Dettagli dell'attività per Volume globale dei flussi VPC - Amazon Detective
Contenuto dei dettagli dell'attività (utenti, ruoli, account, sessioni di ruolo, EC2 istanze, bucket S3)Contenuto dei dettagli dell'attività (indirizzi IP)Ordinamento dei dettagli dell'attivitàFiltro dei dettagli dell'attivitàSelezione dell'intervallo di tempo per i dettagli dell'attivitàEsecuzione di query sui log non elaborati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dettagli dell'attività per Volume globale dei flussi VPC

I dettagli dell'attività per Volume globale delle chiamate API mostrano le chiamate API emesse in un intervallo di tempo selezionato.

Per visualizzare i dettagli dell'attività per un singolo intervallo di tempo, scegli l'intervallo di tempo sul grafico.

Per visualizzare i dettagli dell'attività per il periodo di validità corrente, scegli Visualizza dettagli per il periodo di validità.

Tieni presente che Detective ha iniziato a memorizzare e visualizzare il nome del servizio per le chiamate API a partire dal 14 luglio 2021. Tale data è evidenziata nella sequenza temporale del pannello del profilo. Per le attività che si verificano prima di tale data, il nome del servizio è Servizio sconosciuto.

Contenuto dei dettagli dell'attività (utenti, ruoli, account, sessioni di ruolo, EC2 istanze, bucket S3)

Per gli utenti IAM, i ruoli IAM, gli account, le sessioni di ruolo, EC2 le istanze e i bucket S3, i dettagli dell'attività contengono le seguenti informazioni:

  • Ogni scheda fornisce informazioni sul set di chiamate API emesse durante l'intervallo di tempo selezionato.

    Per i bucket S3, le informazioni riflettono le chiamate API effettuate al bucket S3.

    Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

  • Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite. La scheda Indirizzi IP osservati mostra anche la posizione di ogni indirizzo IP.

  • Ogni voce mostra informazioni su chi ha effettuato le chiamate. Per gli account, i dettagli dell'attività identificano gli utenti o i ruoli. Per i ruoli, i dettagli dell'attività identificano le sessioni di ruolo. Per gli utenti e le sessioni di ruolo, i dettagli dell'attività identificano gli identificatori delle chiavi di accesso (). AKIDs

    Tieni presente che a partire dal 14 luglio 2021, per i profili degli account, i dettagli dell'attività mostrano gli utenti o i ruoli anziché AKIDs. Per i profili di ruolo, i dettagli dell'attività mostrano le sessioni di ruolo anziché AKIDs. Per le attività che si sono svolte prima del 14 luglio 2021, il chiamante viene elencato come Risorsa sconosciuta.

I dettagli dell'attività contengono le seguenti schede:

Indirizzi IP osservati

Visualizza inizialmente l'elenco degli indirizzi IP utilizzati per emettere chiamate API.

È possibile espandere ogni indirizzo IP per visualizzare l'elenco di chiamate API che sono state emesse da quell'indirizzo IP. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È quindi possibile espandere ogni chiamata API per visualizzare l'elenco di chiamanti da quell'indirizzo IP. A seconda del profilo, il chiamante potrebbe essere un utente, un ruolo, una sessione di ruolo o un AKID.

Visualizzazione della scheda Indirizzi IP osservati del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia degli indirizzi IP, delle chiamate API e AKIDs. Le chiamate API sono raggruppate per servizio.
Metodo API per servizio

Visualizza inizialmente l'elenco delle chiamate API emesse. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È possibile espandere ogni metodo API per visualizzare l'elenco degli indirizzi IP da cui sono state emesse le chiamate.

È quindi possibile espandere ogni indirizzo IP per visualizzare l'elenco di AKIDs quella chiamata API emessa da quell'indirizzo IP.

Visualizzazione della scheda API metodo per servizio del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia delle chiamate API, degli indirizzi IP e AKIDs. Le chiamate API sono raggruppate per servizio.
ID della risorsa o della chiave di accesso

Visualizza inizialmente l'elenco di utenti, ruoli, sessioni di ruolo o AKIDs che sono stati utilizzati per emettere chiamate API.

È possibile espandere ogni chiamante per visualizzare l'elenco degli indirizzi IP da cui il chiamante ha emesso le chiamate API.

È possibile espandere ogni indirizzo IP per visualizzare l'elenco di chiamate API che sono state emesse da quell'indirizzo IP da quel chiamante. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

Visualizzazione della scheda Risorse del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia AKIDs, gli indirizzi IP e le chiamate API raggruppati per servizio.

Contenuto dei dettagli dell'attività (indirizzi IP)

Per gli indirizzi IP, i dettagli dell'attività contengono le seguenti informazioni:

  • Ogni scheda fornisce informazioni sul set di chiamate API emesse durante l'intervallo di tempo selezionato. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

  • Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite.

I dettagli dell'attività contengono le seguenti schede:

Risorsa

Visualizza inizialmente l'elenco di risorse che hanno emesso le chiamate API dall'indirizzo IP.

Per ogni risorsa, l'elenco include il nome della risorsa, il tipo e l'account AWS .

