As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Dados de origem usados em um gráfico de comportamento de Detective
Para preencher um gráfico de comportamento, o Amazon Detective usa dados de origem da conta de administrador e das contas-membro do gráfico de comportamento.
Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas.
Para obter detalhes sobre a estrutura de dados do gráfico de comportamento, consulte Visão geral da estrutura de dados do gráfico de comportamento no Guia do usuário do Detective.
Tipos de fontes de dados principais no Detective
Detective ingere dados desses tipos de registros: AWS
-
AWS CloudTrail troncos
-
Registros de fluxo da Amazon Virtual Private Cloud (AmazonVPC)
-
Ingere ambos IPv4 e IPv6 grava, mas não MAC registros produzidos pelos Elastic Fabric Adapters.
-
Ingere registros de registro quando o valor do
log-statuscampo está noOKestado. Para obter mais informações, consulte Registros de log de fluxo no Guia VPC do usuário da Amazon. -
Ingere registros de fluxo produzidos por instâncias do Amazon Elastic Compute Cloud executadas somente nessas VPCs instâncias. Nenhum outro recurso, como NAT gateways, RDS instâncias ou clusters Fargate, é usado.
-
Ingere tráfego aceito e rejeitado.
-
-
Para contas cadastradas GuardDuty, o Detective também GuardDuty ingere as descobertas.
Detective consumos CloudTrail e registra eventos VPC de fluxo usando fluxos independentes e duplicativos de registros de fluxo e fluxo. CloudTrail VPC Esses processos não afetam nem usam suas configurações existentes CloudTrail e de log de VPC fluxo. Eles também não afetam o desempenho nem aumentam seus custos com esses serviços.
Tipos de fontes de dados principais no Detective
O Detective oferece pacotes de origem opcionais, além das três fontes de dados oferecidas no pacote principal do Detective (o pacote principal inclui AWS CloudTrail registros, registros de VPC fluxo e descobertas). GuardDuty Um pacote de fonte de dados opcional pode ser iniciado ou interrompido para um gráfico de comportamento a qualquer momento.
O Detective oferece uma avaliação gratuita de 30 dias para todos os pacotes de origem principais e opcionais por região.
nota
O Detective retém todos os dados recebidos de cada pacote de fonte de dados por até 1 ano.
Atualmente, os seguintes pacotes de origem opcionais estão disponíveis:
-
Logs de auditoria de EKS
Esse pacote de fonte de dados opcional permite que o Detective consuma informações detalhadas sobre EKS clusters em seu ambiente e adicione esses dados ao seu gráfico de comportamento. Detective correlaciona as atividades do usuário com eventos AWS CloudTrail de gerenciamento e atividades de rede com o Amazon VPC Flow Logs sem a necessidade de você habilitar ou armazenar esses registros manualmente. Para mais detalhes, consulte Registros EKS de auditoria da Amazon.
-
AWS descobertas de segurança
Esse pacote de fonte de dados opcional permite que o Detective consuma dados do Security Hub e os adicione ao gráfico de comportamento. Para mais detalhes, consulte AWS descobertas de segurança.
Iniciar ou interromper uma fonte de dados opcional:
-
Abra o console do Detective em. https://console.aws.amazon.com/detective/
-
No painel de navegação, em Configurações, selecione Geral.
-
Em Pacotes de origem opcionais, selecione Atualizar. Em seguida, selecione a fonte de dados que você deseja habilitar ou desmarque uma caixa para uma fonte de dados já habilitada e escolha Atualizar para alterar quais pacotes de fontes de dados estão habilitados.
nota
Se você parar e reiniciar uma fonte de dados opcional, verá uma lacuna nos dados exibidos em alguns perfis de entidade. Essa lacuna será anotada na tela do console e representará o período em que a fonte de dados foi interrompida. Quando uma fonte de dados é reiniciada, o Detective não faz a ingestão de dados retroativamente.
Como o Detective faz a ingestão e armazena os dados de origem
Quando o Detective está habilitado, ele começa a ingestão dos dados de origem da conta de administrador do gráfico de comportamento. À medida que as contas-membro são adicionadas ao gráfico de comportamento, o Detective também começa a usar os dados dessas contas-membro.
Os dados de origem do Detective consistem em versões estruturadas e processadas dos feeds originais. Para apoiar a análise do Detective, ele armazena cópias dos dados de origem do Detective.
O processo de ingestão do Detective alimenta os dados nos buckets do Amazon Simple Storage Service (Amazon S3) no armazenamento de dados de origem do Detective. À medida que novos dados de origem chegam, outros componentes do Detective coletam os dados e iniciam os processos de extração e análise. Para obter mais informações, consulte Como o Detective usa os dados de origem para preencher um gráfico de comportamento no Guia do usuário do Detective.
Como o Detective aplica a cota de volume de dados aos gráficos de comportamento
O Detective tem cotas rígidas no volume de dados que permite em cada gráfico de comportamento. O volume de dados é a quantidade de dados diária que flui para o gráfico de comportamento do Detective.
O Detective aplica essas cotas quando uma conta de administrador habilita o Detective e quando uma conta-membro aceita um convite para contribuir em um gráfico de comportamento.
-
Se o volume de dados de uma conta de administrador exceder 10 TB por dia, a conta de administrador não poderá habilitar o Detective.
-
Se o volume de dados adicionado de uma conta-membro fizer com que o gráfico de comportamento exceda 10 TB por dia, a conta-membro não poderá ser habilitada.
O volume de dados de um gráfico de comportamento também pode crescer naturalmente com o tempo. O Detective verifica diariamente o volume de dados do gráfico de comportamento para garantir que ele não exceda a cota.
Se o volume de dados do gráfico de comportamento estiver se aproximando da cota, o Detective exibirá uma mensagem de aviso no console. Para evitar exceder a cota, você pode remover contas-membro.
Se o volume de dados do gráfico de comportamento exceder 10 TB por dia, você não poderá adicionar novas contas-membro ao gráfico de comportamento.
Se o volume de dados do gráfico de comportamento exceder 15 TB por dia, o Detective interrompe a ingestão de dados no gráfico de comportamento. A cota diária de 15 TB reflete tanto o volume de dados normal quanto os picos no volume de dados. Quando essa cota é atingida, nenhum dado novo é inserido no gráfico de comportamento, mas os dados existentes não são removidos. Você ainda pode usar o histórico desses dados para investigação. O console exibe uma mensagem para indicar que a ingestão de dados está suspensa para o gráfico de comportamento.
Se a ingestão de dados for suspensa, você deverá trabalhar com ela AWS Support para reativá-la. Se possível, antes de entrar em contato AWS Support, tente remover as contas dos membros para que o volume de dados fique abaixo da cota. Isso facilita a reativação da ingestão de dados no gráfico de comportamento.
