Visão geral da estrutura de dados do gráfico de comportamento - Amazon Detective
Tipos de elementos na estrutura de dados do gráfico de comportamentoTipos de entidades na estrutura de dados do gráfico de comportamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento define a estrutura dos dados extraídos e analisados. Também define como os dados de origem são mapeados para o gráfico de comportamento.

Tipos de elementos na estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento tem os seguintes elementos de informação.

Entidade

Uma entidade representa um item extraído dos dados de origem do Detective.

Cada entidade tem um tipo, que identifica o tipo de objeto que ela representa. Exemplos de tipos de entidades incluem endereços IP, EC2 instâncias da Amazon e AWS usuários.

Para cada entidade, os dados de origem também são usados para preencher as propriedades da entidade. Os valores das propriedades podem ser extraídos diretamente dos registros de origem ou agregados em vários registros.

Algumas propriedades consistem em um único valor escalar ou agregado. Por exemplo, para uma EC2 instância, o Detective rastreia o tipo de instância e o número total de bytes processados.

As propriedades das séries temporais rastreiam a atividade ao longo do tempo. Por exemplo, por EC2 exemplo, o Detective rastreia ao longo do tempo as portas exclusivas que ele usou.

Relacionamentos

Um relacionamento representa a atividade que ocorre entre entidades individuais. Os relacionamentos também são extraídos dos dados de origem do Detective.

Semelhante a uma entidade, um relacionamento tem um tipo, que identifica os tipos de entidades envolvidas e a direção da conexão. Um exemplo de tipo de relacionamento são os endereços IP que se conectam às EC2 instâncias.

Para cada relacionamento individual, como um endereço IP específico conectado a uma instância específica, o Detective rastreia as ocorrências ao longo do tempo.

Tipos de entidades na estrutura de dados do gráfico de comportamento

A estrutura de dados do gráfico de comportamento consiste em tipos de entidade e relacionamento que fazem o seguinte:

  • Rastreiam os servidores, endereços IP e agentes de usuário que estão sendo usados

  • Acompanhe os AWS usuários, funções e contas que estão sendo usados

  • Rastreiam as conexões de rede e as autorizações que ocorrem no ambiente da AWS

A estrutura de dados do gráfico de comportamento contém os seguintes tipos de entidade.

AWS conta

AWS contas que estão presentes nos dados de origem do Detective.

Para cada conta, o Detective responde a várias perguntas:

  • Quais API chamadas a conta usou?

  • Quais agentes de usuário a conta usou?

  • Quais organizações de sistema autônomo (ASOs) a conta usou?

  • Em quais localizações geográficas a conta está ativa?

AWS papel

AWS funções que estão presentes nos dados de origem do Detective.

Para cada função, o Detective responde a várias perguntas:

  • Quais API chamadas a função usou?

  • Quais agentes de usuário a função usou?

  • Qual ASOs foi a função usada?

  • Em quais localizações geográficas a função está ativa?

  • Quais recursos assumiram essa função?

  • Quais funções essa função assumiu?

  • Quais sessões de função envolveram essa função?

AWS usuário

AWS usuários que estão presentes nos dados de origem do Detective.

Para cada usuário, o Detective responde a várias perguntas:

  • Quais API chamadas o usuário usou?

  • Quais agentes de usuário o usuário usou?

  • Em quais localizações geográficas o usuário está ativo?

  • Quais funções esse usuário assumiu?

  • Quais sessões de função envolveram esse usuário?

Usuário federado

Instâncias de um usuário federado. Os exemplos de usuários federados incluem o seguinte:

  • Uma identidade que faz login usando a Security Assertion Markup Language () SAML

  • Uma identidade que faz login usando a federação de identidades da web

Para cada usuário federado, o Detective responde a várias perguntas:

  • Com qual provedor de identidade o usuário federado se autenticou?

  • Qual foi o público do usuário federado? O público identifica o aplicativo que solicitou o token de identidade da web do usuário federado.

  • Em quais localizações geográficas o usuário federado está ativo?

  • Quais agentes de usuário o usuário federado usou?

  • O ASOs que o usuário federado usou?

  • Quais funções esse usuário federado assumiu?

  • Quais sessões de função envolveram esse usuário federado?

EC2instância

EC2instâncias que estão presentes nos dados de origem do Detective.

Por exemploEC2, Detective responde a várias perguntas:

  • Quais endereços IP se comunicaram com a instância?

  • Quais portas foram usadas para se comunicar com a instância?

  • Qual volume de dados foi enviado de e para a instância?

  • O que VPC contém a instância?

  • Quais API chamadas a EC2 instância usou?

  • Quais agentes de usuário a EC2 instância usou?

  • O ASOs que a EC2 instância usou?

  • Em quais localizações geográficas a EC2 instância está ativa?

  • Quais funções a EC2 instância assumiu?

Sessão de função

Instâncias de um recurso que está assumindo uma função. Cada sessão de função é identificada pelo identificador da função e pelo nome da sessão.

