전체 API 통화 볼륨에 대한 활동 세부 정보 - Amazon Detective
활동 세부 정보의 내용(사용자, 역할, 계정, 역할 세션, EC2 인스턴스, S3 버킷)활동 세부 정보 내용(IP 주소)활동 세부 정보 정렬활동 세부 정보 필터링활동 세부 정보의 시간 범위 선택원시 로그 쿼리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전체 API 통화 볼륨에 대한 활동 세부 정보

전체 API 통화 볼륨에 대한 활동 세부 정보는 선택한 시간 범위 동안 발생한 API 통화를 보여줍니다.

단일 시간 간격의 활동 세부 정보를 표시하려면 차트에서 시간 간격을 선택합니다.

현재 범위 시간에 대한 활동 세부 정보를 표시하려면 범위 시간 세부 정보 표시를 선택합니다.

Detective는 2021년 7월 14일부터 API 통화의 서비스 이름을 저장하고 표시하기 시작했습니다. 해당 날짜는 프로필 패널 타임라인에 강조 표시되어 있습니다. 해당 날짜 이전에 발생한 활동의 경우 서비스 이름은 알 수 없는 서비스로 표시됩니다.

활동 세부 정보의 내용(사용자, 역할, 계정, 역할 세션, EC2 인스턴스, S3 버킷)

IAM 사용자, IAM 역할, 계정, 역할 세션, EC2 인스턴스 및 S3 버킷의 경우 활동 세부 정보에는 다음 정보가 포함됩니다.

  • 각 탭은 선택한 시간 범위 동안 발생한 API 통화 세트에 대한 정보를 제공합니다.

    S3 버킷의 경우 정보는 S3 버킷에 수행된 API 호출을 반영합니다.

    API 호출은 호출한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

  • 각 항목에 대한 활동 세부 정보에는 성공한 호출 및 실패한 호출 수가 표시됩니다. 관찰된 IP 주소 탭에는 각 IP 주소의 위치도 표시됩니다.

  • 각 항목에는 호출한 대상에 대한 정보가 표시됩니다. 계정의 경우 활동 세부 정보는 사용자 또는 역할을 식별합니다. 역할의 경우, 활동 세부 정보는 역할 세션을 식별합니다. 사용자 및 역할 세션의 경우 활동 세부 정보는 액세스 키 식별자()를 식별합니다AKIDs.

    2021년 7월 14일부터 계정 프로필의 경우 활동 세부 정보에 대신 사용자 또는 역할이 표시됩니다AKIDs. 역할 프로파일의 경우 활동 세부 정보에는 대신 역할 세션이 표시됩니다AKIDs. 2021년 7월 14일 이전에 발생한 활동의 경우 호출자는 알 수 없는 리소스로 표시됩니다.

활동 세부 정보에는 다음과 같은 탭이 있습니다.

관찰된 IP 주소

처음에API는 호출을 실행하는 데 사용되는 IP 주소 목록을 표시합니다.

각 IP 주소를 확장하여 해당 IP 주소에서 발급된 API 통화 목록을 표시할 수 있습니다. API 호출은 호출한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

그런 다음 각 API 통화를 확장하여 해당 IP 주소의 발신자 목록을 표시할 수 있습니다. 프로필에 따라 호출자는 사용자, 역할, 역할 세션 또는 일 수 있습니다AKID.

전체 API 통화 볼륨 패널의 관찰된 IP 주소 탭 보기. IP 주소, API 통화 및 의 계층 구조를 표시하도록 항목이 확장되었습니다AKIDs. API 호출은 서비스별로 그룹화됩니다.
API 서비스별 메서드

처음에는 발급된 API 통화 목록을 표시합니다. API 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

각 API 메서드를 확장하여 통화가 발급된 IP 주소 목록을 표시할 수 있습니다.

그런 다음 각 IP 주소를 확장하여 해당 IP 주소에서 해당 API 호출을 실행AKIDs한 목록을 표시할 수 있습니다.

전체 API 통화 볼륨 패널의 API 서비스별 메서드 탭에 대한 보기로, API 호출, IP 주소 및 의 계층 구조를 표시하도록 항목이 확장되었습니다AKIDs. API 호출은 서비스별로 그룹화됩니다.
리소스 또는 액세스 키 ID

처음에는 사용자, 역할, 역할 세션 또는 API 호출AKIDs을 실행하는 데 사용된 사용자 목록을 표시합니다.

각 발신자를 확장하여 발신자가 API 전화를 건 IP 주소 목록을 표시할 수 있습니다.

그런 다음 각 IP 주소를 확장하여 해당 발신자가 해당 IP 주소에서 발행한 API 통화 목록을 표시할 수 있습니다. API 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

전체 API 통화 볼륨 패널의 리소스 탭 보기. 항목이 확장되어 서비스별로 그룹화된 AKIDs, IP 주소 및 API 통화의 계층 구조를 표시합니다.

활동 세부 정보 내용(IP 주소)

IP 주소의 경우 활동 세부 정보에는 다음 정보가 포함됩니다.

  • 각 탭은 선택한 시간 범위 동안 발생한 API 통화 세트에 대한 정보를 제공합니다. API 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

  • 각 항목에 대한 활동 세부 정보에는 성공한 호출 및 실패한 호출 수가 표시됩니다.

활동 세부 정보에는 다음과 같은 탭이 있습니다.

Resource

처음에는 IP 주소에서 API 호출을 실행한 리소스 목록을 표시합니다.

각 리소스의 목록에는 리소스 이름, 유형 및 AWS 계정이 포함됩니다.

