Überblick über die Datenstruktur des Verhaltensdiagramms - Amazon Detective
Arten von Elementen in der Datenstruktur des VerhaltensdiagrammsArten von Entitäten in der Datenstruktur des Verhaltensdiagramms

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Datenstruktur des Verhaltensdiagramms

Die Datenstruktur des Verhaltensdiagramms definiert die Struktur der extrahierten und analysierten Daten. Sie definiert auch, wie die Quelldaten dem Verhaltensdiagramm zugeordnet werden.

Arten von Elementen in der Datenstruktur des Verhaltensdiagramms

Die Datenstruktur des Verhaltensdiagramms besteht aus den folgenden Informationselementen.

Entität

Eine Entität stellt ein Element dar, das aus den Detective-Quelldaten extrahiert wurde.

Jede Entität hat einen Typ, der den Objekttyp identifiziert, den sie repräsentiert. Beispiele für Entitätstypen sind IP-Adressen, EC2 Amazon-Instances und AWS Benutzer.

Für jede Entität werden die Quelldaten auch verwendet, um Entitätseigenschaften aufzufüllen. Eigenschaftswerte können direkt aus Quelldatensätzen extrahiert oder über mehrere Datensätze hinweg aggregiert werden.

Einige Eigenschaften bestehen aus einem einzelnen skalaren oder aggregierten Wert. Für eine EC2 Instance verfolgt Detective beispielsweise den Instanztyp und die Gesamtzahl der verarbeiteten Byte.

In den Eigenschaften von Zeitreihen wird die Aktivität im Laufe der Zeit verfolgt. Für eine EC2 Instanz verfolgt Detective beispielsweise im Laufe der Zeit die eindeutigen Ports, die es verwendet hat.

Beziehungen

Eine Beziehung stellt eine Aktivität dar, die zwischen einzelnen Entitäten stattfindet. Beziehungen werden auch aus den Detective-Quelldaten extrahiert.

Ähnlich wie eine Entität hat eine Beziehung einen Typ, der die Typen der beteiligten Entitäten und die Richtung der Verbindung identifiziert. Ein Beispiel für einen Beziehungstyp sind IP-Adressen, die eine Verbindung zu EC2 Instanzen herstellen.

Für jede einzelne Beziehung, z. B. eine bestimmte IP-Adresse, die eine Verbindung zu einer bestimmten Instanz herstellt, verfolgt Detective die Ereignisse im Laufe der Zeit.

Arten von Entitäten in der Datenstruktur des Verhaltensdiagramms

Die Datenstruktur des Verhaltensdiagramms besteht aus Entitäts- und Beziehungstypen, die Folgendes bewirken:

  • Verfolgen der verwendeten Server, IP-Adressen und Benutzeragenten

  • Verfolgen Sie die verwendeten AWS Benutzer, Rollen und Konten

  • Verfolgen Sie die Netzwerkverbindungen und Autorisierungen, die in Ihrer AWS -Umgebung auftreten

Die Datenstruktur des Verhaltensdiagramms enthält die folgenden Entitätstypen.

AWS Konto

AWS Konten, die in den Detective-Quelldaten vorhanden sind.

Für jedes Konto beantwortet Detective mehrere Fragen:

  • Welche API Anrufe hat das Konto verwendet?

  • Welche Benutzeragenten hat das Konto verwendet?

  • Welche autonomen Systemorganisationen (ASOs) hat das Konto verwendet?

  • An welchen geografischen Standorten war das Konto aktiv?

AWS Rolle

AWS Rollen, die in den Detective-Quelldaten vorhanden sind.

Für jede Rolle beantwortet Detective mehrere Fragen:

  • Welche API Aufrufe hat die Rolle verwendet?

  • Welche Benutzeragenten hat die Rolle verwendet?

  • Was ASOs wurde von der Rolle verwendet?

  • An welchen geografischen Standorten war die Rolle aktiv?

  • Welche Ressourcen haben diese Rolle übernommen?

  • Welche Rollen hat diese Rolle übernommen?

  • In welchen Rollensitzungen wurde diese Rolle behandelt?

AWS Benutzer

AWS Benutzer, die in den Detective-Quelldaten vorhanden sind.

Für jeden Benutzer beantwortet Detective mehrere Fragen:

  • Welche API Anrufe hat der Benutzer verwendet?

  • Welche Benutzeragenten hat der Benutzer verwendet?

