As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Dados em um gráfico de comportamento de Detective
No Amazon Detective, você conduz investigações usando dados de um gráfico de comportamento do Detective. Nesta seção, você pode aprender sobre as principais fontes de dados usadas em um gráfico de comportamento de Detective e como o Detective usa os dados de origem para preenchê-lo.
Um gráfico de comportamento é um conjunto vinculado de dados gerados a partir dos dados de origem do Detective que são ingeridos de uma ou mais contas da Amazon Web Services (AWS).
O gráfico de comportamento usa os dados de origem para fazer o seguinte.
+ Gerar um panorama de seus sistemas, usuários e das interações entre eles ao longo do tempo
+ Realizar uma análise mais detalhada de atividades específicas para ajudar você a responder às perguntas que surgirem durante a condução de investigações
+ Correlacionar coleções de descobertas, entidades e evidências que podem se referir ao mesmo evento ou problema de segurança.
Observe que toda extração, modelagem e análise de dados do gráfico de comportamento ocorre dentro do contexto de cada gráfico de comportamento individual.
Cada gráfico de comportamento contém dados de uma ou mais contas. Quando uma conta habilita o Detective, ela se torna a conta de administrador do gráfico de comportamento e escolhe as contas-membro do gráfico de comportamento. Um gráfico de comportamento pode ter até 1.200 contas-membro. Para obter informações sobre como uma conta de administrador gerencia as contas dos membros em um gráfico de comportamento, consulte [Gerenciamento de contas no Detective](https://docs.aws.amazon.com/detective/latest/userguide/accounts.html).
**Topics**
+ [Como o Detective preenche um gráfico de comportamento](behavior-graph-population-about.md)
+ [Período de treinamento para novos gráficos de comportamento de Detectives](detective-data-training-period.md)
+ [Visão geral da estrutura de dados do gráfico de comportamento](graph-data-structure-overview.md)
+ [Dados de origem usados em um gráfico de comportamento de Detective](detective-source-data-about.md)
# Como o Detective preenche um gráfico de comportamento
Para fornecer os dados brutos para investigações, o Detective reúne dados de todo o seu ambiente da AWS e de outros lugares, inclusive o seguinte:
+ Dados de log, incluindo Amazon Virtual Private Cloud (Amazon VPC) e AWS CloudTrail
+ Descobertas da Amazon GuardDuty
+ Descobertas de AWS Security Hub CSPM
Para saber mais sobre os dados de origem usados em um gráfico de comportamento, consulte [Dados de origem usados em um gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
## Como o Detective processa os dados de origem
À medida que novos dados chegam, o Detective usa uma combinação de extração e análise para preencher o gráfico de comportamento.
![\[Diagrama mostrando o fluxo de dados de origem recebidos no Detective, onde são usados para preencher o gráfico de comportamento.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)
## Extração do Detective
A extração é baseada em regras de mapeamento configuradas. Uma regra de mapeamento basicamente diz: “Sempre que você ver esse dado, use-o dessa forma específica para atualizar os dados do gráfico de comportamento”.
Por exemplo, um registro de dados de origem do Detective recebido pode incluir um endereço IP. Se isso acontecer, o Detective usa as informações desse registro para criar uma nova entidade de endereço IP ou atualizar uma entidade de endereço IP existente.
## Análise do Detective
As análises são algoritmos mais complexos que analisam os dados para fornecer informações sobre as atividades associadas às entidades.
Por exemplo, um tipo de análise do Detective analisa a frequência com que a atividade ocorre por meio da execução de algoritmos. Para entidades que fazem chamadas de API, o algoritmo procura chamadas de API que a entidade normalmente não usa. O algoritmo também busca um grande aumento no número de chamadas de API.
Os insights analíticos apoiam as investigações ao fornecerem respostas às principais perguntas dos analistas e são frequentemente usados para preencher painéis de perfil de descobertas e entidades.
# Período de treinamento para novos gráficos de comportamento de Detectives
Uma via de investigação de uma descoberta é comparar a atividade durante o escopo de tempo da descoberta com a atividade que ocorreu antes da descoberta ser detectada. Atividades que não foram vistas antes podem ser mais propensas a serem suspeitas.
Alguns painéis de perfil do Amazon Detective destacam atividades que não foram observadas durante o período anterior à descoberta. Vários painéis de perfil também exibem um valor de linha de base para mostrar a atividade média durante os 45 dias anteriores ao escopo de tempo. O tempo do escopo é o resumo da atividade de uma entidade ao longo do tempo.
