Sumber data yang digunakan dalam grafik perilaku Detektif - Amazon Detective
Jenis sumber data inti di DetectiveJenis sumber data opsional di DetectiveBagaimana Detective mencerna dan menyimpan data sumberBagaimana Detective memberlakukan kuota volume data untuk grafik perilaku

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sumber data yang digunakan dalam grafik perilaku Detektif

Untuk mengisi grafik perilaku, Amazon Detective menggunakan data sumber dari akun administrator grafik perilaku dan akun anggota.

Dengan Detective, Anda dapat mengakses data peristiwa historis hingga satu tahun. Data ini tersedia melalui serangkaian visualisasi yang menunjukkan perubahan jenis dan volume aktivitas pada jendela waktu yang dipilih. Detektif menghubungkan perubahan ini dengan temuan. GuardDuty

Diagram yang menunjukkan bagaimana grafik perilaku menggunakan data dari akun administrator dan akun anggota, dan menggunakan struktur data grafik perilaku.

Untuk detail tentang struktur data grafik perilaku, lihat Ikhtisar struktur data grafik perilaku di Panduan Pengguna Detektif.

Jenis sumber data inti di Detective

Detective menyerap data dari jenis log ini: AWS

  • AWS CloudTrail log

  • Log aliran Amazon Virtual Private Cloud (AmazonVPC)

    • Mencerna keduanya IPv4 dan IPv6 catatan, tetapi bukan MAC catatan yang diproduksi oleh Adaptor Kain Elastis.

    • Menyerap catatan log saat nilai log-status bidang dalam OK status. Untuk informasi selengkapnya, lihat Catatan log alur di Panduan VPC Pengguna Amazon.

    • Menyerap log aliran yang dihasilkan oleh instans Amazon Elastic Compute Cloud yang hanya berjalan di instans tersebut. VPCs Tidak ada sumber daya lain, seperti NAT gateway, RDS instance, atau cluster Fargate yang digunakan.

    • Menyerap lalu lintas yang diterima dan ditolak.

  • Untuk akun yang terdaftar GuardDuty, Detektif juga GuardDuty mencerna temuan.

Detective mengkonsumsi CloudTrail dan VPC mengalirkan peristiwa log menggunakan aliran independen dan duplikatif dari dan flow log. CloudTrail VPC Proses ini tidak memengaruhi atau menggunakan konfigurasi log VPC aliran CloudTrail dan yang ada. Mereka juga tidak mempengaruhi kinerja atau meningkatkan biaya Anda untuk layanan ini.

Jenis sumber data opsional di Detective

Detective menawarkan paket sumber opsional selain tiga sumber data yang ditawarkan dalam paket inti Detective (paket inti termasuk AWS CloudTrail log, log VPC Aliran, dan temuan). GuardDuty Paket sumber data opsional dapat dimulai atau dihentikan untuk grafik perilaku kapan saja.

Detective menyediakan uji coba gratis 30 hari untuk semua paket sumber inti dan opsional per Wilayah.

catatan

Detective menyimpan semua data yang diterima dari setiap paket sumber data hingga 1 tahun.

Saat ini paket sumber opsional berikut tersedia:

  • EKSlog audit

    Paket sumber data opsional ini memungkinkan Detective untuk menyerap informasi rinci tentang EKS cluster di lingkungan Anda dan menambahkan data tersebut ke grafik perilaku Anda. Detective menghubungkan aktivitas pengguna dengan peristiwa AWS CloudTrail Manajemen dan aktivitas jaringan dengan Amazon VPC Flow Logs tanpa perlu mengaktifkan atau menyimpan log ini secara manual. Lihat Log EKS audit Amazon untuk detail.

  • AWS temuan keamanan

    Paket sumber data opsional ini memungkinkan Detective untuk menyerap data dari Security Hub dan menambahkan data tersebut ke grafik perilaku Anda. Lihat AWS temuan keamanan untuk detail.

