Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Datos en un gráfico de comportamiento de un Detective
Amazon Detective permite llevar a cabo investigaciones utilizando los datos de un gráfico de comportamiento de Detective. En esta sección, puede obtener información sobre las fuentes de datos principales que se utilizan en un gráfico de comportamiento de un Detective y cómo el Detective utiliza los datos de origen para rellenarlo.
Un gráfico de comportamiento es un conjunto vinculado de datos generados a partir de los datos de origen de Detective que se ingieren de una o más cuentas de Amazon Web Services (AWS).
El gráfico de comportamiento utiliza los datos de origen para hacer lo siguiente.
+ Generar una imagen general de sus sistemas y usuarios, y de las interacciones entre ellos a lo largo del tiempo
+ Realizar análisis más detallados de cierta actividad para ayudarle a responder a las preguntas que surjan a medida que realiza las investigaciones
+ Correlacionar recopilaciones de resultados, entidades y pruebas que puedan estar relacionados con el mismo evento o problema de seguridad.
Tenga en cuenta que toda la actividad de extracción, modelado y análisis de datos del gráfico de comportamiento tiene lugar individualmente en cada gráfico de comportamiento.
Un gráfico de comportamiento contiene datos de una o varias cuentas. Cuando una cuenta habilita Detective, se convierte en la cuenta de administrador del gráfico de comportamiento y elige las cuentas de miembros para ese gráfico. Un gráfico de comportamiento puede contener hasta 1200 cuentas de miembros. Para obtener información sobre cómo una cuenta de administrador administra las cuentas de los miembros en un gráfico de comportamiento, consulte [Administrar cuentas en Detective](https://docs.aws.amazon.com/detective/latest/userguide/accounts.html).
**Topics**
+ [Cómo rellena el Detective un gráfico de comportamiento](behavior-graph-population-about.md)
+ [Periodo de formación para nuevos gráficos de comportamiento de los Detectives](detective-data-training-period.md)
+ [Descripción general de la estructura de datos del gráfico de comportamiento](graph-data-structure-overview.md)
+ [Datos fuente utilizados en un gráfico de comportamiento de un Detective](detective-source-data-about.md)
# Cómo rellena el Detective un gráfico de comportamiento
Para proporcionar los datos brutos para las investigaciones, Detective reúne datos de todo su entorno de AWS y de fuera de este, incluidos los siguientes:
+ Datos de registro, incluidos Amazon Virtual Private Cloud (Amazon VPC) y AWS CloudTrail
+ Hallazgos de Amazon GuardDuty
+ Hallazgos de AWS Security Hub CSPM
Para obtener más información sobre los datos de origen utilizados en un gráfico de comportamiento, consulte [Datos de origen utilizados en un gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
## Cómo procesa Detective los datos de origen
A medida que llegan nuevos datos, Detective utiliza una combinación de extracción y análisis para completar el gráfico de comportamiento.
![\[Diagrama que muestra el flujo de datos de origen entrantes a Detective, donde se utiliza para completar el gráfico de comportamiento.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)
## Extracción de Detective
La extracción se basa en reglas de mapeo configuradas. Básicamente, una regla de mapeo dice: “Siempre que se encuentre este fragmento de datos, usarlo de esta manera específica para actualizar los datos del gráfico de comportamiento”.
Por ejemplo, un registro de datos de origen de Detective entrante podría incluir una dirección IP. Si lo hace, Detective usa la información de ese registro para crear una nueva entidad de dirección IP o actualizar una entidad de dirección IP existente.
## Análisis de Detective
Los análisis son algoritmos más complejos que analizan los datos para proporcionar visibilidad de la actividad asociada a las entidades.
Por ejemplo, un tipo de análisis de Detective analiza la frecuencia con la que se produce la actividad mediante la ejecución de algoritmos. En el caso de las entidades que realizan llamadas a la API, el algoritmo busca las llamadas a la API que la entidad no usa normalmente. El algoritmo también busca picos considerables en el número de llamadas a la API.
Las conclusiones de los análisis respaldan las investigaciones al proporcionar respuestas a preguntas clave de los analistas, y se utilizan con frecuencia para completar los paneles de perfil de resultado y de entidad.
