As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Dados de origem usados em um gráfico de comportamento de Detective
Para preencher um gráfico de comportamento, o Amazon Detective usa dados de origem da conta de administrador e das contas-membro do gráfico de comportamento.
Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas.
Para obter detalhes sobre a estrutura de dados do gráfico de comportamento, consulte [Visão geral da estrutura de dados do gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) no *Guia do usuário do Detective*.
## Tipos de fontes de dados principais no Detective
Detective ingere dados desses tipos de registros: AWS
+ AWS CloudTrail troncos
+ Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
+ Ingere ambos IPv4 os IPv6 registros, mas não os registros MAC produzidos pelos Elastic Fabric Adapters.
+ Ingere registros de registro quando o valor do `log-status` campo está no `OK` estado. Para obter mais informações, consulte [Registros de log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields) no Guia do usuário da Amazon VPC.
+ Ingere registros de fluxo produzidos por instâncias do Amazon Elastic Compute Cloud executadas somente nessas VPCs instâncias. Nenhum outro recurso, como gateways NAT, instâncias RDS ou clusters Fargate, é usado.
+ Ingere tráfego aceito e rejeitado.
+ Para contas cadastradas GuardDuty, o Detective também GuardDuty ingere as descobertas.
Detective consome e registra eventos de fluxo de CloudTrail VPC usando fluxos independentes e duplicativos de registros de fluxo de VPC. CloudTrail Esses processos não afetam nem usam suas configurações de log de fluxo existentes CloudTrail e de VPC. Eles também não afetam o desempenho nem aumentam seus custos com esses serviços.
## Tipos de fontes de dados principais no Detective
O Detective oferece pacotes de origem opcionais, além das três fontes de dados oferecidas no pacote principal do Detective (o pacote principal inclui registros AWS CloudTrail , registros de fluxo de VPC e descobertas). GuardDuty Um pacote de fonte de dados opcional pode ser iniciado ou interrompido para um gráfico de comportamento a qualquer momento.
O Detective oferece uma avaliação gratuita de 30 dias para todos os pacotes de origem principais e opcionais por região.
**nota**
O Detective retém todos os dados recebidos de cada pacote de fonte de dados por até 1 ano.
Atualmente, os seguintes pacotes de origem opcionais estão disponíveis:
+ **Logs de auditoria do EKS**
Esse pacote de fonte de dados opcional permite que o Detective consuma informações detalhadas sobre clusters do EKS em seu ambiente e adicione esses dados ao seu gráfico de comportamento. Detective correlaciona as atividades do usuário com eventos de CloudTrail gerenciamento da AWS e atividades de rede com os registros de fluxo do Amazon VPC sem a necessidade de você habilitar ou armazenar esses registros manualmente. Para mais detalhes, consulte [Registros de auditoria do Amazon EKS](source-data-types-EKS.md).
+ **AWS descobertas de segurança**
Esse pacote de fonte de dados opcional permite que o Detective consuma dados do CSPM do Security Hub e adicione esses dados ao seu gráfico de comportamento. Para mais detalhes, consulte [**AWS descobertas de segurança**](source-data-types-asff.md).
****Iniciar ou interromper uma fonte de dados opcional:****
1. Abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)
1. No painel de navegação, em **Configurações**, selecione **Geral**.
1. Em **Pacotes de origem opcionais**, selecione **Atualizar**. Em seguida, selecione a fonte de dados que você deseja habilitar ou desmarque uma caixa para uma fonte de dados já habilitada e escolha **Atualizar** para alterar quais pacotes de fontes de dados estão habilitados.
**nota**
Se você parar e reiniciar uma fonte de dados opcional, verá uma lacuna nos dados exibidos em alguns perfis de entidade. Essa lacuna será anotada na tela do console e representará o período em que a fonte de dados foi interrompida. Quando uma fonte de dados é reiniciada, o Detective não faz a ingestão de dados retroativamente.
## Como o Detective faz a ingestão e armazena os dados de origem
Quando o Detective está habilitado, ele começa a ingestão dos dados de origem da conta de administrador do gráfico de comportamento. À medida que as contas-membro são adicionadas ao gráfico de comportamento, o Detective também começa a usar os dados dessas contas-membro.
Os dados de origem do Detective consistem em versões estruturadas e processadas dos feeds originais. Para apoiar a análise do Detective, ele armazena cópias dos dados de origem do Detective.
O processo de ingestão do Detective alimenta os dados nos buckets do Amazon Simple Storage Service (Amazon S3) no armazenamento de dados de origem do Detective. À medida que novos dados de origem chegam, outros componentes do Detective coletam os dados e iniciam os processos de extração e análise. Para obter mais informações, consulte [Como o Detective usa os dados de origem para preencher um gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) no *Guia do usuário do Detective*.
## Como o Detective aplica a cota de volume de dados aos gráficos de comportamento
O Detective tem cotas rígidas no volume de dados que permite em cada gráfico de comportamento. O volume de dados é a quantidade de dados diária que flui para o gráfico de comportamento do Detective.
O Detective aplica essas cotas quando uma conta de administrador habilita o Detective e quando uma conta-membro aceita um convite para contribuir em um gráfico de comportamento.
+ Se o volume de dados de uma conta de administrador exceder 10 TB por dia, a conta de administrador não poderá habilitar o Detective.
+ Se o volume de dados adicionado de uma conta-membro fizer com que o gráfico de comportamento exceda 10 TB por dia, a conta-membro não poderá ser habilitada.
O volume de dados de um gráfico de comportamento também pode crescer naturalmente com o tempo. O Detective verifica diariamente o volume de dados do gráfico de comportamento para garantir que ele não exceda a cota.
Se o volume de dados do gráfico de comportamento estiver se aproximando da cota, o Detective exibirá uma mensagem de aviso no console. Para evitar exceder a cota, você pode remover contas-membro.
Se o volume de dados do gráfico de comportamento exceder 10 TB por dia, você não poderá adicionar novas contas-membro ao gráfico de comportamento.
Se o volume de dados do gráfico de comportamento exceder 15 TB por dia, o Detective interrompe a ingestão de dados no gráfico de comportamento. A cota diária de 15 TB reflete tanto o volume de dados normal quanto os picos no volume de dados. Quando essa cota é atingida, nenhum dado novo é inserido no gráfico de comportamento, mas os dados existentes não são removidos. Você ainda pode usar o histórico desses dados para investigação. O console exibe uma mensagem para indicar que a ingestão de dados está suspensa para o gráfico de comportamento.
Se a ingestão de dados for suspensa, você deverá trabalhar com ela Suporte para reativá-la. Se possível, antes de entrar em contato Suporte, tente remover as contas dos membros para que o volume de dados fique abaixo da cota. Isso facilita a reativação da ingestão de dados no gráfico de comportamento.