Vue d’ensemble de la structure de données du graphe de comportement - Amazon Detective
Types d’éléments dans la structure de données du graphe de comportementTypes d’entités dans la structure de données du graphe de comportement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d’ensemble de la structure de données du graphe de comportement

La structure de données du graphe de comportement définit la structure des données extraites et analysées. Elle définit également la manière dont les données sources sont mappées au graphe de comportement.

Types d’éléments dans la structure de données du graphe de comportement

La structure de données du graphe de comportement est constituée des éléments d’information suivants.

Entité

Une entité représente un élément extrait des données sources de Detective.

Chaque entité possède un type qui identifie le type d’objet qu’elle représente. Les exemples de types d'entités incluent les adresses IP, EC2 les instances Amazon et AWS les utilisateurs.

Pour chaque entité, les données sources sont également utilisées pour renseigner les propriétés de l’entité. Les valeurs des propriétés peuvent être extraites directement des enregistrements sources, ou agrégées sur plusieurs enregistrements.

Certaines propriétés se composent d’une valeur scalaire unique ou d’une valeur agrégée. Par exemple, pour une EC2 instance, Detective suit le type d'instance et le nombre total d'octets traités.

Les propriétés des séries chronologiques permettent de suivre l’activité au fil du temps. Par EC2 exemple, Detective suit au fil du temps les ports uniques qu'il a utilisés.

Relations

Une relation représente l’activité qui se produit entre des entités individuelles. Les relations sont également extraites des données sources Detective.

Tout comme une entité, une relation possède un type qui identifie les types d’entités impliquées et le sens de la connexion. Les adresses IP qui se connectent à des EC2 instances sont un exemple de type de relation.

Pour chaque relation individuelle, telle qu’une adresse IP spécifique se connectant à une instance spécifique, Detective suit les occurrences au fil du temps.

Types d’entités dans la structure de données du graphe de comportement

La structure de données du graphe de comportement comprend des types d’entités et de relations qui effectuent les opérations suivantes :

  • Suivre les serveurs, les adresses IP et les agents utilisateurs utilisés

  • Suivez les AWS utilisateurs, les rôles et les comptes utilisés

  • Suivre les connexions réseau et les autorisations qui se produisent dans votre environnement AWS

La structure de données du graphe de comportement contient les types d’entités suivants.

AWS compte

AWS comptes présents dans les données source du Detective.

Pour chaque compte, Detective répond à plusieurs questions :

  • Quels API appels le compte a-t-il utilisés ?

  • Quels agents utilisateurs le compte a-t-il utilisés ?

  • Quelles organisations du système autonome (ASOs) le compte a-t-il utilisées ?

  • Dans quelles zones géographiques le compte a-t-il été actif ?

AWS rôle

AWS rôles présents dans les données source de Detective.

Pour chaque rôle, Detective répond à plusieurs questions :

  • Quels API appels le rôle a-t-il utilisés ?

  • Quels agents utilisateurs le rôle a-t-il utilisés ?

  • Quel ASOs est le rôle utilisé ?

  • Dans quelles zones géographiques le compte a-t-il été actif ?

  • Quelles sont les ressources qui ont assumé ce rôle ?

  • Quels rôles ce rôle a-t-il assumés ?

  • Quelles sessions de rôle ont impliqué ce rôle ?

AWS utilisateur

AWS utilisateurs présents dans les données source de Detective.

Pour chaque utilisateur, Detective répond à plusieurs questions :

  • Quels API appels l'utilisateur a-t-il utilisés ?

  • Quels agents utilisateurs l’utilisateur a-t-il utilisés ?

  • Dans quelles zones géographiques l’utilisateur a-t-il été actif ?

  • Quels rôles cet utilisateur a-t-il assumés ?

  • Quelles sessions de rôle ont impliqué cet utilisateur ?