각 리소스를 확장하여 리소스가 IP 주소에서 발급한 API 통화 목록을 표시할 수 있습니다. API 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

IP 주소에 대한 전체 API 통화 볼륨 프로필 패널의 활동 세부 정보 리소스 탭 보기.
API 서비스별 메서드

처음에는 발급된 API 통화 목록을 표시합니다. API 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 알 수 없는 서비스 아래에 나열됩니다.

각 API 호출을 확장하여 선택한 기간 동안 IP 주소에서 API 호출을 실행한 리소스 목록을 표시할 수 있습니다.

IP 주소에 대한 전체 API 통화 볼륨 프로파일 패널의 활동 세부 정보의 API 서비스별 메서드 탭 보기입니다.

활동 세부 정보 정렬

목록 열을 기준으로 활동 세부 정보를 정렬할 수 있습니다.

첫 번째 열을 사용하여 정렬하면 최상위 목록만 정렬됩니다. 하위 수준 목록은 항상 성공한 API 통화 수에 따라 정렬됩니다.

활동 세부 정보 필터링

필터링 옵션을 사용하여 활동 세부 정보에 표시된 활동의 특정 서브넷 또는 측면에 초점을 맞출 수 있습니다.

모든 탭에서 첫 번째 열의 값을 기준으로 목록을 필터링할 수 있습니다.

필터 추가

  1. 필터 상자를 선택합니다.

  2. 속성에서 필터링에 사용할 속성을 선택합니다.

  3. 필터링에 사용할 값을 입력합니다. 필터는 부분 값을 지원합니다. 예를 들어 API 메서드를 기준으로 필터링할 때 를 기준으로 필터링하면 Instance결과에 이름Instance에 가 있는 모든 API 작업이 포함됩니다. 따라서 ListInstanceAssociationsUpdateInstanceInformation 모두 일치합니다.

    서비스 이름, API 메서드 및 IP 주소의 경우 값을 지정하거나 기본 제공 필터를 선택할 수 있습니다.

    일반 API 하위 문자열 에서 , List Create또는 와 같이 작업 유형을 나타내는 하위 문자열을 선택합니다Delete. 각 API 메서드 이름은 작업 유형으로 시작합니다.

    CIDR 패턴 의 경우 특정 CIDR 패턴과 일치하는 퍼블릭 IP 주소, 프라이빗 IP 주소 또는 IP 주소만 포함하도록 선택할 수 있습니다.

  4. 필터가 여러 개 있는 경우 부울 옵션을 선택하여 해당 필터의 연결 방식을 설정합니다.

    활동 세부 정보 필터의 개별 필터 간에 사용할 수 있는 커넥터 목록입니다.

  5. 필터를 제거하려면 태그의 오른쪽 상단에 있는 x 아이콘을 선택합니다.

  6. 모든 필터를 지우려면 필터 지우기를 선택합니다.

활동 세부 정보의 시간 범위 선택

활동 세부 정보를 처음 표시할 때 시간 범위는 범위 시간 또는 선택한 시간 간격입니다. 활동 세부 정보의 시간 범위를 변경할 수 있습니다.

활동 세부 정보의 시간 범위 변경

  1. 편집을 선택합니다.

  2. 시간 편집 창에서 사용할 시작 및 종료 시간을 선택합니다.

    기간을 프로필의 기본 범위 시간으로 설정하려면 기본 범위 시간으로 설정을 선택합니다.

  3. 기간 업데이트를 선택합니다.

활동 세부 정보의 시간 범위는 프로필 패널 차트에 강조 표시됩니다.

전체 API 통화 볼륨 프로파일 패널의 강조 표시된 시간 범위

원시 로그 쿼리

Amazon Detective는 Security Lake와 통합되어 Security Lake에 저장된 원시 로그 데이터를 쿼리하고 검색할 수 있습니다. 이 통합에 대한 자세한 내용은 Amazon Security Lake와 Amazon Detective 통합 단원을 참조하세요.

이 통합을 사용하면 Security Lake에서 기본적으로 지원하는 다음 소스에서 로그와 이벤트를 수집하고 쿼리할 수 있습니다.

  • AWS CloudTrail 관리 이벤트 버전 1.0 이상

  • Amazon Virtual Private Cloud(AmazonVPC) 플로우 로그 버전 1.0 이상

  • Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 버전 2.0

참고

Detective에서 원시 데이터 로그를 쿼리하는 데 대한 추가 비용은 없습니다. Amazon Athena 포함한 다른 AWS 서비스에 대한 사용 요금은 여전히 게시된 요금으로 적용됩니다.

원시 로그를 쿼리하려면

  1. 범위 시간에 대한 세부 정보 표시를 선택합니다.

  2. 여기에서 원시 로그 쿼리를 시작할 수 있습니다.

  3. 원시 로그 미리 보기 테이블을 통해 Security Lake에서 데이터를 쿼리하여 검색한 로그 및 이벤트를 볼 수 있습니다. 원시 이벤트 로그에 대한 자세한 내용은 Amazon Athena에 표시된 데이터를 참조하세요.

    원시 로그 쿼리 테이블에서 쿼리 요청을 취소하고, Amazon Athena에서 결과를 확인하고, 결과를 쉼표로 구분된 값(.csv) 파일로 다운로드할 수 있습니다.

Detective에 로그가 표시되지만 쿼리 결과가 반환되지 않는 경우 다음과 같은 이유 때문일 수 있습니다.

  • 원시 로그는 Security Lake 로그 테이블에 표시되기 전에 Detective에 제공될 수 있습니다. 나중에 다시 시도해 주십시오.

  • Security Lake에서 로그가 누락되었을 수 있습니다. 오랜 시간 기다린 경우 Security Lake에서 로그가 누락된 것으로 표시됩니다. Security Lake 관리자에게 문의하여 이 문제를 해결하세요.