Descripción general de la estructura de datos del gráfico de comportamiento - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento define la estructura de los datos extraídos y analizados. También define cómo se asignan los datos de origen al gráfico de comportamiento.

Tipos de elementos de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento consta de los siguientes elementos de información:

Entidad

Una entidad representa un elemento extraído de los datos de origen de Detective.

Cada entidad tiene un tipo, que identifica el tipo de objeto al que representa. Algunos ejemplos de tipos de entidades son las direcciones IP, las EC2 instancias de Amazon y AWS los usuarios.

En cada entidad, los datos de origen también se utilizan para rellenar las propiedades de la entidad. Los valores de las propiedades pueden extraerse directamente de los registros de origen o agregarse en varios registros.

Algunas propiedades consisten en un único valor escalar o agregado. Por ejemplo, para una EC2 instancia, Detective rastrea el tipo de instancia y el número total de bytes procesados.

Las propiedades de las series temporales rastrean la actividad a lo largo del tiempo. Por ejemplo, por EC2 ejemplo, Detective rastrea a lo largo del tiempo los puertos únicos que utilizó.

Relaciones

Una relación representa la actividad que se produce entre entidades individuales. Las relaciones también se extraen de los datos de origen de Detective.

Al igual que una entidad, una relación tiene un tipo que identifica los tipos de entidades implicadas y el sentido de la conexión. Un ejemplo de un tipo de relación son las direcciones IP que se conectan a EC2 instancias.

Para cada relación individual, como una dirección IP específica que se conecta a una instancia específica, Detective rastrea las apariciones a lo largo del tiempo.

Tipos de entidades de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento consta de tipos de entidades y relaciones que hacen lo siguiente:

  • Rastrear los servidores, las direcciones IP y los agentes de usuario utilizados

  • Realice un seguimiento de los AWS usuarios, las funciones y las cuentas que se utilizan

  • Rastrear las conexiones de red y las autorizaciones que se producen en su entorno de AWS

La estructura de datos del gráfico de comportamiento contiene los siguientes tipos de entidad:

AWS cuenta

AWS cuentas que están presentes en los datos de origen del Detective.

Para cada cuenta, Detective responde a varias preguntas:

  • ¿Qué API llamadas ha utilizado la cuenta?

  • ¿Qué agentes de usuario ha utilizado la cuenta?

  • ¿Qué organizaciones del sistema autónomo (ASOs) ha utilizado la cuenta?

  • ¿En qué ubicaciones geográficas ha estado activa la cuenta?

AWS rol

AWS funciones que están presentes en los datos de origen del Detective.

Para cada rol, Detective responde a varias preguntas:

  • ¿Qué API llamadas ha utilizado el rol?

  • ¿Qué agentes de usuario ha utilizado el rol?

  • ¿Qué función ASOs ha utilizado?

  • ¿En qué ubicaciones geográficas ha estado activo el rol?

  • ¿Qué recursos han asumido este rol?

  • ¿Qué roles ha asumido este rol?

  • ¿En qué sesiones de rol ha intervenido este rol?

AWS usuario

AWS usuarios que están presentes en los datos de origen del Detective.

Para cada usuario, Detective responde a varias preguntas:

  • ¿Qué API llamadas ha utilizado el usuario?

  • ¿Qué agentes de usuario ha utilizado el usuario?

  • ¿En qué ubicaciones geográficas ha estado activo el usuario?

  • ¿Qué roles ha asumido este usuario?

  • ¿En qué sesiones de rol ha intervenido este usuario?

Usuario federado

Instancias de un usuario federado. Algunos ejemplos de usuarios federados incluyen los siguientes:

  • Una identidad que inicia sesión con Security Assertion Markup Language () SAML

  • Una identidad que inicia sesión mediante la federación de identidades web

Para cada usuario federado, Detective responde a las siguientes preguntas:

  • ¿Con qué proveedor de identidad se autenticó el usuario federado?

  • ¿Cuál era la audiencia del usuario federado? La audiencia identifica la aplicación que solicitó el token de identidad web del usuario federado.

  • ¿En qué ubicaciones geográficas ha estado activo el usuario federado?

  • ¿Qué agentes de usuario ha utilizado el usuario federado?

  • ¿Qué ASOs ha utilizado el usuario federado?

  • ¿Qué roles ha asumido este usuario federado?

  • ¿En qué sesiones de rol ha intervenido este usuario federado?

EC2instancia

EC2instancias que están presentes en los datos de origen del Detective.

Por ejemploEC2, el Detective responde a varias preguntas:

  • ¿Qué direcciones IP se han comunicado con la instancia?

  • ¿Qué puertos se han utilizado para comunicarse con la instancia?

  • ¿Qué volumen de datos se ha enviado a y desde la instancia?

  • ¿Qué VPC contiene la instancia?

  • ¿Qué API llamadas ha utilizado la EC2 instancia?

  • ¿Qué agentes de usuario ha utilizado la EC2 instancia?

  • ¿Qué ASOs ha utilizado la EC2 instancia?

  • ¿En qué ubicaciones geográficas ha estado activa la EC2 instancia?

  • ¿Qué funciones ha asumido la EC2 instancia?

Sesión de rol

Instancias de un recurso que asume un rol. Cada sesión de rol se identifica mediante el identificador de rol y un nombre de sesión.

Para cada rol, Detective responde a varias preguntas:

  • ¿Qué recursos intervinieron en esta sesión de rol? En otras palabras, ¿qué rol se asumió y qué recurso lo asumió?

