本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Detective 摘要仪表板
<a name="summary-page"></a>

使用 Amazon Detective 中的 “摘要” 控制面板来识别需要调查过去 24 小时内活动起源的实体。Amazon Detective 摘要控制面板可帮助您识别与特定类型的异常活动相关的实体。这是调查的几个可能起点之一。

要显示 “**摘要**” 面板，请在 Detective 导航窗格中选择 “**摘要**”。首次打开 Detective 控制台时，也会默认显示 “**摘要**” 控制台。

在 “**摘要**” 仪表板中，您可以识别符合以下条件的实体：
+  显示 Detective 发现的潜在安全事件的调查 
+ 与在新观察到的地理位置中发生的活动相关的实体
+ 发出 API 调用次数最多的实体
+ 流量最大的 EC2 实例
+ 容器数量最多的容器集群

在每个 “**摘要**” 仪表板面板中，您可以透视到选定实体的配置文件。

查看**摘要**仪表板时，您可以调整**范围时间**，以查看过去 365 天内任何 24 小时时间范围内的活动。更改**开始日期和时间**后，**结束日期和时间**会自动更新为所选开始时间后的 24 小时。

使用 Detective，您最多可以访问一年的历史事件数据。这些数据可通过一组可视化图表显示，在选定的时间窗口内，活动的类型和数量发生了变化。Detective 将这些变化与 GuardDuty 调查结果联系起来。

有关 Detective 中源数据的更多信息，请参见[行为图中使用的源数据](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)。

## 调查
<a name="summary-investigations"></a>

**调查**向您显示 Detective 发现的潜在安全事件。在“调查”面板上，您可以查看关键调查以及在设定的一段时间内受到安全事件影响的相应 AWS 角色和用户。调查汇总了泄露指标，以帮助确定 AWS 资源是否参与了可能表明恶意行为及其影响的异常活动。

选择**查看所有调查**，以查看调查发现、分类调查发现组和资源详细信息，从而加速安全调查。根据所选的时间范围显示调查。您可以调整时间范围，以便查看过去 365 天的 24 小时调查。您可以直接转至**关键调查**，查看详细的调查报告。

如果您发现某个 AWS 角色或用户似乎有可疑活动，则可以直接从 “**调查**” 面板切换到该角色或用户以继续调查。转到角色或用户，然后单击**进行调查**以生成调查报告。针对角色或用户运行调查后，该角色或用户将移至**已调查**选项卡。

## 观察到新的地理位置
<a name="summary-new-geolocations"></a>

**新观察到的地理位置**突出显示了在过去 24 小时内发生活动的地理位置，但在此之前的基线时间段内没有观察到这些地理位置。

该面板最多可包含 100 个地理位置。这些地点在地图上标记，并在地图下方的表格中列出。

对于每个地理位置，该表显示了过去 24 小时内从该地理位置发出的失败和成功的 API 调用的次数。

您可以展开每个地理位置，显示从该地理位置发出 API 调用的用户和角色列表。该表列出了每个主体的类型和关联的 AWS 账户。

如果您发现某个用户或角色似乎可疑，则可以直接从面板转到用户或角色配置文件，继续进行调查。要转到某个配置文件，请选择用户或角色标识符。

Detective 使用 MaxMind GeoIP 数据库确定请求的位置。 MaxMind 尽管准确性因国家和知识产权类型等因素而异，但它们在国家一级的数据的准确性非常高。有关的更多信息 MaxMind，请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何 GeoIP 数据不正确，可以通过 “更正地理数据” 向 Maxmind 提交更[MaxMind 正](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2 

