In einem Detective-Verhaltensdiagramm verwendete Quelldaten - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In einem Detective-Verhaltensdiagramm verwendete Quelldaten

Um ein Verhaltensdiagramm aufzufüllen, verwendet Amazon Detective Quelldaten aus dem Administratorkonto und den Mitgliedskonten des Verhaltensdiagramms.

Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen.

Diagramm, das zeigt, wie ein Verhaltensdiagramm Daten aus dem Administratorkonto und den Mitgliedskonten sowie die Datenstruktur des Verhaltensdiagramms verwendet.

Einzelheiten zur Datenstruktur des Verhaltensdiagramms finden Sie unter Überblick über die Datenstruktur des Verhaltensdiagramms im Detective-Benutzerhandbuch.

Arten von Kerndatenquellen in Detective

Detective nimmt Daten aus diesen Arten von AWS Protokollen auf:

  • AWS CloudTrail Logs

  • Ablaufprotokolle von Amazon Virtual Private Cloud (AmazonVPC)

    • Nimmt IPv4 sowohl IPv6 Datensätze als auch Datensätze auf, jedoch keine von Elastic Fabric Adapters erstellten MAC Datensätze.

    • Nimmt Protokolldatensätze auf, wenn sich der Wert des log-status Felds im OK Status befindet. Weitere Informationen finden Sie unter Flow-Protokolldatensätze im VPC Amazon-Benutzerhandbuch.

    • Nimmt Flow-Logs auf, die von Amazon Elastic Compute Cloud-Instances erstellt wurden, die VPCs nur in diesen ausgeführt werden. Es werden keine anderen Ressourcen wie NAT Gateways, RDS Instances oder Fargate-Cluster verwendet.

    • Nimmt sowohl akzeptierten als auch abgelehnten Datenverkehr auf.

  • Für Konten, für die registriert ist GuardDuty, nimmt Detective auch Ergebnisse auf. GuardDuty

Detective verarbeitet CloudTrail und VPC protokolliert Ereignisse mithilfe unabhängiger und duplizierter Streams von CloudTrail und VPC Ablaufprotokollen. Diese Prozesse wirken sich weder auf Ihre vorhandenen Konfigurationen noch auf Ihre VPC Flow-Log-Konfigurationen aus CloudTrail und verwenden diese auch nicht. Sie wirken sich auch nicht auf die Leistung dieser Dienste aus und erhöhen auch nicht Ihre Kosten.

Arten optionaler Datenquellen in Detective

Detective bietet zusätzlich zu den drei Datenquellen, die im Detective-Kernpaket angeboten werden, optionale Quellpakete an (das Kernpaket umfasst AWS CloudTrail Logs, VPC Flow-Logs und GuardDuty Ergebnisse). Ein optionales Datenquellenpaket kann für ein Verhaltensdiagramm jederzeit gestartet oder gestoppt werden.

Detective bietet eine kostenlose 30-Tage-Testversion für alle Kern- und optionalen Quellpakete pro Region.

Anmerkung

Detective bewahrt alle von jedem Datenquellenpaket empfangenen Daten bis zu 1 Jahr lang auf.

Derzeit sind die folgenden optionalen Quellpakete verfügbar:

  • EKS-Prüfungsprotokolle

    Mit diesem optionalen Datenquellenpaket kann Detective detaillierte Informationen zu EKS Clustern in Ihrer Umgebung aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Detective korreliert Benutzeraktivitäten mit AWS CloudTrail Management-Ereignissen und Netzwerkaktivitäten mit Amazon VPC Flow Logs, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Details dazu finden Sie unter EKSAmazon-Auditprotokolle.

  • AWS Sicherheitsfeststellungen

    Mit diesem optionalen Datenquellenpaket kann Detective Daten aus Security Hub aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Details dazu finden Sie unter AWS Ergebnisse zur Sicherheit.

Starten oder Stoppen einer optionalen Datenquelle:
  1. Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Klicken Sie im Navigationsbereich unter Einstellungen auf Allgemein.

  3. Wählen Sie unter Optionale Quellpakete die Option Update aus. Wählen Sie dann die Datenquelle aus, die Sie aktivieren oder deaktivieren möchten, ein Feld für eine bereits aktivierte Datenquelle und wählen Sie Aktualisieren, um zu ändern, welche Datenquellenpakete aktiviert sind.

