기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 동작 그래프 데이터 구조 개요
동작 그래프 데이터 구조는 추출 및 분석된 데이터의 구조를 정의합니다. 또한 소스 데이터를 동작 그래프에 매핑하는 방법도 정의합니다.
## 동작 그래프 데이터 구조의 요소 유형
동작 그래프 데이터 구조는 다음 정보 요소로 이루어집니다.
****엔터티****
엔터티는 Detective 소스 데이터에서 추출한 항목을 나타냅니다.
각 엔터티에는 엔터티가 나타내는 객체 유형을 식별하는 유형이 있습니다. 개체 유형의 예로는 IP 주소, Amazon EC2 인스턴스 및 AWS 사용자가 있습니다.
각 엔터티의 소스 데이터는 엔터티 속성을 채우는 데에도 사용됩니다. 속성 값은 소스 레코드에서 직접 추출하거나 여러 레코드에서 집계할 수 있습니다.
일부 속성은 단일 스칼라 또는 집계된 값으로 구성됩니다. 예를 들어, EC2 인스턴스의 경우 Detective는 인스턴스 유형 및 처리된 총 바이트 수를 추적합니다.
시계열 속성은 시간 경과에 따른 활동을 추적합니다. 예를 들어, EC2 인스턴스의 경우 Detective는 시간 경과에 따라 해당 인스턴스가 사용한 고유 포트를 추적합니다.
****관계****
관계는 개별 엔터티 간에 발생하는 활동을 나타냅니다. Detective 소스 데이터에서도 관계가 추출됩니다.
엔터티와 마찬가지로 관계에도 유형이 있으며, 이를 통해 관련된 엔터티의 유형과 연결 방향을 식별할 수 있습니다. 관계 유형의 예로는 EC2 인스턴스에 연결하는 IP 주소가 있습니다.
Detective는 특정 인스턴스에 연결하는 특정 IP 주소와 같은 각 개별 관계에 대해 시간 경과에 따른 발생 상황을 추적합니다.
## 동작 그래프 데이터 구조의 엔터티 유형
동작 그래프 데이터 구조는 다음을 수행하는 엔터티 및 관계 유형으로 구성됩니다.
+ 사용 중인 서버, IP 주소, 사용자 에이전트 추적
+ 사용 중인 AWS 사용자, 역할 및 계정 추적
+ AWS 환경에서 발생하는 네트워크 연결 및 권한 부여 추적
동작 그래프 데이터 구조에는 다음과 같은 엔터티 유형이 포함됩니다.
**AWS 계정**
AWS Detective 소스 데이터에 있는 계정.
Detective는 각 계정에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 해당 계정에서 사용한 API 직접 호출은 무엇입니까?
+ 해당 계정에서 사용한 사용자 에이전트는 무엇입니까?
+ 해당 계정에서 사용한 자율 시스템 조직(ASO)은 무엇입니까?
+ 해당 계정이 활성화된 지리적 위치는 어디입니까?
**AWS 역할**
AWS Detective 소스 데이터에 있는 역할입니다.
Detective는 각 역할에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 해당 역할에서 사용한 API 직접 호출은 무엇입니까?
+ 해당 역할에서 사용한 사용자 에이전트는 무엇입니까?
+ 해당 역할에서 사용한 ASO는 무엇입니까?
+ 해당 역할이 활성화된 지리적 위치는 어디입니까?
+ 이 역할을 맡은 리소스는 무엇입니까?
+ 이 역할을 맡은 역할은 무엇입니까?
+ 이 역할과 관련된 역할 세션은 무엇입니까?
**AWS 사용자**
AWS Detective 소스 데이터에 있는 사용자.
Detective는 각 사용자에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 해당 사용자가 사용한 API 직접 호출은 무엇입니까?
+ 해당 사용자가 사용한 사용자 에이전트는 무엇입니까?
+ 해당 사용자가 활성화된 지리적 위치는 어디입니까?
+ 이 사용자를 맡은 역할은 무엇입니까?
+ 이 사용자와 관련된 역할 세션은 무엇입니까?
**페더레이션 사용자**
페더레이션 사용자의 인스턴스. 페더레이션 사용자의 예는 다음과 같습니다.
