Conceptos y terminología de Amazon Detective

La Cuenta de AWS que posee un gráfico de comportamiento y que lo usa para investigar.

La cuenta de administrador invitar a las cuentas de miembro a contribuir al gráfico de comportamiento con sus datos. Para obtener más información, consulte Administrar las cuentas de los miembros invitados en Detective.

Para el gráfico de comportamiento de la organización, la cuenta de administrador es la cuenta de administrador de Detective designada por la dirección de la organización. Para obtener más información, consulte Designación del Detective administrador de una organización. La cuenta de administrador de Detective puede habilitar cualquier cuenta de la organización como cuenta de miembro en el gráfico de comportamiento de la organización. Para obtener más información, consulte Administrar las cuentas de la organización como cuentas de miembros de Detectives.

Las cuentas de administrador también pueden ver el uso de datos del gráfico de comportamiento, y eliminar cuentas de miembro del gráfico de comportamiento.

Organización titulada a la que se le asigna un sistema autónomo. Este sistema autónomo es una red heterogénea o un conjunto de redes que utilizan políticas y lógicas de enrutamiento similares.

Conjunto de datos enlazado generado a partir de datos de origen entrantes que está asociado a uno o más Cuentas de AWS.

Cada gráfico de comportamiento utiliza la misma estructura de resultados, entidades y relaciones.

En Organizations, la cuenta de administrador delegado de un servicio puede administrar el uso de un servicio para la organización.

En Detective, la cuenta de administrador de Detective también es la cuenta de administrador delegado, a menos que la cuenta de administrador de Detective sea la cuenta de administración de la organización. La cuenta de administración de la organización no puede ser la cuenta de administrador delegado.

Detective permite la autodelegación. Una cuenta de administración de la organización puede delegar su propia cuenta como administrador delegado de Detective, pero esto solo se registraría o recordaría en el ámbito de Detective, y no en el de las organizaciones.

La cuenta designada por la cuenta de administración de la organización como cuenta de administrador para el gráfico de comportamiento de la organización en una región. Para obtener más información, consulte Designación del Detective administrador de una organización.

Detective recomienda que la cuenta de administración de la organización elija una cuenta que no sea la suya.

Si la cuenta no es la cuenta de administración de la organización, entonces la cuenta de administrador de Detective es también la cuenta de administrador delegado de Detective en Organizations.

Versiones estructuradas y procesadas de información de los siguientes tipos de fuentes:

Detective usa los datos de origen de Detective para rellenar el gráfico de comportamiento. Detective también almacena copias de los datos de origen de Detective para respaldar sus análisis.

Elemento extraído de los datos ingeridos.

Cada entidad tiene un tipo, que identifica al tipo de objeto al que representa. Algunos ejemplos de tipos de entidades son las direcciones IP, las EC2 instancias de Amazon y AWS usuarios.

Las entidades pueden ser AWS los recursos que usted administra o las direcciones IP externas que han interactuado con sus recursos.

Para cada entidad, los datos de origen también se utilizan para rellenar las propiedades de entidad. Los valores de las propiedades se pueden extraer directamente de los registros de origen, o se pueden agregar de varios registros.

Amazon ha detectado un problema de seguridad GuardDuty.

Conjunto de resultados, entidades y evidencias relacionados que pueden tener que ver con el mismo evento o problema de seguridad. Detective genera grupos de resultados basados en un modelo de machine learning incorporado.

Detective identifica pruebas adicionales relacionadas con un grupo de resultados basándose en los datos de su gráfico de comportamiento recopilados en los últimos 45 días. Estas evidencias se presentan como un resultado con valor de gravedad Informativa. Las evidencias proporcionan información de apoyo que pone de relieve una actividad inusual o un comportamiento desconocido que puedan resultar sospechosos si se observan dentro de un grupo de resultados. Un ejemplo de ello podrían ser las geolocalizaciones observadas recientemente o las API llamadas observadas durante el tiempo transcurrido desde el momento en que se produjo un hallazgo. En este momento, estos resultados solo se pueden ver en Detective y no se envían a Security Hub.

Una sola página que proporciona un resumen de la información sobre un resultado.

Una descripción general de resultado contiene una lista de las entidades implicadas en los resultados. Desde la lista, puede pasar al perfil de una entidad.

La descripción general de un resultado también contiene un panel de detalles que contiene los atributos del resultado.

Entidad que tiene conexiones hacia o desde un gran número de otras entidades durante un intervalo de tiempo. Por ejemplo, una EC2 instancia puede tener conexiones desde millones de direcciones IP. El número de conexiones supera el umbral que Detective puede admitir.

Cuando el rango temporal actual contiene un intervalo de tiempo de gran volumen, Detective lo notifica al usuario.

Para obtener más información, consulte Ver detalles de entidades de gran volumen en la Guía del usuario de Amazon Detective.

Proceso de clasificar una actividad sospechosa o de interés, determinar su alcance, identificar su origen o causa subyacente y, finalmente, determinar cómo proceder.

Un registro Cuenta de AWS que una cuenta de administrador invitó a aportar datos a un gráfico de comportamiento. En el gráfico de comportamiento de la organización, una cuenta de miembro puede ser una cuenta de organización que la cuenta de administrador de Detective ha habilitado como cuenta de miembro.

Las cuentas de miembro que estén invitadas pueden responder a la invitación del gráfico de comportamiento y eliminar su cuenta del gráfico de comportamiento. Para obtener más información, consulte Para cuentas de miembros: administración de las invitaciones y suscripciones a gráficos de comportamiento.

Las cuentas de organización no pueden cambiar su pertenencia al gráfico de comportamiento de la organización.

Todas las cuentas de miembro también pueden ver la información de uso de su cuenta en todos los gráficos de comportamiento a los que contribuyen con datos.

No tienen ningún otro acceso al gráfico de comportamiento.

Gráfico de comportamiento que pertenece a la cuenta de administrador de Detective. La cuenta de administración de la organización designa la cuenta de administrador de Detective. Para obtener más información, consulte Designación del Detective administrador de una organización.

En el gráfico de comportamiento de la organización, la cuenta de administrador de Detective controla si una cuenta de organización es una cuenta de miembro. Una cuenta de organización no se puede eliminar a sí misma del gráfico de comportamiento de la organización.

La cuenta de administrador de Detective también puede invitar a cuentas al gráfico de comportamiento de la organización.

Una sola página que proporciona una recopilación de visualizaciones de datos relacionadas con la actividad de una entidad.

En el caso de los resultados, los perfiles ayudan a los analistas a determinar si el resultado es realmente preocupante o si es solo un falso positivo.

Los perfiles proporcionan información que sirve para respaldar la investigación de un resultado o la búsqueda genérica de actividad sospechosa.

Una sola visualización de un perfil. Cada panel de perfil está diseñado para ayudar a responder una o varias preguntas específicas para ayudar al analista en una investigación.

Los paneles de perfil pueden contener pares de clave y valor, tablas, cronogramas, gráficos de barras o gráficos de geolocalización.

Actividad que se produce entre entidades individuales. Las relaciones también se extraen de los datos de origen entrantes.

Al igual que una entidad, una relación tiene un tipo que identifica los tipos de entidades implicadas y el sentido de la conexión. Un ejemplo de un tipo de relación es una dirección IP que se conecta a una EC2 instancia de Amazon.

Franja horaria que se utiliza para delimitar los datos que se muestran en los perfiles.

El rango temporal predeterminado de un resultado refleja la primera y la última vez que se observó la actividad sospechosa.

El rango temporal predeterminado de un perfil de entidad son las 24 horas anteriores.