    Tenga en cuenta que para asumir roles entre cuentas, Detective no puede identificar al recurso que asumió el rol.

  • ¿Qué API llamadas ha utilizado la sesión de rol?

  • ¿Qué agentes de usuario ha utilizado la sesión de rol?

  • ¿Qué ASOs ha utilizado la sesión de rol?

  • ¿En qué ubicaciones geográficas ha estado activa la sesión de rol?

  • ¿Qué usuario o rol inició esta sesión de rol?

  • ¿Qué sesiones de rol comenzaron a partir de esta sesión de rol?

Resultado

Hallazgos descubiertos por Amazon GuardDuty que se incluyen en los datos fuente del Detective.

Para cada resultado, Detective rastrea el tipo de resultado, el origen y la franja horaria de la actividad del resultado.

También almacena información específica del resultado, como los roles o las direcciones IP que intervienen en la actividad detectada.

Dirección IP

Direcciones IP que están presentes en los datos de origen de Detective.

Para cada dirección IP, Detective responde a varias preguntas:

  • ¿Qué API llamadas ha utilizado la dirección?

  • ¿Qué puertos ha utilizado la dirección?

  • ¿Qué usuarios y agentes de usuario han utilizado la dirección IP?

  • ¿En qué ubicaciones geográficas ha estado activa la dirección IP?

  • ¿A qué EC2 instancias se ha asignado esta dirección IP y con qué se ha comunicado?

Bucket de S3

Buckets de S3 que se encuentran en los datos de origen de Detective.

Para cada bucket de S3, Detective responde a estas preguntas:

  • ¿Qué entidades principales interactuaron con el bucket de S3?

  • ¿Qué API llamadas se realizaron al bucket de S3?

  • ¿Desde qué ubicaciones geográficas hacían los directores las API llamadas al depósito de S3?

  • ¿Qué agentes de usuario se utilizaron para interactuar con el bucket de S3?

  • ¿Qué ASOs se utilizó para interactuar con el depósito de S3?

Puede eliminar un bucket de S3 y, a continuación, crear uno nuevo con el mismo nombre. Como Detective usa el nombre del bucket de S3 para identificar el bucket de S3, los trata como una única entidad de bucket de S3. En el perfil de entidad, la Hora de creación es la primera hora de creación. La Hora de eliminación es la hora de eliminación más reciente.

Para ver todos los eventos de creación y eliminación, defina el rango temporal para que comience con la hora de creación y finalice con la hora de eliminación. En el panel del perfil del volumen general de API llamadas, muestra los detalles de la actividad durante el tiempo determinado. Filtra los API métodos que quieres mostrar Create y Delete los métodos. Consulte Detalles de la actividad del volumen total de API llamadas.

Agente de usuario

Agentes de usuario que están presentes en los datos de origen de Detective.

Para cada agente de usuario, Detective responde preguntas como las siguientes:

  • ¿Qué API llamadas ha utilizado el agente de usuario?

  • ¿Qué usuarios y roles han utilizado el agente de usuario?

  • ¿Qué direcciones IP han utilizado el agente de usuario?

EKSClúster

EKSclústeres que están presentes en los datos de origen del Detective.

nota

Para ver los detalles completos de este tipo de entidad, la fuente de datos de los registros de EKS auditoría opcional debe estar habilitada. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada EKS grupo, el Detective responde a preguntas como las siguientes:

  • ¿Qué API llamadas de Kubernetes se han ejecutado en este clúster?

  • ¿Qué usuarios y cuentas de servicio (sujetos) de Kubernetes están activos en este clúster?

  • ¿Qué contenedores se han lanzado en este clúster?

  • ¿Qué imágenes se utilizan para lanzar contenedores en este clúster?

Pod de Kubernetes

Pods de Kubernetes que están presentes en los datos de origen de Detective.

nota

Para ver los detalles completos de este tipo de entidad, debe estar habilitada la fuente de datos de los registros de EKS auditoría opcional. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada pod, Detective responde a preguntas como las siguientes:

  • ¿Qué imágenes de contenedor de este pod son comunes en mis cuentas?

  • ¿Qué actividad se ha dirigido a este pod?

  • ¿Qué contenedores se ejecutan en este pod?

  • ¿Son habituales en mis cuentas los registros de contenedor de este pod?

  • ¿Qué otros contenedores se ejecutan en los otros pods de la carga de trabajo?

  • ¿Hay contenedores anómalos en este pod que no estén en los otros pods de la carga de trabajo?

Imagen de contenedor

Imágenes de contenedor que están presentes en los datos de origen de Detective.

nota

Para ver los detalles completos de este tipo de entidad, la fuente de datos de los registros de EKS auditoría opcional debe estar habilitada. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada imagen de contenedor, Detective responde preguntas como las siguientes:

  • ¿Qué otras imágenes de mi entorno comparten el mismo repositorio o registro que esta imagen?

  • ¿Cuántas copias de esta imagen se están ejecutando en mi entorno?

Sujeto de Kubernetes

Sujetos de Kubernetes que están presentes en los datos de origen de Detective. Un sujeto de Kubernetes es una cuenta de usuario o de servicio.

nota

Para ver los detalles completos de este tipo de entidad, la fuente de datos de los registros de EKS auditoría opcional debe estar habilitada. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada sujeto, Detective responde preguntas como las siguientes:

  • ¿Qué IAM directores se han autenticado como este sujeto?

  • ¿Qué resultados están asociados a este sujeto?

  • ¿Qué direcciones IP utiliza el sujeto?