Anmerkung

Wenn Sie eine optionale Datenquelle beenden und dann neu starten, sehen Sie eine Lücke in den in einigen Entitätsprofilen angezeigten Daten. Diese Lücke wird in der Konsolenanzeige angezeigt und steht für den Zeitraum, in dem die Datenquelle gestoppt wurde. Wenn eine Datenquelle neu gestartet wird, nimmt Detective keine Daten rückwirkend auf.

Wie Detective Quelldaten aufnimmt und speichert

Wenn Detective aktiviert ist, beginnt es mit der Aufnahme von Quelldaten aus dem Administratorkonto für Verhaltensdiagramme. Sobald Mitgliedskonten zum Verhaltensdiagramm hinzugefügt werden, beginnt Detective auch, die Daten aus diesen Mitgliedskonten zu verwenden.

Die Quelldaten von Detective bestehen aus strukturierten und verarbeiteten Versionen der ursprünglichen Feeds. Um Detective Analytics zu unterstützen, speichert Detective Kopien der Detective-Quelldaten.

Der Detective-Ingest-Prozess speist Daten in Amazon Simple Storage Service (Amazon S3)-Buckets im Detective-Quelldatenspeicher. Sobald neue Quelldaten eintreffen, nehmen andere Detective-Komponenten die Daten auf und starten die Extraktions- und Analyseprozesse. Weitere Informationen finden Sie unter So verwendet Detective Quelldaten, um ein Verhaltensdiagramm zu füllen im Detective-Benutzerhandbuch.

Wie Detective das Datenvolumenkontingent für Verhaltensdiagramme durchsetzt

Detective hat strenge Kontingente für das Datenvolumen, das in jedem Verhaltensdiagramm zulässig ist. Das Datenvolumen ist die Datenmenge pro Tag, die in das Detective-Verhaltensdiagramm fließt.

Detective setzt diese Kontingente durch, wenn ein Administratorkonto Detective aktiviert und wenn ein Mitgliedskonto eine Einladung annimmt, zu einem Verhaltensdiagramm beizutragen.

  • Wenn das Datenvolumen für ein Administratorkonto 10 TB pro Tag übersteigt, kann das Administratorkonto Detective nicht aktivieren.

  • Wenn das hinzugefügte Datenvolumen von einem Mitgliedskonto dazu führen würde, dass das Verhaltensdiagramm 10 TB pro Tag überschreitet, kann das Mitgliedskonto nicht aktiviert werden.

Das Datenvolumen für ein Verhaltensdiagramm kann im Laufe der Zeit auch auf natürliche Weise zunehmen. Detective überprüft täglich das Datenvolumen des Verhaltensdiagramms, um sicherzustellen, dass das Kontingent nicht überschritten wird.

Wenn sich das Datenvolumen des Verhaltensdiagramms dem Kontingent nähert, zeigt Detective eine Warnmeldung auf der Konsole an. Um zu verhindern, dass das Kontingent überschritten wird, können Sie Mitgliedskonten entfernen.

Wenn das Datenvolumen des Verhaltensdiagramms 10 TB pro Tag überschreitet, können Sie dem Verhaltensdiagramm kein neues Mitgliedskonto hinzufügen.

Wenn das Datenvolumen des Verhaltensdiagramms 15 TB pro Tag überschreitet, beendet Detective die Aufnahme von Daten in das Verhaltensdiagramm. Das Kontingent von 15 TB pro Tag spiegelt sowohl das normale Datenvolumen als auch Spitzenwerte beim Datenvolumen wider. Wenn dieses Kontingent erreicht ist, werden keine neuen Daten in das Verhaltensdiagramm aufgenommen, aber vorhandene Daten werden nicht entfernt. Sie können diese historischen Daten weiterhin für Untersuchungen verwenden. In der Konsole wird eine Meldung angezeigt, die darauf hinweist, dass die Datenaufnahme für das Verhaltensdiagramm unterbrochen wurde.

Wenn die Datenaufnahme unterbrochen wurde, müssen Sie damit arbeiten, sie wieder AWS Support zu aktivieren. Versuchen Sie nach Möglichkeit, vor der Kontaktaufnahme Mitgliedskonten zu entfernen AWS Support, um das Datenvolumen unter das Kontingent zu bringen. Dadurch ist es einfacher, die Datenaufnahme für das Verhaltensdiagramm wieder zu aktivieren.