Utilisateur fédéré

Instances d’un utilisateur fédéré. Voici quelques exemples d’utilisateurs fédérés :

  • Une identité qui se connecte à l'aide du langage de balisage d'assertions de sécurité () SAML

  • Une identité qui se connecte à l’aide de la fédération d’identité Web

Pour chaque utilisateur fédéré, Detective répond aux questions suivantes :

  • Avec quel fournisseur d’identité l’utilisateur fédéré s’est-il authentifié ?

  • Quel était le public de l’utilisateur fédéré ? L’audience identifie l’application qui a demandé le jeton d’identité Web de l’utilisateur fédéré.

  • Dans quelles zones géographiques l’utilisateur fédéré a-t-il été actif ?

  • Quels agents utilisateurs l’utilisateur fédéré a-t-il utilisés ?

  • Qu'est-ce ASOs que l'utilisateur fédéré a utilisé ?

  • Quels rôles cet utilisateur fédéré a-t-il assumés ?

  • Quelles sessions de rôle ont impliqué cet utilisateur fédéré ?

EC2instance

EC2instances présentes dans les données source du Detective.

Par exempleEC2, Detective répond à plusieurs questions :

  • Quelles adresses IP ont communiqué avec l’instance ?

  • Quels ports ont été utilisés pour communiquer avec l’instance ?

  • Quel volume de données a été envoyé vers et depuis l’instance ?

  • Que VPC contient l'instance ?

  • Quels API appels l'EC2instance a-t-elle utilisés ?

  • Quels agents utilisateurs l'EC2instance a-t-elle utilisés ?

  • Qu'est-ce que l'EC2instance ASOs a utilisé ?

  • Dans quelles zones géographiques l'EC2instance a-t-elle été active ?

  • Quels sont les rôles assumés EC2 par l'instance ?

Session de rôle

Instances d’une ressource qui assume un rôle. Chaque session de rôle est identifiée par un identifiant de rôle et un nom de session.

Pour chaque rôle, Detective répond à plusieurs questions :

  • Quelles ressources ont été impliquées dans cette session de rôle ? En d’autres termes, quel rôle a été assumé et quelle ressource l’a assumé ?

    Notez que dans le cas d’une hypothèse de rôle inter-comptes, Detective ne peut pas identifier la ressource qui a assumé le rôle.

  • Quels sont API les appels utilisés par la session de rôle ?

  • Quels agents utilisateurs la session de rôle a-t-elle utilisés ?

  • Qu'est-ce ASOs que la session de rôle a utilisée ?

  • Dans quelles zones géographiques la session de rôle a-t-elle été active ?

  • Quel utilisateur ou quel rôle a lancé cette session de rôle ?

  • Quelles sessions de rôle ont débuté à partir de cette session de rôle ?

Résultat

Résultats découverts par Amazon GuardDuty qui sont intégrés aux données source du Detective.

Pour chaque résultat, Detective suit le type de résultat, l’origine et la fenêtre temporelle de l’activité du résultat.

Il stocke également des informations spécifiques au résultat, telles que les rôles ou les adresses IP impliqués dans l’activité détectée.

Adresse IP

Adresses IP présentes dans les données sources de Detective.

Pour chaque adresse IP, Detective répond à plusieurs questions :

  • Quels API appels l'adresse a-t-elle utilisés ?

  • Quels sont les ports utilisés par l’adresse ?

  • Quels utilisateurs et agents utilisateurs ont utilisé l’adresse IP ?

  • Dans quelles zones géographiques l’adresse IP a-t-elle été active ?

  • À quelles EC2 instances cette adresse IP a-t-elle été attribuée et avec lesquelles elle a été communiquée ?

Compartiment S3

Compartiments S3 contenus dans les données sources de Detective.

Pour chaque compartiment S3, Detective répond aux questions suivantes :

  • Quels principals ont interagi avec le compartiment S3 ?

  • Quels API appels ont été effectués vers le compartiment S3 ?

  • À partir de quels emplacements géographiques les directeurs ont-ils passé des API appels vers le compartiment S3 ?

