本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 行為圖表資料結構概觀
<a name="graph-data-structure-overview"></a>

行為圖表資料結構定義了擷取和分析資料的結構。它還定義了來源資料映射到行為圖表的方式。

## 行為圖表資料結構中元素的類型
<a name="graph-data-structure-elements"></a>

行為圖表資料結構由以下資訊元素組成。

****實體****  
實體表示從 Detective 來源資料中擷取的項目。  
每個實體都有一個類型，用來識別它所代表的物件類型。實體類型的範例包括 IP 地址、Amazon EC2 執行個體和 AWS 使用者。  
針對每個實體，來源資料也會用來填入實體屬性。屬性值可以直接從來源記錄中擷取，也可以跨多個記錄彙總。  
某些屬性由單一純量或彙總值組成。例如，針對 EC2 執行個體，Detective 會追蹤執行個體的類型和處理的位元組總數目。  
時間序列屬性會追蹤一段時間內的活動。例如，針對 EC2 執行個體，Detective 會隨時間追蹤其使用的唯一連接埠。

****關係****  
關係表示個別實體之間發生的活動。關係也會從 Detective 來源資料中擷取。  
與實體類似，關係具有類型，可識別涉及的實體類型和連接方向。關係類型的範例是連線至 EC2 執行個體的 IP 地址。  
針對每個個別關係，例如連線至特定執行個體的特定 IP 地址，Detective 會追蹤一段時間內的發生次數。

## 行為圖表資料結構中的實體類型
<a name="entity-types"></a>

行為圖表資料結構包含執行以下作業的實體和關係類型：
+ 追蹤正在使用的伺服器、IP 地址和使用者代理程式
+ 追蹤正在使用 AWS 的使用者、角色和帳戶
+ 追蹤 AWS 環境中發生的網路連線和授權

行為圖表資料結構包含以下實體類型。

**AWS 帳戶**  
AWS Detective 來源資料中存在的 帳戶。  
Detective 會針對每個帳戶回答以下數個問題：  
+ 帳戶使用了哪些 API 呼叫？
+ 帳戶使用了哪些使用者代理程式？
+ 帳戶使用了哪些自治系統組織 (ASO)？
+ 帳戶在哪些地理位置處於作用中狀態？

**AWS 角色**  
AWS Detective 來源資料中存在的 角色。  
Detective 會針對每個角色回答以下數個問題：  
+ 角色使用了哪些 API 呼叫？
+ 角色使用了哪些使用者代理程式？
+ 角色使用了哪些 ASO？
+ 角色在哪些地理位置處於作用中狀態？
+ 哪些資源擔任了該角色？
+ 該角色擔任了哪些角色？
+ 哪些角色工作階段涉及該角色？

**AWS 使用者**  
AWS Detective 來源資料中存在的 使用者。  
Detective 會針對每個使用者回答以下數個問題：  
+ 使用者使用了哪些 API 呼叫？
+ 使用者使用了哪些使用者代理程式？
+ 使用者在哪些地理位置處於作用中狀態？
+ 該使用者擔任了哪些角色？
+ 哪些角色工作階段涉及該使用者？

**聯合身分使用者**  
聯合身分使用者的執行個體。聯合身分使用者範例如下：  
+ 使用安全性聲明標記語言 (SAML) 登入的身分
+ 使用 Web 聯合身分登入的身分
Detective 會針對每位聯合身分使用者回答以下問題：  
+ 聯合身分使用者使用哪些身分提供者進行驗證？
+ 聯合身分使用者的受眾是什麼？ 受眾可識別要求聯合身分使用者的 Web 身分權杖的應用程式。
+ 聯合身分使用者在哪些地理位置處於作用中狀態？
+ 聯合身分使用者使用了哪些使用者代理程式？
+ 聯合身分使用者使用了哪些 ASO？
+ 該聯合身分使用者擔任了哪些角色？
+ 哪些角色工作階段涉及該聯合身分使用者？

**EC2 執行個體**  
Detective 來源資料中存在的 EC2 執行個體。  
Detective 會針對每個 EC2 執行個體回答以下數個問題：  
+ 已透過哪些 IP 地址與執行個體進行通訊？
+ 已使用哪些連接埠與執行個體進行通訊？
+ 以向執行個體或從執行個體傳送了多少資料量？
+ 該執行個體包含在哪個 VPC 中？
+ EC2 執行個體使用了哪些 API 呼叫？
+ EC2 執行個體使用了哪些使用者代理程式？
+ EC2 執行個體使用了哪些 ASO？
+ EC2 執行個體在哪些地理位置處於作用中狀態？
+ EC2 執行個體承擔了哪些角色？

**角色工作階段**  
擔任角色資源的執行個體。每個角色工作階段都由角色識別符和工作階段名稱識別。  
Detective 會針對每個角色回答以下數個問題：  
+ 此角色工作階段涉及哪些資源？ 換言之，擔任哪些角色，以及擔任角色的資源是什麼？ 

