本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Detective 行為圖表中使用的來源資料 為了填入行為圖表,Amazon Detective 會使用行為圖表管理員帳戶和成員帳戶中的來源資料。 使用 Detective,您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得,視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 將此類變更連結至 GuardDuty 調查結果。 ![顯示行為圖表如何使用管理員帳戶和成員帳戶中的資料以及如何使用行為圖表資料結構的圖表。](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_graph_structure_overview.png) 如需行為圖表資料結構的相關資訊,請參閱《Detective 使用者指南》中的[行為圖表資料結構概觀](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html)。** ## Detective 中核心資料來源的類型 Detective 從這些類型的 AWS 日誌擷取資料: + AWS CloudTrail 日誌 + Amazon Virtual Private Cloud (Amazon VPC) 流程日誌 + 同時擷取 IPv4 和 IPv6 記錄,但不擷取 Elastic Fabric Adapters 產生的 MAC 記錄。 + 當 `log-status` 欄位的值處於 `OK` 狀態時擷取日誌記錄。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的[流程日誌記錄](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)。 + 僅擷取在這些 VPCs 中執行的 Amazon Elastic Compute Cloud 執行個體所產生的流程日誌。不會使用其他資源,例如 NAT 閘道、RDS 執行個體或 Fargate 叢集。 + 同時擷取已接受和已拒絕的流量。 + 針對已註冊加入 GuardDuty 的帳戶,Detective 也會擷取 GuardDuty 的調查結果。 Detective 會使用獨立且重複的 CloudTrail 和 VPC 流程日誌來使用 CloudTrail 和 VPC 流程日誌事件。此類程序不會影響或使用現有 CloudTrail 和 VPC 流程日誌設定。它們也不會影響此類服務的效能或增加成本。 ## Detective 中選用的資料來源的類型 Detective 除了 Detective 核心套件提供的三個資料來源之外,還提供選用的來源套件 (核心套件包含 AWS CloudTrail 日誌、VPC 流程日誌和 GuardDuty 調查結果)。您可以隨時為行為圖表啟動或停止選用的資料來源套件。 Detective 為每個區域的所有核心和選用的來源套件提供 30 天免費試用。 **注意** Detective 會將從每個資料來源套件收到的所有資料保留最多 1 年。 目前有以下選用的來源套件可供使用: + **EKS 稽核日誌** 透過該選用資料來源套件,Detective 可擷取環境中 EKS 叢集的詳細資訊,並將該資料新增至您的行為圖表。Detective 會將使用者活動與 AWS CloudTrail Management 事件和網路活動與 Amazon VPC Flow Logs 建立關聯,而不需要您手動啟用或停用這些日誌。如需詳細資訊,請參閱 [Amazon EKS 稽核日誌](source-data-types-EKS.md)。 + **AWS 安全調查結果** 此選用的資料來源套件可讓 Detective 從 Security Hub CSPM 擷取資料,並將該資料新增至您的行為圖表。如需詳細資訊,請參閱 [**AWS 安全調查結果**](source-data-types-asff.md)。 ****啟動或停止選用的資料來源:**** 1. 打開 Detective 主控台,網址為 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。 1. 在導覽窗格中,於**設定**下選擇**一般**。 1. 在**選用的來源套件**下,選取**更新**。然後選取要啟用的資料來源,或取消選取已啟用資料來源的方塊,然後選擇**更新**以變更啟用的資料來源套件。 **注意** 如果您停止然後重新啟動選用的資料來源,您將在某些實體設定檔上顯示的資料中發現間隙。此間隙將在主控台顯示中註明,代表資料來源停止的時間段。當資料來源重新啟動時,Detective 不會追溯擷取資料。 ## Detective 如何擷取和儲存來源資料 啟用 Detective 後,Detective 會開始從行為圖表管理員帳戶擷取來源資料。當成員帳戶新增至行為圖表時,Detective 也會開始使用此類成員帳戶中的資料。 Detective 來源資料包含原始摘要的結構化和處理版本。為了支援 Detective 分析,Detective 會儲存 Detective 來源資料的副本。 Detective 擷取程序會將資料饋送至 Detective 來源資料存放區中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。當新來源資料到達時,其他 Detective 元件會接收資料,並開始擷取和分析程序。如需詳細資訊,請參閱《Detective 使用者指南**》中的 [Detective 如何使用來源資料填入行為圖表](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html)。 ## Detective 如何強制執行行為圖表的資料量配額 Detective 在每個行為圖表中允許的資料量都有嚴格的配額。資料量指每天流入 Detective 行為圖表的資料量。 當管理員帳戶啟用 Detective,以及成員帳戶接受邀請以提供行為圖表時,Detective 會強制執行此類配額。 + 如果管理員帳戶的資料量每天超過 10 TB,則管理員帳戶無法啟用 Detective。 + 如果從成員帳戶新增的資料量會導致行為圖表每天超過 10 TB,則無法啟用該成員帳戶。 行為圖表的資料量也會隨著時間的推移自然增加。Detective 會每天檢查行為圖表資料量,以確保它不會超過配額。 如果行為圖表資料量接近配額,Detective 會在主控台上顯示警告訊息。為避免超出配額,您可以移除成員帳戶。 如果行為圖表資料量每天超過 10 TB,則您無法將新成員帳戶新增至行為圖表。 如果行為圖表資料量每天超過 15 TB,則 Detective 就會停止將資料擷取至行為圖表中。每天 15 TB 的配額反映正常資料量和資料量峰值。達到此配額時,系統不會在行為圖表中擷取任何新資料,但不會移除現有資料。您仍然可以使用該歷史資料進行調查。主控台會顯示訊息,指出行為圖表的資料擷取已暫停。 如果資料擷取已暫停,您必須使用 支援 重新啟用。如果可能,請在聯絡之前 支援嘗試移除成員帳戶,以取得低於配額的資料量。此舉可以簡化重新啟用行為圖表的資料擷取程序。