Wie Amazon Detective Quelldaten verwendet, um ein Verhaltensdiagramm zu füllen - Amazon Detective
Wie Detective Quelldaten verarbeitetDetective-ExtraktionDetective-Analysen

Der Inhalt des Detective Administration Guide ist jetzt im Detective User Guide zusammengefasst.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie Amazon Detective Quelldaten verwendet, um ein Verhaltensdiagramm zu füllen

Um die Rohdaten für Untersuchungen bereitzustellen, führt Detective Daten aus Ihrer gesamten AWS -Umgebung und darüber hinaus zusammen, darunter die folgenden:

  • Protokolldaten, einschließlich Amazon Virtual Private Cloud (Amazon VPC) und AWS CloudTrail

  • Ergebnisse von Amazon GuardDuty

  • Ergebnisse von AWS Security Hub

Weitere Informationen zu den in einem Verhaltensdiagramm verwendeten Quelldaten finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.

Wie Detective Quelldaten verarbeitet

Wenn neue Daten eintreffen, verwendet Detective eine Kombination aus Extraktion und Analyse, um das Verhaltensdiagramm zu füllen.

Diagramm, das den Datendurchfluss eingehender Quelldaten in Detective zeigt, wo sie zum Füllen des Verhaltensdiagramms verwendet werden.

Detective-Extraktion

Die Extraktion basiert auf konfigurierten Zuordnungsregeln. Eine Zuordnungsregel besagt im Grunde: „Wann immer Sie diese Daten sehen, verwenden Sie sie auf diese spezielle Weise, um die Daten des Verhaltensdiagramms zu aktualisieren.“

Beispielsweise kann ein eingehender Detective-Quelldatensatz eine IP-Adresse enthalten. Ist dies der Fall, verwendet Detective die Informationen in diesem Datensatz, um eine neue IP-Adressentität zu erstellen oder eine bestehende IP-Adressentität zu aktualisieren.

Detective-Analysen

Bei Analysen handelt es sich um komplexere Algorithmen, die die Daten analysieren, um Einblicke in Aktivitäten zu gewinnen, die mit Entitäten verknüpft sind.

Eine Art von Detective-Analyse analysiert beispielsweise, wie oft Aktivitäten auftreten, indem Algorithmen ausgeführt werden. Bei Entitäten, die API-Aufrufe tätigen, sucht der Algorithmus nach API-Aufrufen, die die Entität normalerweise nicht verwendet. Der Algorithmus sucht auch nach einem starken Anstieg der Anzahl von API-Aufrufen.

Analytische Erkenntnisse unterstützen Untersuchungen, indem sie Antworten auf wichtige Analystenfragen liefern. Sie werden häufig verwendet, um Profilbereiche mit Ergebnissen und Entitätsprofilen zu füllen.