Visão geral da estrutura de dados do gráfico de comportamento - Amazon Detective
Tipos de elementos na estrutura de dados do gráfico de comportamentoTipos de entidades na estrutura de dados do gráfico de comportamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento define a estrutura dos dados extraídos e analisados. Também define como os dados de origem são mapeados para o gráfico de comportamento.

Tipos de elementos na estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento tem os seguintes elementos de informação.

Entidade

Uma entidade representa um item extraído dos dados de origem do Detective.

Cada entidade tem um tipo, que identifica o tipo de objeto que ela representa. Exemplos de tipos de entidades incluem endereços IP, EC2 instâncias da Amazon e AWS usuários.

Para cada entidade, os dados de origem também são usados para preencher as propriedades da entidade. Os valores das propriedades podem ser extraídos diretamente dos registros de origem ou agregados em vários registros.

Algumas propriedades consistem em um único valor escalar ou agregado. Por exemplo, para uma EC2 instância, o Detective rastreia o tipo de instância e o número total de bytes processados.

As propriedades das séries temporais rastreiam a atividade ao longo do tempo. Por exemplo, por EC2 exemplo, o Detective rastreia ao longo do tempo as portas exclusivas que ele usou.

Relacionamentos

Um relacionamento representa a atividade que ocorre entre entidades individuais. Os relacionamentos também são extraídos dos dados de origem do Detective.

Semelhante a uma entidade, um relacionamento tem um tipo, que identifica os tipos de entidades envolvidas e a direção da conexão. Um exemplo de tipo de relacionamento são os endereços IP que se conectam às EC2 instâncias.

Para cada relacionamento individual, como um endereço IP específico conectado a uma instância específica, o Detective rastreia as ocorrências ao longo do tempo.

Tipos de entidades na estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento consiste em tipos de entidade e relacionamento que fazem o seguinte:

  • Rastreiam os servidores, endereços IP e agentes de usuário que estão sendo usados

  • Acompanhe os AWS usuários, funções e contas que estão sendo usados

  • Rastreiam as conexões de rede e as autorizações que ocorrem no ambiente da AWS

A estrutura de dados do gráfico de comportamento contém os seguintes tipos de entidade.

AWS conta

AWS contas que estão presentes nos dados de origem do Detective.

Para cada conta, o Detective responde a várias perguntas:

  • Quais chamadas de API a conta usou?

  • Quais agentes de usuário a conta usou?

  • Quais organizações de sistema autônomo (ASOs) a conta usou?

  • Em quais localizações geográficas a conta está ativa?

AWS papel

AWS funções que estão presentes nos dados de origem do Detective.

Para cada função, o Detective responde a várias perguntas:

  • Quais chamadas de API a função usou?

  • Quais agentes de usuário a função usou?

  • Qual ASOs foi a função usada?

  • Em quais localizações geográficas a função está ativa?

  • Quais recursos assumiram essa função?

  • Quais funções essa função assumiu?

  • Quais sessões de função envolveram essa função?

AWS usuário

AWS usuários que estão presentes nos dados de origem do Detective.

Para cada usuário, o Detective responde a várias perguntas:

  • Quais chamadas de API o usuário usou?

  • Quais agentes de usuário o usuário usou?

  • Em quais localizações geográficas o usuário está ativo?

  • Quais funções esse usuário assumiu?

  • Quais sessões de função envolveram esse usuário?

Usuário federado

Instâncias de um usuário federado. Os exemplos de usuários federados incluem o seguinte:

  • Uma identidade que faz login usando Security Assertion Markup Language (SAML)

  • Uma identidade que faz login usando a federação de identidades da web

Para cada usuário federado, o Detective responde a várias perguntas:

  • Com qual provedor de identidade o usuário federado se autenticou?

  • Qual foi o público do usuário federado? O público identifica o aplicativo que solicitou o token de identidade da web do usuário federado.

  • Em quais localizações geográficas o usuário federado está ativo?

  • Quais agentes de usuário o usuário federado usou?

  • O ASOs que o usuário federado usou?

  • Quais funções esse usuário federado assumiu?

  • Quais sessões de função envolveram esse usuário federado?

EC2 instância

EC2 instâncias que estão presentes nos dados de origem do Detective.

Por exemplo EC2 , Detective responde a várias perguntas:

  • Quais endereços IP se comunicaram com a instância?

  • Quais portas foram usadas para se comunicar com a instância?

  • Qual volume de dados foi enviado de e para a instância?

  • Qual VPC contém a instância?

  • Quais chamadas de API a EC2 instância usou?

  • Quais agentes de usuário a EC2 instância usou?

  • O ASOs que a EC2 instância usou?

  • Em quais localizações geográficas a EC2 instância está ativa?

  • Quais funções a EC2 instância assumiu?