# Periodo de formación para nuevos gráficos de comportamiento de los Detectives
Una forma de investigar un resultado consiste en comparar la actividad registrada durante el rango temporal del resultado con la actividad que se produjo antes de que se detectara el resultado. Las actividades que no se han observado antes tienen más probabilidades de ser sospechosas.
Algunos paneles de perfil de Amazon Detective resaltan la actividad no observada durante el periodo de tiempo anterior al resultado. Varios paneles de perfil también muestran un valor de línea de base para mostrar la actividad promedio durante los 45 días anteriores al rango temporal. El tiempo de alcance es el resumen de la actividad de una entidad a lo largo del tiempo.
A medida que se extraen más datos al gráfico de comportamiento, Detective desarrolla una imagen más precisa de qué actividad es normal en su organización y qué actividad es inusual.
Sin embargo, para crear esta imagen, Detective necesita acceso a al menos dos semanas de datos. La madurez del análisis de Detective también aumenta con el número de cuentas que intervienen en el gráfico de comportamiento.
Las dos primeras semanas después de activar Detective se consideran un periodo de aprendizaje o entrenamiento. Durante este periodo, los paneles de perfil que comparan la actividad del rango temporal con la actividad anterior muestran un mensaje que indica que Detective se encuentra en periodo de aprendizaje.
Durante el período de prueba, el Detective recomienda que añada tantas cuentas de miembros como pueda al gráfico de comportamiento. Esto proporciona a Detective una reserva de datos de mayor tamaño, lo que le permite generar una imagen más precisa de la actividad normal de la organización.
# Descripción general de la estructura de datos del gráfico de comportamiento
La estructura de datos del gráfico de comportamiento define la estructura de los datos extraídos y analizados. También define cómo se asignan los datos de origen al gráfico de comportamiento.
## Tipos de elementos de la estructura de datos del gráfico de comportamiento
La estructura de datos del gráfico de comportamiento consta de los siguientes elementos de información:
****Entidad****
Una entidad representa un elemento extraído de los datos de origen de Detective.
Cada entidad tiene un tipo, que identifica el tipo de objeto al que representa. Algunos ejemplos de tipos de entidades son las direcciones IP, las instancias de Amazon EC2 y AWS los usuarios.
En cada entidad, los datos de origen también se utilizan para rellenar las propiedades de la entidad. Los valores de las propiedades pueden extraerse directamente de los registros de origen o agregarse en varios registros.
Algunas propiedades consisten en un único valor escalar o agregado. Por ejemplo, para una instancia de EC2, Detective rastrea el tipo de instancia y el número total de bytes procesados.
Las propiedades de las series temporales rastrean la actividad a lo largo del tiempo. Por ejemplo, en una instancia de EC2, Detective rastrea a lo largo del tiempo los puertos únicos que utilizó.
****Relaciones****
Una relación representa la actividad que se produce entre entidades individuales. Las relaciones también se extraen de los datos de origen de Detective.
Al igual que una entidad, una relación tiene un tipo que identifica los tipos de entidades implicadas y el sentido de la conexión. Un ejemplo de tipo de relación es una dirección IP que se conecta a instancias de EC2.
Para cada relación individual, como una dirección IP específica que se conecta a una instancia específica, Detective rastrea las apariciones a lo largo del tiempo.
## Tipos de entidades de la estructura de datos del gráfico de comportamiento
La estructura de datos del gráfico de comportamiento consta de tipos de entidades y relaciones que hacen lo siguiente:
+ Rastrear los servidores, las direcciones IP y los agentes de usuario utilizados
+ Realice un seguimiento de los AWS usuarios, las funciones y las cuentas que se utilizan
+ Rastrear las conexiones de red y las autorizaciones que se producen en su entorno de AWS
La estructura de datos del gráfico de comportamiento contiene los siguientes tipos de entidad:
**AWS cuenta**
AWS cuentas que están presentes en los datos de origen del Detective.
Para cada cuenta, Detective responde a varias preguntas:
+ ¿Qué llamadas a la API ha utilizado la cuenta?
+ ¿Qué agentes de usuario ha utilizado la cuenta?