  • Quels agents utilisateurs ont été utilisés pour interagir avec le compartiment S3 ?

  • Qu'est-ce qui a ASOs été utilisé pour interagir avec le compartiment S3 ?

Vous pouvez supprimer un compartiment S3, puis en créer un nouveau portant le même nom. Detective utilisant le nom du compartiment S3 pour identifier le compartiment S3, il les traite comme une entité de compartiment S3 unique. Sur le profil de l’entité, l’heure de création est la première heure de création. L’heure de suppression est l’heure de suppression la plus récente.

Pour afficher tous les événements de création et de suppression, définissez la durée de validité de manière à ce qu’elle commence par l’heure de création et se termine par l’heure de suppression. Dans le panneau Profil du volume global des API appels, affichez les détails de l'activité pour la durée définie. Filtrez les API méthodes à afficher Create et Delete les méthodes. Consultez Détails de l'activité pour le volume global API d'appels.

Agent utilisateur

Agents utilisateurs présents dans les données sources de Detective.

Pour chaque agent utilisateur, Detective répond à des questions telles que :

  • Quels API appels l'agent utilisateur a-t-il utilisés ?

  • Quels utilisateurs et quels rôles ont utilisé l’agent utilisateur ?

  • Quelles adresses IP ont utilisé l’agent utilisateur ?

EKSCluster

EKSclusters présents dans les données source de Detective.

Note

Pour voir tous les détails de ce type d'entité, la source de données facultative des journaux d'EKSaudit doit être activée. Pour plus d’informations, voir Sources de données facultatives

Pour chaque EKS cluster, Detective répond à des questions telles que les suivantes :

  • Quels API appels Kubernetes ont été exécutés dans ce cluster ?

  • Quels utilisateurs et comptes de service Kubernetes (sujets) sont actifs dans ce cluster ?

  • Quels conteneurs ont été lancés dans ce cluster ?

  • Quelles images sont utilisées pour lancer des conteneurs dans ce cluster ?

Pod Kubernetes

Pods Kubernetes présents dans les données sources de Detective.

Note

Pour voir tous les détails de ce type d'entité, la source de données facultative des journaux d'EKSaudit doit être activée. Pour plus d’informations, voir Sources de données facultatives

Pour chaque pod, Detective répond à des questions telles que :

  • Quelles images de conteneur présentes dans ce pod sont courantes dans mes comptes ?

  • Quelle activité a été dirigée vers ce pod ?

  • Quels sont les conteneurs utilisés dans ce pod ?

  • Les registres provenant de conteneurs contenus dans ce pod sont-ils courants dans mes comptes ?

  • Quels autres conteneurs s’exécutent dans les autres pods de la charge de travail ?

  • Y a-t-il des conteneurs anormaux dans ce pod qui ne se trouvent pas dans les autres pods de la charge de travail ?

Image de conteneur

Images de conteneurs présentes dans les données sources de Detective.

Note

Pour voir tous les détails de ce type d'entité, la source de données facultative des journaux d'EKSaudit doit être activée. Pour plus d’informations, voir Sources de données facultatives

Pour chaque image de conteneur, Detective répond à des questions telles que :

  • Quelles autres images de mon environnement partagent le même référentiel ou registre avec cette image ?

  • Combien de copies de cette image sont exécutées dans mon environnement ?

Sujet Kubernetes

Sujets Kubernetes présents dans les données sources de Detective. Un sujet Kubernetes est un compte d’utilisateur ou de service.

Note

Pour voir tous les détails de ce type d'entité, la source de données facultative des journaux d'EKSaudit doit être activée. Pour plus d’informations, voir Sources de données facultatives

Pour chaque sujet, Detective répond à des questions telles que :

  • Quels sont IAM les principaux responsables qui se sont authentifiés en tant que sujet ?

  • Quels sont les résultats associés à ce sujet ?

  • Quelles sont les adresses IP utilisées par le sujet ?