Memulai atau menghentikan sumber data opsional:

  1. Buka konsol Detektif di. https://console.aws.amazon.com/detective/

  2. Dari panel navigasi di bawah Pengaturan, pilih Umum.

  3. Di bawah Paket sumber opsional, pilih Perbarui. Kemudian pilih sumber data yang ingin Anda aktifkan atau batalkan pilihan kotak untuk sumber data yang sudah diaktifkan dan pilih Perbarui untuk mengubah paket sumber data mana yang diaktifkan.

catatan

Jika Anda berhenti dan kemudian memulai ulang sumber data opsional, Anda akan melihat celah dalam data yang ditampilkan pada beberapa profil entitas. Kesenjangan ini akan dicatat di tampilan konsol dan mewakili periode waktu ketika sumber data dihentikan. Ketika sumber data dimulai ulang Detektif tidak secara surut menelan data.

Bagaimana Detective mencerna dan menyimpan data sumber

Ketika Detektif diaktifkan, Detektif mulai menelan data sumber dari akun administrator grafik perilaku. Saat akun anggota ditambahkan ke grafik perilaku, Detektif juga mulai menggunakan data dari akun anggota tersebut.

Data sumber Detektif terdiri dari versi terstruktur dan diproses dari umpan asli. Untuk mendukung analitik Detective, Detective menyimpan salinan data sumber Detective.

Proses penyerapan Detektif memasukkan data ke dalam bucket Amazon Simple Storage Service (Amazon S3) di penyimpanan data sumber Detective. Saat data sumber baru tiba, komponen Detektif lainnya mengambil data dan memulai proses ekstraksi dan analitik. Untuk informasi selengkapnya, lihat Bagaimana Detektif menggunakan data sumber untuk mengisi grafik perilaku di Panduan Pengguna Detektif.

Bagaimana Detective memberlakukan kuota volume data untuk grafik perilaku

Detective memiliki kuota ketat pada volume data yang memungkinkan dalam setiap grafik perilaku. Volume data adalah jumlah data per hari yang mengalir ke grafik perilaku Detektif.

Detektif memberlakukan kuota ini ketika akun administrator mengaktifkan Detektif, dan ketika akun anggota menerima undangan untuk berkontribusi pada grafik perilaku.

  • Jika volume data untuk akun administrator melebihi 10 TB per hari, maka akun administrator tidak dapat mengaktifkan Detektif.

  • Jika volume data yang ditambahkan dari akun anggota akan menyebabkan grafik perilaku melebihi 10 TB per hari, akun anggota tidak dapat diaktifkan.

Volume data untuk grafik perilaku juga dapat tumbuh secara alami dari waktu ke waktu. Detective memeriksa volume data grafik perilaku setiap hari untuk memastikan tidak melebihi kuota.

Jika volume data grafik perilaku mendekati kuota, Detective akan menampilkan pesan peringatan di konsol. Untuk menghindari melebihi kuota, Anda dapat menghapus akun anggota.

Jika volume data grafik perilaku melebihi 10 TB per hari, maka Anda tidak dapat menambahkan akun anggota baru ke grafik perilaku.

Jika volume data grafik perilaku melebihi 15 TB per hari, maka Detective berhenti menelan data ke dalam grafik perilaku. Kuota 15 TB per hari mencerminkan volume data normal dan lonjakan volume data. Ketika kuota ini tercapai, tidak ada data baru yang dicerna ke dalam grafik perilaku, tetapi data yang ada tidak dihapus. Anda masih dapat menggunakan data historis itu untuk penyelidikan. Konsol menampilkan pesan untuk menunjukkan bahwa penyerapan data ditangguhkan untuk grafik perilaku.

Jika konsumsi data ditangguhkan, Anda harus bekerja sama AWS Support untuk mengaktifkannya kembali. Jika memungkinkan, sebelum Anda menghubungi AWS Support, cobalah untuk menghapus akun anggota untuk mendapatkan volume data di bawah kuota. Ini membuatnya lebih mudah untuk mengaktifkan kembali data ingest untuk grafik perilaku.