Detective가 행동 그래프를 채우는 방법 - Amazon Detective
Detective에서 소스 데이터를 처리하는 방법Detective 추출Detective 분석

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Detective가 행동 그래프를 채우는 방법

조사를 위한 원시 데이터를 제공하기 위해 Detective는 다음을 포함하여 AWS 환경 전반과 그 밖의 다양한 데이터를 수집합니다.

  • 로그 데이터 (Amazon Virtual Private Cloud (AmazonVPC) 및 AWS CloudTrail

  • 아마존의 조사 결과 GuardDuty

  • 조사 결과: AWS Security Hub

행동 그래프에 사용된 소스 데이터에 대해 자세히 알아보려면 행동 그래프에 사용된 소스 데이터를 참조하십시오.

Detective에서 소스 데이터를 처리하는 방법

Detective는 새 데이터가 수신되면 추출과 분석을 조합하여 동작 그래프를 채웁니다.

Detective로 수신되는 소스 데이터의 흐름을 보여주는 다이어그램으로, 동작 그래프를 채우는 데 사용됩니다.

Detective 추출

추출은 구성된 매핑 규칙을 기반으로 합니다. 매핑 규칙에는 기본적으로 “이 데이터를 볼 때마다 특정 방식으로 사용하여 동작 그래프 데이터를 업데이트하세요.”라고 되어 있습니다.

예를 들어, 수신되는 Detective 소스 데이터 레코드에는 IP 주소가 포함될 수 있습니다. 그럴 경우 Detective는 해당 레코드의 정보를 사용하여 새 IP 주소 엔터티를 만들거나 기존 IP 주소 엔터티를 업데이트합니다.

Detective 분석

분석은 데이터를 분석하여 엔터티와 관련된 활동에 대한 인사이트를 제공하는 보다 복잡한 알고리즘입니다.

예를 들어, 한 가지 유형의 Detective 분석은 알고리즘을 실행하여 활동이 발생하는 빈도를 분석합니다. API호출을 하는 개체의 경우 알고리즘은 개체가 일반적으로 사용하지 않는 API 호출을 찾습니다. 또한 이 알고리즘은 API 호출 수가 크게 증가하는 경우도 찾아냅니다.

분석 인사이트는 분석가의 주요 질문에 대한 답변을 제공하여 조사를 지원하며, 조사 결과 및 엔터티 프로필 패널을 채우는 데 자주 사용됩니다.