  • An welchen geografischen Standorten war der Benutzer aktiv?

  • Welche Rollen hat dieser Benutzer übernommen?

  • An welchen Rollensitzungen war dieser Benutzer beteiligt?

Verbundbenutzer

Instances eines Verbundbenutzers. Beispiele für Verbundbenutzer sind unter anderem:

  • Eine Identität, die sich mit Security Assertion Markup Language () anmeldet SAML

  • Eine Identität, die sich mithilfe eines Web-Identitätsverbunds anmeldet

Detective beantwortet für jeden Verbundbenutzer die folgenden Fragen:

  • Mit welchem Identitätsanbieter hat sich der Verbundbenutzer authentifiziert?

  • Was war die Zielgruppe des Verbundbenutzers? Die Zielgruppe identifiziert die Anwendung, die das Web-Identitätstoken des Verbundbenutzers angefordert hat.

  • An welchen geografischen Standorten war der Verbundbenutzer aktiv?

  • Welche Benutzeragenten hat der Verbundbenutzer verwendet?

  • Was ASOs hat der Verbundbenutzer verwendet?

  • Welche Rollen hat dieser Verbundbenutzer übernommen?

  • An welchen Rollensitzungen war dieser Verbundbenutzer beteiligt?

EC2Instanz

EC2Instanzen, die in den Detective-Quelldaten vorhanden sind.

Detective beantwortet zum EC2 Beispiel mehrere Fragen:

  • Welche IP-Adressen haben mit der Instance kommuniziert?

  • Welche Ports wurden für die Kommunikation mit der Instance verwendet?

  • Welches Datenvolumen wurde an und von der Instance gesendet?

  • Was VPC beinhaltet die Instanz?

  • Welche API Aufrufe hat die EC2 Instanz verwendet?

  • Welche Benutzeragenten hat die EC2 Instanz verwendet?

  • Was ASOs hat die EC2 Instanz verwendet?

  • An welchen geografischen Standorten war die EC2 Instance aktiv?

  • Welche Rollen hat die EC2 Instanz übernommen?

Rollensitzungen

Instances einer Ressource, die eine Rolle übernimmt. Jede Rollensitzung wird durch die Rollen-ID und einen Sitzungsnamen identifiziert.

Für jede Rolle beantwortet Detective mehrere Fragen:

  • Welche Ressourcen waren an dieser Rollensitzung beteiligt? Mit anderen Worten, welche Rolle wurde übernommen und welche Ressource hat diese Rolle übernommen?

    Beachten Sie, dass Detective bei kontoübergreifender Rollenübernahme die Ressource nicht identifizieren kann, die die Rolle übernommen hat.

  • Welche API Aufrufe wurden in der Rollensitzung verwendet?

  • Welche Benutzeragenten wurden in der Rollensitzung verwendet?

  • Was ASOs wurde in der Rollensitzung verwendet?

  • An welchen geografischen Standorten war die Rollensitzung aktiv?

  • Welcher Benutzer oder welche Rolle hat diese Rollensitzung gestartet?

  • Welche Rollensitzungen wurden von dieser Rollensitzung aus gestartet?

Erkenntnis

Von Amazon aufgedeckte Ergebnisse, die in GuardDuty die Quelldaten von Detective eingespeist werden.

Für jeden Befund verfolgt Detective den Befundtyp, den Ursprung und das Zeitfenster für die Erkenntnisaktivität.

Außerdem werden Informationen gespeichert, die für die Erkenntnis spezifisch sind, z. B. Rollen oder IP-Adressen, die an der erkannten Aktivität beteiligt sind.

IP-Adresse

IP-Adressen, die in den Detective-Quelldaten vorhanden sind.

Für jede IP-Adresse beantwortet Detective mehrere Fragen:

  • Welche API Anrufe hat die Adresse verwendet?

  • Welche Ports hat die Adresse verwendet?

  • Welche Benutzer und Benutzeragenten haben die IP-Adresse verwendet?

  • An welchen geografischen Standorten war die IP-Adresse aktiv?

  • Welchen EC2 Instanzen wurde diese IP-Adresse zugewiesen und mit welchen wurde kommuniziert?

S3-Bucket

S3-Buckets, die sich in den Detective-Quelldaten befinden.

Für jeden S3-Bucket beantwortet Detective die folgenden Fragen:

  • Welche Prinzipale haben mit dem S3-Bucket interagiert?