+ ¿Qué organizaciones del sistema autónomo (ASOs) ha utilizado la cuenta?
+ ¿En qué ubicaciones geográficas ha estado activa la cuenta?
**AWS rol**
AWS funciones que están presentes en los datos de origen del Detective.
Para cada rol, Detective responde a varias preguntas:
+ ¿Qué llamadas a la API ha utilizado el rol?
+ ¿Qué agentes de usuario ha utilizado el rol?
+ ¿Qué función ASOs ha utilizado?
+ ¿En qué ubicaciones geográficas ha estado activo el rol?
+ ¿Qué recursos han asumido este rol?
+ ¿Qué roles ha asumido este rol?
+ ¿En qué sesiones de rol ha intervenido este rol?
**AWS usuario**
AWS usuarios que están presentes en los datos de origen del Detective.
Para cada usuario, Detective responde a varias preguntas:
+ ¿Qué llamadas a la API ha utilizado el usuario?
+ ¿Qué agentes de usuario ha utilizado el usuario?
+ ¿En qué ubicaciones geográficas ha estado activo el usuario?
+ ¿Qué roles ha asumido este usuario?
+ ¿En qué sesiones de rol ha intervenido este usuario?
**Usuario federado**
Instancias de un usuario federado. Algunos ejemplos de usuarios federados incluyen los siguientes:
+ Una identidad que inicia sesión con SAML (Security Assertion Markup Language)
+ Una identidad que inicia sesión mediante la federación de identidades web
Para cada usuario federado, Detective responde a las siguientes preguntas:
+ ¿Con qué proveedor de identidad se autenticó el usuario federado?
+ ¿Cuál era la audiencia del usuario federado? La audiencia identifica la aplicación que solicitó el token de identidad web del usuario federado.
+ ¿En qué ubicaciones geográficas ha estado activo el usuario federado?
+ ¿Qué agentes de usuario ha utilizado el usuario federado?
+ ¿Qué ASOs ha utilizado el usuario federado?
+ ¿Qué roles ha asumido este usuario federado?
+ ¿En qué sesiones de rol ha intervenido este usuario federado?
**Instancia de EC2**
Instancias de EC2 que están presentes en los datos de origen de Detective.de
Para las instancias de EC2, Detective responde a varias preguntas:
+ ¿Qué direcciones IP se han comunicado con la instancia?
+ ¿Qué puertos se han utilizado para comunicarse con la instancia?
+ ¿Qué volumen de datos se ha enviado a y desde la instancia?
+ ¿Qué VPC contiene la instancia?
+ ¿Qué llamadas a la API ha utilizado la instancia de EC2?
+ ¿Qué agentes de usuario ha utilizado la instancia de EC2?
+ ¿Qué ASO ha utilizado la instancia de EC2?
+ ¿En qué ubicaciones geográficas ha estado activa la instancia de EC2?
+ ¿Qué roles ha asumido la instancia de EC2?
**Sesión de rol**
Instancias de un recurso que asume un rol. Cada sesión de rol se identifica mediante el identificador de rol y un nombre de sesión.
Para cada rol, Detective responde a varias preguntas:
+ ¿Qué recursos intervinieron en esta sesión de rol? En otras palabras, ¿qué rol se asumió y qué recurso lo asumió?
Tenga en cuenta que para asumir roles entre cuentas, Detective no puede identificar al recurso que asumió el rol.
+ ¿Qué llamadas a la API ha utilizado la sesión de rol?
+ ¿Qué agentes de usuario ha utilizado la sesión de rol?
+ ¿Qué ASOs ha utilizado la sesión de rol?
+ ¿En qué ubicaciones geográficas ha estado activa la sesión de rol?
+ ¿Qué usuario o rol inició esta sesión de rol?
+ ¿Qué sesiones de rol comenzaron a partir de esta sesión de rol?
**Resultado**
Hallazgos descubiertos por Amazon GuardDuty que se incluyen en los datos fuente del Detective.
Para cada resultado, Detective rastrea el tipo de resultado, el origen y la franja horaria de la actividad del resultado.
También almacena información específica del resultado, como los roles o las direcciones IP que intervienen en la actividad detectada.
