本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Detective 如何填入行為圖表
<a name="behavior-graph-population-about"></a>

為了提供原始資料以供調查使用，Detective 將來自您 AWS 環境及其他環境的資料匯集在一起，包括以下內容：
+ 日誌資料，包括 Amazon Virtual Private Cloud (Amazon VPC) 和 AWS CloudTrail
+ 來自 Amazon GuardDuty 的調查結果
+ 來自 的問題清單 AWS Security Hub CSPM

若要進一步了解行為圖表中使用的來源資料，請參閱[行為圖表中使用的來源資料](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)。

## Detective 如何處理來源資料
<a name="source-data-use"></a>

當新資料傳入時，Detective 會組合使用擷取和分析來填入行為圖表。

![\[顯示傳入來源資料到 Detective，其中用來填入行為圖表流程圖的圖表。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)


## Detective 擷取
<a name="extraction-about"></a>

擷取以設定的映射規則為基礎。映射規則基本規定為：每當您看到此資料時，請以此特定方式進行使用，以更新行為圖表資料。

例如，傳入的 Detective 來源資料記錄可能包含 IP 地址。如果是，Detective 會使用該記錄中的資訊來建立新 IP 地址實體或更新現有的 IP 地址實體。

## Detective 分析
<a name="analytics-about"></a>

分析是較為複雜的演算法，可分析資料以深入了解與實體相關聯的活動。

例如，一種 Detective 分析類型會透過執行演算法來分析活動發生的頻率。針對進行 API 呼叫的實體，演算法會尋找實體通常不會使用的 API 呼叫。該算法還會查找 API 呼叫數目的較大峰值。

分析見解透過提供關鍵分析師問題的答案來支援調查，經常用於填入調查結果和實體設定檔面板。