsdetails für das API-Aufrufvolumen insgesamt zeigen die API-Aufrufe an, die in einem ausgewählten Zeitraum ausgegeben wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie Details für den Zeitbereich anzeigen aus.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API-Aufrufe zu speichern und anzuzeigen. Dieses Datum ist auf der Zeitleiste des Profilbereichs hervorgehoben. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname Unbekannter Dienst.

Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2 Instanzen, S3-Buckets)

Für IAM-Benutzer, IAM-Rollen, Konten, Rollensitzungen, EC2 Instanzen und S3-Buckets enthalten die Aktivitätsdetails die folgenden Informationen:

  • Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden.

    Bei S3-Buckets spiegeln die Informationen API-Aufrufe wider, die an den S3-Bucket getätigt wurden.

    Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

  • Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe. Auf der Registerkarte Beobachtete IP-Adressen wird auch der Standort jeder IP-Adresse angezeigt.

  • Jeder Eintrag enthält Informationen darüber, wer die Aufrufe getätigt hat. Bei Konten identifizieren die Aktivitätsdetails die Benutzer oder Rollen. Bei Rollen identifizieren die Aktivitätsdetails die Rollensitzungen. Für Benutzer und Rollensitzungen identifizieren die Aktivitätsdetails die Zugriffsschlüsselkennungen (). AKIDs

    Beachten Sie, dass ab dem 14. Juli 2021 in den Aktivitätsdetails für Kontoprofile Benutzer oder Rollen statt AKIDs Bei Rollenprofilen werden in den Aktivitätsdetails statt Rollensitzungen angezeigt AKIDs. Bei Aktivitäten, die vor dem 14. Juli 2021 stattfinden, wird der Aufrufer als Unbekannte Ressource aufgeführt.

Die Aktivitätsdetails enthalten die folgenden Tabs:

Beobachtete IP-Adressen

Zeigt zunächst die Liste der IP-Adressen an, die für API-Aufrufe verwendet werden.

Sie können jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können dann jeden API-Aufruf erweitern, um die Liste der Aufrufer von dieser IP-Adresse anzuzeigen. Je nach Profil kann es sich bei dem Aufrufer um einen Benutzer, eine Rolle, eine Rollensitzung oder eine AKID handeln.

Ansicht der Registerkarte „Beobachtete IP-Adressen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie von IP-Adressen, API-Aufrufen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.
API-Methode nach Dienst

Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können jede API-Methode erweitern, um die Liste der IP-Adressen anzuzeigen, von denen aus die Aufrufe getätigt wurden.

Anschließend können Sie jede IP-Adresse erweitern, um die Liste der Personen anzuzeigen AKIDs , die diesen API-Aufruf von dieser IP-Adresse aus getätigt haben.

Ansicht der API-Methode nach Service im Bereich „Gesamtes API-Aufrufvolumen“ auf der Registerkarte „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie der API-Aufrufe, IP-Adressen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.
Ressourcen- oder Zugriffsschlüssel-ID

Zeigt zunächst die Liste der Benutzer, Rollen und Rollensitzungen an, AKIDs die zum Auslösen von API-Aufrufen verwendet wurden.

Sie können jeden Aufrufer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen der Aufrufer API-Aufrufe ausgegeben hat.

Sie können dann jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von diesem Aufrufer von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der erweitert wurde AKIDs, um die Hierarchie von IP-Adressen und API-Aufrufen gruppiert nach Diensten anzuzeigen.

Inhalt der Aktivitätsdetails (IP-Adressen)

Bei IP-Adressen enthalten die Aktivitätsdetails die folgenden Informationen:

  • Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

  • Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

Ressource

Zeigt zunächst die Liste der Ressourcen an, die API-Aufrufe von der IP-Adresse aus ausgegeben haben.

Für jede Ressource enthält die Liste den Namen, den Typ und das AWS -Konto der Ressource.

Sie können jede Ressource erweitern, um die Liste der API-Aufrufe anzuzeigen, die die Ressource über die IP-Adresse ausgegeben hat. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Anzeige der Aktivitätsdetails für eine IP-Adresse im Profilbereich Gesamtes API-Aufrufvolumen auf der Registerkarte Ressourcen.
API-Methode nach Dienst

Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können jeden API-Aufruf erweitern, um die Liste der Ressourcen anzuzeigen, die im ausgewählten Zeitraum den API-Aufruf von der IP-Adresse aus getätigt haben.

