Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del panel de resumen de Detective

Utilice el panel de resumen de Amazon Detective para identificar entidades e investigar el origen de la actividad durante las últimas 24 horas. El panel Resumen de Amazon Detective le ayuda a identificar las entidades asociadas a tipos específicos de actividad inusual. Es uno de los diferentes puntos de partida posibles de una investigación.

Para mostrar el panel de resumen, en el panel de navegación de Detective, seleccione Resumen. El panel Resumen también se muestra de forma predeterminada cuando se abre por primera vez la consola de Detective.

En el panel de resumen, puede identificar las entidades que cumplen los siguientes criterios:

Desde cada panel del panel de resumen, puede pasar al perfil de la entidad seleccionada.

Al revisar el panel de resumen, puede ajustar el tiempo de alcance para ver la actividad de cualquier período de 24 horas de los 365 días anteriores. Al cambiar la Fecha y hora de inicio, la Fecha y hora de finalización se actualizan automáticamente a 24 horas después de la hora de inicio elegida.

Con Detective, puede acceder a datos de eventos históricos de hasta un año de antigüedad. Estos datos están disponibles a través de un conjunto de visualizaciones que muestran los cambios en el tipo y el volumen de actividad durante un intervalo de hora seleccionado. El Detective relaciona estos cambios con los GuardDuty hallazgos.

Para obtener más información sobre los datos de origen en Detective, consulte Datos de origen utilizados en un gráfico de comportamiento.

Investigaciones

Investigaciones que muestran posibles eventos de seguridad identificados por Detective. En el panel Investigaciones, puede ver las investigaciones críticas y los roles y usuarios correspondientes de AWS que se han visto afectados por eventos de seguridad durante un período de tiempo determinado. Las investigaciones agrupan los indicadores de riesgo para ayudar a determinar si un AWS recurso está involucrado en una actividad inusual que podría indicar un comportamiento malicioso y su impacto.

Seleccione Ver todas las investigaciones para revisar los resultados y clasificar los grupos de resultados y los detalles de los recursos con el fin de acelerar la investigación de seguridad. Las investigaciones se muestran en función del tiempo de alcance seleccionado. Puede ajustar el tiempo del alcance para ver las investigaciones en un período de 24 horas en los 365 últimos días. Puede pasar directamente a Investigaciones críticas para ver un informe detallado de la investigación.

Si identificas un AWS rol o un usuario que parece tener una actividad sospechosa, puedes pasar directamente del panel de investigaciones al rol o usuario para continuar con la investigación. Seleccione un rol o un usuario y haga clic en Ejecutar investigación para generar un informe de la investigación. Tras realizar una investigación sobre un rol o un usuario, dicho rol o usuario pasa a la pestaña Investigado.

Geolocalizaciones recién observadas

Geolocalizaciones recién observadas destaca las ubicaciones geográficas que fueron el origen de la actividad durante las 24 horas anteriores, pero que no se observaron durante el periodo de línea base anterior.

El panel incluye hasta 100 geolocalizaciones. Las ubicaciones están marcadas en el mapa y se enumeran en la tabla que hay bajo el mapa.

Para cada geolocalización, la tabla muestra el número de API llamadas fallidas y satisfactorias realizadas desde esa geolocalización durante las últimas 24 horas.

Puede ampliar cada geolocalización para mostrar la lista de usuarios y roles que realizaron llamadas desde esa geolocalización. API Para cada entidad principal, la tabla muestra el tipo y la Cuenta de AWS asociada.

Si identifica un usuario o un rol que le parezca sospechoso, puede pasar directamente del panel al perfil del usuario o rol para continuar con la investigación. Para pasar a un perfil, elija el identificador de usuario o rol.

El Detective determina la ubicación de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa que sus datos son muy precisos a nivel de país, aunque la precisión varía según factores como el país y el tipo de IP. Para obtener más información MaxMind, consulte Geolocalización MaxMind IP. Si cree que alguno de los datos de GeoIP es incorrecto, puede enviar una solicitud de corrección a Maxmind en MaxMind Correct Geo Data. IP2

Grupos de resultados activos en los últimos 7 días

Grupos de resultados activos en los últimos 7 días muestra agrupaciones correlacionadas de resultados, entidades y evidencias de Detective en su entorno que se produjeron durante un periodo de tiempo determinado. Estas agrupaciones correlacionan actividades inusuales que podrían ser indicio de un comportamiento malintencionado. El panel de resumen muestra hasta cinco grupos ordenados por los grupos que contienen los hallazgos más importantes que estuvieron activos en la última semana.

