Dettagli sull'attività per il volume complessivo delle API chiamate - Amazon Detective
Contenuto dei dettagli dell'attività (utenti, ruoli, account, sessioni di ruolo, EC2 istanze, bucket S3)Contenuto dei dettagli dell'attività (indirizzi IP)Ordinamento dei dettagli dell'attivitàFiltro dei dettagli dell'attivitàSelezione dell'intervallo di tempo per i dettagli dell'attivitàEsecuzione di query sui log non elaborati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dettagli sull'attività per il volume complessivo delle API chiamate

I dettagli dell'attività per Volume complessivo delle API chiamate mostrano le API chiamate emesse in un intervallo di tempo selezionato.

Per visualizzare i dettagli dell'attività per un singolo intervallo di tempo, scegli l'intervallo di tempo sul grafico.

Per visualizzare i dettagli dell'attività per il periodo di validità corrente, scegli Visualizza dettagli per il periodo di validità.

Tieni presente che Detective ha iniziato a memorizzare e visualizzare il nome del servizio per API le chiamate a partire dal 14 luglio 2021. Tale data è evidenziata nella sequenza temporale del pannello del profilo. Per le attività che si verificano prima di tale data, il nome del servizio è Servizio sconosciuto.

Contenuto dei dettagli dell'attività (utenti, ruoli, account, sessioni di ruolo, EC2 istanze, bucket S3)

Per IAM utenti, IAM ruoli, account, sessioni di ruolo, EC2 istanze e bucket S3, i dettagli dell'attività contengono le seguenti informazioni:

  • Ogni scheda fornisce informazioni sul set di API chiamate emesse durante l'intervallo di tempo selezionato.

    Per i bucket S3, le informazioni riflettono API le chiamate effettuate al bucket S3.

    Le API chiamate sono raggruppate in base ai servizi che le hanno chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

  • Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite. La scheda Indirizzi IP osservati mostra anche la posizione di ogni indirizzo IP.

  • Ogni voce mostra informazioni su chi ha effettuato le chiamate. Per gli account, i dettagli dell'attività identificano gli utenti o i ruoli. Per i ruoli, i dettagli dell'attività identificano le sessioni di ruolo. Per gli utenti e le sessioni di ruolo, i dettagli dell'attività identificano gli identificatori delle chiavi di accesso ()AKIDs.

    Tieni presente che a partire dal 14 luglio 2021, per i profili degli account, i dettagli dell'attività mostrano gli utenti o i ruoli anzichéAKIDs. Per i profili di ruolo, i dettagli dell'attività mostrano le sessioni di ruolo anzichéAKIDs. Per le attività che si sono svolte prima del 14 luglio 2021, il chiamante viene elencato come Risorsa sconosciuta.

I dettagli dell'attività contengono le seguenti schede:

Indirizzi IP osservati

Visualizza inizialmente l'elenco degli indirizzi IP utilizzati per effettuare API chiamate.

È possibile espandere ogni indirizzo IP per visualizzare l'elenco delle API chiamate emesse da tale indirizzo IP. Le API chiamate sono raggruppate in base ai servizi che le hanno chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È quindi possibile espandere ogni API chiamata per visualizzare l'elenco dei chiamanti provenienti da quell'indirizzo IP. A seconda del profilo, il chiamante potrebbe essere un utente, un ruolo, una sessione di ruolo o. AKID

Visualizzazione della scheda Indirizzi IP osservati del pannello Volume complessivo delle API chiamate, con una voce espansa per mostrare la gerarchia degli indirizzi IP, delle API chiamate e. AKIDs APIle chiamate sono raggruppate per servizio.
APImetodo per servizio

Visualizza inizialmente l'elenco delle API chiamate emesse. Le API chiamate sono raggruppate in base ai servizi che le hanno emesse. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È possibile espandere ciascun API metodo per visualizzare l'elenco degli indirizzi IP da cui sono state emesse le chiamate.

