Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Dati in un grafico del comportamento del Detective
In Amazon Detective, conduci indagini utilizzando i dati di un grafico di comportamento di Detective. In questa sezione puoi scoprire le principali fonti di dati utilizzate in un grafico del comportamento di un Detective e come Detective utilizza i dati di origine per compilarlo.
Un grafico di comportamento è un insieme collegato di dati generati dai dati di origine di Detective che vengono importati da uno o più account Amazon Web Services (AWS).
Il grafico del comportamento utilizza i dati di origine per eseguire le seguenti operazioni.
+ Genera un quadro generale dei tuoi sistemi, degli utenti e delle interazioni tra loro nel tempo
+ Esegui un'analisi più dettagliata di attività specifiche per rispondere alle domande che sorgono durante le indagini
+ Metti in correlazione raccolte di risultati, entità e prove che potrebbero essere correlate allo stesso evento o problema di sicurezza.
Tieni presente che tutta l'estrazione, la modellazione e l'analisi dei dati del grafico di comportamento avvengono nel contesto di ogni singolo grafico.
Ogni grafico di comportamento contiene i dati di uno o più account. Quando un account abilita Detective, diventa l'account amministratore per il grafico di comportamento e sceglie gli account membri per il grafico. Un grafico di comportamento può contenere fino a 1.200 account membri. Per informazioni su come un account amministratore gestisce gli account dei membri in un grafico comportamentale, vedi [Gestione degli account in Detective](https://docs.aws.amazon.com/detective/latest/userguide/accounts.html).
**Topics**
+ [Come Detective compila un grafico del comportamento](behavior-graph-population-about.md)
+ [Periodo di formazione per nuovi grafici comportamentali dei Detective](detective-data-training-period.md)
+ [Panoramica della struttura dei dati del grafico di comportamento](graph-data-structure-overview.md)
+ [Dati di origine utilizzati in un grafico del comportamento del Detective](detective-source-data-about.md)
# Come Detective compila un grafico del comportamento
Per fornire i dati non elaborati per le indagini, Detective riunisce i dati provenienti da tutto l'ambiente AWS e non solo, tra cui:
+ Dati di log, tra cui Amazon Virtual Private Cloud (Amazon VPC) e AWS CloudTrail
+ I risultati di Amazon GuardDuty
+ Risultati di AWS Security Hub CSPM
Per ulteriori informazioni sui dati di origine utilizzati in un grafico comportamentale, consulta [Dati di origine utilizzati in un grafico comportamentale](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
## Come Detective elabora i dati di origine
Man mano che arrivano nuovi dati, Detective utilizza una combinazione di estrazione e analisi per compilare il grafico di comportamento.
![\[Diagramma che mostra il flusso dei dati di origine in entrata in Detective, dove vengono utilizzati per compilare il grafico di comportamento.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)
## Estrazione di Detective
L'estrazione si basa su regole di mappatura configurate. Una regola di mappatura fondamentalmente indica: "Ogni volta che vedi questo dato, usalo in questo modo specifico per aggiornare i dati del grafico di comportamento".
Ad esempio, un record di dati di origine di Detective in entrata potrebbe includere un indirizzo IP. In caso affermativo, Detective utilizza le informazioni in quel record per creare una nuova entità di indirizzo IP o aggiornare un'entità di indirizzo IP esistente.
## Analisi di Detective
Le analisi sono algoritmi più complessi che analizzano i dati per fornire informazioni sulle attività associate alle entità.
Ad esempio, un tipo di analisi di Detective analizza la frequenza con cui si verifica l'attività eseguendo algoritmi. Per le entità che effettuano chiamate API, l'algoritmo cerca le chiamate API che l'entità normalmente non utilizza. L'algoritmo cerca anche un picco elevato nel numero di chiamate API.
Le informazioni analitiche supportano le indagini fornendo risposte alle domande chiave degli analisti e vengono spesso utilizzate per compilare i pannelli dei risultati e dei profili delle entità.
