Detective が動作グラフに入力する方法 - Amazon Detective
Detective によるソースデータの処理方法Detective の抽出Detective の分析

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective が動作グラフに入力する方法

調査の raw データを提供するために、Detective は、 AWS 環境全体のみならず、それを超えてデータを収集します。これには次のデータが含まれます。

  • Amazon Virtual Private Cloud (Amazon VPC) や などのログデータ AWS CloudTrail

  • Amazon からの結果 GuardDuty

  • からの結果 AWS Security Hub

動作グラフで使用されるソースデータの詳細については、「動作グラフで使用されるソースデータ」を参照してください。

Detective によるソースデータの処理方法

新しいデータが提供されると、Detective は抽出と分析の組み合わせを使用して動作グラフにデータを入力します。

Detective が受信するソースデータのフローを示す図。動作グラフにデータを入力するために使用されます。

Detective の抽出

抽出は、設定されたマッピングルールに基づきます。マッピングルールは、基本的に「ある特定のデータについては、常にある特定の方法でそのデータを使用して動作グラフデータを更新する」ためのものです。

例えば、受信した Detective ソースデータレコードに IP アドレスが含まれている場合があります。その場合、Detective はそのレコードに含まれている情報を使用して、新しい IP アドレスエンティティを作成するか、既存の IP アドレスエンティティを更新します。

Detective の分析

分析は、データを分析してエンティティに関連付けられているアクティビティのインサイトを提供する、より複雑なアルゴリズムです。

例えば、あるタイプの Detective 分析では、アルゴリズムを実行して、アクティビティが発生する頻度を分析します。API 呼び出しを行うエンティティの場合、アルゴリズムはエンティティが通常使用していないAPI呼び出しを検索します。このアルゴリズムは、API呼び出し数の急増も探します。

分析インサイトは、アナリストの主要な質問に対する回答を提供することで調査をサポートし、検出結果およびエンティティプロファイルのパネルにデータを入力するために頻繁に使用されます。