À medida que mais dados são extraídos para o gráfico de comportamento, o Detective desenvolve uma imagem mais precisa de qual atividade é normal em sua organização e qual atividade é incomum.
No entanto, para criar essa imagem, o Detective precisa acessar pelo menos duas semanas de dados. A maturidade da análise do Detective também aumenta com o número de contas no gráfico de comportamento.
As primeiras duas semanas após a habilitação do Detective são consideradas um período de treinamento. Durante esse período, painéis de perfil que comparam a atividade do escopo de tempo com a atividade anterior exibem uma mensagem de que o Detective está em um período de treinamento.
Durante o período de teste, o Detective recomenda que você adicione o máximo possível de contas de membros ao gráfico de comportamento. Isso fornece ao Detective um conjunto maior de dados, o que permite gerar uma imagem mais precisa da atividade normal de sua organização.
# Visão geral da estrutura de dados do gráfico de comportamento
A estrutura de dados do gráfico de comportamento define a estrutura dos dados extraídos e analisados. Também define como os dados de origem são mapeados para o gráfico de comportamento.
## Tipos de elementos na estrutura de dados do gráfico de comportamento
A estrutura de dados do gráfico de comportamento tem os seguintes elementos de informação.
****Entidade****
Uma entidade representa um item extraído dos dados de origem do Detective.
Cada entidade tem um tipo, que identifica o tipo de objeto que ela representa. Exemplos de tipos de entidades incluem endereços IP, instâncias do Amazon EC2 e AWS usuários.
Para cada entidade, os dados de origem também são usados para preencher as propriedades da entidade. Os valores das propriedades podem ser extraídos diretamente dos registros de origem ou agregados em vários registros.
Algumas propriedades consistem em um único valor escalar ou agregado. Por exemplo, para uma instância do EC2, o Detective rastreia o tipo de instância e o número total de bytes processados.
As propriedades das séries temporais rastreiam a atividade ao longo do tempo. Por exemplo, para uma instância do EC2, o Detective rastreia ao longo do tempo as portas exclusivas que foram usadas.
****Relacionamentos****
Um relacionamento representa a atividade que ocorre entre entidades individuais. Os relacionamentos também são extraídos dos dados de origem do Detective.
Semelhante a uma entidade, um relacionamento tem um tipo, que identifica os tipos de entidades envolvidas e a direção da conexão. Um exemplo de tipo de relacionamento é um endereço IP conectado a instâncias do EC2.
Para cada relacionamento individual, como um endereço IP específico conectado a uma instância específica, o Detective rastreia as ocorrências ao longo do tempo.
## Tipos de entidades na estrutura de dados do gráfico de comportamento
A estrutura de dados do gráfico de comportamento consiste em tipos de entidade e relacionamento que fazem o seguinte:
+ Rastreiam os servidores, endereços IP e agentes de usuário que estão sendo usados
+ Acompanhe os AWS usuários, funções e contas que estão sendo usados
+ Rastreiam as conexões de rede e as autorizações que ocorrem no ambiente da AWS
A estrutura de dados do gráfico de comportamento contém os seguintes tipos de entidade.
**AWS conta**
AWS contas que estão presentes nos dados de origem do Detective.
Para cada conta, o Detective responde a várias perguntas:
+ Quais chamadas de API a conta usou?
+ Quais agentes de usuário a conta usou?
+ Quais organizações de sistema autônomo (ASOs) a conta usou?
+ Em quais localizações geográficas a conta está ativa?
**AWS papel**
AWS funções que estão presentes nos dados de origem do Detective.
Para cada função, o Detective responde a várias perguntas:
+ Quais chamadas de API a função usou?
+ Quais agentes de usuário a função usou?
+ Qual ASOs foi a função usada?
+ Em quais localizações geográficas a função está ativa?
+ Quais recursos assumiram essa função?
+ Quais funções essa função assumiu?
+ Quais sessões de função envolveram essa função?
**AWS usuário**
AWS usuários que estão presentes nos dados de origem do Detective.
Para cada usuário, o Detective responde a várias perguntas:
+ Quais chamadas de API o usuário usou?
+ Quais agentes de usuário o usuário usou?
+ Em quais localizações geográficas o usuário está ativo?
+ Quais funções esse usuário assumiu?
+ Quais sessões de função envolveram esse usuário?
