Detective 如何填充行为图 - Amazon Detective
Detective 如何处理源数据Detective 提取Detective 分析

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Detective 如何填充行为图

为了为调查提供原始数据,Detective 汇集了来自整个 AWS 环境及其他环境的数据,包括:

  • 日志数据,包括亚马逊 Virtual Private Cloud(亚马逊VPC)和 AWS CloudTrail

  • 来自亚马逊的调查结果 GuardDuty

  • 调查结果来自 AWS Security Hub

要详细了解行为图中使用的源数据,请参阅行为图中使用的源数据

Detective 如何处理源数据

随着新数据的出现,Detective 使用提取和分析相结合的方法来填充行为图。

示意图显示了流入 Detective 的源数据,这些数据被用于填充行为图。

Detective 提取

提取根据配置的映射规则进行。映射规则基本上是说:“每当出现这段数据时,就以这种特定的方式使用它来更新行为图数据”。

例如,传入的 Detective 源数据记录可能包含一个 IP 地址。如果有,Detective 会使用该记录中的信息创建新的 IP 地址实体或更新现有的 IP 地址实体。

Detective 分析

分析是一种更复杂的算法,通过分析数据来深入了解与实体关联的活动。

例如,有一种 Detective 分析通过运行算法来分析活动发生的频率。对于进行API调用的实体,该算法会查找该实体通常不使用的API调用。该算法还会寻找API呼叫数量的大幅峰值。

分析见解通过为分析师的关键问题提供答案来支持调查,并且经常用于填充调查发现和实体配置文件面板。