Détails de l'activité pour le volume global API d'appels - Amazon Detective
Contenu des détails de l'activité (utilisateurs, rôles, comptes, sessions de rôles, EC2 instances, compartiments S3)Contenu des détails de l’activité (adresses IP)Tri des détails de l’activitéFiltrer les détails de l’activitéSélection de la plage de temps pour les détails de l’activitéInterrogation des journaux bruts

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détails de l'activité pour le volume global API d'appels

Les détails de l'activité pour le volume global API des API appels indiquent les appels émis pendant une période sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez Afficher les détails pour la durée de validité.

Notez que Detective a commencé à enregistrer et à afficher le nom du service pour les API appels à partir du 14 juillet 2021. Cette date est mise en évidence sur la chronologie du volet de profil. Pour les activités effectuées avant cette date, le nom du service est Service inconnu.

Contenu des détails de l'activité (utilisateurs, rôles, comptes, sessions de rôles, EC2 instances, compartiments S3)

Pour IAM les utilisateurs, les IAM rôles, les comptes, les sessions de rôle, EC2 les instances et les compartiments S3, les détails de l'activité contiennent les informations suivantes :

  • Chaque onglet fournit des informations sur l'ensemble des API appels émis pendant la période sélectionnée.

    Pour les compartiments S3, les informations reflètent API les appels effectués vers le compartiment S3.

    Les API appels sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

  • Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués. L’onglet Adresses IP observées indique également l’emplacement de chaque adresse IP.

  • Chaque entrée contient des informations sur les personnes qui ont passé les appels. Pour les comptes, les détails de l’activité identifient les utilisateurs ou les rôles. Pour les rôles, les détails de l’activité identifient les sessions de rôles. Pour les utilisateurs et les sessions de rôle, les détails de l'activité identifient les identifiants de clé d'accès (AKIDs).

    Notez qu'à compter du 14 juillet 2021, pour les profils de compte, les détails de l'activité indiquent les utilisateurs ou les rôles au lieu deAKIDs. Pour les profils de rôle, les détails de l'activité indiquent les sessions de rôle au lieu deAKIDs. Pour les activités qui ont lieu avant le 14 juillet 2021, l’appelant est répertorié comme ressource inconnue.

Les détails de l’activité contiennent les onglets suivants :

Adresses IP observées

Affiche initialement la liste des adresses IP utilisées pour émettre API des appels.

Vous pouvez développer chaque adresse IP pour afficher la liste des API appels émis à partir de cette adresse IP. Les API appels sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

Vous pouvez ensuite développer chaque API appel pour afficher la liste des appelants provenant de cette adresse IP. Selon le profil, l'appelant peut être un utilisateur, un rôle, une session de rôle ouAKID.

Vue de l'onglet Adresses IP observées du panneau Volume global des API appels, avec une entrée développée pour afficher la hiérarchie des adresses IP, des API appels etAKIDs. APIles appels sont regroupés par service.
APIméthode par service

Affiche initialement la liste des API appels émis. Les API appels sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

Vous pouvez développer chaque API méthode pour afficher la liste des adresses IP à partir desquelles les appels ont été émis.

Vous pouvez ensuite développer chaque adresse IP pour afficher la liste de l'AKIDsAPIappel émis à partir de cette adresse IP.

Vue de l'onglet APIMéthode par service du panneau Volume global des API appels, avec une entrée développée pour afficher la hiérarchie des API appels, des adresses IP etAKIDs. APIles appels sont regroupés par service.
ID de ressource ou de clé d’accès

Affiche initialement la liste des utilisateurs, des rôles, des sessions de rôle ou AKIDs qui ont été utilisés pour émettre API des appels.

Vous pouvez développer chaque appelant pour afficher la liste des adresses IP à partir desquelles il a émis API des appels.

Vous pouvez ensuite développer chaque adresse IP pour afficher la liste des API appels émis à partir de cette adresse IP par cet appelant. Les API appels sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

Vue de l'onglet Ressources du panneau Volume global des API appels, avec une entrée développée pour afficher la hiérarchie des AKIDs adresses IP et des API appels regroupés par service.

Contenu des détails de l’activité (adresses IP)

Pour les adresses IP, les détails de l’activité contiennent les informations suivantes :

  • Chaque onglet fournit des informations sur l'ensemble des API appels émis pendant la période sélectionnée. Les API appels sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

  • Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués.

Les détails de l’activité contiennent les onglets suivants :

Ressource

Affiche initialement la liste des ressources qui ont émis API des appels depuis l'adresse IP.