+ Security Assertion Markup Language(SAML)를 사용하여 로그인하는 자격 증명
+ 웹 ID 페더레이션을 사용하여 로그인하는 자격 증명
Detective는 각 페더레이션 사용자에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 페더레이션 사용자가 인증한 자격 증명 공급자는 무엇입니까?
+ 페더레이션 사용자의 대상은 무엇입니까? 대상은 페더레이션 사용자의 웹 자격 증명 토큰을 요청한 애플리케이션을 식별합니다.
+ 페더레이션 사용자가 활성화된 지리적 위치는 어디입니까?
+ 페더레이션 사용자가 사용한 사용자 에이전트는 무엇입니까?
+ 페더레이션 사용자가 사용한 ASO는 무엇입니까?
+ 이 페더레이션 사용자를 맡은 역할은 무엇입니까?
+ 이 페더레이션 사용자와 관련된 역할 세션은 무엇입니까?
**EC2 인스턴스**
Detective 소스 데이터에 있는 EC2 인스턴스.
Detective는 EC2 인스턴스에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 인스턴스와 통신한 IP 주소는 무엇입니까?
+ 인스턴스와 통신하는 데 사용된 포트는 무엇입니까?
+ 인스턴스와 주고받은 데이터의 양은 얼마입니까?
+ 인스턴스가 포함된 VPC는 무엇입니까?
+ EC2 인스턴스에서 사용한 API 직접 호출은 무엇입니까?
+ EC2 인스턴스에서 사용한 사용자 에이전트는 무엇입니까?
+ EC2 인스턴스에서 사용한 ASO는 무엇입니까?
+ EC2 인스턴스가 활성화된 지리적 위치는 어디입니까?
+ EC2 인스턴스를 맡은 역할은 무엇입니까?
**역할 세션**
역할을 수임하고 있는 리소스의 인스턴스. 각 역할 세션은 역할 식별자와 세션 이름으로 식별됩니다.
Detective는 각 역할에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ 이 역할 세션에 참여한 리소스는 무엇입니까? 즉, 어떤 역할을 맡았고, 어떤 리소스가 해당 역할을 맡았습니까?
단, 크로스 계정 역할 수임에서는 Detective에서 역할을 맡은 리소스를 식별할 수 없습니다.
+ 해당 역할 섹션에서 사용한 API 직접 호출은 무엇입니까?
+ 해당 역할 세션에서 사용한 사용자 에이전트는 무엇입니까?
+ 해당 역할 세션에서 사용한 ASO는 무엇입니까?
+ 해당 역할 세션이 활성화된 지리적 위치는 어디입니까?
+ 이 역할 세션을 시작한 사용자 또는 역할은 무엇입니까?
+ 이 역할 세션을 시작한 역할 세션은 무엇입니까?
**조사 결과**
Amazon GuardDuty에서 발견한 조사 결과를 Detective 소스 데이터에 입력했습니다.
각 조사 결과에 대해 Detective는 조사 결과 유형, 출처 및 조사 결과 활동의 기간을 추적합니다.
또한 탐지된 활동과 관련된 역할 또는 IP 주소와 같은 조사 결과와 관련된 정보도 저장합니다.
**IP 주소**
Detective 소스 데이터에 있는 IP 주소.
Detective는 각 IP 주소에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ IP 주소가 사용한 API 직접 호출은 무엇입니까?
+ IP 주소가 사용한 포트는 무엇입니까?
+ IP 주소가 사용한 사용자 및 사용자 에이전트는 무엇입니까?
+ 해당 IP 주소가 활성화된 지리적 위치는 어디입니까?
+ 이 IP 주소가 할당되고 통신한 EC2 인스턴스는 무엇입니까?
**S3 버킷**
Detective 소스 데이터에 있는 S3 버킷
Detective는 각 S3 버킷에 대해 다음과 같은 몇 가지 질문에 답변합니다.
+ S3 버킷과 상호 작용한 보안 주체는 무엇입니까?
+ S3 버킷에 이루어진 API 직접 호출은 무엇입니까?
+ 보안 주체가 S3 버킷으로 API 직접 호출을 수행한 지리적 위치는 어디입니까?
