Résultats informatifs dans les groupes de résultats

Amazon Detective identifie des informations supplémentaires liées à un groupe de résultats sur la base des données de votre graphe de comportement collectées au cours des 45 derniers jours. Detective présente cette information comme un résultat ayant le niveau de sévérité informationnel. Les preuves fournissent des informations complémentaires qui mettent en évidence une activité inhabituelle ou un comportement inconnu potentiellement suspect au sein d’un groupe de résultats. Cela peut inclure des géolocalisations récemment observées ou des appels d’API observés dans la durée de validité d’un résultat. Les résultats des preuves ne sont visibles que dans Detective et ne sont pas envoyés àAWS Security Hub CSPM.

Detective détermine l'emplacement des demandes à l'aide des bases de MaxMind données GeoIP. MaxMind fait état d'une très grande précision de ses données au niveau des pays, bien que la précision varie en fonction de facteurs tels que le pays et le type de propriété intellectuelle. Pour plus d'informations MaxMind, consultez la section Géolocalisation MaxMind IP. Si vous pensez que l'une des données GeoIP est incorrecte, vous pouvez envoyer une demande de correction à Maxmind à l'adresse MaxMind Correct Geo Data. IP2

Vous pouvez observer des preuves pour différents types principal (tels qu’un utilisateur IAM ou un rôle IAM). Pour certains types de preuves, vous pouvez observer les preuves pour tous les comptes. Cela signifie que les preuves affectent l’ensemble de votre graphe de comportement. Si un résultat probant est observé pour tous les comptes, vous verrez également apparaître au moins un résultat probant informatif supplémentaire du même type pour un rôle IAM individuel. Par exemple, si vous voyez un résultat Nouvelle géolocalisation observée pour tous les comptes, vous en verrez un autre pour Nouvelle géolocalisation observée pour un principal.