È possibile espandere ogni risorsa per visualizzare l'elenco di chiamate API che la risorsa ha emesso dall'indirizzo IP. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

Vista della scheda Risorsa dei dettagli dell'attività nel pannello di profilo Volume globale delle chiamate API per un indirizzo IP.
Metodo API per servizio

Visualizza inizialmente l'elenco delle chiamate API emesse. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È possibile espandere ogni chiamata API per visualizzare l'elenco di risorse che hanno emesso la chiamata API dall'indirizzo IP durante il periodo di tempo selezionato.

Vista della scheda Metodo API per servizio dei dettagli dell'attività nel pannello di profilo Volume globale delle chiamate API per un indirizzo IP.

Ordinamento dei dettagli dell'attività

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne dell'elenco.

Quando si ordina utilizzando la prima colonna, viene ordinato solo l'elenco di primo livello. Gli elenchi di livello inferiore vengono sempre ordinati in base al numero di chiamate API riuscite.

Filtro dei dettagli dell'attività

È possibile utilizzare le opzioni di filtro per concentrarsi su sottoinsiemi o aspetti specifici dell'attività rappresentata nei dettagli dell'attività.

In tutte le schede, puoi filtrare l'elenco in base a uno qualsiasi dei valori nella prima colonna.

Aggiungere un filtro

  1. Scegli la casella di filtro.

  2. In Proprietà, scegli la proprietà da utilizzare per il filtraggio.

  3. Fornisci il valore da utilizzare per il filtraggio. Il filtro supporta valori parziali. Ad esempio, quando si filtra per metodo API, se si filtra per Instance, i risultati includono qualsiasi operazione API che abbia Instance nel nome. Quindi sia ListInstanceAssociations che UpdateInstanceInformation corrisponderebbero.

    Per i nomi dei servizi, i metodi API e gli indirizzi IP, puoi specificare un valore o scegliere un filtro integrato.

    Per Sottostringhe API comuni, scegli la sottostringa che rappresenta il tipo di operazione, ad esempio List, Create o Delete. Il nome di ogni metodo API inizia con il tipo di operazione.

    Per Modelli CIDR, puoi scegliere di includere solo indirizzi IP pubblici, indirizzi IP privati o indirizzi IP che corrispondono a uno schema CIDR specifico.

  4. Scegliete un'opzione booleana oppure: Contiene Resource o! Service : Non contiene; o o IP address = Uguale a API method o! : non equivale a impostare filtri.

    Elenco dei filtri disponibili per il filtro dei dettagli dell'attività.

Per rimuovere un filtro, scegli l'icona x nell'angolo in alto a destra.

Per cancellare tutti i filtri, scegli Cancella filtro.

Selezione dell'intervallo di tempo per i dettagli dell'attività

Quando si visualizzano per la prima volta i dettagli dell'attività, l'intervallo di tempo corrisponde al periodo di validità o a un intervallo di tempo selezionato. È possibile modificare l'intervallo di tempo per i dettagli dell'attività.

Modificare l'intervallo di tempo per i dettagli dell'attività

  1. Scegli Modifica.

  2. In Modifica finestra temporale, scegli l'ora di inizio e di fine da utilizzare.

    Per impostare la finestra temporale sul periodo di validità predefinito per il profilo, scegli Imposta il periodo di validità predefinito.

  3. Scegli la Finestra temporale di aggiornamento.

L'intervallo di tempo per i dettagli dell'attività è evidenziato nei grafici del pannello del profilo.

Finestra temporale evidenziata per il pannello di profilo Volume globale delle chiamate API

Esecuzione di query sui log non elaborati

Amazon Detective è ora integrato con Security Lake, il che significa che puoi interrogare e recuperare i dati dei log non elaborati archiviati da Security Lake. Per ulteriori dettagli su questa integrazione, consulta Integrazione di Amazon Detective con Amazon Security Lake.

Grazie a questa integrazione, puoi raccogliere ed eseguire query su log ed eventi dalle seguenti origini supportate in modo nativo da Security Lake.

  • AWS CloudTrail gestione degli eventi versione 1.0 e successive

  • Amazon Virtual Private Cloud (Amazon VPC) Flow Logs versione 1.0 e successive

  • Registro di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) versione 2.0

Nota

Non sono previsti costi supplementari per l'interrogazione dei log di dati non elaborati in Detective. I costi di utilizzo per altri AWS Servizi, incluso Amazon Athena, si applicano ancora alle tariffe pubblicate.

Interrogare i log non elaborati

  1. Scegli i dettagli di visualizzazione per il periodo di validità.

  2. Da qui, puoi iniziare a interrogare i log non elaborati.

  3. Nella tabella di anteprima dei log non elaborati, è possibile visualizzare i log e gli eventi recuperati interrogando i dati da Security Lake. Per maggiori dettagli sui log degli eventi non elaborati, puoi visualizzare i dati visualizzati in Amazon Athena.

    Dalla tabella Interroga log non elaborati, puoi annullare la richiesta di query, visualizzare i risultati in Amazon Athena e scaricare i risultati come file con valori separati da virgole (.csv).

Se vedi i log in Detective ma la query non ha prodotto risultati, ciò potrebbe accadere per i seguenti motivi.

  • I log non elaborati possono diventare disponibili in Detective prima di essere visualizzati nelle tabelle di log di Security Lake. Riprova più tardi.

  • È possibile che in Security Lake manchino dei log . Se hai atteso per un periodo di tempo prolungato, significa che i log non sono presenti in Security Lake. Contatta l'amministratore di Security Lake per risolvere il problema.