As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Dados de origem usados em um gráfico de comportamento de Detective
Para preencher um gráfico de comportamento, o Amazon Detective usa dados de origem da conta de administrador e das contas-membro do gráfico de comportamento.
Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas.
Para obter detalhes sobre a estrutura de dados do gráfico de comportamento, consulte Visão geral da estrutura de dados do gráfico de comportamento no Guia do usuário do Detective.
Tipos de fontes de dados principais no Detective
Detective ingere dados desses tipos de registros: AWS
-
AWS CloudTrail troncos
-
Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
-
Ingere ambos IPv4 os IPv6 registros, mas não os registros MAC produzidos pelos Elastic Fabric Adapters.
-
Ingere registros de registro quando o valor do
log-statuscampo está noOKestado. Para obter mais informações, consulte Registros de log de fluxo no Guia do usuário da Amazon VPC. -
Ingere registros de fluxo produzidos por instâncias do Amazon Elastic Compute Cloud executadas somente nessas VPCs instâncias. Nenhum outro recurso, como gateways NAT, instâncias RDS ou clusters Fargate, é usado.
-
Ingere tráfego aceito e rejeitado.
-
-
Para contas cadastradas GuardDuty, o Detective também GuardDuty ingere as descobertas.
Detective consome e registra eventos de fluxo de CloudTrail VPC usando fluxos independentes e duplicativos de registros de fluxo de VPC. CloudTrail Esses processos não afetam nem usam suas configurações de log de fluxo existentes CloudTrail e de VPC. Eles também não afetam o desempenho nem aumentam seus custos com esses serviços.
Tipos de fontes de dados principais no Detective
O Detective oferece pacotes de origem opcionais, além das três fontes de dados oferecidas no pacote principal do Detective (o pacote principal inclui registros AWS CloudTrail , registros de fluxo de VPC e descobertas). GuardDuty Um pacote de fonte de dados opcional pode ser iniciado ou interrompido para um gráfico de comportamento a qualquer momento.
O Detective oferece uma avaliação gratuita de 30 dias para todos os pacotes de origem principais e opcionais por região.
nota
O Detective retém todos os dados recebidos de cada pacote de fonte de dados por até 1 ano.
Atualmente, os seguintes pacotes de origem opcionais estão disponíveis:
-
Logs de auditoria do EKS
Esse pacote de fonte de dados opcional permite que o Detective consuma informações detalhadas sobre clusters do EKS em seu ambiente e adicione esses dados ao seu gráfico de comportamento. Detective correlaciona as atividades do usuário com eventos de CloudTrail gerenciamento da AWS e atividades de rede com os registros de fluxo do Amazon VPC sem a necessidade de você habilitar ou armazenar esses registros manualmente. Para mais detalhes, consulte Registros de auditoria do Amazon EKS.
-
AWS descobertas de segurança
Esse pacote de fonte de dados opcional permite que o Detective consuma dados do Security Hub e os adicione ao gráfico de comportamento. Para mais detalhes, consulte AWS descobertas de segurança.
Iniciar ou interromper uma fonte de dados opcional:
-
Abra o console do Detective em. https://console.aws.amazon.com/detective/
-
No painel de navegação, em Configurações, selecione Geral.
-
Em Pacotes de origem opcionais, selecione Atualizar. Em seguida, selecione a fonte de dados que você deseja habilitar ou desmarque uma caixa para uma fonte de dados já habilitada e escolha Atualizar para alterar quais pacotes de fontes de dados estão habilitados.
nota
Se você parar e reiniciar uma fonte de dados opcional, verá uma lacuna nos dados exibidos em alguns perfis de entidade. Essa lacuna será anotada na tela do console e representará o período em que a fonte de dados foi interrompida. Quando uma fonte de dados é reiniciada, o Detective não faz a ingestão de dados retroativamente.
Como o Detective faz a ingestão e armazena os dados de origem
Quando o Detective está habilitado, ele começa a ingestão dos dados de origem da conta de administrador do gráfico de comportamento. À medida que as contas-membro são adicionadas ao gráfico de comportamento, o Detective também começa a usar os dados dessas contas-membro.
Os dados de origem do Detective consistem em versões estruturadas e processadas dos feeds originais. Para apoiar a análise do Detective, ele armazena cópias dos dados de origem do Detective.
O processo de ingestão do Detective alimenta os dados nos buckets do Amazon Simple Storage Service (Amazon S3) no armazenamento de dados de origem do Detective. À medida que novos dados de origem chegam, outros componentes do Detective coletam os dados e iniciam os processos de extração e análise. Para obter mais informações, consulte Como o Detective usa os dados de origem para preencher um gráfico de comportamento no Guia do usuário do Detective.
Como o Detective aplica a cota de volume de dados aos gráficos de comportamento
O Detective tem cotas rígidas no volume de dados que permite em cada gráfico de comportamento. O volume de dados é a quantidade de dados diária que flui para o gráfico de comportamento do Detective.
O Detective aplica essas cotas quando uma conta de administrador habilita o Detective e quando uma conta-membro aceita um convite para contribuir em um gráfico de comportamento.
-
Se o volume de dados de uma conta de administrador exceder 10 TB por dia, a conta de administrador não poderá habilitar o Detective.
-
Se o volume de dados adicionado de uma conta-membro fizer com que o gráfico de comportamento exceda 10 TB por dia, a conta-membro não poderá ser habilitada.
O volume de dados de um gráfico de comportamento também pode crescer naturalmente com o tempo. O Detective verifica diariamente o volume de dados do gráfico de comportamento para garantir que ele não exceda a cota.
Se o volume de dados do gráfico de comportamento estiver se aproximando da cota, o Detective exibirá uma mensagem de aviso no console. Para evitar exceder a cota, você pode remover contas-membro.
Se o volume de dados do gráfico de comportamento exceder 10 TB por dia, você não poderá adicionar novas contas-membro ao gráfico de comportamento.
Se o volume de dados do gráfico de comportamento exceder 15 TB por dia, o Detective interrompe a ingestão de dados no gráfico de comportamento. A cota diária de 15 TB reflete tanto o volume de dados normal quanto os picos no volume de dados. Quando essa cota é atingida, nenhum dado novo é inserido no gráfico de comportamento, mas os dados existentes não são removidos. Você ainda pode usar o histórico desses dados para investigação. O console exibe uma mensagem para indicar que a ingestão de dados está suspensa para o gráfico de comportamento.
Se a ingestão de dados for suspensa, você deverá trabalhar com ela Suporte para reativá-la. Se possível, antes de entrar em contato Suporte, tente remover as contas dos membros para que o volume de dados fique abaixo da cota. Isso facilita a reativação da ingestão de dados no gráfico de comportamento.
