行為圖表資料結構概觀 - Amazon Detective
行為圖表資料結構中元素的類型行為圖表資料結構中的實體類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

行為圖表資料結構概觀

行為圖表資料結構定義了擷取和分析資料的結構。它還定義了來源資料映射到行為圖表的方式。

行為圖表資料結構中元素的類型

行為圖表資料結構由以下資訊元素組成。

實體

實體表示從 Detective 來源資料中擷取的項目。

每個實體都有一個類型,用來識別它所代表的物件類型。實體類型的範例包括 IP 地址、Amazon EC2 執行個體和 AWS 使用者。

針對每個實體,來源資料也會用來填入實體屬性。屬性值可以直接從來源記錄中擷取,也可以跨多個記錄彙總。

某些屬性由單一純量或彙總值組成。例如,例如,Detective 會追蹤實體的類型和處理的位元組總數。EC2

時間序列屬性會追蹤一段時間內的活動。例如,例如,Detective 會追蹤一EC2段時間內所使用的唯一連接埠。

關係

關係表示個別實體之間發生的活動。關係也會從 Detective 來源資料中擷取。

與實體類似,關係具有類型,可識別涉及的實體類型和連接方向。關係類型的範例是連線至EC2執行個體的 IP 位址。

針對每個個別關係,例如連線至特定執行個體的特定 IP 地址,Detective 會追蹤一段時間內的發生次數。

行為圖表資料結構中的實體類型

行為圖表資料結構包含執行以下作業的實體和關係類型:

  • 追蹤正在使用的伺服器、IP 地址和使用者代理程式

  • 追蹤使用 AWS 者、角色和正在使用的帳戶

  • 追蹤 AWS 環境中發生的網路連線和授權

行為圖表資料結構包含以下實體類型。

AWS 帳戶

AWS Detective 來源資料中存在的帳戶。

Detective 會針對每個帳戶回答以下數個問題:

  • 該帳戶使用了哪些API電話?

  • 帳戶使用了哪些使用者代理程式?

  • 帳戶使用了哪些自治系統組織 (ASOs)?

  • 帳戶在哪些地理位置處於作用中狀態?

AWS 角色

AWS Detective 來源資料中存在的角色。

Detective 會針對每個角色回答以下數個問題:

  • 使用了哪些API呼叫的角色?

  • 角色使用了哪些使用者代理程式?

  • 使用ASOs了什麼角色?

  • 角色在哪些地理位置處於作用中狀態?

  • 哪些資源擔任了該角色?

  • 該角色擔任了哪些角色?

  • 哪些角色工作階段涉及該角色?

AWS 使用者

AWS Detective 來源資料中存在的使用者。

Detective 會針對每個使用者回答以下數個問題:

  • 使用者使用了哪些API呼叫?

  • 使用者使用了哪些使用者代理程式?

  • 使用者在哪些地理位置處於作用中狀態?

  • 該使用者擔任了哪些角色?

  • 哪些角色工作階段涉及該使用者?

聯合身分使用者

聯合身分使用者的執行個體。聯合身分使用者範例如下:

  • 使用安全性宣告標記語言 () SAML 登入的身分識別

  • 使用 Web 聯合身分登入的身分

Detective 會針對每位聯合身分使用者回答以下問題:

  • 聯合身分使用者使用哪些身分提供者進行驗證?

  • 聯合身分使用者的受眾是什麼? 受眾可識別要求聯合身分使用者的 Web 身分權杖的應用程式。

  • 聯合身分使用者在哪些地理位置處於作用中狀態?

  • 聯合身分使用者使用了哪些使用者代理程式?

  • 聯合使用者使用ASOs了什麼?

  • 該聯合身分使用者擔任了哪些角色?

  • 哪些角色工作階段涉及該聯合身分使用者?

EC2實例

EC2Detective 來源資料中存在的實例。

EC2例如,Detective 回了幾個問題:

  • 已透過哪些 IP 地址與執行個體進行通訊?

  • 已使用哪些連接埠與執行個體進行通訊?

  • 以向執行個體或從執行個體傳送了多少資料量?

  • 執行個體VPC包含哪些項目?

  • EC2執行個體使用了哪些API呼叫?

  • EC2實例使用了哪些用戶代理?

  • EC2執行個體使用ASOs了什麼?

  • 執行個體在哪些地理位置EC2處於作用中狀態?

  • EC2執行個體承擔了哪些角色?

角色工作階段

擔任角色資源的執行個體。每個角色工作階段都由角色識別符和工作階段名稱識別。

Detective 會針對每個角色回答以下數個問題:

  • 此角色工作階段涉及哪些資源? 換言之,擔任哪些角色,以及擔任角色的資源是什麼?

    請注意,針對跨帳戶角色擔任,Detective 無法識別擔任該角色的資源。

  • 角色工作階段使用了哪些API呼叫?