**Usuário federado**
Instâncias de um usuário federado. Os exemplos de usuários federados incluem o seguinte:
+ Uma identidade que faz login usando Security Assertion Markup Language (SAML)
+ Uma identidade que faz login usando a federação de identidades da web
Para cada usuário federado, o Detective responde a várias perguntas:
+ Com qual provedor de identidade o usuário federado se autenticou?
+ Qual foi o público do usuário federado? O público identifica o aplicativo que solicitou o token de identidade da web do usuário federado.
+ Em quais localizações geográficas o usuário federado está ativo?
+ Quais agentes de usuário o usuário federado usou?
+ O ASOs que o usuário federado usou?
+ Quais funções esse usuário federado assumiu?
+ Quais sessões de função envolveram esse usuário federado?
**Instância do EC2**
Instâncias do EC2 presentes nos dados de origem do Detective.
Para instâncias do EC2, o Detective responde a várias perguntas:
+ Quais endereços IP se comunicaram com a instância?
+ Quais portas foram usadas para se comunicar com a instância?
+ Qual volume de dados foi enviado de e para a instância?
+ Qual VPC contém a instância?
+ Quais chamadas de API a instância do EC2 usou?
+ Quais agentes de usuário a instância do EC2 usou?
+ Quais ASOs a instância do EC2 usou?
+ Em quais localizações geográficas a instância do EC2 está ativa?
+ Quais funções a instância do EC2 assumiu?
**Sessão de função**
Instâncias de um recurso que está assumindo uma função. Cada sessão de função é identificada pelo identificador da função e pelo nome da sessão.
Para cada função, o Detective responde a várias perguntas:
+ Quais recursos estavam envolvidos nessa sessão de função? Em outras palavras, qual função foi assumida e qual recurso assumiu a função?
Observe que, para funções assumidas entre contas, o Detective não consegue identificar o recurso que assumiu a função.
+ Quais chamadas de API a sessão de função usou?
+ Quais agentes de usuário a sessão de função usou?
+ O ASOs que a sessão de funções usou?
+ Em quais localizações geográficas a sessão de função está ativa?
+ Qual usuário ou função iniciou essa sessão de função?
+ Quais sessões de função iniciaram a partir dessa sessão de função?
**Descoberta**
Descobertas descobertas pela Amazon GuardDuty que são inseridas nos dados de origem do Detective.
Para cada descoberta, o Detective rastreia o tipo de descoberta, a origem e a janela de tempo da atividade da descoberta.
Também armazena informações específicas da descoberta, como funções ou endereços IP envolvidos na atividade detectada.
**IP address (endereço de IP)**
Endereços IP presentes nos dados de origem do Detective.
Para cada endereço IP, o Detective responde a várias perguntas:
+ Quais chamadas de API o endereço usou?
+ Quais portas o endereço usou?
+ Quais usuários e agentes de usuário usaram o endereço IP?
+ Em quais localizações geográficas o endereço IP está ativo?
+ A quais instâncias do EC2 esse endereço IP foi atribuído e com as quais se comunicou?
**Bucket do S3**
Buckets do S3 que estão nos dados de origem do Detective.
Para cada bucket do S3, o Detective responde a várias perguntas:
+ Quais entidades principais interagiram com o bucket do S3?
+ Quais chamadas de API foram feitas para o bucket do S3?
+ De quais localizações geográficas as entidades principais fizeram chamadas de API para o bucket do S3?
+ Quais agentes de usuário foram usados para interagir com o bucket do S3?
+ O que ASOs foi usado para interagir com o bucket S3?
Você pode excluir um bucket do S3 e, em seguida, criar um novo bucket com o mesmo nome. Como o Detective usa o nome do bucket do S3 para identificá-lo, ele os trata como uma única entidade do bucket do S3. No perfil da entidade, o **Horário de criação** é o primeiro horário de criação. O **Horário de exclusão** é o horário de exclusão mais recente.
Para visualizar todos os eventos de criação e exclusão, defina o escopo de tempo para começar com o horário de criação e terminar com o horário de exclusão. No painel de perfil **Volume geral de chamadas de API**, exiba os detalhes da atividade para o escopo de tempo. Filtre os métodos da API para mostrarem os métodos `Create` e `Delete`. Consulte [Detalhes da atividade para o volume geral de chamadas de API](profile-panel-drilldown-overall-api-volume.md).
**Agente de usuário**
Agentes de usuário presentes nos dados de origem do Detective.
Para cada agente de usuário, o Detective responde a perguntas como as seguintes:
+ Quais chamadas de API o agente de usuário usou?