Sessão de função

Instâncias de um recurso que está assumindo uma função. Cada sessão de função é identificada pelo identificador da função e pelo nome da sessão.

Para cada função, o Detective responde a várias perguntas:

  • Quais recursos estavam envolvidos nessa sessão de função? Em outras palavras, qual função foi assumida e qual recurso assumiu a função?

    Observe que, para funções assumidas entre contas, o Detective não consegue identificar o recurso que assumiu a função.

  • Quais chamadas de API a sessão de função usou?

  • Quais agentes de usuário a sessão de função usou?

  • O ASOs que a sessão de funções usou?

  • Em quais localizações geográficas a sessão de função está ativa?

  • Qual usuário ou função iniciou essa sessão de função?

  • Quais sessões de função iniciaram a partir dessa sessão de função?

Descoberta

Descobertas descobertas pela Amazon GuardDuty que são inseridas nos dados de origem do Detective.

Para cada descoberta, o Detective rastreia o tipo de descoberta, a origem e a janela de tempo da atividade da descoberta.

Também armazena informações específicas da descoberta, como funções ou endereços IP envolvidos na atividade detectada.

IP address (endereço de IP)

Endereços IP presentes nos dados de origem do Detective.

Para cada endereço IP, o Detective responde a várias perguntas:

  • Quais chamadas de API o endereço usou?

  • Quais portas o endereço usou?

  • Quais usuários e agentes de usuário usaram o endereço IP?

  • Em quais localizações geográficas o endereço IP está ativo?

  • A quais EC2 instâncias esse endereço IP foi atribuído e com as quais foi comunicado?

Bucket do S3

Buckets do S3 que estão nos dados de origem do Detective.

Para cada bucket do S3, o Detective responde a várias perguntas:

  • Quais entidades principais interagiram com o bucket do S3?

  • Quais chamadas de API foram feitas para o bucket do S3?

  • De quais localizações geográficas as entidades principais fizeram chamadas de API para o bucket do S3?

  • Quais agentes de usuário foram usados para interagir com o bucket do S3?

  • O que ASOs foi usado para interagir com o bucket S3?

Você pode excluir um bucket do S3 e, em seguida, criar um novo bucket com o mesmo nome. Como o Detective usa o nome do bucket do S3 para identificá-lo, ele os trata como uma única entidade do bucket do S3. No perfil da entidade, o Horário de criação é o primeiro horário de criação. O Horário de exclusão é o horário de exclusão mais recente.

Para visualizar todos os eventos de criação e exclusão, defina o escopo de tempo para começar com o horário de criação e terminar com o horário de exclusão. No painel de perfil Volume geral de chamadas de API, exiba os detalhes da atividade para o escopo de tempo. Filtre os métodos da API para mostrarem os métodos Create e Delete. Consulte Detalhes da atividade para o volume geral de chamadas de API.

Agente de usuário

Agentes de usuário presentes nos dados de origem do Detective.

Para cada agente de usuário, o Detective responde a perguntas como as seguintes:

  • Quais chamadas de API o agente de usuário usou?

  • Quais usuários e funções usaram o agente de usuário?

  • Quais endereços IP usaram o e agente de usuário?

Cluster do EKS

Clusters do EKS presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada cluster do EKS, o Detective responde a perguntas como as seguintes:

  • Quais chamadas de API do Kubernetes foram executadas nesse cluster?

  • Quais usuários e contas de serviço (sujeitos) do Kubernetes estão ativos nesse cluster?

  • Quais contêineres foram iniciados nesse cluster?

  • Quais imagens são usadas para iniciar contêineres nesse cluster?

Pod do Kubernetes

Pods do Kubernetes presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada pod, o Detective responde a perguntas como as seguintes:

  • Quais imagens de contêiner nesse pod são comuns em minhas contas?

  • Qual atividade foi direcionada a esse pod?

  • Quais contêineres funcionam nesse pod?

  • Os registros dos contêineres nesse pod são comuns em minhas contas?

  • Quais outros contêineres estão funcionando nos outros pods do workload?

  • Há algum contêiner anômalo nesse pod que não esteja nos outros pods do workload?

Imagem de contêiner

Imagens de contêiner presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada imagem de contêiner, o Detective responde a perguntas como as seguintes:

  • Quais outras imagens no meu ambiente compartilham o mesmo repositório ou registro com essa imagem?

  • Quantas cópias dessa imagem estão sendo executadas no meu ambiente?

Sujeito do Kubernetes

Sujeitos do Kubernetes presentes nos dados de origem do Detective. Um sujeito do Kubernetes é um usuário ou conta de serviço.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos logs de auditoria do EKS deve estar habilitada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada sujeito, o Detective responde a perguntas como as seguintes:

  • Quais entidades principais do IAM foram autenticadas como esse sujeito?

  • Quais descobertas estão associadas a esse sujeito?

  • Quais endereços IP o sujeito está usando?