Panoramica della struttura dei dati del grafico di comportamento - Amazon Detective
Tipi di elementi nella struttura dei dati del grafico di comportamentoTipi di entità nella struttura dei dati del grafico di comportamento

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della struttura dei dati del grafico di comportamento

La struttura dei dati del grafico di comportamento definisce la struttura dei dati estratti e analizzati. Definisce inoltre come i dati di origine vengono mappati al grafico di comportamento.

Tipi di elementi nella struttura dei dati del grafico di comportamento

La struttura dei dati del grafico di comportamento è costituita dai seguenti elementi di informazione.

Entità

Un'entità rappresenta un elemento estratto dai dati di origine di Detective.

Ogni entità ha un tipo, che identifica il tipo di oggetto che rappresenta. Esempi di tipi di entità includono indirizzi IP, EC2 istanze Amazon e AWS utenti.

Per ogni entità, i dati di origine vengono utilizzati anche per compilare le proprietà dell'entità. I valori delle proprietà possono essere estratti direttamente dai record di origine o aggregati su più record.

Alcune proprietà sono costituite da un singolo valore scalare o aggregato. Ad EC2 esempio, Detective tiene traccia del tipo di istanza e del numero totale di byte elaborati.

Le proprietà delle serie temporali tengono traccia dell'attività nel tempo. Ad EC2 esempio, Detective tiene traccia nel tempo delle porte uniche utilizzate.

Relazioni

Una relazione rappresenta l'attività che si verifica tra singole entità. Le relazioni vengono estratte anche dai dati di origine di Detective.

Analogamente a un'entità, una relazione ha un tipo, che identifica i tipi di entità coinvolte e la direzione della connessione. Un esempio di tipo di relazione sono gli indirizzi IP che si connettono alle EC2 istanze.

Per ogni singola relazione, ad esempio un indirizzo IP specifico che si connette a un'istanza specifica, Detective tiene traccia delle ricorrenze nel tempo.

Tipi di entità nella struttura dei dati del grafico di comportamento

La struttura dei dati del grafico di comportamento è costituita da tipi di entità e relazioni che eseguono le seguenti operazioni:

  • Traccia dei server, degli indirizzi IP e degli agenti utente utilizzati

  • Tieni traccia degli AWS utenti, dei ruoli e degli account utilizzati

  • Traccia delle connessioni di rete e delle autorizzazioni che si verificano nel tuo ambiente AWS

La struttura dei dati del grafico di comportamento contiene i seguenti tipi di entità.

AWS account

AWS account presenti nei dati di origine del Detective.

Per ogni account, Detective risponde a diverse domande:

  • Quali chiamate API ha utilizzato l'account?

  • Quali agenti utente ha utilizzato l'account?

  • Quali organizzazioni di sistema autonome (ASOs) ha utilizzato l'account?

  • In quali aree geografiche l'account è stato attivo?

AWS ruolo

AWS ruoli presenti nei dati di origine del Detective.

Per ogni ruolo, Detective risponde a diverse domande:

  • Quali chiamate API ha utilizzato il ruolo?

  • Quali agenti utente ha utilizzato il ruolo?

  • Qual ASOs è stato il ruolo utilizzato?

  • In quali aree geografiche il ruolo è stato attivo?

  • Quali risorse hanno assunto questo ruolo?

  • Quali ruoli ha assunto questo ruolo?

  • Quali sessioni di ruolo hanno coinvolto questo ruolo?

AWS utente

AWS utenti presenti nei dati di origine del Detective.

Per ogni utente, Detective risponde a diverse domande:

  • Quali chiamate API ha utilizzato l'utente?

  • Quali agenti utente ha utilizzato l'utente?

  • In quali aree geografiche l'utente è stato attivo?

  • Quali ruoli ha assunto questo utente?

  • Quali sessioni di ruolo hanno coinvolto questo utente?

Utente federato

Istanze di un utente federato. Di seguito sono riportati alcuni esempi di utenti federati:

  • Un'identità che accede tramite Security Assertion Markup Language (SAML)

  • Un'identità che accede tramite la federazione delle identità Web

Per ogni utente federato, Detective risponde a queste domande:

  • Con quale provider di identità si è autenticato l'utente federato?

  • Qual era il pubblico dell'utente federato? Il pubblico identifica l'applicazione che ha richiesto il token di identità Web dell'utente federato.

  • In quali aree geografiche è stato attivo l'utente federato?

  • Quali agenti utente ha utilizzato l'utente federato?

  • Cosa ASOs ha usato l'utente federato?

  • Quali ruoli ha assunto questo utente federato?

  • Quali sessioni di ruolo hanno coinvolto questo utente federato?

EC2 istanza

EC2 istanze presenti nei dati di origine del Detective.

EC2 Ad esempio, il Detective risponde a diverse domande:

  • Quali indirizzi IP hanno comunicato con l'istanza?

  • Quali porte sono state utilizzate per comunicare con l'istanza?

  • Quale volume di dati è stato inviato da e verso l'istanza?

  • Quale VPC contiene l'istanza?

  • Quali chiamate API ha utilizzato l' EC2 istanza?

  • Quali user agent ha utilizzato l' EC2 istanza?

  • Che cosa ASOs è stata utilizzata dall' EC2 istanza?

  • In quali aree geografiche l' EC2 istanza è stata attiva?

  • Quali ruoli ha assunto l' EC2 istanza?

Sessioni dei ruoli

Istanze di una risorsa che sta assumendo un ruolo. Ogni sessione di ruolo è identificata dall'identificatore del ruolo e un nome della sessione.