# Periodo di formazione per nuovi grafici comportamentali dei Detective
Un modo per indagare su un risultato consiste nel confrontare l'attività svolta durante il periodo di validità del risultato con l'attività che si è verificata prima che il risultato venisse rilevato. L'attività che non è mai stata osservata prima potrebbe avere maggiori probabilità di essere sospetta.
Alcuni pannelli di profilo di Amazon Detective evidenziano attività che non sono state osservate nel periodo precedente al risultato. Diversi pannelli di profilo mostrano anche un valore di base per mostrare l'attività media nei 45 giorni precedenti al periodo di validità. Scope time è il riepilogo dell'attività di un'entità nel tempo.
Man mano che vengono estratti più dati nel grafico di comportamento, Detective sviluppa un quadro più accurato di quali attività sono normali nell'organizzazione e quali attività sono insolite.
Tuttavia, per creare questa immagine, Detective deve accedere ad almeno due settimane di dati. La maturità dell'analisi di Detective aumenta anche con il numero di account nel grafico di comportamento.
Le prime due settimane dopo l'attivazione di Detective sono considerate un periodo di addestramento. Durante questo periodo, i pannelli del profilo che confrontano l'attività del periodo di validità con l'attività precedente visualizzano un messaggio che indica che Detective è in un periodo di addestramento.
Durante il periodo di prova, Detective consiglia di aggiungere il maggior numero possibile di account membri al grafico del comportamento. Ciò fornisce a Detective un pool di dati più ampio, che gli consente di generare un quadro più accurato della normale attività dell'organizzazione.
# Panoramica della struttura dei dati del grafico di comportamento
La struttura dei dati del grafico di comportamento definisce la struttura dei dati estratti e analizzati. Definisce inoltre come i dati di origine vengono mappati al grafico di comportamento.
## Tipi di elementi nella struttura dei dati del grafico di comportamento
La struttura dei dati del grafico di comportamento è costituita dai seguenti elementi di informazione.
****Entità****
Un'entità rappresenta un elemento estratto dai dati di origine di Detective.
Ogni entità ha un tipo, che identifica il tipo di oggetto che rappresenta. Esempi di tipi di entità includono indirizzi IP, istanze Amazon EC2 e utenti. AWS
Per ogni entità, i dati di origine vengono utilizzati anche per compilare le proprietà dell'entità. I valori delle proprietà possono essere estratti direttamente dai record di origine o aggregati su più record.
Alcune proprietà sono costituite da un singolo valore scalare o aggregato. Ad esempio, per un'istanza EC2, Detective tiene traccia del tipo di istanza e del numero totale di byte elaborati.
Le proprietà delle serie temporali tengono traccia dell'attività nel tempo. Ad esempio, per un'istanza EC2, Detective tiene traccia nel tempo delle porte uniche utilizzate.
****Relazioni****
Una relazione rappresenta l'attività che si verifica tra singole entità. Le relazioni vengono estratte anche dai dati di origine di Detective.
Analogamente a un'entità, una relazione ha un tipo, che identifica i tipi di entità coinvolte e la direzione della connessione. Un esempio di tipo di relazione sono gli indirizzi IP che si connettono alle istanze EC2.
Per ogni singola relazione, ad esempio un indirizzo IP specifico che si connette a un'istanza specifica, Detective tiene traccia delle ricorrenze nel tempo.
## Tipi di entità nella struttura dei dati del grafico di comportamento
La struttura dei dati del grafico di comportamento è costituita da tipi di entità e relazioni che eseguono le seguenti operazioni:
+ Traccia dei server, degli indirizzi IP e degli agenti utente utilizzati
+ Tieni traccia degli AWS utenti, dei ruoli e degli account utilizzati
+ Traccia delle connessioni di rete e delle autorizzazioni che si verificano nel tuo ambiente AWS
La struttura dei dati del grafico di comportamento contiene i seguenti tipi di entità.
**AWS account**
AWS account presenti nei dati di origine del Detective.
Per ogni account, Detective risponde a diverse domande:
+ Quali chiamate API ha utilizzato l'account?
