Detalles de actividad de Volumen total de llamadas a la API - Amazon Detective
Contenido de los detalles de la actividad (usuarios, funciones, cuentas, sesiones de funciones, EC2 instancias, segmentos de S3)Contenido de los detalles de actividad (direcciones IP)Ordenar los detalles de actividadFiltrar los detalles de actividadSelección del intervalo de tiempo para los detalles de actividadConsulta de registros sin procesar

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detalles de actividad de Volumen total de llamadas a la API

Los detalles de actividad de Volumen total de llamadas a la API muestran las llamadas a la API que se emitieron durante un intervalo de tiempo seleccionado.

Para ver los detalles de un único intervalo de tiempo, elija el intervalo de tiempo en el gráfico.

Para ver los detalles de actividad para el rango temporal actual, elija Mostrar detalles del rango temporal.

Tenga en cuenta que Detective comenzó a almacenar y mostrar el nombre del servicio para las llamadas a la API el 14 de julio de 2021. Esa fecha aparece resaltada en el cronograma del panel de perfil. En el caso de las actividades que se produzcan antes de esa fecha, el nombre del servicio es Servicio desconocido.

Contenido de los detalles de la actividad (usuarios, funciones, cuentas, sesiones de funciones, EC2 instancias, segmentos de S3)

Para los usuarios de IAM, las funciones de IAM, las cuentas, las sesiones de roles, las EC2 instancias y los segmentos de S3, los detalles de la actividad contienen la siguiente información:

  • Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado.

    En el caso de los buckets de S3, la información refleja las llamadas a la API que se realizaron al bucket de S3.

    Las llamadas a la API se agrupan por los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

  • Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas. La pestaña Direcciones IP observadas también muestra la ubicación de cada dirección IP.

  • Cada entrada muestra información sobre quién realizó las llamadas. En el caso de las cuentas, los detalles de actividad identifican a los usuarios o roles. En el caso de los roles, los detalles de actividad identifican las sesiones de los roles. En el caso de los usuarios y las sesiones de roles, los detalles de la actividad identifican los identificadores de las claves de acceso (). AKIDs

    Tenga en cuenta que, a partir del 14 de julio de 2021, en el caso de los perfiles de cuenta, los detalles de la actividad muestran los usuarios o los roles en lugar de AKIDs. En el caso de los perfiles de rol, los detalles de la actividad muestran las sesiones de rol en lugar de AKIDs. En el caso de la actividad que se produjo antes del 14 de julio de 2021, el llamante aparece como Recurso desconocido.

Los detalles de actividad contienen las siguientes pestañas:

Direcciones IP observadas

Muestra inicialmente la lista de direcciones IP utilizadas para emitir llamadas a la API.

Puede ampliar cada dirección IP para que se muestre la lista de llamadas a la API que se emitieron desde esa dirección IP. Las llamadas a la API se agrupan por los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

A continuación, puede ampliar cada llamada a la API para que se muestre la lista de personas que llaman desde esa dirección IP. Según el perfil, la persona que llama puede ser un usuario, un rol, una sesión de rol o un AKID.

Vista de la pestaña Direcciones IP observadas del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de direcciones IP, llamadas a la API y AKIDs. Las llamadas a la API se agrupan por servicio.
Método de API por servicio

Muestra inicialmente la lista de llamadas a la API que se emitieron. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Puede ampliar cada método de API para que se muestre la lista de direcciones IP desde las que se emitieron las llamadas.

A continuación, puedes ampliar cada dirección IP para mostrar la lista de las AKIDs llamadas a la API emitidas desde esa dirección IP.

Vista de la pestaña Método de API por servicio del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de las llamadas a la API, las direcciones IP y AKIDs. Las llamadas a la API se agrupan por servicio.
ID de recurso o clave de acceso

Muestra inicialmente la lista de usuarios, funciones, sesiones de funciones o AKIDs que se utilizaron para realizar llamadas a la API.

Puede ampliar cada persona que llama para mostrar la lista de direcciones IP desde las que la persona que llama emitió llamadas a la API.

A continuación, puede expandir cada dirección IP para que se muestre la lista de llamadas a la API emitidas desde esa dirección IP por la persona que llamó. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Vista de la pestaña Recursos del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de AKIDs las direcciones IP y las llamadas a la API agrupadas por servicio.

Contenido de los detalles de actividad (direcciones IP)

En el caso de las direcciones IP, los detalles de actividad contienen la siguiente información:

  • Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

  • Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas.

Los detalles de actividad contienen las siguientes pestañas:

Recurso

Muestra inicialmente la lista de recursos que emitieron llamadas a la API desde la dirección IP.

Para cada recurso, la lista incluye el nombre del recurso, el tipo y la AWS cuenta.

Puede ampliar cada recurso para que se muestre la lista de llamadas a la API que el recurso emitió desde la dirección IP. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Vista de la pestaña Recursos con los detalles de actividad en el panel de perfil Volumen total de llamadas a la API de una dirección IP.
Método de API por servicio

Muestra inicialmente la lista de llamadas a la API que se emitieron. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como Servicio desconocido.