**Dirección IP**
Direcciones IP que están presentes en los datos de origen de Detective.
Para cada dirección IP, Detective responde a varias preguntas:
+ ¿Qué llamadas a la API ha utilizado la dirección?
+ ¿Qué puertos ha utilizado la dirección?
+ ¿Qué usuarios y agentes de usuario han utilizado la dirección IP?
+ ¿En qué ubicaciones geográficas ha estado activa la dirección IP?
+ ¿A qué instancias de EC2 se ha asignado esta dirección IP y con cuáles se ha comunicado?
**Bucket de S3**
Buckets de S3 que se encuentran en los datos de origen de Detective.
Para cada bucket de S3, Detective responde a estas preguntas:
+ ¿Qué entidades principales interactuaron con el bucket de S3?
+ ¿Qué llamadas a la API se realizaron al bucket de S3?
+ ¿Desde qué ubicaciones geográficas realizaban las entidades principales llamadas a la API al bucket de S3?
+ ¿Qué agentes de usuario se utilizaron para interactuar con el bucket de S3?
+ ¿Qué ASOs se utilizó para interactuar con el bucket S3?
Puede eliminar un bucket de S3 y, a continuación, crear uno nuevo con el mismo nombre. Como Detective usa el nombre del bucket de S3 para identificar el bucket de S3, los trata como una única entidad de bucket de S3. En el perfil de entidad, la **Hora de creación** es la primera hora de creación. La **Hora de eliminación** es la hora de eliminación más reciente.
Para ver todos los eventos de creación y eliminación, defina el rango temporal para que comience con la hora de creación y finalice con la hora de eliminación. En el panel de perfil **Volumen general de llamadas a la API**, vea los detalles de actividad correspondientes al rango temporal. Filtre los métodos de API para mostrar los métodos `Create` y `Delete`. Consulte [Detalles de actividad de Volumen total de llamadas a la API](profile-panel-drilldown-overall-api-volume.md).
**Agente de usuario**
Agentes de usuario que están presentes en los datos de origen de Detective.
Para cada agente de usuario, Detective responde preguntas como las siguientes:
+ ¿Qué llamadas a la API ha utilizado el agente de usuario?
+ ¿Qué usuarios y roles han utilizado el agente de usuario?
+ ¿Qué direcciones IP han utilizado el agente de usuario?
**Clúster de EKS**
Clústeres de EKS que están presentes en los datos de origen de Detective.
Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte [Orígenes de datos opcionales](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional).
Para cada clúster de EKS, Detective responde a preguntas como las siguientes:
+ ¿Qué llamadas a la API de Kubernetes se han ejecutado en este clúster?
+ ¿Qué usuarios y cuentas de servicio (sujetos) de Kubernetes están activos en este clúster?
+ ¿Qué contenedores se han lanzado en este clúster?
+ ¿Qué imágenes se utilizan para lanzar contenedores en este clúster?
**Pod de Kubernetes**
Pods de Kubernetes que están presentes en los datos de origen de Detective.
Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte [Orígenes de datos opcionales](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional).
Para cada pod, Detective responde a preguntas como las siguientes:
+ ¿Qué imágenes de contenedor de este pod son comunes en mis cuentas?
+ ¿Qué actividad se ha dirigido a este pod?
+ ¿Qué contenedores se ejecutan en este pod?
+ ¿Son habituales en mis cuentas los registros de contenedor de este pod?
+ ¿Qué otros contenedores se ejecutan en los otros pods de la carga de trabajo?
+ ¿Hay contenedores anómalos en este pod que no estén en los otros pods de la carga de trabajo?
**Imagen de contenedor**
Imágenes de contenedor que están presentes en los datos de origen de Detective.
Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte [Orígenes de datos opcionales](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional).
Para cada imagen de contenedor, Detective responde preguntas como las siguientes:
+ ¿Qué otras imágenes de mi entorno comparten el mismo repositorio o registro que esta imagen?
+ ¿Cuántas copias de esta imagen se están ejecutando en mi entorno?