## 过去 7 天内活跃的调查发现群组
<a name="summary-finding-group"></a>

**过去 7 天内活跃的调查发现群组**会显示在设定时间段内发生在环境中的 Detective 调查发现、实体和证据的相关群组。这些分组与可能表明恶意行为的异常活动相关联。摘要仪表板最多显示五个小组，按包含上周活跃的最关键发现的组进行排序。

您可以选择**策略**、**账户**、**资源**和**调查发现**内容中的值，查看更多详细信息。

每天都会生成调查发现群组。如果您确定了相关的调查发现群组，则可以选择标题转到群组配置文件的详细视图，继续进行调查。

## 发出最多 API 调用量的角色和用户
<a name="summary-principal-api-call-volume"></a>

**发出最多 API 调用量的角色和用户**可识别在过去 24 小时内发出 API 调用次数最多的用户和角色。

该面板最多可包含 100 个用户和角色。可能会出现每个用户或角色的类型（用户或角色）和关联的账户。您还可以查看该用户或角色在过去 24 小时内发出的 API 调用次数。

默认情况下，会显示与服务相关联的角色。与服务相关的角色可能会产生大量 AWS CloudTrail 活动，这会取代您要进一步调查的主人。您可以选择关闭 “**显示服务相关角色**”，从摘要仪表板视图中筛选出与服务相关的角色。

您可以导出包含此面板中数据的逗号分隔值 (.csv) 文件。

此外，还提供了前 7 天 API 调用量的时间轴。时间轴有助于您确定该主体的 API 调用量是否异常。

如果您发现某个用户或角色的 API 调用量似乎可疑，则可以直接从面板转到用户或角色配置文件，继续进行调查。您还可以查看与用户或角色关联的账户配置文件。要查看某个配置文件，请选择用户、角色或账户标识符。

## 流量最大的 EC2 实例
<a name="summary-ec2-instance-traffic"></a>

**流量最大的 EC2 实例**可确定过去 24 小时内总流量最大的 EC2 实例。

该面板最多可包括 100 个 EC2 实例。对于每个 EC2 实例，您都可以查看关联的账户以及前 24 小时的入站字节数、出站字节数和总字节数。

您可以导出包含该面板中数据的逗号分隔值 (.csv) 文件。

还可能出现显示过去 7 天的入站和出站流量的时间轴。时间轴有助于确定该 EC2 实例的流量是否异常。

如果您发现某个 EC2 实例有可疑的流量，则可以直接从面板转到 EC2 实例配置文件继续调查。您还可以查看拥有 EC2 实例的账户的配置文件。要查看某个配置文件，请选择 EC2 实例或账户标识符。

## 拥有最多 Kubernetes 容器组（pod）的容器集群
<a name="summary-clusters-with-containers"></a>

**创建 Kubernetes 容器组（pod）最多的容器集群**可确定在过去 24 小时内运行容器最多的集群。

该面板包括多达 100 个集群，按与之关联的调查发现最多的集群排列。对于每个集群，您可以查看关联的账户、该集群中的当前容器数量以及过去 24 小时内与该集群关联的调查发现数量。您可以导出包含该面板中数据的逗号分隔值 (.csv) 文件。

如果您发现某个集群有最新调查发现，则可以直接从面板转到集群配置文件，继续进行调查。您还可以转到拥有集群的账户的配置文件。要转到配置文件，请选择集群名称或账户标识符。

## 近似值通知
<a name="summary-approximate-values"></a>

在 **API 调用量最多的角色和用户**以及**流量最大的 EC2 实例**中，如果某个值后面有星号 (\$1)，则表示该值为近似值。真实值等于或大于显示值。

出现这种情况是因为 Detective 使用了一种方法来计算每个时间间隔的流量。在**摘要**页面上，时间间隔为一小时。

Detective 会计算每小时流量最大的 1000 个用户、角色或 EC2 实例的总流量。它不包括其余用户、角色或 EC2 实例的数据。

如果某个资源有时在前 1000 名，有时不在前 1000 名，则该资源的计算流量可能不包括所有数据。不包括未进入前 1000 名的时间间隔的数据。

请注意，这仅适用于**摘要**页面。用户、角色或 EC2 实例的配置文件提供了精确的详细信息。