+ Quais usuários e funções usaram o agente de usuário?
+ Quais endereços IP usaram o e agente de usuário?
**Cluster do EKS**
Clusters do EKS presentes nos dados de origem do Detective.
Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte [Fontes de dados opcionais](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Para cada cluster do EKS, o Detective responde a perguntas como as seguintes:
+ Quais chamadas de API do Kubernetes foram executadas nesse cluster?
+ Quais usuários e contas de serviço (sujeitos) do Kubernetes estão ativos nesse cluster?
+ Quais contêineres foram iniciados nesse cluster?
+ Quais imagens são usadas para iniciar contêineres nesse cluster?
**Pod do Kubernetes**
Pods do Kubernetes presentes nos dados de origem do Detective.
Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte [Fontes de dados opcionais](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Para cada pod, o Detective responde a perguntas como as seguintes:
+ Quais imagens de contêiner nesse pod são comuns em minhas contas?
+ Qual atividade foi direcionada a esse pod?
+ Quais contêineres funcionam nesse pod?
+ Os registros dos contêineres nesse pod são comuns em minhas contas?
+ Quais outros contêineres estão funcionando nos outros pods do workload?
+ Há algum contêiner anômalo nesse pod que não esteja nos outros pods do workload?
**Imagem de contêiner**
Imagens de contêiner presentes nos dados de origem do Detective.
Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte [Fontes de dados opcionais](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Para cada imagem de contêiner, o Detective responde a perguntas como as seguintes:
+ Quais outras imagens no meu ambiente compartilham o mesmo repositório ou registro com essa imagem?
+ Quantas cópias dessa imagem estão sendo executadas no meu ambiente?
**Sujeito do Kubernetes**
Sujeitos do Kubernetes presentes nos dados de origem do Detective. Um sujeito do Kubernetes é um usuário ou conta de serviço.
Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte [Fontes de dados opcionais](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Para cada sujeito, o Detective responde a perguntas como as seguintes:
+ Quais entidades principais do IAM foram autenticadas como esse sujeito?
+ Quais descobertas estão associadas a esse sujeito?
+ Quais endereços IP o sujeito está usando?
# Dados de origem usados em um gráfico de comportamento de Detective
Para preencher um gráfico de comportamento, o Amazon Detective usa dados de origem da conta de administrador e das contas-membro do gráfico de comportamento.
Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas.
![\[Diagrama mostrando como um gráfico de comportamento usa dados da conta de administrador e das contas-membro e usa a estrutura de dados do gráfico de comportamento.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/diagram_graph_structure_overview.png)
Para obter detalhes sobre a estrutura de dados do gráfico de comportamento, consulte [Visão geral da estrutura de dados do gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) no *Guia do usuário do Detective*.
## Tipos de fontes de dados principais no Detective
Detective ingere dados desses tipos de registros: AWS
+ AWS CloudTrail troncos
+ Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
+ Ingere ambos IPv4 os IPv6 registros, mas não os registros MAC produzidos pelos Elastic Fabric Adapters.
+ Ingere registros de registro quando o valor do `log-status` campo está no `OK` estado. Para obter mais informações, consulte [Registros de log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields) no Guia do usuário da Amazon VPC.
+ Ingere registros de fluxo produzidos por instâncias do Amazon Elastic Compute Cloud executadas somente nessas VPCs instâncias. Nenhum outro recurso, como gateways NAT, instâncias RDS ou clusters Fargate, é usado.
+ Ingere tráfego aceito e rejeitado.
+ Para contas cadastradas GuardDuty, o Detective também GuardDuty ingere as descobertas.
Detective consome e registra eventos de fluxo de CloudTrail VPC usando fluxos independentes e duplicativos de registros de fluxo de VPC. CloudTrail Esses processos não afetam nem usam suas configurações de log de fluxo existentes CloudTrail e de VPC. Eles também não afetam o desempenho nem aumentam seus custos com esses serviços.
## Tipos de fontes de dados principais no Detective
O Detective oferece pacotes de origem opcionais, além das três fontes de dados oferecidas no pacote principal do Detective (o pacote principal inclui registros AWS CloudTrail , registros de fluxo de VPC e descobertas). GuardDuty Um pacote de fonte de dados opcional pode ser iniciado ou interrompido para um gráfico de comportamento a qualquer momento.
O Detective oferece uma avaliação gratuita de 30 dias para todos os pacotes de origem principais e opcionais por região.
