Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consulta de registros sin procesar en Detective
Tras integrar Detective con Security Lake, Detective comienza a extraer registros sin procesar de Security Lake relacionados con los eventos de AWS CloudTrail administración y los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC).
nota
No hay recargos adicionales por consultar registros sin procesar en Detective. Los cargos por uso de otros AWS servicios, incluido Amazon Athena, se seguirán aplicando a las tarifas publicadas.
AWS CloudTrail Los eventos de gestión están disponibles para los siguientes perfiles:
-
AWS cuenta
-
AWS usuario
-
AWS rol
-
AWS Sesión de rol
-
Instancia de Amazon EC2
-
Bucket de Amazon S3
-
Dirección IP
-
Clúster de Kubernetes
-
Pod de Kubernetes
-
Asunto de Kubernetes
-
rol de IAM
-
Sesión de rol de IAM
-
Usuario de IAM
FLow Los registros de Amazon VPC están disponibles para los siguientes perfiles:
-
Instancia de Amazon EC2
-
Pod de Kubernetes
Para ver una demostración de cómo utilizar Amazon Detective con Amazon Security Lake mediante la consola Detective, vea el siguiente vídeo:
Consulta de los registros sin procesar de una cuenta de AWS
-
Abre la consola de Detectives en https://console.aws.amazon.com/detective/
. -
En el panel de navegación, elija Roles y, a continuación, busque una
AWS account. -
En la sección Volumen total de llamadas a la API, seleccione Mostrar los detalles del rango de tiempo.
-
Desde aquí puede empezar a Consultar registros sin procesar.
En la tabla Vista previa del registro sin procesar puede ver los registros y los eventos recuperados consultando datos de Security Lake. Para obtener más información sobre los registros de eventos sin procesar, puede ver los datos que se muestran en Amazon Athena.
En la tabla Registros de consulta sin procesar, puede Cancelar solicitud de consulta, Ver resultados en Amazon Athena y Descargar resultados como archivo de valores separados por comas (.csv).
Si ve registros en Detective, pero la consulta no devuelve resultados, podría deberse a los siguientes motivos.
-
Es posible que los registros sin procesar pasen a estar disponibles en Detective antes de mostrarse en tablas de registros de Security Lake. Inténtelo de nuevo más tarde.
-
Es posible que falten registros en Security Lake. Si esperó durante un período prolongado, significa que faltan registros en Security Lake. Póngase en contacto con el administrador de Security Lake para solucionar el problema.
Ejemplos
Consultando registros sin procesar para un rol AWS
Si quieres entender la actividad de un AWS rol en una nueva geolocalización, puedes hacerlo en la consola de Detectives.
Para consultar los registros sin procesar de un rol de AWS
-
Abre la consola de Detectives en https://console.aws.amazon.com/detective/
. -
En la sección Geolocalizaciones recientemente observadas de la página Resumen del Detective, anote la AWS función.
-
En el panel de navegación, elija Buscar y, a continuación, busque el
AWS role. -
Para el AWS rol, amplíe el recurso para mostrar las llamadas a la API específicas que ese recurso emitió desde esa dirección IP.
-
Seleccione el icono de lupa situado junto a la llamada a la API que desea investigar para abrir la tabla Vista previa del registro sin procesar.
Consulta de registros sin procesar para un clúster de Amazon EKS
-
Abre la consola de Detectives en https://console.aws.amazon.com/detective/
. -
En la sección Clústeres de contenedores con el mayor número de pods creados de la página Resumen del Detective, navegue hasta un clúster de Amazon EKS.
-
En la página de detalles del clúster de Amazon EKS, seleccione la pestaña de actividad de la API de Kubernetes.
-
En la sección Actividad general de la API de Kubernetes relacionada con este clúster de Amazon EKS, selecciona Mostrar detalles para el tiempo de alcance.
-
Desde aquí puede empezar a Consultar registros sin procesar.
Consulta de registros sin procesar para una instancia de Amazon EC2
-
Abre la consola de Detectives en https://console.aws.amazon.com/detective/
. -
En el panel de navegación, elija Buscar y, a continuación, busque una
Amazon EC2 instance. -
En la sección Volumen total del flujo de la VPC, seleccione el icono de lupa situado junto a la llamada a la API que desea investigar para abrir la tabla Vista previa de registros sin procesar.
-
Desde aquí puede empezar a Consultar registros sin procesar.
En la tabla Vista previa del registro sin procesar puede ver los registros y los eventos recuperados consultando datos de Security Lake. Para obtener más información sobre los registros de eventos sin procesar, puede ver los datos que se muestran en Amazon Athena.
En la tabla Registros de consulta sin procesar, puede Cancelar solicitud de consulta, Ver resultados en Amazon Athena y Descargar resultados como archivo de valores separados por comas (.csv).
