As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Detective preenche um gráfico de comportamento
Para fornecer os dados brutos para investigações, o Detective reúne dados de todo o seu ambiente da AWS e de outros lugares, inclusive o seguinte:
-
Dados de log, incluindo Amazon Virtual Private Cloud (AmazonVPC) e AWS CloudTrail
-
Descobertas da Amazon GuardDuty
-
Descobertas de AWS Security Hub
Para saber mais sobre os dados de origem usados em um gráfico de comportamento, consulte Dados de origem usados em um gráfico de comportamento.
Como o Detective processa os dados de origem
À medida que novos dados chegam, o Detective usa uma combinação de extração e análise para preencher o gráfico de comportamento.
Extração do Detective
A extração é baseada em regras de mapeamento configuradas. Uma regra de mapeamento basicamente diz: “Sempre que você ver esse dado, use-o dessa forma específica para atualizar os dados do gráfico de comportamento”.
Por exemplo, um registro de dados de origem do Detective recebido pode incluir um endereço IP. Se isso acontecer, o Detective usa as informações desse registro para criar uma nova entidade de endereço IP ou atualizar uma entidade de endereço IP existente.
Análise do Detective
As análises são algoritmos mais complexos que analisam os dados para fornecer informações sobre as atividades associadas às entidades.
Por exemplo, um tipo de análise do Detective analisa a frequência com que a atividade ocorre por meio da execução de algoritmos. Para entidades que fazem API chamadas, o algoritmo procura API chamadas que a entidade normalmente não usa. O algoritmo também busca um grande aumento no número de API chamadas.
Os insights analíticos apoiam as investigações ao fornecerem respostas às principais perguntas dos analistas e são frequentemente usados para preencher painéis de perfil de descobertas e entidades.