Detalhes da atividade para Volume geral de API chamadas - Amazon Detective
Conteúdo dos detalhes da atividade (usuários, funções, contas, sessões de funções, EC2 instâncias, buckets do S3)Conteúdo dos detalhes da atividade (endereços IP)Classificar os detalhes da atividadeFiltrar os detalhes da atividadeSelecionar o intervalo de tempo dos detalhes da atividadeConsultar logs brutos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Detalhes da atividade para Volume geral de API chamadas

Os detalhes da atividade do Volume geral de API chamadas mostram as API chamadas que foram emitidas durante um intervalo de tempo selecionado.

Para exibir os detalhes da atividade para um único intervalo de tempo, escolha o intervalo de tempo no gráfico.

Para exibir os detalhes da atividade para o escopo de tempo atual, escolha Exibir detalhes do escopo de tempo.

Observe que o Detective começou a armazenar e exibir o nome do serviço para API chamadas a partir de 14 de julho de 2021. Essa data é destacada no cronograma do painel de perfil. Para atividades que ocorreram antes dessa data, o nome do serviço é Serviço desconhecido.

Conteúdo dos detalhes da atividade (usuários, funções, contas, sessões de funções, EC2 instâncias, buckets do S3)

Para IAM usuários, IAM funções, contas, sessões de funções, EC2 instâncias e buckets do S3, os detalhes da atividade contêm as seguintes informações:

  • Cada guia fornece informações sobre o conjunto de API chamadas que foram emitidas durante o intervalo de tempo selecionado.

    Para buckets do S3, as informações refletem as API chamadas que foram feitas para o bucket do S3.

    As API chamadas são agrupadas pelos serviços que as chamaram. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

  • Para cada entrada, os detalhes da atividade mostram o número de chamadas bem-sucedidas e malsucedidas. A guia Endereços IP observados também mostra a localização de cada endereço IP.

  • Cada entrada mostra informações sobre quem fez as chamadas. Para contas, os detalhes da atividade identificam os usuários ou as funções. Para funções, os detalhes da atividade identificam as sessões de função. Para usuários e sessões de funções, os detalhes da atividade identificam os identificadores da chave de acesso (AKIDs).

    Observe que, a partir de 14 de julho de 2021, para perfis de conta, os detalhes da atividade mostram usuários ou funções em vez deAKIDs. Para perfis de função, os detalhes da atividade mostram sessões de função em vez deAKIDs. Para atividades que ocorreram antes de 14 de julho de 2021, o chamador é listado como Recurso desconhecido.

Os detalhes da atividade contêm as seguintes guias:

Endereços IP observados

Inicialmente, exibe a lista de endereços IP usados para emitir API chamadas.

Você pode expandir cada endereço IP para exibir a lista de API chamadas que foram emitidas a partir desse endereço IP. As API chamadas são agrupadas pelos serviços que as chamaram. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

Em seguida, você pode expandir cada API chamada para exibir a lista de chamadores desse endereço IP. Dependendo do perfil, o chamador pode ser um usuário, função, sessão de função ouAKID.

Visualização da guia Endereços IP observados do painel Volume geral de API chamadas, com uma entrada expandida para mostrar a hierarquia de endereços IP, API chamadas e. AKIDs APIas chamadas são agrupadas por serviço.
APImétodo por serviço

Inicialmente exibe a lista de API chamadas que foram emitidas. As API chamadas são agrupadas pelos serviços que emitiram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

Você pode expandir cada API método para exibir a lista de endereços IP dos quais as chamadas foram emitidas.

Em seguida, você pode expandir cada endereço IP para exibir a lista das AKIDs API chamadas emitidas a partir desse endereço IP.

Visualização do APImétodo por guia de serviço do painel Volume geral de API chamadas, com uma entrada expandida para mostrar a hierarquia de API chamadas, endereços IP e. AKIDs APIas chamadas são agrupadas por serviço.
Recurso ou ID da chave de acesso

Inicialmente, exibe a lista de usuários, funções, sessões de função ou AKIDs que foram usados para emitir API chamadas.

Você pode expandir cada chamador para exibir a lista de endereços IP dos quais o chamador emitiu API chamadas.

Em seguida, você pode expandir cada endereço IP para exibir a lista de API chamadas que foram emitidas desse endereço IP pelo chamador. As API chamadas são agrupadas pelos serviços que emitiram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

Visualização da guia Recursos do painel Volume geral de API chamadas, com uma entrada expandida para mostrar a hierarquia de AKIDs endereços IP e API chamadas agrupadas por serviço.

Conteúdo dos detalhes da atividade (endereços IP)

Para endereços IP, os detalhes da atividade contêm as seguintes informações:

  • Cada guia fornece informações sobre o conjunto de API chamadas que foram emitidas durante o intervalo de tempo selecionado. As API chamadas são agrupadas pelos serviços que emitiram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

  • Para cada entrada, os detalhes da atividade mostram o número de chamadas bem-sucedidas e malsucedidas.

Os detalhes da atividade contêm as seguintes guias:

Recurso

Inicialmente, exibe a lista de recursos que emitiram API chamadas do endereço IP.