+ Quali agenti utente ha utilizzato l'account?
+ Quali organizzazioni di sistema autonome (ASOs) ha utilizzato l'account?
+ In quali aree geografiche l'account è stato attivo?
**AWS ruolo**
AWS ruoli presenti nei dati di origine del Detective.
Per ogni ruolo, Detective risponde a diverse domande:
+ Quali chiamate API ha utilizzato il ruolo?
+ Quali agenti utente ha utilizzato il ruolo?
+ Qual ASOs è stato il ruolo utilizzato?
+ In quali aree geografiche il ruolo è stato attivo?
+ Quali risorse hanno assunto questo ruolo?
+ Quali ruoli ha assunto questo ruolo?
+ Quali sessioni di ruolo hanno coinvolto questo ruolo?
**AWS utente**
AWS utenti presenti nei dati di origine del Detective.
Per ogni utente, Detective risponde a diverse domande:
+ Quali chiamate API ha utilizzato l'utente?
+ Quali agenti utente ha utilizzato l'utente?
+ In quali aree geografiche l'utente è stato attivo?
+ Quali ruoli ha assunto questo utente?
+ Quali sessioni di ruolo hanno coinvolto questo utente?
**Utente federato**
Istanze di un utente federato. Di seguito sono riportati alcuni esempi di utenti federati:
+ Un'identità che accede tramite Security Assertion Markup Language (SAML)
+ Un'identità che accede tramite la federazione delle identità Web
Per ogni utente federato, Detective risponde a queste domande:
+ Con quale provider di identità si è autenticato l'utente federato?
+ Qual era il pubblico dell'utente federato? Il pubblico identifica l'applicazione che ha richiesto il token di identità Web dell'utente federato.
+ In quali aree geografiche è stato attivo l'utente federato?
+ Quali agenti utente ha utilizzato l'utente federato?
+ Cosa ASOs ha usato l'utente federato?
+ Quali ruoli ha assunto questo utente federato?
+ Quali sessioni di ruolo hanno coinvolto questo utente federato?
**Istanza EC2**
Le istanze EC2 presenti nei dati di origine di Detective.
Per le istanze EC2, Detective risponde a diverse domande:
+ Quali indirizzi IP hanno comunicato con l'istanza?
+ Quali porte sono state utilizzate per comunicare con l'istanza?
+ Quale volume di dati è stato inviato da e verso l'istanza?
+ Quale VPC contiene l'istanza?
+ Quali chiamate API ha utilizzato l'istanza EC2?
+ Quali agenti utente ha utilizzato l'istanza EC2?
+ Quali ASO ha utilizzato l'istanza EC2?
+ In quali aree geografiche l'istanza EC2 è stata attiva?
+ Quali ruoli ha assunto l'istanza EC2?
**Sessioni dei ruoli**
Istanze di una risorsa che sta assumendo un ruolo. Ogni sessione di ruolo è identificata dall'identificatore del ruolo e un nome della sessione.
Per ogni ruolo, Detective risponde a diverse domande:
+ Quali risorse sono state coinvolte in questa sessione di ruolo? In altre parole, quale ruolo è stato assunto e quale risorsa ha assunto il ruolo?
Tieni presente che per l'assunzione del ruolo tra account, Detective non può identificare la risorsa che ha assunto il ruolo.
+ Quali chiamate API ha utilizzato la sessione di ruolo?
+ Quali agenti utente ha utilizzato la sessione di ruolo?
+ Cosa ASOs è stata utilizzata la sessione di ruolo?
+ In quali aree geografiche la sessione di ruolo è stata attiva?
+ Quale utente o ruolo ha avviato questa sessione di ruolo?
+ Quali sessioni di ruolo sono state avviate da questa sessione di ruolo?
**Risultato**
Risultati scoperti da Amazon GuardDuty che vengono inseriti nei dati di origine del Detective.
Per ogni risultato, Detective tiene traccia del tipo di risultato, dell'origine e della finestra temporale dell'attività del risultato.