**Sujeto de Kubernetes**
Sujetos de Kubernetes que están presentes en los datos de origen de Detective. Un sujeto de Kubernetes es una cuenta de usuario o de servicio.
Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte [Orígenes de datos opcionales](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional).
Para cada sujeto, Detective responde preguntas como las siguientes:
+ ¿Qué entidades principales de IAM se han autenticado como este sujeto?
+ ¿Qué resultados están asociados a este sujeto?
+ ¿Qué direcciones IP utiliza el sujeto?
# Datos fuente utilizados en un gráfico de comportamiento de un Detective
Para rellenar un gráfico de comportamiento, Amazon Detective utiliza datos de origen de la cuenta de administrador del gráfico de comportamiento y de las cuentas de miembro.
Con Detective, puede acceder a datos de eventos históricos de hasta un año de antigüedad. Estos datos están disponibles a través de un conjunto de visualizaciones que muestran los cambios en el tipo y el volumen de actividad durante un intervalo de hora seleccionado. El Detective relaciona estos cambios con los GuardDuty hallazgos.
![\[Diagrama que muestra cómo un gráfico de comportamiento usa los datos de la cuenta de administrador y de las cuentas de miembro, y utiliza la estructura de datos del gráfico de comportamiento.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/diagram_graph_structure_overview.png)
Para obtener más información sobre la estructura de datos del gráfico de comportamiento, consulte [Descripción general de la estructura de datos del gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) en la *Guía del usuario de Detective*.
## Tipos de orígenes de datos principales en Detective
El Detective ingiere datos de estos tipos de AWS registros:
+ AWS CloudTrail registros
+ Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)
+ Ingiere ambos IPv4 IPv6 registros, pero no los registros MAC producidos por los adaptadores de Elastic Fabric.
+ Ingesta los registros de registro cuando el valor del `log-status` campo está en `OK` estado. Para obtener más información, consulte [Registros de registro de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields) en la Guía del usuario de Amazon VPC.
+ Ingiere los registros de flujo producidos por las instancias de Amazon Elastic Compute Cloud que se ejecutan VPCs únicamente en esas instancias. No se utilizan otros recursos, como las puertas de enlace NAT, las instancias de RDS o los clústeres de Fargate.
+ Ingiere el tráfico aceptado y el rechazado.
+ En el caso de las cuentas en las que están inscritas GuardDuty, Detective también ingiere GuardDuty los hallazgos.
El Detective consume CloudTrail y registra los eventos de flujo de VPC mediante flujos independientes y duplicados de registros de flujo de CloudTrail VPC. Estos procesos no afectan ni utilizan las configuraciones de registro de flujo existentes CloudTrail y de VPC. Tampoco afectan al rendimiento de estos servicios ni aumentan sus costos.
## Tipos de orígenes de datos opcionales en Detective
Detective ofrece paquetes fuente opcionales además de las tres fuentes de datos que se ofrecen en el paquete principal Detective (el paquete principal incluye AWS CloudTrail registros, registros de flujo de VPC y GuardDuty hallazgos). Se puede iniciar o detener un paquete de orígenes de datos opcional para un determinado gráfico de comportamiento en cualquier momento.
Detective ofrece una prueba gratuita de 30 días para todos los paquetes de orígenes básicos y opcionales por región.
**nota**
Detective retiene todos los datos recibidos de cada paquete de orígenes de datos durante un máximo de 1 año.
Actualmente están disponibles los siguientes paquetes de orígenes opcionales:
+ **Registros de auditoría de EKS**
Este paquete de orígenes de datos opcionales permite a Detective ingerir información detallada sobre los clústeres de EKS de su entorno, y añade esos datos a su gráfico de comportamiento. Detective correlaciona las actividades de los usuarios con los eventos de CloudTrail administración de AWS y la actividad de la red con los registros de flujo de Amazon VPC sin necesidad de habilitar ni almacenar estos registros manualmente. Para obtener más información, consulte [Registros de auditoría de Amazon EKS](source-data-types-EKS.md).
+ **AWS hallazgos de seguridad**
Este paquete de fuente de datos opcional permite al Detective ingerir datos de Security Hub CSPM y añadirlos a su gráfico de comportamiento. Para obtener más información, consulte [**AWS hallazgos de seguridad**](source-data-types-asff.md).