Para cada recurso, a lista inclui o nome, o tipo e a conta da AWS do recurso.

Você pode expandir cada recurso para exibir a lista de API chamadas que o recurso emitiu a partir do endereço IP. As API chamadas são agrupadas pelos serviços que emitiram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

Visualização da guia Recurso dos detalhes da atividade no painel Perfil geral do volume de API chamadas para um endereço IP.
APImétodo por serviço

Inicialmente exibe a lista de API chamadas que foram emitidas. As API chamadas são agrupadas pelos serviços que emitiram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em Serviço desconhecido.

Você pode expandir cada API chamada para exibir a lista de recursos que emitiram a API chamada a partir do endereço IP durante o período selecionado.

Visualização da guia APImétodo por serviço dos detalhes da atividade do painel Perfil geral do volume de API chamadas para um endereço IP.

Classificar os detalhes da atividade

Você pode classificar os detalhes da atividade por qualquer uma das colunas da lista.

Ao classificar usando a primeira coluna, somente a lista de nível superior é classificada. As listas de nível inferior são sempre classificadas pela contagem de chamadas bem-sucedidas. API

Filtrar os detalhes da atividade

Você pode usar as opções de filtragem para se concentrar em subconjuntos ou aspectos específicos da atividade representados nos detalhes da atividade.

Em todas as guias, você pode filtrar a lista por qualquer um dos valores na primeira coluna.

Para adicionar um filtro

  1. Escolha a caixa de filtro.

  2. Em Propriedades, escolha a propriedade a ser usada para a filtragem.

  3. Forneça o valor a ser usado para a filtragem. O filtro comporta valores parciais. Por exemplo, quando você filtra por API método, se você filtrar porInstance, os resultados incluem qualquer API operação que tenha Instance em seu nome. Então, ambos ListInstanceAssociations e UpdateInstanceInformation corresponderiam.

    Para nomes de serviços, API métodos e endereços IP, você pode especificar um valor ou escolher um filtro incorporado.

    Para APISubcadeias de caracteres comuns, escolha a subcadeia que representa o tipo de operação, como ListCreate, ou. Delete Cada nome de API método começa com o tipo de operação.

    Para CIDRpadrões, você pode optar por incluir somente endereços IP públicos, endereços IP privados ou endereços IP que correspondam a um CIDR padrão específico.

  4. Se você tiver vários filtros, escolha uma opção booliana para definir como esses filtros são conectados.

    Lista de conectores disponíveis entre filtros individuais para o filtro de detalhes da atividade.

  5. Para remover um filtro, escolha o ícone x no canto superior direito.

  6. Para limpar todos os filtros, escolha Limpar filtro.

Selecionar o intervalo de tempo dos detalhes da atividade

Ao exibir pela primeira vez os detalhes da atividade, o intervalo de tempo é o escopo de tempo ou um intervalo de tempo selecionado. Você pode alterar o intervalo de tempo dos detalhes da atividade.

Para alterar o intervalo de tempo dos detalhes da atividade

  1. Selecione a opção Editar.

  2. Em Editar janela de tempo, escolha o horário de início e de término a ser usado.

    Para definir a janela de tempo como o escopo de tempo padrão do perfil, escolha Definir como o escopo de tempo padrão.

  3. Escolha a Atualizar janela de tempo.

O intervalo de tempo dos detalhes da atividade é destacado nos gráficos do painel de perfil.

Janela de tempo destacada para o painel Perfil geral do volume de API chamadas

Consultar logs brutos

O Amazon Detective se integra ao Amazon Security Lake, o que significa que você pode consultar e recuperar os dados de log bruto armazenados pelo Security Lake. Para obter mais detalhes sobre essa interação, consulte Integração do Amazon Detective com o Amazon Security Lake.

Usando essa integração, você pode coletar logs e eventos das fontes a seguir, às quais o Security Lake oferece suporte nativo.

  • AWS CloudTrail eventos de gerenciamento versão 1.0 e posteriores

  • Logs de fluxo da Amazon Virtual Private Cloud (AmazonVPC) versão 1.0 e posterior

  • Log de auditoria do Amazon Elastic Kubernetes Service (EKSAmazon) versão 2.0

nota

Não há cobranças adicionais pela consulta de logs de dados brutos no Detective. As taxas de uso de outros AWS Serviços, incluindo o Amazon Athena, ainda se aplicam às tarifas publicadas.

Como consultar logs brutos

  1. Selecione exibir detalhes do tempo do escopo.

  2. Neste ponto, você pode começar a Consultar logs brutos.

  3. Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

    Na tabela Consultar logs brutos, você pode Cancelar solicitação de consulta, Ver resultados no Amazon Athena e Baixar resultados como um arquivo de valores separados por vírgula (.csv).

Se você ver logs no Detective, mas a consulta não retornou nenhum resultado, existem alguns motivos pelos quais isso pode ter acontecido.

  • Os logs brutos podem ficar disponíveis no Detective antes de aparecerem nas tabelas de log do Security Lake. Tente novamente mais tarde.

  • Os logs podem estar ausentes do Security Lake. Se você esperou por um longo período, isso indica que faltam logs do Security Lake. Entre em contato com o administrador do Security Lake para resolver o problema.