È quindi possibile espandere ogni indirizzo IP per visualizzare l'elenco delle AKIDs API chiamate emesse da quell'indirizzo IP.

Visualizzazione della scheda APImetodo per servizio del pannello Volume complessivo delle API chiamate, con una voce espansa per mostrare la gerarchia delle API chiamate, gli indirizzi IP eAKIDs. APIle chiamate sono raggruppate per servizio.
ID della risorsa o della chiave di accesso

Visualizza inizialmente l'elenco di utenti, ruoli, sessioni di ruolo o AKIDs che sono stati utilizzati per effettuare API chiamate.

È possibile espandere ogni chiamante per visualizzare l'elenco degli indirizzi IP da cui ha API emesso le chiamate.

È quindi possibile espandere ogni indirizzo IP per visualizzare l'elenco delle API chiamate emesse da quell'indirizzo IP da quel chiamante. Le API chiamate vengono raggruppate in base ai servizi che le hanno emesse. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

Visualizzazione della scheda Risorse del pannello Volume complessivo delle API chiamate, con una voce espansa per mostrare la gerarchia degli AKIDs indirizzi IP e API le chiamate raggruppate per servizio.

Contenuto dei dettagli dell'attività (indirizzi IP)

Per gli indirizzi IP, i dettagli dell'attività contengono le seguenti informazioni:

  • Ogni scheda fornisce informazioni sull'insieme di API chiamate emesse nell'intervallo di tempo selezionato. Le API chiamate sono raggruppate in base ai servizi che le hanno emesse. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

  • Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite.

I dettagli dell'attività contengono le seguenti schede:

Risorsa

Visualizza inizialmente l'elenco delle risorse che hanno emesso API chiamate dall'indirizzo IP.

Per ogni risorsa, l'elenco include il nome della risorsa, il tipo e l'account AWS .

È possibile espandere ogni risorsa per visualizzare l'elenco delle API chiamate emesse dalla risorsa dall'indirizzo IP. Le API chiamate sono raggruppate in base ai servizi che le hanno emesse. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

Visualizzazione della scheda Risorse dei dettagli dell'attività nel pannello di profilo del volume complessivo delle API chiamate per un indirizzo IP.
APImetodo per servizio

Visualizza inizialmente l'elenco delle API chiamate emesse. Le API chiamate sono raggruppate in base ai servizi che le hanno emesse. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in Servizio sconosciuto.

È possibile espandere ogni API chiamata per visualizzare l'elenco delle risorse che hanno emesso la API chiamata dall'indirizzo IP durante il periodo di tempo selezionato.

Visualizzazione della scheda APImetodo per servizio dei dettagli dell'attività del pannello di profilo del volume complessivo delle API chiamate per un indirizzo IP.

Ordinamento dei dettagli dell'attività

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne dell'elenco.

Quando si ordina utilizzando la prima colonna, viene ordinato solo l'elenco di primo livello. Gli elenchi di livello inferiore sono sempre ordinati in base al numero di chiamate riuscite. API

Filtro dei dettagli dell'attività

È possibile utilizzare le opzioni di filtro per concentrarsi su sottoinsiemi o aspetti specifici dell'attività rappresentata nei dettagli dell'attività.

In tutte le schede, puoi filtrare l'elenco in base a uno qualsiasi dei valori nella prima colonna.

Aggiungere un filtro

  1. Scegli la casella di filtro.

  2. In Proprietà, scegli la proprietà da utilizzare per il filtraggio.

  3. Fornisci il valore da utilizzare per il filtraggio. Il filtro supporta valori parziali. Ad esempio, quando si filtra per API metodo, se si filtra perInstance, i risultati includono qualsiasi API operazione contenuta Instance nel nome. Quindi sia ListInstanceAssociations che UpdateInstanceInformation corrisponderebbero.

