Ikhtisar struktur data grafik perilaku - Amazon Detective
Jenis elemen dalam struktur data grafik perilakuJenis entitas dalam struktur data grafik perilaku

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar struktur data grafik perilaku

Struktur data grafik perilaku mendefinisikan struktur data yang diekstraksi dan dianalisis. Ini juga mendefinisikan bagaimana data sumber dipetakan ke grafik perilaku.

Jenis elemen dalam struktur data grafik perilaku

Struktur data grafik perilaku terdiri dari elemen informasi berikut.

Entitas

Entitas mewakili item yang diekstrak dari data sumber Detektif.

Setiap entitas memiliki tipe, yang mengidentifikasi jenis objek yang diwakilinya. Contoh tipe entitas termasuk alamat IP, EC2 instans Amazon, dan AWS pengguna.

Untuk setiap entitas, data sumber juga digunakan untuk mengisi properti entitas. Nilai properti dapat diekstraksi langsung dari catatan sumber atau dikumpulkan di beberapa catatan.

Beberapa properti terdiri dari satu skalar atau nilai agregat. Misalnya, untuk sebuah EC2 instance, Detective melacak jenis instance dan jumlah total byte yang diproses.

Properti deret waktu melacak aktivitas dari waktu ke waktu. Misalnya, EC2 misalnya, Detective melacak dari waktu ke waktu port unik yang digunakannya.

Hubungan

Suatu hubungan mewakili aktivitas yang terjadi antara entitas individu. Hubungan juga diekstraksi dari data sumber Detektif.

Mirip dengan entitas, hubungan memiliki tipe, yang mengidentifikasi jenis entitas yang terlibat dan arah koneksi. Contoh tipe hubungan adalah alamat IP yang menghubungkan ke EC2 instance.

Untuk setiap hubungan individu, seperti alamat IP tertentu yang menghubungkan ke instance tertentu, Detective melacak kejadian dari waktu ke waktu.

Jenis entitas dalam struktur data grafik perilaku

Struktur data grafik perilaku terdiri dari jenis entitas dan hubungan yang melakukan hal berikut:

  • Lacak server, alamat IP, dan agen pengguna yang digunakan

  • Lacak AWS pengguna, peran, dan akun yang digunakan

  • Lacak koneksi jaringan dan otorisasi yang terjadi di lingkungan Anda AWS

Struktur data grafik perilaku berisi jenis entitas berikut.

AWS akun

AWS akun yang ada di data sumber Detektif.

Untuk setiap akun, Detektif menjawab beberapa pertanyaan:

  • APIPanggilan apa yang digunakan akun?

  • Agen pengguna apa yang menggunakan akun tersebut?

  • Organisasi sistem otonom apa (ASOs) yang telah digunakan akun?

  • Di lokasi geografis apa akun tersebut aktif?

AWS peran

AWS peran yang ada dalam data sumber Detektif.

Untuk setiap peran, Detektif menjawab beberapa pertanyaan:

  • APIPanggilan apa yang memiliki peran yang digunakan?

  • Agen pengguna apa yang memiliki peran yang digunakan?

  • Apa ASOs peran yang digunakan?

  • Di lokasi geografis apa peran tersebut aktif?

  • Sumber daya apa yang telah mengambil peran ini?

  • Peran apa yang diasumsikan peran ini?

  • Sesi peran apa yang melibatkan peran ini?

AWS pengguna

AWS pengguna yang hadir dalam data sumber Detektif.

Untuk setiap pengguna, Detective menjawab beberapa pertanyaan:

  • APIPanggilan apa yang digunakan pengguna?

  • Agen pengguna apa yang digunakan pengguna?

  • Di lokasi geografis apa pengguna aktif?

  • Peran apa yang diasumsikan pengguna ini?

  • Sesi peran apa yang melibatkan pengguna ini?

