Detective 如何填充行為圖 - Amazon Detective
Detective 如何處理來源資料Detective 擷取Detective 分析

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Detective 如何填充行為圖

為了提供原始資料以供調查使用,Detective 將來自您 AWS 環境及其他環境的資料匯集在一起,包括以下內容:

  • 日誌數據,包括 Amazon Virtual Private Cloud(AmazonVPC)和 AWS CloudTrail

  • Amazon 的發現 GuardDuty

  • 來自的發現 AWS Security Hub

若要深入瞭解行為圖中使用的來源資料,請參閱行為圖中使用的來源資料。

Detective 如何處理來源資料

當新資料傳入時,Detective 會組合使用擷取和分析來填入行為圖表。

顯示傳入來源資料到 Detective,其中用來填入行為圖表流程圖的圖表。

Detective 擷取

擷取以設定的映射規則為基礎。映射規則基本規定為:每當您看到此資料時,請以此特定方式進行使用,以更新行為圖表資料。

例如,傳入的 Detective 來源資料記錄可能包含 IP 地址。如果是,Detective 會使用該記錄中的資訊來建立新 IP 地址實體或更新現有的 IP 地址實體。

Detective 分析

分析是較為複雜的演算法,可分析資料以深入了解與實體相關聯的活動。

例如,一種 Detective 分析類型會透過執行演算法來分析活動發生的頻率。對於進行API呼叫的實體,演算法會尋找實體通常不會使用的API呼叫。該算法還查找API調用數量的較大峰值。

分析見解透過提供關鍵分析師問題的答案來支援調查,經常用於填入調查結果和實體設定檔面板。