  • Welche API Aufrufe wurden an den S3-Bucket getätigt?

  • Von welchen geografischen Standorten aus haben die Principals API Anrufe an den S3-Bucket getätigt?

  • Welche Benutzeragenten wurden verwendet, um mit dem S3-Bucket zu interagieren?

  • Was ASOs wurde verwendet, um mit dem S3-Bucket zu interagieren?

Sie können einen S3-Bucket löschen und dann einen neuen Bucket mit demselben Namen erstellen. Da Detective den S3-Bucket-Namen verwendet, um den S3-Bucket zu identifizieren, behandelt er diese als eine einzelne S3-Bucket-Entität. Im Entitätsprofil ist die Erstellungszeit die erste Erstellungszeit. Die Löschzeit ist die letzte Löschzeit.

Um alle Erstellungs- und Löschereignisse anzuzeigen, legen Sie den Gültigkeitszeitraum so fest, dass er mit der Erstellungszeit beginnt und mit der Löschzeit endet. Zeigen Sie im Bereich Gesamtprofil zum API Anrufvolumen die Aktivitätsdetails für den Umfang an. Filtern Sie die API anzuzeigenden Delete Methoden Create und Methoden. Siehe Aktivitätsdetails für das gesamte API Anrufvolumen.

Benutzer-Agent

Benutzeragenten, die in den Detective-Quelldaten vorhanden sind.

Für jeden Benutzeragenten beantwortet Detective Fragen wie die folgenden:

  • Welche API Aufrufe hat der Benutzeragent verwendet?

  • Welche Benutzer und Rollen haben den Benutzeragenten verwendet?

  • Welche IP-Adressen haben den Benutzeragenten verwendet?

EKSCluster

EKSCluster, die in den Detective-Quelldaten vorhanden sind.

Anmerkung

Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale Datenquelle für EKS Audit-Logs aktiviert sein. Weitere Informationen finden Sie unter Optionale Datenquellen

Für jeden EKS Cluster beantwortet Detective Fragen wie die folgenden:

  • Welche API Kubernetes-Aufrufe wurden in diesem Cluster ausgeführt?

  • Welche Kubernetes-Benutzer und Service-Konten (Subjekte) sind in diesem Cluster aktiv?

  • Welche Container wurden in diesem Cluster gestartet?

  • Welche Images werden verwendet, um Container in diesem Cluster zu starten?

Kubernetes-Pod

Kubernetes-Pods, die in den Detective-Quelldaten vorhanden sind.

Anmerkung

Um vollständige Details für diesen Entitätstyp zu sehen, muss die optionale Datenquelle für EKS Audit-Logs aktiviert sein. Weitere Informationen finden Sie unter Optionale Datenquellen

Für jeden Pod beantwortet Detective Fragen wie die folgenden:

  • Welche Container-Images in diesem Pod sind in meinen Konten üblich?

  • Welche Aktivität wurde auf diesen Pod gerichtet?

  • Welche Container laufen in diesem Pod?

  • Sind Registrierungen von Containern in diesem Pod in meinen Konten üblich?

  • Welche anderen Container werden in den anderen Pods der Workload ausgeführt?

  • Gibt es ungewöhnliche Container in diesem Pod, die sich nicht in den anderen Pods des Workloads befinden?

Container-Image

Container-Images, die in den Detective-Quelldaten vorhanden sind.

Anmerkung

Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS Audit-Logs-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter Optionale Datenquellen

Für jedes Container-Image beantwortet Detective Fragen wie die folgenden:

  • Welche anderen Images in meiner Umgebung nutzen dasselbe Repository oder dieselbe Registry wie dieses Image?

  • Wie viele Kopien dieses Images werden in meiner Umgebung ausgeführt?

Kubernetes Betreff

Kubernetes-Themen, die in den Detective-Quelldaten enthalten sind. Ein Kubernetes-Betreff ist ein Benutzer- oder Dienstkonto.

Anmerkung

Um vollständige Details für diesen Entitätstyp anzuzeigen, muss die optionale EKS Audit-Logs-Datenquelle aktiviert sein. Weitere Informationen finden Sie unter Optionale Datenquellen

Zu jedem Thema beantwortet Detective Fragen wie die folgenden:

  • Welche IAM Schulleiter haben sich als dieser Betreff authentifiziert?

  • Welche Erkenntnisse sind mit diesem Thema verbunden?

  • Welche IP-Adressen verwendet die Testperson?