+ S3 버킷과 상호 작용하는 데 사용된 사용자 에이전트는 무엇입니까?
+ S3 버킷과 상호 작용하는 데 사용된 ASO는 무엇입니까?
S3 버킷을 삭제한 다음 같은 이름으로 새 버킷을 만들 수 있습니다. Detective는 S3 버킷 이름을 사용하여 S3 버킷을 식별하므로 이를 단일 S3 버킷 엔터티로 취급합니다. 엔터티 프로필에서 **생성 시간**은 첫 번째 생성 시간입니다. **삭제 시간**은 가장 최근의 삭제 시간입니다.
모든 생성 및 삭제 이벤트를 보려면 생성 시간부터 시작하고 삭제 시간까지 종료되도록 범위 시간을 설정합니다. **전체 API 직접 호출량** 프로필 패널에서 범위 시간에 대한 활동 세부 정보를 표시합니다. API 메서드를 필터링하여 `Create` 및 `Delete` 메서드를 표시합니다. [전체 API 직접 호출량에 대한 활동 세부 정보](profile-panel-drilldown-overall-api-volume.md)을(를) 참조하세요.
**사용자 에이전트**
Detective 소스 데이터에 있는 사용자 에이전트.
Detective는 각 사용자 에이전트에 대해 다음과 같은 질문에 답변합니다.
+ 사용자 에이전트가 사용한 API 직접 호출은 무엇입니까?
+ 사용자 에이전트가 사용한 사용자 및 역할은 무엇입니까?
+ 사용자 에이전트가 사용한 IP 주소는 무엇입니까?
**EKS 클러스터**
Detective 소스 데이터에 있는 EKS 클러스터.
이 엔터티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 [선택적 데이터 소스](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)를 참조하세요.
Detective는 각 EKS 클러스터에 대해 다음과 같은 질문에 답변합니다.
+ 이 클러스터에서 실행한 Kubernetes API 직접 호출은 무엇입니까?
+ 이 클러스터에서 활성화된 Kubernetes 사용자 및 서비스 계정(보안 주체)은 무엇입니까?
+ 이 클러스터에서 시작된 컨테이너는 무엇입니까?
+ 이 클러스터에서 컨테이너를 시작하는 데 사용되는 이미지는 무엇입니까?
**Kubernetes 포드**
Detective 소스 데이터에 있는 Kubernetes 포드.
이 엔터티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 [선택적 데이터 소스](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)를 참조하세요.
Detective는 각 포드에 대해 다음과 같은 질문에 답변합니다.
+ 내 계정에서 흔히 볼 수 있는 이 포드의 컨테이너 이미지는 무엇입니까?
+ 이 포드에는 지시되는 활동은 무엇입니까?
+ 이 포드에서 실행되는 컨테이너는 무엇입니까?
+ 이 포드에 있는 컨테이너의 레지스트리를 내 계정에서 흔히 볼 수 있습니까?
+ 워크로드의 다른 포드에서 실행 중인 다른 컨테이너는 무엇입니까?
+ 이 포드에는 워크로드의 다른 포드에는 없는 변칙 컨테이너가 있습니까?
**컨테이너 이미지**
Detective 소스 데이터에 있는 컨테이너 이미지.
이 엔터티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 [선택적 데이터 소스](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)를 참조하세요.
Detective는 각 컨테이너 이미지에 대해 다음과 같은 질문에 답변합니다.
+ 내 환경에서 이 이미지와 동일한 리포지토리 또는 레지스트리를 공유하는 다른 이미지는 무엇입니까?
+ 내 환경에서 실행 중인 이 이미지의 복사본은 몇 개입니까?
**Kubernetes 객체**
Detective 소스 데이터에 있는 Kubernetes 객체. Kubernetes 객체는 사용자 또는 서비스 계정입니다.
이 엔터티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 [선택적 데이터 소스](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)를 참조하세요.
Detective는 각 객체에 대해 다음과 같은 질문에 답변합니다.
+ 이 객체로 인증한 IAM 보안 주체는 무엇입니까?
+ 이 객체와 관련된 조사 결과는 무엇입니까?
+ 해당 객체가 사용하는 IP 주소는 무엇입니까?