Detective에서 결과 또는 개체 검색 - Amazon Detective
검색 완료검색 결과 사용검색 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Detective에서 결과 또는 개체 검색

Amazon Detective 검색 기능을 사용하면 조사 결과 또는 엔터티를 조사할 수 있습니다. 검색 결과에서 엔터티 프로필 또는 조사 결과 개요로 이동할 수 있습니다. 조사 결과가 10,000개를 초과하는 경우 상위 10,000개의 결과만 표시됩니다. 정렬 순서를 변경하면 반환된 결과가 변경됩니다.

검색 결과를 쉼표로 구분된 값(.csv) 파일로 내보낼 수 있습니다. 이 파일에는 검색 페이지에 반환된 데이터가 들어 있습니다. 데이터는 쉼표로 구분된 값(CSV) 형식으로 내보내집니다. 내보낸 데이터의 파일 이름은 패턴 detective-page-panel-yyyy-mm-dd.csv 형식을 따릅니다. CSV 가져오기를 지원하는 다른 AWS 서비스, 타사 애플리케이션 또는 스프레드시트 프로그램을 사용하여 데이터를 조작하여 보안 조사를 강화할 수 있습니다.

참고

현재 내보내기가 진행 중인 경우 내보내기가 완료될 때까지 기다렸다가 추가 데이터를 내보냅니다.

검색 완료

검색을 완료하려면 검색할 엔터티 유형을 선택합니다. 그런 다음 와일드카드 문자 * 또는 ?를 사용하여 정확한 식별자 또는 식별자를 제공합니다. IP 주소 범위를 검색하려면 CIDR 또는 점 표기법을 사용할 수도 있습니다. 다음 예제 검색 문자열을 참조하세요.

IP 주소의 경우:

  • 1.0.*.*

  • 1.0.133.*

  • 1.0.0.0/16

  • 0.239.48.198/31

기타 모든 유형의 엔터티의 경우:

  • Admin

  • ad*

  • ad*n

  • ad*n*

  • adm?n

  • a?m*

  • *min

각 엔터티 유형에는 다음과 같은 식별자가 지원됩니다.

  • 조사 결과, 조사 결과 식별자 또는 조사 결과 Amazon 리소스 이름(ARN).

  • AWS 계정의 경우 계정 ID입니다.

  • AWS 역할 및 AWS 사용자의 경우 보안 주체 ID, 이름 또는 입니다ARN.

  • 컨테이너 클러스터의 경우 클러스터 이름 또는 ARN.

  • 컨테이너 이미지의 경우 리포지토리 또는 컨테이너 이미지의 전체 다이제스트입니다.

  • 컨테이너 포드 또는 작업의 경우 포드 이름 또는 포드UID의 입니다.

  • EC2 인스턴스의 경우 인스턴스 식별자 또는 입니다ARN.

  • 조사 결과 그룹의 경우 조사 결과 그룹 식별자입니다.

  • IP 주소의 경우 CIDR 또는 점 표기법의 주소입니다.

  • Kubernetes 객체(서비스 계정 또는 사용자)의 경우 이름입니다.

  • 역할 세션의 경우 다음 값 중 하나를 사용하여 검색할 수 있습니다.

    • 역할 세션 식별자.

      역할 세션 식별자는 <rolePrincipalID>:<sessionName> 형식을 사용합니다.

      예: AROA12345678910111213:MySession

    • 역할 세션 ARN

    • 세션 이름

    • 수임된 역할의 보안 주체 ID

    • 수임된 역할의 이름

  • S3 버킷의 경우 버킷 이름 또는 버킷 입니다ARN.

  • 페더레이션 사용자의 경우 보안 주체 ID 또는 사용자 이름입니다. 보안 주체 ID는 <identityProvider>:<username> 또는 <identityProvider>:<audience>:<username>입니다.

  • 사용자 에이전트의 경우 사용자 에이전트 이름입니다.

조사 결과 또는 엔터티 검색

  1. AWS Management Console에 로그인합니다. 그런 다음 에서 Detective 콘솔을 엽니다https://console.aws.amazon.com/detective/.

  2. 탐색 창에서 검색을 선택합니다.

  3. 유형 선택 메뉴에서 찾으려는 항목 유형을 선택합니다.

    사용자를 선택하면 AWS 사용자 또는 페더레이션 사용자를 검색할 수 있다는 점에 유의하세요.

    데이터의 예제에는 동작 그래프 데이터에 있는 선택한 유형의 식별자 샘플 세트가 포함되어 있습니다. 예제 중 하나에 대한 프로필을 표시하려면 해당 식별자를 선택합니다.

  4. 검색할 식별자를 정확히 입력하거나 와일드카드 문자가 포함된 식별자를 입력합니다.

    검색은 대/소문자를 구분하지 않습니다.

  5. 검색을 선택하거나 Enter 키를 누릅니다.

검색 결과 사용

검색을 완료하면 Detective는 최대 10,000개의 일치하는 결과 목록을 표시합니다. 고유 식별자를 사용하는 검색의 경우 일치하는 결과는 하나뿐입니다.

결과에서 엔터티 프로필 또는 조사 결과 개요로 이동하려면 식별자를 선택합니다.

조사 결과, 역할, 사용자 및 EC2 인스턴스의 경우 검색 결과에는 연결된 계정이 포함됩니다. 계정의 프로필로 이동하려면 계정 식별자를 선택합니다.

검색 문제 해결

Detective에서 조사 결과 또는 엔터티를 찾지 못할 경우 먼저 올바른 식별자를 입력했는지 확인합니다. 값이 정확하면 다음 사항도 확인할 수 있습니다.

  • 조사 결과 또는 엔터티가 동작 그래프에서 활성화된 멤버 계정에 속합니까? 관련 계정이 멤버 계정으로 동작 그래프에 초대되지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.

    초대된 멤버 계정이 초대를 수락하지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.

  • 조사 결과의 경우, 조사 결과가 보관되었습니까? Detective는 Amazon 에서 보관된 조사 결과를 수신하지 않습니다 GuardDuty.

  • Detective가 동작 그래프에 데이터를 수집하기 시작하기 전에 조사 결과 또는 엔터티가 있었습니까? Detective가 수집하는 데이터에 해당 조사 결과 또는 엔터티가 없으면 동작 그래프에 해당 데이터가 포함되지 않습니다.

  • 조사 결과 또는 엔터티가 정확한 리전에서 나온 결과입니까? 각 동작 그래프는 에 따라 다릅니다 AWS 리전. 동작 그래프에는 다른 리전의 데이터가 포함되지 않습니다.