Anzeige der Registerkarte API-Methode nach Diensten der Aktivitätsdetails im Profilbereich Gesamtes API-Aufrufvolumen für eine IP-Adresse.

Sortierung der Aktivitätsdetails

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

Filterung der Aktivitätsdetails

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

So fügen Sie einen Filter hinzu

  1. Wählen Sie das Filterfeld.

  2. Wählen Sie unter Eigenschaften die Eigenschaft aus, die für die Filterung verwendet werden soll.

  3. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach einer API-Methode filtern und nach Instance filtern, enthalten die Ergebnisse alle API-Operationen, deren Name das Wort Instance enthält. Also sowohl ListInstanceAssociations als auch UpdateInstanceInformation würden passen.

    Für Dienstnamen, API-Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

    Wählen Sie für Common API-Teilstrings die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. List, Create oder Delete. Jeder API-Methodenname beginnt mit dem Operationstyp.

    Für CIDR-Muster können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

  4. Wählen Sie eine boolesche Option Resource oder Service: Enthält oder! : Enthält nicht; oder oder IP address = API method Entspricht oder! : Entspricht nicht den eingestellten Filtern.

    Liste der verfügbaren Filter für den Filter mit den Aktivitätsdetails.

Um einen Filter zu entfernen, wählen Sie das Symbol x in der rechten oberen Ecke.

Um alle Filter zu löschen, wählen Sie Filter löschen aus.

Auswählen des Zeitbereichs für die Aktivitätsdetails

Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

So ändern Sie einen Zeitraum für die Aktivitätsdetails

  1. Wählen Sie Bearbeiten aus.

  2. Wählen Sie unter Zeitfenster bearbeiten die zu verwendende Start- und Endzeit aus.

    Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie Auf Standardzeit für den Geltungsbereich festlegen.

  3. Wählen Sie Zeitfenster aktualisieren.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

Hervorgehobenes Zeitfenster für den Profilbereich „Gesamtes API-Aufrufvolumen“

Abfragen von unformatierten Protokollen

Amazon Detective ist in Amazon Security Lake integriert, was bedeutet, dass Sie die von Security Lake gespeicherten Rohprotokolldaten abfragen und abrufen können. Weitere Informationen zu dieser Integration finden Sie unter Integration von Amazon Detective mit Amazon Security Lake.

Mithilfe dieser Integration können Sie Protokolle und Ereignisse aus den folgenden Quellen sammeln und abfragen, die Security Lake nativ unterstützt.

  • AWS CloudTrail Verwaltungsereignisse Version 1.0 und höher

  • Amazon Virtual Private Cloud (Amazon VPC) Flow Logs Version 1.0 und höher

  • Amazon Elastic Kubernetes Service (Amazon EKS) Auditprotokoll, Version 2.0

Anmerkung

Für die Abfrage von Rohdatenprotokollen in Detective fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere AWS Services, einschließlich Amazon Athena, fallen weiterhin zu den veröffentlichten Tarifen an.

So fragen Sie Rohprotokolle ab

  1. Wählen Sie Details für den Zeitbereich anzeigen aus.

  2. Von hier aus können Sie mit der Abfrage von Rohprotokollen beginnen.

  3. In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

    In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die Abfrageanfrage stornieren, Ergebnisse in Amazon Athena anzeigen und Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen.

Wenn Sie Protokolle in Detective sehen, die Abfrage aber keine Ergebnisse lieferte, kann das aus den folgenden Gründen passieren.

  • Rohprotokolle werden möglicherweise in Detective verfügbar, bevor sie in den Security-Lake-Protokolltabellen angezeigt werden. Bitte versuchen Sie es später erneut.

  • In Security Lake fehlen möglicherweise Protokolle. Wenn Sie über einen längeren Zeitraum gewartet haben, deutet dies darauf hin, dass Protokolle in Security Lake fehlen. Wenden Sie sich an Ihren Security-Lake-Administrator, um das Problem zu beheben.