    Per i nomi di servizio, API i metodi e gli indirizzi IP, è possibile specificare un valore o scegliere un filtro integrato.

    Per APISottostringhe comuni, scegliete la sottostringa che rappresenta il tipo di operazione, ad esempioList, Create o. Delete Ogni nome API di metodo inizia con il tipo di operazione.

    Per CIDRquanto riguarda i modelli, è possibile scegliere di includere solo indirizzi IP pubblici, indirizzi IP privati o indirizzi IP che corrispondono a uno CIDR schema specifico.

  4. Se disponi di più filtri, scegli un'opzione booleana per impostare il modo in cui tali filtri sono collegati.

    Elenco dei connettori disponibili tra i singoli filtri per il filtro dei dettagli delle attività.

  5. Per rimuovere un filtro, scegli l'icona x nell'angolo in alto a destra.

  6. Per cancellare tutti i filtri, scegli Cancella filtro.

Selezione dell'intervallo di tempo per i dettagli dell'attività

Quando si visualizzano per la prima volta i dettagli dell'attività, l'intervallo di tempo corrisponde al periodo di validità o a un intervallo di tempo selezionato. È possibile modificare l'intervallo di tempo per i dettagli dell'attività.

Modificare l'intervallo di tempo per i dettagli dell'attività

  1. Scegli Modifica.

  2. In Modifica finestra temporale, scegli l'ora di inizio e di fine da utilizzare.

    Per impostare la finestra temporale sul periodo di validità predefinito per il profilo, scegli Imposta il periodo di validità predefinito.

  3. Scegli la Finestra temporale di aggiornamento.

L'intervallo di tempo per i dettagli dell'attività è evidenziato nei grafici del pannello del profilo.

Finestra temporale evidenziata per il pannello di profilo del volume complessivo delle API chiamate

Esecuzione di query sui log non elaborati

Amazon Detective è ora integrato con Security Lake, il che significa che puoi interrogare e recuperare i dati dei log non elaborati archiviati da Security Lake. Per ulteriori dettagli su questa integrazione, consulta Integrazione di Amazon Detective con Amazon Security Lake.

Grazie a questa integrazione, puoi raccogliere ed eseguire query su log ed eventi dalle seguenti origini supportate in modo nativo da Security Lake.

  • AWS CloudTrail gestione degli eventi versione 1.0 e successive

  • Amazon Virtual Private Cloud (AmazonVPC) Flow Logs versione 1.0 e successive

  • Log di controllo di Amazon Elastic Kubernetes Service (EKSAmazon) versione 2.0

Nota

Non sono previsti costi supplementari per l'interrogazione dei log di dati non elaborati in Detective. I costi di utilizzo per altri AWS Servizi, incluso Amazon Athena, si applicano ancora alle tariffe pubblicate.

Interrogare i log non elaborati

  1. Scegli i dettagli di visualizzazione per il periodo di validità.

  2. Da qui, puoi iniziare a interrogare i log non elaborati.

  3. Nella tabella di anteprima dei log non elaborati, è possibile visualizzare i log e gli eventi recuperati interrogando i dati da Security Lake. Per maggiori dettagli sui log degli eventi non elaborati, puoi visualizzare i dati visualizzati in Amazon Athena.

    Dalla tabella Interroga log non elaborati, puoi annullare la richiesta di query, visualizzare i risultati in Amazon Athena e scaricare i risultati come file con valori separati da virgole (.csv).

Se vedi i log in Detective ma la query non ha prodotto risultati, ciò potrebbe accadere per i seguenti motivi.

  • I log non elaborati possono diventare disponibili in Detective prima di essere visualizzati nelle tabelle di log di Security Lake. Riprova più tardi.

  • È possibile che in Security Lake manchino dei log . Se hai atteso per un periodo di tempo prolungato, significa che i log non sono presenti in Security Lake. Contatta l'amministratore di Security Lake per risolvere il problema.