  • 角色工作階段使用了哪些使用者代理程式?

  • 角色會話使用ASOs了什麼?

  • 角色工作階段在哪些地理位置處於作用中狀態?

  • 哪個使用者或角色啟動了該角色工作階段?

  • 從該角色工作階段啟動了哪些角色工作階段?

問題清單

Amazon 發現的發現項目 GuardDuty 已輸入 Detective 來源資料。

針對每個調查結果,Detective 都會追蹤調查結果類型、來源和調查結果活動的時間範圍。

它也會儲存調查結果特定的資訊,例如偵測活動中涉及的角色或 IP 地址。

IP 地址

Detective 來源資料中存在的 IP 地址。

Detective 會針對每個 IP 地址回答以下數個問題:

  • 地址使API用了哪些電話?

  • 地址使用了哪些連接埠?

  • 哪些使用者和使用者代理程式使用了 IP 地址?

  • IP 地址在哪些地理位置處於作用中狀態?

  • 已將此 IP 位址指派給哪些EC2執行個體並與之通訊?

S3 儲存貯體

Detective 來源資料中的 S3 儲存貯體。

Detective 會針對每個 S3 儲存貯體回答以下問題:

  • 哪些主體與 S3 儲存貯體進行互動?

  • 對 S3 存儲桶進行了哪些API調用?

  • 校長從哪些地理位置對 S3 存儲桶進行API調用?

  • 使用了哪些使用者代理程式與 S3 儲存貯體進行互動?

  • 什麼ASOs是用來與 S3 存儲桶進行交互?

您可以刪除 S3 儲存貯體,然後建立具有相同名稱的新儲存貯體。由於 Detective 使用 S3 儲存貯體名稱來識別 S3 儲存貯體,因此會將它們視為單一 S3 儲存貯體實體。在實體設定檔上,建立時間指首次的建立時間。刪除時間指最近的刪除時間。

若要檢視所有建立和刪除事件,請將範圍時間設定為從建立時間開始,並以刪除時間結束。在整體API通話音量設定檔面板上,顯示示波器時間的活動詳細資料。篩選要顯示的API方DeleteCreate和方法。請參閱 整體API通話量的活動詳細資訊

使用者代理程式

Detective 來源資料中存在的使用者代理程式。

Detective 會針對每個使用者代理程式回答以下問題:

  • 用戶代理使用了哪些API呼叫?

  • 哪些使用者和角色使用了使用者代理程式?

  • 哪些 IP 地址使用了使用者代理程式?

EKS叢集

EKSDetective 來源資料中存在的叢集。

注意

若要查看此實體類型的完整詳細資料,必須啟用選用的EKS稽核記錄資料來源。如需詳細資訊,請參閱選用的資料來源

Detective 會針對每個EKS叢集回答下列問題:

  • 已在此叢集中執行哪些 Kubernetes API 呼叫?

  • 哪些 Kubernetes 使用者和服務帳戶 (主體) 在此叢集中處於作用中狀態?

  • 在此叢集中啟動了哪些容器?

  • 在此叢集中使用哪些映像來啟動容器?

Kubernetes Pod

Detective 來源資料中存在的 Kubernetes Pod。

注意

若要查看此實體類型的完整詳細資料,必須啟用選用的EKS稽核記錄資料來源。如需詳細資訊,請參閱選用的資料來源

Detective 會針對每個 Pod 回答以下問題:

  • 在我的帳戶中,有哪些常見的 Pod 内容器映像?

  • 已針對此 Pod 進行了哪些活動?

  • 在此 Pod 中執行了哪些容器?

  • 該 Pod 中容器的登錄檔在我的帳戶中常見嗎?

  • 工作負載的其他 Pod 中是否還有哪些其他正在執行的容器?

  • 此裝置中是否存在任何不在工作負載其他 Pod 中的異常容器?

容器映像

Detective 來源資料中存在的容器映像。

注意

若要查看此實體類型的完整詳細資料,必須啟用選用的EKS稽核記錄資料來源。如需詳細資訊,請參閱選用的資料來源

Detective 會針對每個容器映像回答以下問題:

  • 我的環境中還有哪些其他映像與此映像共享相同的儲存庫或登錄檔?

  • 我的環境中正在執行多少個映像副本?

Kubernetes 主體

Detective 來源資料中存在的 Kubernetes 主體。Kubernetes 主體指使用者或服務帳戶。

注意

若要查看此實體類型的完整詳細資料,必須啟用選用的EKS稽核記錄資料來源。如需詳細資訊,請參閱選用的資料來源

Detective 會針對每個主體回答以下問題:

  • 哪些IAM校長已經認證為此主題?

  • 哪些調查結果與該主體相關聯?

  • 主體使用哪些 IP 地址?