Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo rellena el Detective un gráfico de comportamiento
Para proporcionar los datos brutos para las investigaciones, Detective reúne datos de todo su entorno de AWS y de fuera de este, incluidos los siguientes:
-
Datos de registro, incluidos Amazon Virtual Private Cloud (AmazonVPC) y AWS CloudTrail
-
Hallazgos de Amazon GuardDuty
-
Hallazgos de AWS Security Hub
Para obtener más información sobre los datos de origen utilizados en un gráfico de comportamiento, consulte Datos de origen utilizados en un gráfico de comportamiento.
Cómo procesa Detective los datos de origen
A medida que llegan nuevos datos, Detective utiliza una combinación de extracción y análisis para completar el gráfico de comportamiento.
Extracción de Detective
La extracción se basa en reglas de mapeo configuradas. Básicamente, una regla de mapeo dice: “Siempre que se encuentre este fragmento de datos, usarlo de esta manera específica para actualizar los datos del gráfico de comportamiento”.
Por ejemplo, un registro de datos de origen de Detective entrante podría incluir una dirección IP. Si lo hace, Detective usa la información de ese registro para crear una nueva entidad de dirección IP o actualizar una entidad de dirección IP existente.
Análisis de Detective
Los análisis son algoritmos más complejos que analizan los datos para proporcionar visibilidad de la actividad asociada a las entidades.
Por ejemplo, un tipo de análisis de Detective analiza la frecuencia con la que se produce la actividad mediante la ejecución de algoritmos. En el caso de las entidades que realizan API llamadas, el algoritmo busca las API llamadas que la entidad no utiliza normalmente. El algoritmo también busca un gran aumento en el número de API llamadas.
Las conclusiones de los análisis respaldan las investigaciones al proporcionar respuestas a preguntas clave de los analistas, y se utilizan con frecuencia para completar los paneles de perfil de resultado y de entidad.