Aktivitätsdetails für das gesamte API Anrufvolumen - Amazon Detective
Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2 Instanzen, S3-Buckets)Inhalt der Aktivitätsdetails (IP-Adressen)Sortierung der AktivitätsdetailsFilterung der AktivitätsdetailsAuswählen des Zeitbereichs für die AktivitätsdetailsAbfragen von unformatierten Protokollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivitätsdetails für das gesamte API Anrufvolumen

Die Aktivitätsdetails für das gesamte API Anrufvolumen zeigen die API Anrufe, die während eines ausgewählten Zeitraums getätigt wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie Details für den Zeitbereich anzeigen aus.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API Anrufe zu speichern und anzuzeigen. Dieses Datum ist auf der Zeitleiste des Profilbereichs hervorgehoben. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname Unbekannter Dienst.

Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2 Instanzen, S3-Buckets)

Für IAM Benutzer, IAM Rollen, Konten, Rollensitzungen, EC2 Instanzen und S3-Buckets enthalten die Aktivitätsdetails die folgenden Informationen:

  • Jede Registerkarte enthält Informationen zu den API Anrufen, die während des ausgewählten Zeitraums getätigt wurden.

    Bei S3-Buckets spiegeln die Informationen API Aufrufe wider, die an den S3-Bucket getätigt wurden.

    Die API Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

  • Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe. Auf der Registerkarte Beobachtete IP-Adressen wird auch der Standort jeder IP-Adresse angezeigt.

  • Jeder Eintrag enthält Informationen darüber, wer die Aufrufe getätigt hat. Bei Konten identifizieren die Aktivitätsdetails die Benutzer oder Rollen. Bei Rollen identifizieren die Aktivitätsdetails die Rollensitzungen. Bei Benutzern und Rollensitzungen identifizieren die Aktivitätsdetails die Zugriffsschlüsselkennungen (AKIDs).

    Beachten Sie, dass ab dem 14. Juli 2021 in den Aktivitätsdetails für Kontoprofile Benutzer oder Rollen statt wie folgt angezeigt werden. AKIDs Bei Rollenprofilen werden in den Aktivitätsdetails statt Rollensitzungen angezeigtAKIDs. Bei Aktivitäten, die vor dem 14. Juli 2021 stattfinden, wird der Aufrufer als Unbekannte Ressource aufgeführt.

Die Aktivitätsdetails enthalten die folgenden Tabs:

Beobachtete IP-Adressen

Zeigt zunächst die Liste der IP-Adressen an, die für API Anrufe verwendet werden.

Sie können jede IP-Adresse erweitern, um die Liste der API Anrufe anzuzeigen, die von dieser IP-Adresse aus getätigt wurden. Die API Anrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können dann jeden API Anruf erweitern, um die Liste der Anrufer von dieser IP-Adresse anzuzeigen. Je nach Profil kann es sich bei dem Anrufer um einen Benutzer, eine Rolle, eine Rollensitzung oder handeln. AKID

Ansicht der Registerkarte Beobachtete IP-Adressen im Bereich Gesamtes API Anrufvolumen mit einem Eintrag, der um die Hierarchie von IP-Adressen, API Anrufen und AKIDs erweitert wurde. APIAnrufe sind nach Diensten gruppiert.
APIMethode für Dienstleistung

Zeigt zunächst die Liste der API Anrufe an, die ausgegeben wurden. Die API Anrufe sind nach den Diensten gruppiert, die die Anrufe getätigt haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können jede API Methode erweitern, um die Liste der IP-Adressen anzuzeigen, von denen aus die Anrufe getätigt wurden.

Sie können dann jede IP-Adresse erweitern, um die Liste der API Anrufe anzuzeigenAKIDs, die von dieser IP-Adresse aus getätigt wurden.

Auf der Registerkarte „APIMethode nach Dienst“ im Bereich „Gesamtes API Anrufvolumen“ wird ein Eintrag angezeigt, der um die Hierarchie der API Anrufe, IP-Adressen und erweitert wurdeAKIDs. APIAnrufe sind nach Diensten gruppiert.
Ressourcen- oder Zugriffsschlüssel-ID

Zeigt zunächst die Liste der Benutzer, Rollen und Rollensitzungen an, AKIDs die zum Auslösen von API Anrufen verwendet wurden.

Sie können jeden Anrufer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen der Anrufer Anrufe getätigt hatAPI.

Sie können dann jede IP-Adresse erweitern, um die Liste der API Anrufe anzuzeigen, die von diesem Anrufer von dieser IP-Adresse aus getätigt wurden. Die API Anrufe sind nach den Diensten gruppiert, die die Anrufe getätigt haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API Anrufvolumen“ mit einem erweiterten EintragAKIDs, der die Hierarchie von IP-Adressen und API Anrufen, gruppiert nach Diensten, anzeigt.