  請注意，針對跨帳戶角色擔任，Detective 無法識別擔任該角色的資源。
+ 角色工作階段使用了哪些 API 呼叫？
+ 角色工作階段使用了哪些使用者代理程式？
+ 角色工作階段使用了哪些 ASO？
+ 角色工作階段在哪些地理位置處於作用中狀態？
+ 哪個使用者或角色啟動了該角色工作階段？
+ 從該角色工作階段啟動了哪些角色工作階段？

**問題清單**  
將輸入至 Detective 來源資料中的調查結果 (由 Amazon GuardDuty 發現)。  
針對每個調查結果，Detective 都會追蹤調查結果類型、來源和調查結果活動的時間範圍。  
它也會儲存調查結果特定的資訊，例如偵測活動中涉及的角色或 IP 地址。

**IP 位址**  
Detective 來源資料中存在的 IP 地址。  
Detective 會針對每個 IP 地址回答以下數個問題：  
+ 地址使用了哪些 API 呼叫？
+ 地址使用了哪些連接埠？
+ 哪些使用者和使用者代理程式使用了 IP 地址？
+ IP 地址在哪些地理位置處於作用中狀態？
+ 哪些 EC2 執行個體已指派該 IP 地址並與之通訊？

**S3 bucket (S3 儲存貯體)**  
Detective 來源資料中的 S3 儲存貯體。  
Detective 會針對每個 S3 儲存貯體回答以下問題：  
+ 哪些主體與 S3 儲存貯體進行互動？
+ 對 S3 儲存貯體進行了哪些 API 呼叫？
+ 主體從哪些地理位置對 S3 儲存貯體進行 API 呼叫？
+ 使用了哪些使用者代理程式與 S3 儲存貯體進行互動？
+ 使用了哪些 ASO 與 S3 儲存貯體進行互動？
您可以刪除 S3 儲存貯體，然後建立具有相同名稱的新儲存貯體。由於 Detective 使用 S3 儲存貯體名稱來識別 S3 儲存貯體，因此會將它們視為單一 S3 儲存貯體實體。在實體設定檔上，**建立時間**指首次的建立時間。**刪除時間**指最近的刪除時間。  
若要檢視所有建立和刪除事件，請將範圍時間設定為從建立時間開始，並以刪除時間結束。在**整體 API 呼叫量**設定檔面板上，顯示範圍時間的活動詳細資訊。篩選要顯示 `Create` 和 `Delete` 方法的 API 方法。請參閱 [整體 API 呼叫量的活動詳細資訊](profile-panel-drilldown-overall-api-volume.md)。

**使用者代理程式**  
Detective 來源資料中存在的使用者代理程式。  
Detective 會針對每個使用者代理程式回答以下問題：  
+ 使用者代理程式使用了哪些 API 呼叫？
+ 哪些使用者和角色使用了使用者代理程式？
+ 哪些 IP 地址使用了使用者代理程式？

**EKS 叢集**  
Detective 來源資料中存在的 EKS 叢集。  
若要查看此實體類型的完整詳細資訊，必須啟用選用的 EKS 稽核日誌資料來源。如需詳細資訊，請參閱[選用的資料來源](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Detective 會針對每個 EKS 叢集回答以下問題：  
+ 已在此叢集中執行了哪些 Kubernetes API 呼叫？
+ 哪些 Kubernetes 使用者和服務帳戶 (主體) 在此叢集中處於作用中狀態？
+ 在此叢集中啟動了哪些容器？
+ 在此叢集中使用哪些映像來啟動容器？

**Kubernetes Pod**  
Detective 來源資料中存在的 Kubernetes Pod。  
若要查看此實體類型的完整詳細資訊，必須啟用選用的 EKS 稽核日誌資料來源。如需詳細資訊，請參閱[選用的資料來源](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Detective 會針對每個 Pod 回答以下問題：  
+ 在我的帳戶中，有哪些常見的 Pod 内容器映像？
+ 已針對此 Pod 進行了哪些活動？
+ 在此 Pod 中執行了哪些容器？
+ 該 Pod 中容器的登錄檔在我的帳戶中常見嗎？
+ 工作負載的其他 Pod 中是否還有哪些其他正在執行的容器？
+ 此裝置中是否存在任何不在工作負載其他 Pod 中的異常容器？

**容器映像**  
Detective 來源資料中存在的容器映像。  
若要查看此實體類型的完整詳細資訊，必須啟用選用的 EKS 稽核日誌資料來源。如需詳細資訊，請參閱[選用的資料來源](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Detective 會針對每個容器映像回答以下問題：  
+ 我的環境中還有哪些其他映像與此映像共享相同的儲存庫或登錄檔？
+ 我的環境中正在執行多少個映像副本？

**Kubernetes 主體**  
Detective 來源資料中存在的 Kubernetes 主體。Kubernetes 主體指使用者或服務帳戶。  
若要查看此實體類型的完整詳細資訊，必須啟用選用的 EKS 稽核日誌資料來源。如需詳細資訊，請參閱[選用的資料來源](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)
Detective 會針對每個主體回答以下問題：  
+ 哪些 IAM 主體已經驗證為該主體？
+ 哪些調查結果與該主體相關聯？
+ 主體使用哪些 IP 地址？