Puede seleccionar valores en el contenido Táctica, Cuenta, Recuerdo y Resultados para acceder a información más detallada.

Los grupos de resultados se generan diariamente. Si identifica un grupo de resultados de interés, puede seleccionar el título para acceder a una vista detallada del perfil del grupo y continuar con la investigación.

Funciones y usuarios con mayor volumen de API llamadas

Los roles y usuarios con el mayor volumen de API llamadas identifican a los usuarios y roles que han realizado el mayor número de API llamadas durante las últimas 24 horas.

El panel puede incluir hasta 100 usuarios y roles. Para cada usuario o rol, puede ver el tipo (usuario o rol) y la cuenta asociada. También puedes ver el número de API llamadas emitidas por ese usuario o rol durante las últimas 24 horas.

De forma predeterminada, se muestran los roles vinculados a servicios. Los roles vinculados al servicio pueden generar grandes volúmenes de AWS CloudTrail actividad, lo que desplaza a los directores que se desean investigar más a fondo. Puede optar por desactivar Mostrar funciones vinculadas al servicio para filtrar las funciones vinculadas al servicio desde la vista de resumen del panel de control.

Puede exportar un archivo de valores separados por comas (.csv) que contenga los datos de este panel.

También hay un cronograma del volumen de API llamadas de los 7 días anteriores. El cronograma puede ayudarte a determinar si el volumen de API llamadas es inusual para ese director.

Si identificas un usuario o un rol cuyo volumen de API llamadas parece sospechoso, puedes pasar directamente del panel al perfil de usuario o rol para continuar con la investigación. También puede ver el perfil de la cuenta asociada al usuario o rol. Para ver un perfil, elija el usuario, el rol o el identificador de cuenta.

EC2instancias con el mayor volumen de tráfico

EC2las instancias con el mayor volumen de tráfico identifican las EC2 instancias que han tenido el mayor volumen total de tráfico durante las últimas 24 horas.

El panel puede incluir hasta 100 EC2 instancias. Para cada EC2 instancia, puede ver la cuenta asociada y el número de bytes entrantes, salientes y totales de las últimas 24 horas.

Puede exportar un archivo de valores separados por comas (.csv) que contenga los datos de este panel.

También puede ver una cronología que muestre el tráfico entrante y saliente de los últimos 7 días. El cronograma puede ayudar a determinar si el volumen de tráfico es inusual en esa EC2 instancia.

Si identificas una EC2 instancia con un volumen de tráfico sospechoso, puedes ir directamente del panel al perfil de la EC2 instancia para continuar con la investigación. También puedes ver el perfil de la cuenta propietaria de la EC2 instancia. Para ver un perfil, elige el identificador de la EC2 instancia o de la cuenta.

Clústeres de contenedor con mayor número de pods de Kubernetes

Clústeres de contenedor con mayor número de pods de Kubernetes creados identifica los clústeres en los que se han ejecutado más contenedores en las últimas 24 horas.

Este panel incluye hasta 100 clústeres organizados por aquellos que contienen más resultados asociados. Para cada clúster, puede ver la cuenta asociada, el número actual de contenedores del clúster y el número de resultados asociados al clúster en las últimas 24 horas. Puede exportar un archivo de valores separados por comas (.csv) que contenga los datos de este panel.

Si identifica un clúster con resultados recientes, puede pasar directamente del panel al perfil del clúster para continuar con la investigación. También puede cambiar al perfil de la cuenta propietaria del clúster. Para cambiar a un perfil, elija el nombre del clúster o el identificador de la cuenta.

Notificación de valor aproximado

En los roles y los usuarios con el mayor volumen de API llamadas y las EC2 instancias con el mayor volumen de tráfico, si un valor va seguido de un asterisco (*), significa que el valor es una aproximación. El valor verdadero es igual o mayor que el valor mostrado.

Esto se debe al método que utiliza Detective para calcular el volumen de cada intervalo de tiempo. En la página Resumen, el intervalo de tiempo es de una hora.

Para cada hora, Detective calcula el volumen total de los 1000 usuarios, roles o EC2 instancias con el mayor volumen. Excluye los datos de los usuarios, funciones o EC2 instancias restantes.

Si un recurso estaba a veces entre los 1000 primeros y otras no, es posible que el volumen calculado para ese recurso no incluya todos los datos. Se excluyen los datos de los intervalos de tiempo en los que no estaba entre los 1000 primeros.

Tenga en cuenta que esto se aplica solo a la página Resumen. El perfil del usuario, rol o EC2 instancia proporciona detalles precisos.