Memorizza inoltre informazioni specifiche sul risultato, come i ruoli o gli indirizzi IP coinvolti nell'attività rilevata.
**IP address (Indirizzo IP)**
Gli indirizzi IP presenti nei dati di origine di Detective.
Per ogni indirizzo IP, Detective risponde a diverse domande:
+ Quali chiamate API ha utilizzato l'indirizzo?
+ Quali porte ha utilizzato l'indirizzo?
+ Quali utenti e agenti utente hanno utilizzato l'indirizzo IP?
+ In quali aree geografiche l'indirizzo IP è stato attivo?
+ A quali istanze EC2 è stato assegnato questo indirizzo IP e con quali ha comunicato?
**Bucket S3**
I bucket S3 presenti nei dati di origine di Detective.
Per ogni bucket S3, Detective risponde a queste domande:
+ Quali principali hanno interagito con il bucket S3?
+ Quali chiamate API sono state effettuate al bucket S3?
+ Da quali aree geografiche i principali hanno effettuato chiamate API al bucket S3?
+ Quali agenti utente sono stati utilizzati per interagire con il bucket S3?
+ Cosa ASOs sono stati usati per interagire con il bucket S3?
Puoi eliminare un bucket S3 e quindi crearne uno nuovo con lo stesso nome. Poiché Detective utilizza il nome del bucket S3 per identificare il bucket S3, tratta questi nomi come un'unica entità di bucket S3. Nel profilo dell'entità, **Ora di creazione** è l'ora della prima creazione. **Ora di eliminazione** è l'ora di eliminazione più recente.
Per visualizzare tutti gli eventi di creazione ed eliminazione, imposta il periodo di validità in modo che inizi con l'ora di creazione e termini con l'ora di eliminazione. Nel pannello del profilo **Volume globale delle chiamate API**, visualizza i dettagli dell'attività per il periodo di validità. Filtra i metodi API per mostrare i metodi `Create` e `Delete`. Per informazioni, consulta [Dettagli dell'attività per Volume globale dei flussi VPC](profile-panel-drilldown-overall-api-volume.md).
**Agente utente**
Gli agenti utente presenti nei dati di origine di Detective.
Per ogni agente utente, Detective risponde a domande come le seguenti:
+ Quali chiamate API ha utilizzato l'agente utente?
+ Quali utenti e ruoli hanno utilizzato l'agente utente?
+ Quali indirizzi IP hanno utilizzato l'agente utente?
**Cluster EKS**
I cluster EKS presenti nei dati di origine di Detective.
Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta [Origini dati facoltative](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Per ogni cluster EKS, Detective risponde a domande come le seguenti:
+ Quali chiamate API Kubernetes sono state eseguite in questo cluster?
+ Quali utenti e account di servizio (soggetti) di Kubernetes sono attivi in questo cluster?
+ Quali container sono stati avviati in questo cluster?
+ Quali immagini vengono utilizzate per avviare i container in questo cluster?
**Pod Kubernetes**
I pod Kubernetes presenti nei dati di origine di Detective.
Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta [Origini dati facoltative](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Per ogni pod, Detective risponde a domande come le seguenti:
+ Quali immagini di container in questo pod sono comuni nei miei account?
+ Quali attività sono state indirizzate a questo pod?
+ Quali container vengono eseguiti in questo pod?
+ I registri dei container in questo pod sono comuni nei miei account?
+ Quali altri container sono in esecuzione negli altri pod del carico di lavoro?
+ Ci sono container anomali in questo pod che non si trovano negli altri pod del carico di lavoro?
**Immagine di container**
Le immagini di container presenti nei dati di origine di Detective.
Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta [Origini dati facoltative](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Per ogni immagine di container, Detective risponde a domande come le seguenti:
+ Quali altre immagini del mio ambiente condividono lo stesso repository o registro con questa immagine?
+ Quante copie di questa immagine sono in esecuzione nel mio ambiente?
**Soggetto Kubernetes**
I soggetti Kubernetes presenti nei dati di origine di Detective. Un soggetto Kubernetes è un account utente o di servizio.
Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta [Origini dati facoltative](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Per ogni soggetto, Detective risponde a domande come le seguenti:
+ Quali principali IAM si sono autenticati come questo soggetto?
+ Quali risultati sono associati a questo soggetto?
+ Quali indirizzi IP utilizza il soggetto?
# Dati di origine utilizzati in un grafico del comportamento del Detective
Per compilare un grafico di comportamento, Amazon Detective utilizza i dati di origine dell'account amministratore e degli account dei membri del grafico di comportamento.
Con Detective puoi accedere fino a un anno di dati storici degli eventi. Questi dati sono disponibili attraverso una serie di visualizzazioni che mostrano le variazioni del tipo e del volume di attività in una finestra temporale selezionata. Detective collega queste modifiche ai GuardDuty risultati.
![\[Diagramma che mostra come un grafico di comportamento utilizza i dati dell'account amministratore e degli account membro e utilizza la struttura dei dati del grafico di comportamento.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/diagram_graph_structure_overview.png)
Per i dettagli sulla struttura dei dati del grafico di comportamento, consulta [Panoramica della struttura dei dati del grafico di comportamento](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) nella *Guida per l'utente di Detective*.
## Tipi di origini dati principali in Detective
Detective acquisisce i dati da questi tipi di AWS log:
+ AWS CloudTrail registri
+ Log di flusso Amazon Virtual Private Cloud (Amazon VPC)
+ Acquisisce entrambi IPv4 i IPv6 record, ma non i record MAC prodotti da Elastic Fabric Adapters.
+ Inserisce i record di registro quando il valore del `log-status` campo è attivo. `OK` Per ulteriori informazioni, consulta i [record di log di flusso](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields) nella Guida per l'utente di Amazon VPC.
+ Acquisisce i log di flusso prodotti dalle istanze di Amazon Elastic Compute Cloud in esecuzione solo in quelle istanze. VPCs Non vengono utilizzate altre risorse, come gateway NAT, istanze RDS o cluster Fargate.
+ Acquisisce sia il traffico accettato che quello rifiutato.
+ Per gli account registrati GuardDuty, il Detective acquisisce anche i risultati. GuardDuty
Detective consuma CloudTrail e registra gli eventi di flusso VPC utilizzando flussi e log CloudTrail di flusso VPC indipendenti e duplicati. Questi processi non influiscono né utilizzano le configurazioni esistenti CloudTrail e del log di flusso VPC. Inoltre, non influiscono sulle prestazioni né aumentano i costi di questi servizi.
## Tipi di origini dati facoltativi in Detective
Detective offre pacchetti di sorgenti opzionali oltre alle tre fonti di dati offerte nel pacchetto principale Detective (il pacchetto principale include AWS CloudTrail log, log di flusso VPC e risultati). GuardDuty Un pacchetto di origini dati facoltativo può essere avviato o interrotto per un grafico di comportamento in qualsiasi momento.
Detective offre una prova gratuita di 30 giorni per tutti i pacchetti di origini principali e facoltativi per Regione.
**Nota**
Detective conserva tutti i dati ricevuti da ciascun pacchetto di origini dati per un massimo di 1 anno.
Attualmente sono disponibili i seguenti pacchetti di origini facoltative:
+ **Log di controllo EKS**
Questo pacchetto di origini dati facoltativi consente a Detective di importare informazioni dettagliate sui cluster EKS nel tuo ambiente e di aggiungere tali dati al grafico di comportamento. Detective mette in correlazione le attività degli utenti con gli eventi di AWS CloudTrail Management e l'attività di rete con Amazon VPC Flow Logs senza la necessità di abilitare o archiviare questi log manualmente. Per informazioni dettagliate, vedi [Registri di controllo di Amazon EKS](source-data-types-EKS.md).
+ **AWS risultati di sicurezza**
Questo pacchetto di sorgenti dati opzionale consente a Detective di importare dati da Security Hub CSPM e li aggiunge al grafico del comportamento. Per informazioni dettagliate, vedi [**AWS risultati di sicurezza**](source-data-types-asff.md).
