Auf der Suche nach einem Befund oder einer Entität in Detective - Amazon Detective
Abschließen der SucheVerwenden der SuchergebnisseFehlerbehebung bei der Suche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auf der Suche nach einem Befund oder einer Entität in Detective

Mit der Suchfunktion von Amazon Detective können Sie nach einer Erkenntnis oder Entität suchen. Von den Suchergebnissen aus können Sie zu einem Entitätsprofil oder einer Erkenntnisübersicht navigieren. Wenn Ihre Suche mehr als 10.000 Erkenntnisse zurückgibt, werden nur die 10.000 besten Erkenntnisse angezeigt. Wenn Sie die Sortierreihenfolge ändern, werden auch die zurückgegebenen Erkenntnisse geändert.

Sie können Ihre Suchergebnisse in eine .csv-Datei (komma-getrennte Werte) exportieren. Diese Datei enthält die auf der Suchseite zurückgegebenen Daten. Die Daten werden im Format mit kommagetrennten Werten (CSV) exportiert. Der Dateiname der exportierten Daten folgt dem Format detective-page-panel-yyyy -mm-dd.csv. Sie können Ihre Sicherheitsuntersuchungen bereichern, indem Sie die Daten mithilfe anderer AWS Dienste, Drittanbieteranwendungen oder Tabellenkalkulationsprogramme, die den Import unterstützenCSV, manipulieren.

Anmerkung

Wenn gerade ein Export ausgeführt wird, warten Sie, bis der Export abgeschlossen ist, bevor Sie versuchen, weitere Daten zu exportieren.

Abschließen der Suche

Um die Suche abzuschließen, wählen Sie den Typ der Entität aus, nach der gesucht werden soll. Geben Sie dann den genauen Bezeichner oder den Bezeichner mit Platzhalterzeichen * oder ? ein. Um nach einer Reihe von IP-Adressen zu suchen, können Sie auch Notationen mit CIDR oder Punkten verwenden. Sehen Sie sich die folgenden Beispiel-Suchzeichenfolgen an.

Für IP-Adressen:

  • 1.0.*.*

  • 1.0.133.*

  • 1.0.0.0/16

  • 0.239.48.198/31

Für alle anderen Arten von Entitäten:

  • Admin

  • ad*

  • ad*n

  • ad*n*

  • adm?n

  • a?m*

  • *min

Für jeden Entitätstyp werden die folgenden Bezeichner unterstützt:

  • Bei Findings die Such-ID oder der Name der Amazon Amazon-Ressource (ARN).

  • Für AWS Konten die Konto-ID.

  • Für AWS Rollen und AWS Benutzer entweder die Prinzipal-ID, der Name oder dieARN.

  • Für Container-Cluster der Clustername oderARN.

  • Für Container-Images das Repository oder der vollständige Digest des Container-Images.

  • Für Container-Pods oder Tasks der Pod-Name oder der UID des Pods.

  • Für EC2 Instances die Instanz-ID oder dieARN.

  • Für die Erkenntnisgruppe die ID der Erkenntnisgruppe.

  • Bei IP-Adressen die Adresse in CIDR oder Punktnotation.

  • Für Kubernetes-Themen (Dienstkonten oder Benutzer) der Name.

  • Für einer Rollensitzung können Sie einen der folgenden Werte für die Suche verwenden:

    • Die Rollensitzungs-ID.

      Die Rollensitzungs-ID verwendet das Format <rolePrincipalID>:<sessionName>.

      Hier ist ein Beispiel: AROA12345678910111213:MySession.

    • Rollensitzung ARN

    • Sitzungsname

    • Prinzipal-ID der Rolle, die übernommen wurde

    • Name der Rolle, die übernommen wurde

  • Für S3-Buckets der Bucket-Name oder BucketARN.

  • Für Verbundbenutzer die Prinzipal-ID oder der Benutzername. Die Prinzipal-ID ist entweder <identityProvider>:<username> oder <identityProvider>:<audience>:<username>.

  • Für Benutzeragenten der Name des Benutzeragenten.

So suchen Sie nach einem Befund oder einer Entität

  1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Klicken Sie im Navigationsbereich auf Suchen.

  3. Wählen Sie im Menü Typ auswählen den Elementtyp aus, nach dem Sie suchen.

    Beachten Sie, dass Sie bei der Auswahl von Benutzer entweder nach einem AWS -Benutzer oder einem Verbundbenutzer suchen können.

    Beispiele aus Ihren Daten enthalten einen Beispielsatz von Identifikatoren des ausgewählten Typs, die in Ihren Verhaltensdiagrammdaten enthalten sind. Um das Profil für eines der Beispiele anzuzeigen, wählen Sie dessen Kennung aus.

  4. Geben Sie die genaue Kennung oder eine Kennung mit Platzhalterzeichen ein, nach der gesucht werden soll.

    Bei der Suche muss die Groß- und Kleinschreibung nicht beachtet werden.

  5. Wählen Sie Suchen, oder drücken Sie die Eingabetaste.

Verwenden der Suchergebnisse

Wenn Sie die Suche abgeschlossen haben, zeigt Detective eine Liste mit bis zu 10.000 passenden Ergebnissen an. Bei Suchanfragen, die eine eindeutige Kennung verwenden, gibt es nur ein passendes Ergebnis.

Wählen Sie aus den Ergebnissen die Kennung aus, um zum Entitätsprofil oder zur Erkenntnisübersicht zu gelangen.

Bei Ergebnissen, Rollen, Benutzern und EC2 Instanzen enthalten die Suchergebnisse das zugehörige Konto. Um zum Profil für das Konto zu navigieren, wählen Sie die Konto-ID aus.

Fehlerbehebung bei der Suche

Wenn Detective den Befund oder die Entität nicht findet, überprüfen Sie zunächst, ob Sie die richtige Kennung eingegeben haben. Wenn die Kennung korrekt ist, können Sie auch Folgendes überprüfen.

  • Gehört die Erkenntnis oder die Entität zu einem aktivierten Mitgliedskonto in Ihrem Verhaltensdiagramm? Wenn das zugehörige Konto nicht als Mitgliedskonto in das Verhaltensdiagramm eingeladen wurde, enthält das Verhaltensdiagramm keine Daten für dieses Konto.

    Wenn ein Konto eines eingeladenen Mitglieds die Einladung nicht angenommen hat, enthält das Verhaltensdiagramm keine Daten für dieses Konto.

  • Ist eine Erkenntnis archiviert? Detective erhält keine archivierten Ergebnisse von Amazon GuardDuty.

  • Ist die Erkenntnis oder Entität eingetreten, bevor Detective begann, Daten in Ihr Verhaltensdiagramm aufzunehmen? Wenn die Erkenntnis oder die Entität nicht in den Daten enthalten ist, die Detective aufnimmt, enthält das Verhaltensdiagramm keine Daten dafür.

  • Stammt die Erkenntnis oder Entität aus der richtigen Region? Jedes Verhaltensdiagramm ist spezifisch für einen AWS-Region. Ein Verhaltensdiagramm enthält keine Daten aus anderen Regionen.