Inhalt der Aktivitätsdetails (IP-Adressen)

Bei IP-Adressen enthalten die Aktivitätsdetails die folgenden Informationen:

  • Jede Registerkarte enthält Informationen zu den API Anrufen, die während des ausgewählten Zeitraums getätigt wurden. Die API Anrufe sind nach den Diensten gruppiert, die die Anrufe getätigt haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

  • Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

Ressource

Zeigt zunächst die Liste der Ressourcen an, die API Anrufe von der IP-Adresse aus getätigt haben.

Für jede Ressource enthält die Liste den Namen, den Typ und das AWS -Konto der Ressource.

Sie können jede Ressource erweitern, um die Liste der API Anrufe anzuzeigen, die die Ressource von der IP-Adresse aus getätigt hat. Die API Anrufe sind nach den Diensten gruppiert, die die Anrufe getätigt haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Anzeige der Aktivitätsdetails im Bereich Profil für das gesamte API Anrufvolumen einer IP-Adresse auf der Registerkarte „Ressourcen“.
APIMethode für Dienstleistung

Zeigt zunächst die Liste der API Anrufe an, die ausgegeben wurden. Die API Anrufe sind nach den Diensten gruppiert, die die Anrufe getätigt haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter Unbekannter Dienst aufgeführt.

Sie können jeden API Anruf erweitern, um die Liste der Ressourcen anzuzeigen, die den API Anruf während des ausgewählten Zeitraums von der IP-Adresse aus getätigt haben.

Anzeige der APIMethode nach Dienste/Registerkarte der Aktivitätsdetails im Bereich Profil für das gesamte API Anrufvolumen für eine IP-Adresse.

Sortierung der Aktivitätsdetails

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API Anrufe sortiert.

Filterung der Aktivitätsdetails

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

So fügen Sie einen Filter hinzu

  1. Wählen Sie das Filterfeld.

  2. Wählen Sie unter Eigenschaften die Eigenschaft aus, die für die Filterung verwendet werden soll.

  3. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach API Methode filtern, enthalten die Ergebnisse alle API OperationenInstance, deren Name das Wort hatInstance. Also sowohl ListInstanceAssociations als auch UpdateInstanceInformation würden passen.

    Für Dienstnamen, API Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

    Wählen Sie für Allgemeine API Teilzeichenfolgen die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. ListCreate, oder. Delete Jeder API Methodenname beginnt mit dem Operationstyp.

    Bei CIDRMustern können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen angeben möchten, die einem bestimmten CIDR Muster entsprechen.

  4. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.

    Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.

  5. Um einen Filter zu entfernen, wählen Sie das Symbol x in der rechten oberen Ecke.

  6. Um alle Filter zu löschen, wählen Sie Filter löschen aus.

Auswählen des Zeitbereichs für die Aktivitätsdetails

Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

So ändern Sie einen Zeitraum für die Aktivitätsdetails

  1. Wählen Sie Bearbeiten aus.

  2. Wählen Sie unter Zeitfenster bearbeiten die zu verwendende Start- und Endzeit aus.

    Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie Auf Standardzeit für den Geltungsbereich festlegen.

  3. Wählen Sie Zeitfenster aktualisieren.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

Hervorgehobenes Zeitfenster für den Bereich Profil zum gesamten API Anrufvolumen

Abfragen von unformatierten Protokollen

Amazon Detective ist in Amazon Security Lake integriert, was bedeutet, dass Sie die von Security Lake gespeicherten Rohprotokolldaten abfragen und abrufen können. Weitere Informationen zu dieser Integration finden Sie unter Integration von Amazon Detective mit Amazon Security Lake.

Mithilfe dieser Integration können Sie Protokolle und Ereignisse aus den folgenden Quellen sammeln und abfragen, die Security Lake nativ unterstützt.

  • AWS CloudTrail Verwaltungsereignisse Version 1.0 und höher

  • Amazon Virtual Private Cloud (AmazonVPC) Flow Logs Version 1.0 und höher

  • Amazon Elastic Kubernetes Service (AmazonEKS) Auditprotokoll, Version 2.0

Anmerkung

Für die Abfrage von Rohdatenprotokollen in Detective fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere AWS Services, einschließlich Amazon Athena, fallen weiterhin zu den veröffentlichten Tarifen an.

So fragen Sie Rohprotokolle ab

  1. Wählen Sie Details für den Zeitbereich anzeigen aus.

  2. Von hier aus können Sie mit der Abfrage von Rohprotokollen beginnen.

  3. In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

    In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die Abfrageanfrage stornieren, Ergebnisse in Amazon Athena anzeigen und Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen.

Wenn Sie Protokolle in Detective sehen, die Abfrage aber keine Ergebnisse lieferte, kann das aus den folgenden Gründen passieren.

  • Rohprotokolle werden möglicherweise in Detective verfügbar, bevor sie in den Security-Lake-Protokolltabellen angezeigt werden. Bitte versuchen Sie es später erneut.

  • In Security Lake fehlen möglicherweise Protokolle. Wenn Sie über einen längeren Zeitraum gewartet haben, deutet dies darauf hin, dass Protokolle in Security Lake fehlen. Wenden Sie sich an Ihren Security-Lake-Administrator, um das Problem zu beheben.