****Iniciar o detener un origen de datos opcional:****
1. Abre la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. En el panel de navegación, en **Configuración**, elija **General**.
1. En **Paquetes de orígenes opcionales**, seleccione **Actualizar**. A continuación, seleccione el origen de datos que desea habilitar, o anule la sección de la casilla de un origen de datos ya habilitado y elija **Actualizar** para cambiar los paquetes de orígenes de datos que están habilitados.
**nota**
Si detiene y luego reinicia un origen de datos opcional, verá una brecha en los datos que se muestran en algunos perfiles de entidad. Esta brecha aparecerá en la pantalla de la consola y representará el periodo de tiempo durante el cual se detuvo el origen de datos. Cuando se reinicia un origen de datos, Detective no ingiere datos con carácter retroactivo.
# Registros de auditoría de Amazon EKS
Los registros de auditoría de Amazon EKS son un paquete de orígenes de datos opcionales que se puede agregar a su gráfico de comportamiento de Detective. Puede ver los paquetes de orígenes opcionales disponibles y su estado en su cuenta desde la página **Configuración** de la consola o a través de la API de Detective.
Se ofrece una prueba gratuita de 30 días para este origen de datos. Para obtener más información, consulte [Versión de prueba gratuita para orígenes de datos opcionales](free-trial-overview.md#free-trial-datasource).
Al habilitar los registros de auditoría de Amazon EKS, Detective puede añadir información detallada sobre los recursos creados con Amazon EKS a su gráfico de comportamiento. Este origen de datos mejora la información proporcionada sobre los siguientes tipos de entidades: clústeres de EKS, pods de Kubernetes, imágenes de contenedor y sujetos de Kubernetes.
Además, si has activado los registros de auditoría de EKS como fuente de datos en Amazon, GuardDuty podrás consultar los detalles de las conclusiones de Kubernetes. GuardDuty Para obtener más información sobre cómo habilitar esta fuente de datos, GuardDuty consulte Protección de [Kubernetes en Amazon](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html). GuardDuty
**nota**
Este origen de datos está habilitado de forma predeterminada para los gráficos de comportamiento nuevos creados después del 26 de julio de 2022. Para los gráficos de comportamiento creados antes del 26 de julio de 2022, deberá habilitarse manualmente.
****Añadir o eliminar registros de auditoría de Amazon EKS como orígenes de datos opcionales:****
1. Abre la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. En el panel de navegación, en **Configuración**, elija **General**.
1. En **Paquetes de origen**, seleccione **Registros de auditoría de EKS** para habilitar este origen de datos. Si ya está habilitada, selecciónela de nuevo para detener la ingesta de **Registros de auditoría de EKS** en su gráfico de comportamiento.
# **AWS hallazgos de seguridad**
**AWS security findings** es un paquete de fuentes de datos opcional que se puede añadir al gráfico de comportamiento de un Detective.
Puede ver los paquetes de orígenes opcionales disponibles y su estado en su cuenta desde la página Configuración de la consola o a través de la API de Detective.
Se ofrece una prueba gratuita de 30 días para este origen de datos. Para obtener más información, consulte [Versión de prueba gratuita para orígenes de datos opcionales](free-trial-overview.md#free-trial-datasource).
Al habilitar **los hallazgos de AWS seguridad**, Detective puede utilizar los hallazgos del Security Hub (CSPM) agregados por el Security Hub de los servicios iniciales en un formato de hallazgos estándar denominado AWS Security Format (ASFF), lo que elimina la necesidad de realizar esfuerzos de conversión de datos que consumen mucho tiempo. A continuación, correlaciona los resultados ingeridos en los distintos productos para priorizar los más importantes.
****Añadir o eliminar los datos de AWS seguridad como fuente de datos opcional:****
**nota**
La fuente de datos sobre los hallazgos de AWS seguridad está habilitada de forma predeterminada para los nuevos gráficos de comportamiento creados después del 16 de mayo de 2023. En el caso de los gráficos de comportamiento creados antes del 16 de mayo de 2023, debe habilitarse manualmente.
