Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie Detective ein Verhaltensdiagramm auffüllt
Um die Rohdaten für Untersuchungen bereitzustellen, führt Detective Daten aus Ihrer gesamten AWS -Umgebung und darüber hinaus zusammen, darunter die folgenden:
-
Protokolldaten, einschließlich Amazon Virtual Private Cloud (AmazonVPC) und AWS CloudTrail
-
Ergebnisse von Amazon GuardDuty
-
Ergebnisse von AWS Security Hub
Weitere Informationen zu den in einem Verhaltensdiagramm verwendeten Quelldaten finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.
Wie Detective Quelldaten verarbeitet
Wenn neue Daten eintreffen, verwendet Detective eine Kombination aus Extraktion und Analyse, um das Verhaltensdiagramm zu füllen.
Detective-Extraktion
Die Extraktion basiert auf konfigurierten Zuordnungsregeln. Eine Zuordnungsregel besagt im Grunde: „Wann immer Sie diese Daten sehen, verwenden Sie sie auf diese spezielle Weise, um die Daten des Verhaltensdiagramms zu aktualisieren.“
Beispielsweise kann ein eingehender Detective-Quelldatensatz eine IP-Adresse enthalten. Ist dies der Fall, verwendet Detective die Informationen in diesem Datensatz, um eine neue IP-Adressentität zu erstellen oder eine bestehende IP-Adressentität zu aktualisieren.
Detective-Analysen
Bei Analysen handelt es sich um komplexere Algorithmen, die die Daten analysieren, um Einblicke in Aktivitäten zu gewinnen, die mit Entitäten verknüpft sind.
Eine Art von Detective-Analyse analysiert beispielsweise, wie oft Aktivitäten auftreten, indem Algorithmen ausgeführt werden. Bei Entitäten, die API Aufrufe tätigen, sucht der Algorithmus nach API Aufrufen, die die Entität normalerweise nicht verwendet. Der Algorithmus sucht auch nach einem starken Anstieg der Anzahl von API Aufrufen.
Analytische Erkenntnisse unterstützen Untersuchungen, indem sie Antworten auf wichtige Analystenfragen liefern. Sie werden häufig verwendet, um Profilbereiche mit Ergebnissen und Entitätsprofilen zu füllen.