****Avvio o arresto di un'origine dati facoltativa:****
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione, in **Impostazioni**, scegli **Generale**.
1. In **Pacchetti sorgente opzionali**, seleziona **Aggiorna**. Quindi seleziona l'origine dati che desideri abilitare o deseleziona una casella per un'origine dati già abilitata e scegli **Aggiorna** per modificare i pacchetti di origini dati abilitati.
**Nota**
Se arresti e poi riavvii un'origine dati facoltativa, vedrai una lacuna nei dati visualizzati su alcuni profili di entità. Questa lacuna verrà rilevata sul display della console e rappresenterà il periodo di tempo in cui l'origine dati è stata arrestata. Quando un'origine dati viene riavviata, Detective non importa i dati in modo retroattivo.
# Registri di controllo di Amazon EKS
I log di audit di Amazon EKS sono un pacchetto di origini dati opzionale che può essere aggiunto al grafico di comportamento di Detective. Puoi visualizzare i pacchetti di origine facoltativi disponibili e il rispettivo stato dal tuo account dalla pagina **Impostazioni** della console o dall'API Detective.
È disponibile una prova gratuita di 30 giorni per questa origini dati. Per ulteriori informazioni, consulta [Versione di prova gratuita per origini dati facoltative](free-trial-overview.md#free-trial-datasource).
L'abilitazione dei log di controllo di Amazon EKS consente a Detective di aggiungere informazioni approfondite sulle risorse create con Amazon EKS al tuo grafico di comportamento. Questa origine dati migliora le informazioni fornite sui seguenti tipi di entità: cluster EKS, pod Kubernetes, immagine di container e soggetti Kubernetes.
Inoltre, se hai abilitato i log di audit EKS come fonte di dati in Amazon, GuardDuty potrai visualizzare i dettagli dei risultati di Kubernetes da. GuardDuty Per maggiori informazioni sull'attivazione di questa fonte di dati, GuardDuty consulta la protezione di [Kubernetes in Amazon. GuardDuty](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html)
**Nota**
Questa origine dati è abilitata per impostazione predefinita per i nuovi grafici di comportamento creati dopo il 26 luglio 2022. Per i grafici di comportamento creati prima del 26 luglio 2022, deve essere abilitata manualmente.
****Aggiunta o rimozione dei log di controllo di Amazon EKS come origine dati facoltativa:****
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione, in **Impostazioni**, scegli **Generale**.
1. In **Pacchetti sorgente**, seleziona **Log di controllo EKS** per abilitare questa origine dati. Se è già abilitata, selezionala nuovamente per interrompere l'importazione dei **log di controllo EKS** nel tuo grafico di comportamento.
# **AWS risultati di sicurezza**
**AWS security findings** è un pacchetto di sorgenti dati opzionale che può essere aggiunto al grafico del comportamento del Detective.
Puoi visualizzare i pacchetti di origine facoltativi disponibili e il rispettivo stato dal tuo account dalla pagina Impostazioni della console o dall'API Detective.
È disponibile una prova gratuita di 30 giorni per questa origini dati. Per ulteriori informazioni, consulta [Versione di prova gratuita per origini dati facoltative](free-trial-overview.md#free-trial-datasource).
L'abilitazione dei **risultati di AWS sicurezza** consente a Detective di utilizzare i risultati di Security Hub CSPM aggregati da Security Hub dai servizi upstream in un formato di risultati standard chiamato AWS Security Format (ASFF), che elimina la necessità di lunghe conversioni dei dati. Quindi, correla i risultati acquisiti tra i prodotti per definire la priorità di quelli più importanti.
****Aggiungere o rimuovere i risultati di AWS sicurezza come fonte di dati opzionale:****
**Nota**
L'origine dati sui risultati di AWS sicurezza è abilitata per impostazione predefinita per i nuovi grafici comportamentali creati dopo il 16 maggio 2023. Per i grafici del comportamento creati prima del 16 maggio 2023, deve essere abilitata manualmente.
1. Apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Nel riquadro di navigazione, in **Impostazioni**, scegli **Generale**.
1. In **Pacchetti sorgente**, seleziona i risultati AWS di sicurezza per abilitare questa fonte di dati. Se è già abilitata, selezionala nuovamente per interrompere l'importazione dei risultati di AWS Security Finding Format (ASFF) nel tuo grafico di comportamento.
## Risultati correntemente supportati
Detective acquisisce tutti i risultati ASFF in Security Hub CSPM dai servizi di proprietà di Amazon o. AWS
+ Per visualizzare l'elenco delle integrazioni di servizi supportate, consulta le integrazioni dei [servizi AWS disponibili nella Guida](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html) per l' AWS Security Hub utente.
+ Per l'elenco delle risorse supportate, consulta [Risorse](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html) nella Guida per l'utente di AWS Security Hub .
+ AWS I risultati dei servizi con uno stato di conformità non impostato su `FAILED` e i risultati aggregati tra più regioni non vengono inseriti.
## Come Detective importa e archivia i dati di origine
Quando Detective è abilitato, Detective inizia a importare i dati di origine dall'account amministratore del grafico di comportamento. Man mano che gli account dei membri vengono aggiunti al grafico di comportamento, Detective inizia anche a utilizzare i dati di tali account membro.
I dati di origine di Detective sono costituiti da versioni strutturate ed elaborate dei feed originali. Per supportare l'analisi dei dati di Detective, archivia anche copie dei dati di origine di Detective.
Il processo di importazione di Detective inserisce i dati nei bucket Amazon Simple Storage Service (Amazon S3) dal datastore di origine di Detective. Con l'arrivo di nuovi dati di origine, altri componenti di Detective raccolgono i dati e avviano i processi di estrazione e analisi. Per ulteriori informazioni, consulta [Come Detective utilizza i dati di origine per compilare un grafico di comportamento](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) nella *Guida per l'utente di Detective*.
## Come Detective applica la quota di volume di dati per i grafici del comportamento
Detective ha quote rigorose sul volume di dati che consente in ogni grafico di comportamento. Il volume di dati è la quantità di dati al giorno che confluisce nel grafico di comportamento di Detective.
Detective applica queste quote quando un account amministratore abilita Detective e quando un account membro accetta un invito a contribuire a un grafico di comportamento.
+ Se il volume di dati per un account amministratore supera i 10 TB al giorno, l'account amministratore non può abilitare Detective.
+ Se il volume di dati aggiunto proveniente da un account membro fa sì che il grafico di comportamento superi i 10 TB al giorno, l'account membro non può essere abilitato.
Il volume di dati per un grafico di comportamento può inoltre crescere naturalmente nel tempo. Detective controlla ogni giorno il volume dei dati del grafico di comportamento per assicurarsi che non superi la quota.
Se il volume di dati del grafico di comportamento si avvicina alla quota, Detective visualizza un messaggio di avviso sulla console. Per evitare di superare la quota, è possibile rimuovere gli account membri.
Se il volume di dati del grafico di comportamento supera i 10 TB al giorno, non è possibile aggiungere un nuovo account membro al grafico di comportamento.
Se il volume di dati del grafico di comportamento supera i 15 TB al giorno, Detective interrompe l'importazione dei dati nel grafico di comportamento. La quota di 15 TB al giorno riflette sia il normale volume di dati che i picchi del volume di dati. Quando viene raggiunta questa quota, non vengono inseriti nuovi dati nel grafico di comportamento, ma i dati esistenti non vengono rimossi. È comunque possibile utilizzare tali dati storici per le indagini. La console visualizza un messaggio per indicare che l'importazione dei dati è sospesa per il grafico di comportamento.
Se l'acquisizione dei dati è sospesa, è necessario intervenire per riattivarla. Supporto Se possibile, prima di contattare Supporto, prova a rimuovere gli account dei membri per portare il volume di dati al di sotto della quota. Ciò semplifica la riabilitazione dell'importazione dei dati per il grafico di comportamento.