Puede ampliar cada llamada a la API para que se muestre la lista de recursos que emitieron la llamada a la API desde la dirección IP durante el período de tiempo seleccionado.

Vista de la pestaña Método de API por servicio de los detalles de actividad del panel de perfil Volumen total de llamadas a la API de una dirección IP.

Ordenar los detalles de actividad

Puede ordenar los detalles de actividad por cualquiera de las columnas de la lista.

Al ordenar utilizando la primera columna, solo se ordena la lista de nivel superior. Las listas de nivel inferior siempre se ordenan por el número de llamadas a la API que se han realizado correctamente.

Filtrar los detalles de actividad

Puede utilizar las opciones de filtrado para centrarse en subconjuntos o aspectos específicos de la actividad representados en los detalles de actividad.

En todas las pestañas, puede filtrar la lista por cualquiera de los valores de la primera columna.

Para añadir un filtro

  1. Elija el cuadro de filtros.

  2. En Propiedades, elija la propiedad que desee utilizar para el filtrado.

  3. Proporcione el valor que se va a utilizar para el filtrado. El filtro admite valores parciales. Por ejemplo, si filtra por método de API, si filtra por Instance, los resultados incluyen cualquier operación de API que tenga Instance su nombre. Por lo tanto, ambos ListInstanceAssociations y UpdateInstanceInformation coincidirían.

    Para los nombres de los servicios, los métodos de API y las direcciones IP, puede especificar un valor o elegir un filtro integrado.

    En el caso de las subcadenas de API comunes, elija la subcadena que represente el tipo de operación, como List, Create o Delete. El nombre de cada método de API comienza con el tipo de operación.

    En el caso de los patrones CIDR, puede optar por incluir solo direcciones IP públicas, direcciones IP privadas o direcciones IP que coincidan con un patrón CIDR específico.

  4. Elige una opción booleana Resource o bien Service: Contiene o! : No contiene; o IP address = es igual a API method o! : No equivale a configurar filtros.

    Lista de filtros disponibles para el filtro de detalles de la actividad.

Para eliminar un filtro, elija el icono x de la parte superior derecha.

Para borrar los filtros seleccionados, elija Borrar filtros.

Selección del intervalo de tiempo para los detalles de actividad

Cuando se muestran los detalles de actividad por primera vez, el intervalo de tiempo es el rango temporal o un intervalo de tiempo seleccionado. Puede cambiar el intervalo de tiempo de los detalles de actividad.

Para cambiar el intervalo de tiempo de los detalles de actividad

  1. Elija Editar.

  2. En Editar franja horaria, elija las horas de inicio y de finalización que desea usar.

    Para configurar la franja horaria con el rango temporal predeterminado del perfil, elija Establecer el rango temporal predeterminado.

  3. Elija Actualizar periodo.

El intervalo de tiempo para los detalles de actividad aparece resaltado en los gráficos del panel de perfil.

Franja horaria resaltada del panel de perfil Volumen total de llamadas a la API

Consulta de registros sin procesar

Amazon Detective se integra con Amazon Security Lake, lo que permite consultar y recuperar datos de registros sin procesar almacenados por Security Lake. Para obtener más información sobre esta integración, consulte Integración de Amazon Detective con Amazon Security Lake.

Con esta integración puede recopilar y consultar registros y eventos de los siguientes orígenes que Security Lake admite de forma nativa.

  • AWS CloudTrail eventos de gestión, versión 1.0 y posteriores

  • Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) versión 1.0 y versiones posteriores

  • Registro de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) versión 2.0

nota

No hay recargos adicionales por consultar registros de datos sin procesar en Detective. Los cargos por uso de otros AWS servicios, incluido Amazon Athena, se seguirán aplicando a las tarifas publicadas.

Para consultar registros sin procesar

  1. Elija Mostrar los detalles del rango de tiempo.

  2. Desde aquí puede empezar a Consultar registros sin procesar.

  3. En la tabla Vista previa del registro sin procesar puede ver los registros y los eventos recuperados consultando datos de Security Lake. Para obtener más información sobre los registros de eventos sin procesar, puede ver los datos que se muestran en Amazon Athena.

    En la tabla Registros de consulta sin procesar, puede Cancelar solicitud de consulta, Ver resultados en Amazon Athena y Descargar resultados como archivo de valores separados por comas (.csv).

Si ve registros en Detective, pero la consulta no devuelve resultados, podría deberse a los siguientes motivos.

  • Es posible que los registros sin procesar pasen a estar disponibles en Detective antes de mostrarse en tablas de registros de Security Lake. Inténtelo de nuevo más tarde.

  • Es posible que falten registros en Security Lake. Si esperó durante un período prolongado, significa que faltan registros en Security Lake. Póngase en contacto con el administrador de Security Lake para solucionar el problema.