**nota**
O Detective retém todos os dados recebidos de cada pacote de fonte de dados por até 1 ano.
Atualmente, os seguintes pacotes de origem opcionais estão disponíveis:
+ **Logs de auditoria do EKS**
Esse pacote de fonte de dados opcional permite que o Detective consuma informações detalhadas sobre clusters do EKS em seu ambiente e adicione esses dados ao seu gráfico de comportamento. Detective correlaciona as atividades do usuário com eventos de CloudTrail gerenciamento da AWS e atividades de rede com os registros de fluxo do Amazon VPC sem a necessidade de você habilitar ou armazenar esses registros manualmente. Para mais detalhes, consulte [Registros de auditoria do Amazon EKS](source-data-types-EKS.md).
+ **AWS descobertas de segurança**
Esse pacote de fonte de dados opcional permite que o Detective consuma dados do CSPM do Security Hub e adicione esses dados ao seu gráfico de comportamento. Para mais detalhes, consulte [**AWS descobertas de segurança**](source-data-types-asff.md).
****Iniciar ou interromper uma fonte de dados opcional:****
1. Abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)
1. No painel de navegação, em **Configurações**, selecione **Geral**.
1. Em **Pacotes de origem opcionais**, selecione **Atualizar**. Em seguida, selecione a fonte de dados que você deseja habilitar ou desmarque uma caixa para uma fonte de dados já habilitada e escolha **Atualizar** para alterar quais pacotes de fontes de dados estão habilitados.
**nota**
Se você parar e reiniciar uma fonte de dados opcional, verá uma lacuna nos dados exibidos em alguns perfis de entidade. Essa lacuna será anotada na tela do console e representará o período em que a fonte de dados foi interrompida. Quando uma fonte de dados é reiniciada, o Detective não faz a ingestão de dados retroativamente.
# Registros de auditoria do Amazon EKS
Logs de auditoria do Amazon EKS são um pacote de origem de dados opcional que pode ser adicionado ao seu gráfico de comportamento do Detective. Você pode visualizar os pacotes de origem opcionais disponíveis e seu status na sua conta na página **Configurações** no console ou por meio da API do Detective.
Uma avaliação gratuita de 30 dias é fornecida para essa fonte de dados. Para saber mais, consulte [Avaliação gratuita para fontes de dados opcionais](free-trial-overview.md#free-trial-datasource).
A habilitação dos logs de auditoria do Amazon EKS permite que o Detective adicione informações detalhadas sobre recursos criados com o Amazon EKS ao seu gráfico de comportamento. Essa fonte de dados aprimora as informações fornecidas sobre os seguintes tipos de entidade: cluster do EKS, pod do Kubernetes, imagem do contêiner e sujeitos do Kubernetes.
Além disso, se você habilitou os registros de auditoria do EKS como fonte de dados na Amazon, GuardDuty poderá ver detalhes das descobertas do Kubernetes em. GuardDuty Para obter mais informações sobre como ativar essa fonte de dados, GuardDuty consulte Proteção do [Kubernetes na Amazon. GuardDuty](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html)
**nota**
Essa fonte de dados é habilitada por padrão para novos gráficos de comportamento criados após 26 de julho de 2022. Para gráficos de comportamento criados antes de 26 de julho de 2022, ela deve ser habilitada manualmente.
****Adicionar ou remover logs de auditoria do Amazon EKS como fonte de dados opcional:****
1. Abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)
1. No painel de navegação, em **Configurações**, selecione **Geral**.
1. Em **Pacotes de origem**, selecione **Logs de auditoria do EKS** para habilitar essa fonte de dados. Se já estiver habilitada, selecione-o novamente para parar a ingestão de **logs de auditoria do EKS** no gráfico de comportamento.
# **AWS descobertas de segurança**
**AWS as descobertas de segurança** são um pacote de fonte de dados opcional que pode ser adicionado ao seu gráfico de comportamento de Detective.
Você pode visualizar os pacotes de origem opcionais disponíveis e seu status na sua conta na página Configurações no console ou por meio da API do Detective.
Uma avaliação gratuita de 30 dias é fornecida para essa fonte de dados. Para saber mais, consulte [Avaliação gratuita para fontes de dados opcionais](free-trial-overview.md#free-trial-datasource).