Per ogni ruolo, Detective risponde a diverse domande:

  • Quali risorse sono state coinvolte in questa sessione di ruolo? In altre parole, quale ruolo è stato assunto e quale risorsa ha assunto il ruolo?

    Tieni presente che per l'assunzione del ruolo tra account, Detective non può identificare la risorsa che ha assunto il ruolo.

  • Quali chiamate API ha utilizzato la sessione di ruolo?

  • Quali agenti utente ha utilizzato la sessione di ruolo?

  • Quali sono ASOs stati i ruoli utilizzati dalla sessione di ruolo?

  • In quali aree geografiche la sessione di ruolo è stata attiva?

  • Quale utente o ruolo ha avviato questa sessione di ruolo?

  • Quali sessioni di ruolo sono state avviate da questa sessione di ruolo?

Risultato

Risultati scoperti da Amazon GuardDuty che vengono inseriti nei dati di origine del Detective.

Per ogni risultato, Detective tiene traccia del tipo di risultato, dell'origine e della finestra temporale dell'attività del risultato.

Memorizza inoltre informazioni specifiche sul risultato, come i ruoli o gli indirizzi IP coinvolti nell'attività rilevata.

IP address (Indirizzo IP)

Gli indirizzi IP presenti nei dati di origine di Detective.

Per ogni indirizzo IP, Detective risponde a diverse domande:

  • Quali chiamate API ha utilizzato l'indirizzo?

  • Quali porte ha utilizzato l'indirizzo?

  • Quali utenti e agenti utente hanno utilizzato l'indirizzo IP?

  • In quali aree geografiche l'indirizzo IP è stato attivo?

  • A quali EC2 istanze è stato assegnato e con quali casi è stato comunicato questo indirizzo IP?

Bucket S3

I bucket S3 presenti nei dati di origine di Detective.

Per ogni bucket S3, Detective risponde a queste domande:

  • Quali principali hanno interagito con il bucket S3?

  • Quali chiamate API sono state effettuate al bucket S3?

  • Da quali aree geografiche i principali hanno effettuato chiamate API al bucket S3?

  • Quali agenti utente sono stati utilizzati per interagire con il bucket S3?

  • Cosa ASOs sono stati utilizzati per interagire con il bucket S3?

Puoi eliminare un bucket S3 e quindi crearne uno nuovo con lo stesso nome. Poiché Detective utilizza il nome del bucket S3 per identificare il bucket S3, tratta questi nomi come un'unica entità di bucket S3. Nel profilo dell'entità, Ora di creazione è l'ora della prima creazione. Ora di eliminazione è l'ora di eliminazione più recente.

Per visualizzare tutti gli eventi di creazione ed eliminazione, imposta il periodo di validità in modo che inizi con l'ora di creazione e termini con l'ora di eliminazione. Nel pannello del profilo Volume globale delle chiamate API, visualizza i dettagli dell'attività per il periodo di validità. Filtra i metodi API per mostrare i metodi Create e Delete. Per informazioni, consulta Dettagli dell'attività per Volume globale dei flussi VPC.

Agente utente

Gli agenti utente presenti nei dati di origine di Detective.

Per ogni agente utente, Detective risponde a domande come le seguenti:

  • Quali chiamate API ha utilizzato l'agente utente?

  • Quali utenti e ruoli hanno utilizzato l'agente utente?

  • Quali indirizzi IP hanno utilizzato l'agente utente?

Cluster EKS

I cluster EKS presenti nei dati di origine di Detective.

Nota

Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta Origini dati facoltative

Per ogni cluster EKS, Detective risponde a domande come le seguenti:

  • Quali chiamate API Kubernetes sono state eseguite in questo cluster?

  • Quali utenti e account di servizio (soggetti) di Kubernetes sono attivi in questo cluster?

  • Quali container sono stati avviati in questo cluster?

  • Quali immagini vengono utilizzate per avviare i container in questo cluster?

Pod Kubernetes

I pod Kubernetes presenti nei dati di origine di Detective.

Nota

Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta Origini dati facoltative

Per ogni pod, Detective risponde a domande come le seguenti:

  • Quali immagini di container in questo pod sono comuni nei miei account?

  • Quali attività sono state indirizzate a questo pod?

  • Quali container vengono eseguiti in questo pod?

  • I registri dei container in questo pod sono comuni nei miei account?

  • Quali altri container sono in esecuzione negli altri pod del carico di lavoro?

  • Ci sono container anomali in questo pod che non si trovano negli altri pod del carico di lavoro?

Immagine di container

Le immagini di container presenti nei dati di origine di Detective.

Nota

Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta Origini dati facoltative

Per ogni immagine di container, Detective risponde a domande come le seguenti:

  • Quali altre immagini del mio ambiente condividono lo stesso repository o registro con questa immagine?

  • Quante copie di questa immagine sono in esecuzione nel mio ambiente?

Soggetto Kubernetes

I soggetti Kubernetes presenti nei dati di origine di Detective. Un soggetto Kubernetes è un account utente o di servizio.

Nota

Per visualizzare i dettagli completi per questo tipo di entità, è necessario abilitare l'origine dati facoltativa dei log di controllo EKS. Per maggiori informazioni, consulta Origini dati facoltative

Per ogni soggetto, Detective risponde a domande come le seguenti:

  • Quali principali IAM si sono autenticati come questo soggetto?

  • Quali risultati sono associati a questo soggetto?

  • Quali indirizzi IP utilizza il soggetto?