Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment Detective remplit un graphique de comportement
Pour fournir les données brutes nécessaires aux enquêtes, Detective rassemble des données provenant de l’ensemble de votre environnement AWS et au-delà, notamment les données suivantes :
-
Données de journal, y compris Amazon Virtual Private Cloud (AmazonVPC) et AWS CloudTrail
-
Conclusions d'Amazon GuardDuty
-
Conclusions tirées de AWS Security Hub
Pour en savoir plus sur les données source utilisées dans un graphe de comportement, voir Données source utilisées dans un graphe de comportement.
Comment Detective traite les données sources
À mesure que de nouvelles données arrivent, Detective utilise une combinaison d’extraction et d’analyse pour renseigner le graphe de comportement.
Extraction de Detective
L’extraction est basée sur des règles de mappage configurées. Une règle de mappage indique essentiellement : « Chaque fois que vous voyez cette donnée, utilisez-la de cette manière spécifique pour mettre à jour les données du graphe de comportement ».
Par exemple, un enregistrement de données sources Detective entrant peut inclure une adresse IP. Si tel est le cas, Detective utilise les informations contenues dans cet enregistrement pour créer une nouvelle entité d’adresse IP ou mettre à jour une entité d’adresse IP existante.
Analyse Detective
Les analyses sont des algorithmes plus complexes qui analysent les données pour fournir un aperçu de l’activité associée aux entités.
Par exemple, un type d’analyse Detective analyse la fréquence de l’activité en exécutant des algorithmes. Pour les entités qui effectuent API des appels, l'algorithme recherche les API appels que l'entité n'utilise pas normalement. L'algorithme recherche également un pic important du nombre d'APIappels.
Les informations analytiques étayent les enquêtes en fournissant des réponses aux principales questions des analystes, et elles sont fréquemment utilisées pour remplir les volets de résultats et de profils des entités.