Pengguna federasi

Contoh pengguna federasi. Contoh pengguna federasi meliputi yang berikut:

  • Identitas yang masuk menggunakan Security Assertion Markup Language () SAML

  • Identitas yang masuk menggunakan federasi identitas web

Untuk setiap pengguna federasi, Detective menjawab pertanyaan-pertanyaan ini:

  • Penyedia identitas apa yang diautentikasi oleh pengguna federasi?

  • Apa audiens pengguna federasi? Audiens mengidentifikasi aplikasi yang meminta token identitas web dari pengguna federasi.

  • Di lokasi geografis apa pengguna federasi telah aktif?

  • Agen pengguna apa yang digunakan pengguna federasi?

  • Apa ASOs yang digunakan pengguna federasi?

  • Peran apa yang diasumsikan oleh pengguna federasi ini?

  • Sesi peran apa yang melibatkan pengguna federasi ini?

EC2contoh

EC2contoh yang ada dalam data sumber Detektif.

Sebagai EC2 contoh, Detective menjawab beberapa pertanyaan:

  • Alamat IP apa yang telah dikomunikasikan dengan instans?

  • Port apa yang telah digunakan untuk berkomunikasi dengan instance?

  • Berapa volume data yang telah dikirim ke dan dari instance?

  • Apa yang VPC berisi instance?

  • APIPanggilan apa yang digunakan EC2 instance?

  • Agen pengguna apa yang menggunakan EC2 instance?

  • Apa ASOs yang digunakan EC2 instance?

  • Di lokasi geografis apa EC2 instance tersebut aktif?

  • Peran apa yang diasumsikan oleh EC2 instance?

Sesi peran

Contoh sumber daya yang mengasumsikan peran. Setiap sesi peran diidentifikasi oleh pengidentifikasi peran dan nama sesi.

Untuk setiap peran, Detektif menjawab beberapa pertanyaan:

  • Sumber daya apa yang terlibat dalam sesi peran ini? Dengan kata lain, peran apa yang diasumsikan, dan sumber daya apa yang mengambil peran itu?

    Perhatikan bahwa untuk asumsi peran lintas akun, Detektif tidak dapat mengidentifikasi sumber daya yang mengambil peran tersebut.

  • APIPanggilan apa yang digunakan sesi peran?

  • Agen pengguna apa yang memiliki sesi peran yang digunakan?

  • Apa ASOs sesi peran yang digunakan?

  • Di lokasi geografis apa sesi peran aktif?

  • Pengguna atau peran apa yang memulai sesi peran ini?

  • Sesi peran apa yang dimulai dari sesi peran ini?

Temuan

Temuan ditemukan oleh Amazon GuardDuty yang dimasukkan ke dalam data sumber Detektif.

Untuk setiap temuan, Detective melacak jenis temuan, asal, dan jendela waktu untuk aktivitas pencarian.

Ini juga menyimpan informasi khusus untuk temuan, seperti peran atau alamat IP yang terlibat dalam aktivitas yang terdeteksi.

Alamat IP

Alamat IP yang ada dalam data sumber Detektif.

Untuk setiap alamat IP, Detective menjawab beberapa pertanyaan:

  • APIPanggilan apa yang memiliki alamat yang digunakan?

  • Port apa yang memiliki alamat yang digunakan?

  • Pengguna dan agen pengguna apa yang telah menggunakan alamat IP?

  • Di lokasi geografis apa alamat IP telah aktif?

  • EC2Contoh apa alamat IP ini telah ditetapkan dan dikomunikasikan?

Bucket S3

Bucket S3 yang ada di data sumber Detektif.

Untuk setiap bucket S3, Detective menjawab pertanyaan-pertanyaan ini:

  • Prinsipal apa yang berinteraksi dengan bucket S3?

  • APIPanggilan apa yang dilakukan ke ember S3?

  • Dari lokasi geografis apa kepala sekolah melakukan API panggilan ke bucket S3?

  • Agen pengguna apa yang digunakan untuk berinteraksi dengan bucket S3?

  • Apa ASOs yang digunakan untuk berinteraksi dengan bucket S3?