1. Abre la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. En el panel de navegación, en **Configuración**, elija **General**.
1. En **Paquetes fuente**, seleccione los resultados AWS de seguridad para habilitar esta fuente de datos. Si ya está habilitado, selecciónelo de nuevo para detener la ingesta de resultados con el formato ASFF (Formatos de resultados de seguridad de AWS) en su gráfico de comportamiento.
## Resultados admitidos actualmente
Detective ingiere todos los hallazgos de ASFF en Security Hub CSPM de servicios que son propiedad de Amazon o. AWS
+ Para ver la lista de integraciones de servicios compatibles, consulte las integraciones de [servicios de AWS disponibles](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html) en la Guía del AWS Security Hub usuario.
+ Para ver la lista de recursos admitidos, consulte [Recursos](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html) en la Guía del usuario de AWS Security Hub .
+ AWS No se recopilan las conclusiones de servicios cuyo estado de conformidad no esté `FAILED` establecido ni las conclusiones agregadas entre regiones.
## Cómo Detective ingiere y almacena datos de origen
Cuando Detective está habilitado, comienza a ingerir datos de origen de la cuenta de administrador del gráfico de comportamiento. A medida que se añaden cuentas de miembro al gráfico de comportamiento, Detective también comienza a usar los datos de dichas cuentas de miembro.
Los datos de origen de Detective consisten en versiones estructuradas y procesadas de las fuentes originales. Para respaldar el análisis de Detective, Detective almacena copias de los datos de origen de Detective.
El proceso de ingesta de Detective alimenta datos en buckets de Amazon Simple Storage Service (Amazon S3) en el almacén de datos de origen de Detective. A medida que llegan nuevos datos de origen, otros componentes de Detective recogen los datos e inician los procesos de extracción y análisis. Para obtener más información, consulte [Cómo Detective usa los datos de origen para rellenar un gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) en la *Guía del usuario de Detective*.
## Cómo aplica Detective la cuota de volumen de datos a los gráficos de comportamiento
Detective aplica cuotas estrictas en cuanto al volumen de datos que permite en cada gráfico de comportamiento. El volumen de datos es la cantidad de datos diarios que fluyen al gráfico de comportamiento de Detective.
Detective aplica estas cuotas cuando una cuenta de administrador habilita Detective, y cuando una cuenta de miembro acepta una invitación para contribuir a un gráfico de comportamiento.
+ Si el volumen de datos de una cuenta de administrador supera los 10 TB diarios, la cuenta de administrador no podrá habilitar Detective.
+ Si el volumen de datos agregado de una cuenta de miembro hace que el gráfico de comportamiento supere los 10 TB diarios, la cuenta de miembro no se podrá habilitar.
El volumen de datos de un gráfico de comportamiento también puede aumentar de forma natural a lo largo del tiempo. Detective comprueba el volumen de datos del gráfico de comportamiento todos los días para asegurarse de que no supere la cuota.
Si el volumen de datos del gráfico de comportamiento se aproxima a la cuota, Detective muestra un mensaje de advertencia en la consola. Para evitar superar la cuota, puede eliminar cuentas de miembro.
Si el volumen de datos de un gráfico de comportamiento supera los 10 TB diarios, no podrá añadir nuevas cuentas de miembro al gráfico de comportamiento.
Si el volumen de datos del gráfico de comportamiento supera los 15 TB diarios, Detective detiene la ingesta de datos al gráfico de comportamiento. La cuota de 15 TB diarios refleja tanto el volumen de datos normal como los picos en el volumen de datos. Cuando se alcanza esta cuota, no se ingieren datos nuevos al gráfico de comportamiento, pero tampoco se eliminan los datos existentes. Puede seguir usando esos datos históricos con fines de investigación. La consola muestra un mensaje para indicar que se ha suspendido la ingesta de datos para el gráfico de comportamiento.
Si se suspende la ingesta de datos, debe trabajar Soporte para volver a habilitarla. Si es posible, antes de contactar Soporte, intenta eliminar las cuentas de los miembros para que el volumen de datos esté por debajo de la cuota. Esto facilita la rehabilitación de la ingesta de datos para el gráfico de comportamiento.