Habilitar **as descobertas de AWS segurança** permite que o Detective use as descobertas do CSPM do Security Hub agregadas pelo Security Hub a partir de serviços upstream em um formato padrão de descobertas chamado AWS Security Format (ASFF), que elimina a necessidade de esforços demorados de conversão de dados. Ele correlaciona as descobertas ingeridas nos produtos para priorizar as mais importantes.
****Adicionar ou remover descobertas AWS de segurança como fonte de dados opcional:****
**nota**
A fonte de dados de descobertas de AWS segurança é ativada por padrão para novos gráficos de comportamento criados após 16 de maio de 2023. Para gráficos de comportamento criados antes de 16 de maio de 2023, ela deve ser habilitada manualmente.
1. Abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)
1. No painel de navegação, em **Configurações**, selecione **Geral**.
1. Em **Pacotes de origem**, selecione descobertas AWS de segurança para habilitar essa fonte de dados. Se já estiver habilitada, selecione-o novamente para interromper a ingestão das descobertas do AWS Security Finding Format (ASFF) em seu gráfico de comportamento.
## Descobertas atualmente compatíveis
Detective ingere todas as descobertas do ASFF no Security Hub CSPM de serviços que são de propriedade da Amazon ou. AWS
+ Para ver a lista de integrações de serviços compatíveis, consulte Integrações de [serviços da AWS disponíveis](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html) no Guia do AWS Security Hub usuário.
+ Para ver a lista de recursos compatíveis, consulte [Recursos](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html) no Guia do usuário do AWS Security Hub .
+ AWS As descobertas de serviços com um status de conformidade não definido `FAILED` e as descobertas agregadas entre regiões não são ingeridas.
## Como o Detective faz a ingestão e armazena os dados de origem
Quando o Detective está habilitado, ele começa a ingestão dos dados de origem da conta de administrador do gráfico de comportamento. À medida que as contas-membro são adicionadas ao gráfico de comportamento, o Detective também começa a usar os dados dessas contas-membro.
Os dados de origem do Detective consistem em versões estruturadas e processadas dos feeds originais. Para apoiar a análise do Detective, ele armazena cópias dos dados de origem do Detective.
O processo de ingestão do Detective alimenta os dados nos buckets do Amazon Simple Storage Service (Amazon S3) no armazenamento de dados de origem do Detective. À medida que novos dados de origem chegam, outros componentes do Detective coletam os dados e iniciam os processos de extração e análise. Para obter mais informações, consulte [Como o Detective usa os dados de origem para preencher um gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) no *Guia do usuário do Detective*.
## Como o Detective aplica a cota de volume de dados aos gráficos de comportamento
O Detective tem cotas rígidas no volume de dados que permite em cada gráfico de comportamento. O volume de dados é a quantidade de dados diária que flui para o gráfico de comportamento do Detective.
O Detective aplica essas cotas quando uma conta de administrador habilita o Detective e quando uma conta-membro aceita um convite para contribuir em um gráfico de comportamento.
+ Se o volume de dados de uma conta de administrador exceder 10 TB por dia, a conta de administrador não poderá habilitar o Detective.
+ Se o volume de dados adicionado de uma conta-membro fizer com que o gráfico de comportamento exceda 10 TB por dia, a conta-membro não poderá ser habilitada.
O volume de dados de um gráfico de comportamento também pode crescer naturalmente com o tempo. O Detective verifica diariamente o volume de dados do gráfico de comportamento para garantir que ele não exceda a cota.
Se o volume de dados do gráfico de comportamento estiver se aproximando da cota, o Detective exibirá uma mensagem de aviso no console. Para evitar exceder a cota, você pode remover contas-membro.
Se o volume de dados do gráfico de comportamento exceder 10 TB por dia, você não poderá adicionar novas contas-membro ao gráfico de comportamento.
Se o volume de dados do gráfico de comportamento exceder 15 TB por dia, o Detective interrompe a ingestão de dados no gráfico de comportamento. A cota diária de 15 TB reflete tanto o volume de dados normal quanto os picos no volume de dados. Quando essa cota é atingida, nenhum dado novo é inserido no gráfico de comportamento, mas os dados existentes não são removidos. Você ainda pode usar o histórico desses dados para investigação. O console exibe uma mensagem para indicar que a ingestão de dados está suspensa para o gráfico de comportamento.
Se a ingestão de dados for suspensa, você deverá trabalhar com ela Suporte para reativá-la. Se possível, antes de entrar em contato Suporte, tente remover as contas dos membros para que o volume de dados fique abaixo da cota. Isso facilita a reativação da ingestão de dados no gráfico de comportamento.