本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 调查发现群组的信息调查发现 Amazon Detective 会根据您在过去 45 天内收集的行为图中的数据,识别与调查发现群组相关的其他信息。Detective 将这一信息作为一项调查发现与**信息**严重性一并提交。证据提供了辅助信息,突出显示了在调查发现群组内可能可疑的异常活动或未知行为。这可能包括在调查发现的范围内新观察到的地理位置或观察到的 API 调用。证据发现只能在 Detective 中查看,不会发送到。AWS Security Hub CSPM Detective 使用 MaxMind GeoIP 数据库确定请求的位置。 MaxMind 尽管准确性因国家和知识产权类型等因素而异,但它们在国家一级的数据的准确性非常高。有关的更多信息 MaxMind,请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何 GeoIP 数据不正确,可以通过 “更正地理数据” 向 Maxmind 提交更[MaxMind 正](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2 您可以观察不同主体类型(例如 IAM 用户或 IAM 角色)的证据。对于某些证据类型,您可以观察**所有账户**的证据。这意味着证据会影响您的整个行为图。如果在所有账户中都观察到证据调查发现,则在单个 IAM 角色中也会看到至少一个相同类型的其他信息证据调查发现。例如,如果出现**观察到所有账户新的地理位置**调查发现,则会出现另一个**观察到主体新的地理位置**。 ****调查发现群体的证据类型**** + 观察到新的地理位置 + 观察到新的自治系统组织 (ASO) + 观察到新的用户代理 + 已发出新的 API 调用 + 观察到所有账户新的地理位置 + 观察到所有账户新的 IAM 主体