Anda dapat menghapus bucket S3 dan kemudian membuat bucket baru dengan nama yang sama. Karena Detective menggunakan nama bucket S3 untuk mengidentifikasi bucket S3, ia memperlakukan ini sebagai entitas bucket S3 tunggal. Pada profil entitas, waktu pembuatan adalah waktu pembuatan pertama. Waktu penghapusan adalah waktu penghapusan terbaru.

Untuk melihat semua peristiwa pembuatan dan penghapusan, atur waktu lingkup untuk memulai dengan waktu pembuatan dan akhiri dengan waktu penghapusan. Pada panel profil volume API panggilan keseluruhan, tampilkan detail aktivitas untuk waktu lingkup. Filter API metode untuk ditampilkan Create dan Delete metode. Lihat Detail aktivitas untuk Volume API panggilan keseluruhan.

Agen pengguna

Agen pengguna yang hadir dalam data sumber Detektif.

Untuk setiap agen pengguna, Detective menjawab pertanyaan seperti berikut:

  • APIPanggilan apa yang digunakan agen pengguna?

  • Pengguna dan peran apa yang telah menggunakan agen pengguna?

  • Alamat IP apa yang telah menggunakan agen pengguna?

EKSCluster

EKScluster yang ada dalam data sumber Detektif.

catatan

Untuk melihat detail lengkap untuk jenis entitas ini, sumber data log EKS audit opsional harus diaktifkan. Untuk info selengkapnya lihat Sumber data opsional

Untuk setiap EKS cluster, Detective menjawab pertanyaan-pertanyaan seperti berikut:

  • APIPanggilan Kubernetes apa yang telah dijalankan di klaster ini?

  • Pengguna Kubernetes dan akun layanan (subjek) apa yang aktif di klaster ini?

  • Wadah apa yang telah diluncurkan di cluster ini?

  • Gambar apa yang digunakan untuk meluncurkan wadah di cluster ini?

Kubernetes Pod

Pod Kubernetes yang ada di data sumber Detective.

catatan

Untuk melihat detail lengkap untuk jenis entitas ini, sumber data log EKS audit opsional harus diaktifkan. Untuk info selengkapnya lihat Sumber data opsional

Untuk setiap pod, Detective menjawab pertanyaan-pertanyaan seperti berikut:

  • Gambar kontainer apa di pod ini yang umum di akun saya?

  • Aktivitas apa yang telah diarahkan pada pod ini?

  • Wadah apa yang berjalan di pod ini?

  • Apakah pendaftar dari kontainer di pod ini umum di akun saya?

  • Wadah apa lagi yang berjalan di pod lain dari beban kerja?

  • Apakah ada wadah anomali di pod ini yang tidak ada di pod lain dari beban kerja?

Gambar Kontainer

Gambar kontainer yang ada di data sumber Detektif.

catatan

Untuk melihat detail lengkap untuk jenis entitas ini, sumber data log EKS audit opsional harus diaktifkan. Untuk info selengkapnya lihat Sumber data opsional

Untuk setiap gambar kontainer, Detektif menjawab pertanyaan seperti berikut:

  • Gambar apa lagi di lingkungan saya yang berbagi repositori atau registri yang sama dengan gambar ini?

  • Berapa banyak salinan gambar ini yang berjalan di lingkungan saya?

Subjek Kubernetes

Subjek Kubernetes yang hadir dalam data sumber Detektif. Subjek Kubernetes adalah akun pengguna atau layanan.

catatan

Untuk melihat detail lengkap untuk jenis entitas ini, sumber data log EKS audit opsional harus diaktifkan. Untuk info selengkapnya lihat Sumber data opsional

Untuk setiap subjek, Detektif menjawab pertanyaan-pertanyaan seperti berikut:

  • IAMPrinsip apa yang telah diautentikasi sebagai subjek ini?

  • Temuan apa yang terkait dengan subjek ini?

  • Alamat IP apa yang digunakan subjek?