Dati di origine utilizzati in un grafico del comportamento del Detective - Amazon Detective

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dati di origine utilizzati in un grafico del comportamento del Detective

Per compilare un grafico di comportamento, Amazon Detective utilizza i dati di origine dell'account amministratore e degli account dei membri del grafico di comportamento.

Con Detective puoi accedere fino a un anno di dati storici degli eventi. Questi dati sono disponibili attraverso una serie di visualizzazioni che mostrano le variazioni del tipo e del volume di attività in una finestra temporale selezionata. Detective collega queste modifiche ai GuardDuty risultati.

Diagramma che mostra come un grafico di comportamento utilizza i dati dell'account amministratore e degli account membro e utilizza la struttura dei dati del grafico di comportamento.

Per i dettagli sulla struttura dei dati del grafico di comportamento, consulta Panoramica della struttura dei dati del grafico di comportamento nella Guida per l'utente di Detective.

Tipi di origini dati principali in Detective

Detective acquisisce i dati da questi tipi di AWS log:

  • AWS CloudTrail registri

  • Registri di flusso di Amazon Virtual Private Cloud (AmazonVPC)

    • Acquisisce entrambi IPv4 e IPv6 registra, ma non i MAC record prodotti da Elastic Fabric Adapters.

    • Inserisce i record di registro quando il valore del log-status campo è attivo. OK Per ulteriori informazioni, consulta i record di log di flusso nella Amazon VPC User Guide.

    • Acquisisce i log di flusso prodotti dalle istanze di Amazon Elastic Compute Cloud in esecuzione solo in quelle istanze. VPCs Non vengono utilizzate altre risorse, come NAT gateway, RDS istanze o cluster Fargate.

    • Acquisisce sia il traffico accettato che quello rifiutato.

  • Per gli account registrati GuardDuty, il Detective acquisisce anche i risultati. GuardDuty

Detective consuma CloudTrail e registra gli eventi utilizzando flussi e log di VPC flusso indipendenti CloudTrail e VPC duplicati. Questi processi non influiscono né utilizzano le configurazioni esistenti CloudTrail e VPC dei log di flusso. Inoltre, non influiscono sulle prestazioni né aumentano i costi di questi servizi.

Tipi di origini dati facoltativi in Detective

Detective offre pacchetti sorgente opzionali oltre alle tre fonti di dati offerte nel pacchetto principale Detective (il pacchetto principale include AWS CloudTrail log, log di VPC flusso e GuardDuty risultati). Un pacchetto di origini dati facoltativo può essere avviato o interrotto per un grafico di comportamento in qualsiasi momento.

Detective offre una prova gratuita di 30 giorni per tutti i pacchetti di origini principali e facoltativi per Regione.

Nota

Detective conserva tutti i dati ricevuti da ciascun pacchetto di origini dati per un massimo di 1 anno.

Attualmente sono disponibili i seguenti pacchetti di origini facoltative:

  • Log di verifica EKS

    Questo pacchetto opzionale di sorgenti dati consente a Detective di inserire informazioni dettagliate sui EKS cluster presenti nell'ambiente e di aggiungere tali dati al grafico del comportamento. Detective mette in correlazione le attività degli utenti con gli eventi di AWS CloudTrail gestione e le attività di rete con Amazon VPC Flow Logs senza che tu debba abilitare o archiviare questi log manualmente. Per informazioni dettagliate, vedi Registri EKS di controllo di Amazon.

  • AWS risultati di sicurezza

    Questo pacchetto di origini dati facoltativi consente a Detective di importare dati da Centrale di sicurezza e di aggiungerli al grafico di comportamento. Per informazioni dettagliate, vedi AWS risultati di sicurezza.

Avvio o arresto di un'origine dati facoltativa:
  1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

  2. Nel riquadro di navigazione, in Impostazioni, scegli Generale.

  3. In Pacchetti sorgente opzionali, seleziona Aggiorna. Quindi seleziona l'origine dati che desideri abilitare o deseleziona una casella per un'origine dati già abilitata e scegli Aggiorna per modificare i pacchetti di origini dati abilitati.

Nota

Se arresti e poi riavvii un'origine dati facoltativa, vedrai una lacuna nei dati visualizzati su alcuni profili di entità. Questa lacuna verrà rilevata sul display della console e rappresenterà il periodo di tempo in cui l'origine dati è stata arrestata. Quando un'origine dati viene riavviata, Detective non importa i dati in modo retroattivo.

Come Detective importa e archivia i dati di origine

Quando Detective è abilitato, Detective inizia a importare i dati di origine dall'account amministratore del grafico di comportamento. Man mano che gli account dei membri vengono aggiunti al grafico di comportamento, Detective inizia anche a utilizzare i dati di tali account membro.

I dati di origine di Detective sono costituiti da versioni strutturate ed elaborate dei feed originali. Per supportare l'analisi dei dati di Detective, archivia anche copie dei dati di origine di Detective.

Il processo di importazione di Detective inserisce i dati nei bucket Amazon Simple Storage Service (Amazon S3) dal datastore di origine di Detective. Con l'arrivo di nuovi dati di origine, altri componenti di Detective raccolgono i dati e avviano i processi di estrazione e analisi. Per ulteriori informazioni, consulta Come Detective utilizza i dati di origine per compilare un grafico di comportamento nella Guida per l'utente di Detective.

Come Detective applica la quota di volume di dati per i grafici del comportamento

Detective ha quote rigorose sul volume di dati che consente in ogni grafico di comportamento. Il volume di dati è la quantità di dati al giorno che confluisce nel grafico di comportamento di Detective.

Detective applica queste quote quando un account amministratore abilita Detective e quando un account membro accetta un invito a contribuire a un grafico di comportamento.

  • Se il volume di dati per un account amministratore supera i 10 TB al giorno, l'account amministratore non può abilitare Detective.

  • Se il volume di dati aggiunto proveniente da un account membro fa sì che il grafico di comportamento superi i 10 TB al giorno, l'account membro non può essere abilitato.

Il volume di dati per un grafico di comportamento può inoltre crescere naturalmente nel tempo. Detective controlla ogni giorno il volume dei dati del grafico di comportamento per assicurarsi che non superi la quota.

Se il volume di dati del grafico di comportamento si avvicina alla quota, Detective visualizza un messaggio di avviso sulla console. Per evitare di superare la quota, è possibile rimuovere gli account membri.

Se il volume di dati del grafico di comportamento supera i 10 TB al giorno, non è possibile aggiungere un nuovo account membro al grafico di comportamento.

Se il volume di dati del grafico di comportamento supera i 15 TB al giorno, Detective interrompe l'importazione dei dati nel grafico di comportamento. La quota di 15 TB al giorno riflette sia il normale volume di dati che i picchi del volume di dati. Quando viene raggiunta questa quota, non vengono inseriti nuovi dati nel grafico di comportamento, ma i dati esistenti non vengono rimossi. È comunque possibile utilizzare tali dati storici per le indagini. La console visualizza un messaggio per indicare che l'importazione dei dati è sospesa per il grafico di comportamento.

Se l'acquisizione dei dati è sospesa, è necessario intervenire per riattivarla. AWS Support Se possibile, prima di contattare AWS Support, prova a rimuovere gli account dei membri per portare il volume di dati al di sotto della quota. Ciò semplifica la riabilitazione dell'importazione dei dati per il grafico di comportamento.