Para cada função, o Detective responde a várias perguntas:

  • Quais recursos estavam envolvidos nessa sessão de função? Em outras palavras, qual função foi assumida e qual recurso assumiu a função?

    Observe que, para funções assumidas entre contas, o Detective não consegue identificar o recurso que assumiu a função.

  • Quais API chamadas a sessão de funções usou?

  • Quais agentes de usuário a sessão de função usou?

  • O ASOs que a sessão de funções usou?

  • Em quais localizações geográficas a sessão de função está ativa?

  • Qual usuário ou função iniciou essa sessão de função?

  • Quais sessões de função iniciaram a partir dessa sessão de função?

Descoberta

Descobertas descobertas pela Amazon GuardDuty que são inseridas nos dados de origem do Detective.

Para cada descoberta, o Detective rastreia o tipo de descoberta, a origem e a janela de tempo da atividade da descoberta.

Também armazena informações específicas da descoberta, como funções ou endereços IP envolvidos na atividade detectada.

Endereço IP

Endereços IP presentes nos dados de origem do Detective.

Para cada endereço IP, o Detective responde a várias perguntas:

  • Quais API chamadas o endereço usou?

  • Quais portas o endereço usou?

  • Quais usuários e agentes de usuário usaram o endereço IP?

  • Em quais localizações geográficas o endereço IP está ativo?

  • A quais EC2 instâncias esse endereço IP foi atribuído e com as quais foi comunicado?

Bucket do S3

Buckets do S3 que estão nos dados de origem do Detective.

Para cada bucket do S3, o Detective responde a várias perguntas:

  • Quais entidades principais interagiram com o bucket do S3?

  • Quais API chamadas foram feitas para o bucket S3?

  • De quais localizações geográficas os diretores fizeram API chamadas para o bucket S3?

  • Quais agentes de usuário foram usados para interagir com o bucket do S3?

  • O que ASOs foi usado para interagir com o bucket S3?

Você pode excluir um bucket do S3 e, em seguida, criar um novo bucket com o mesmo nome. Como o Detective usa o nome do bucket do S3 para identificá-lo, ele os trata como uma única entidade do bucket do S3. No perfil da entidade, o Horário de criação é o primeiro horário de criação. O Horário de exclusão é o horário de exclusão mais recente.

Para visualizar todos os eventos de criação e exclusão, defina o escopo de tempo para começar com o horário de criação e terminar com o horário de exclusão. No painel Perfil geral do volume de API chamadas, exiba os detalhes da atividade para o horário do escopo. Filtre os API métodos a serem Create mostrados e Delete os métodos. Consulte Detalhes da atividade para Volume geral de API chamadas.

Agente de usuário

Agentes de usuário presentes nos dados de origem do Detective.

Para cada agente de usuário, o Detective responde a perguntas como as seguintes:

  • Quais API chamadas o agente do usuário usou?

  • Quais usuários e funções usaram o agente de usuário?

  • Quais endereços IP usaram o e agente de usuário?

EKSCluster

EKSclusters que estão presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos registros de EKS auditoria deve estar ativada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada EKS cluster, o Detective responde a perguntas como as seguintes:

  • Quais API chamadas do Kubernetes foram executadas nesse cluster?

  • Quais usuários e contas de serviço (sujeitos) do Kubernetes estão ativos nesse cluster?

  • Quais contêineres foram iniciados nesse cluster?

  • Quais imagens são usadas para iniciar contêineres nesse cluster?

Pod do Kubernetes

Pods do Kubernetes presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos registros de EKS auditoria deve estar ativada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada pod, o Detective responde a perguntas como as seguintes:

  • Quais imagens de contêiner nesse pod são comuns em minhas contas?

  • Qual atividade foi direcionada a esse pod?

  • Quais contêineres funcionam nesse pod?

  • Os registros dos contêineres nesse pod são comuns em minhas contas?

  • Quais outros contêineres estão funcionando nos outros pods do workload?

  • Há algum contêiner anômalo nesse pod que não esteja nos outros pods do workload?

Imagem de contêiner

Imagens de contêiner presentes nos dados de origem do Detective.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos registros de EKS auditoria deve estar ativada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada imagem de contêiner, o Detective responde a perguntas como as seguintes:

  • Quais outras imagens no meu ambiente compartilham o mesmo repositório ou registro com essa imagem?

  • Quantas cópias dessa imagem estão sendo executadas no meu ambiente?

Sujeito do Kubernetes

Sujeitos do Kubernetes presentes nos dados de origem do Detective. Um sujeito do Kubernetes é um usuário ou conta de serviço.

nota

Para ver detalhes completos desse tipo de entidade, a fonte de dados opcional dos registros de EKS auditoria deve estar ativada. Para obter mais informações, consulte Fontes de dados opcionais

Para cada sujeito, o Detective responde a perguntas como as seguintes:

  • Quais IAM diretores foram autenticados como esse assunto?

  • Quais descobertas estão associadas a esse sujeito?

  • Quais endereços IP o sujeito está usando?