Pour chaque ressource, la liste inclut le nom, le type et le compte AWS de la ressource.

Vous pouvez développer chaque ressource pour afficher la liste des API appels émis par la ressource à partir de l'adresse IP. Les API appels sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

Affichage de l'onglet Ressource des détails de l'activité sur le panneau de profil du volume d'APIappels global pour une adresse IP.
APIméthode par service

Affiche initialement la liste des API appels émis. Les API appels sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous Service inconnu.

Vous pouvez développer chaque API appel pour afficher la liste des ressources qui ont émis l'APIappel à partir de l'adresse IP pendant la période sélectionnée.

Affichage de l'onglet APIMéthode par service des détails de l'activité du panneau de profil du volume global d'APIappels pour une adresse IP.

Tri des détails de l’activité

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d'APIappels réussis.

Filtrer les détails de l’activité

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

Pour ajouter un filtre

  1. Choisissez la zone de filtre.

  2. Dans Propriétés, choisissez la propriété à utiliser pour le filtrage.

  3. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles. Par exemple, lorsque vous filtrez par API méthode, si vous filtrez parInstance, les résultats incluent toute API opération dont le nom Instance figure dans son nom. Par conséquent, ListInstanceAssociations et UpdateInstanceInformation correspondraient tous deux.

    Pour les noms de service, les API méthodes et les adresses IP, vous pouvez spécifier une valeur ou choisir un filtre intégré.

    Pour les API sous-chaînes communes, choisissez la sous-chaîne qui représente le type d'opération, telle que ListCreate, ou. Delete Le nom de chaque API méthode commence par le type d'opération.

    Pour CIDRles modèles, vous pouvez choisir d'inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un CIDR modèle spécifique.

  4. Si vous disposez de plusieurs filtres, choisissez une option booléenne pour définir la manière dont ils sont connectés.

    Liste des connecteurs disponibles entre les filtres individuels pour le filtre des détails de l’activité.

  5. Pour supprimer une balise, choisissez le x situé dans l’angle supérieur droit de la balise.

  6. Pour effacer tous les filtres, choisissez Supprimer le filtre.

Sélection de la plage de temps pour les détails de l’activité

Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

Pour modifier la plage de temps pour les détails de l’activité

  1. Choisissez Modifier.

  2. Dans la fenêtre de modification de l’heure, choisissez l’heure de début et de fin à utiliser.

    Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez Définir sur la durée de validité par défaut.

  3. Choisissez Mettre à jour la période.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

Fenêtre temporelle surlignée pour le panneau de profil du volume global des API appels

Interrogation des journaux bruts

Amazon Detective est intégré à Amazon Security Lake, ce qui signifie que vous pouvez interroger et récupérer les données brutes des journaux stockées par Security Lake. Pour plus de détails sur cette intégration, consultez Intégration d'Amazon Detective à Amazon Security Lake.

Grâce à cette intégration, vous pouvez collecter et interroger des journaux et des événements provenant des sources suivantes, prises en charge de manière native par Security Lake.

  • AWS CloudTrail événements de gestion version 1.0 et versions ultérieures

  • Amazon Virtual Private Cloud (AmazonVPC) Flow Logs version 1.0 et ultérieure

  • Journal d'audit Amazon Elastic Kubernetes Service (EKSAmazon) version 2.0

Note

L’interrogation des journaux de données brutes dans Detective n’entraîne pas de frais supplémentaires. Les frais d'utilisation des autres AWS services, y compris Amazon Athena, s'appliquent toujours aux tarifs publiés.

Pour interroger des journaux bruts

  1. Choisissez les détails d’affichage pour la durée de validité.

  2. À partir de là, vous pouvez commencer à interroger les journaux bruts.

  3. Dans le tableau d’aperçu des journaux bruts, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena.

    Dans le tableau d’interrogation des journaux bruts, vous pouvez annuler la demande de requête, afficher les résultats dans Amazon Athena et télécharger les résultats sous la forme d’un fichier de valeurs séparées par des virgules (.csv).

Si vous voyez des journaux dans Detective, mais que la requête n’a renvoyé aucun résultat, les raisons peuvent en être les suivantes.

  • Les journaux bruts peuvent être disponibles dans Detective avant d’apparaître dans les tableaux des journaux de Security Lake. Réessayez ultérieurement.

  • Les journaux peuvent ne pas être présents dans Security Lake. Si vous avez attendu pendant une longue période, cela indique que les journaux sont absents de Security Lake. Contactez votre administrateur Security Lake pour résoudre le problème.