Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In einem Verhaltensdiagramm verwendete Quelldaten
Um ein Verhaltensdiagramm aufzufüllen, verwendet Amazon Detective Quelldaten aus dem Administratorkonto und den Mitgliedskonten des Verhaltensdiagramms.
Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen.
Einzelheiten zur Datenstruktur des Verhaltensdiagramms finden Sie unter Überblick über die Datenstruktur des Verhaltensdiagramms im Detective-Benutzerhandbuch.
Arten von Kerndatenquellen in Detective
Detective nimmt Daten aus diesen Arten von AWS Protokollen auf:
-
AWS CloudTrail Logs
-
Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle
-
Nimmt sowohl IPv4- als auch IPv6-Datensätze auf, jedoch keine MAC-Datensätze, die von Elastic Fabric Adaptern erstellt wurden.
-
Nimmt Protokolldatensätze auf, wenn sich der
log-statusFeldwert im Status befindet.OKWeitere Informationen finden Sie unter Flow-Protokolldatensätze im Amazon VPC-Benutzerhandbuch. -
Nimmt Flow-Logs auf, die von Amazon Elastic Compute Cloud-Instances erstellt wurden, die nur in diesen VPCs ausgeführt werden. Es werden keine anderen Ressourcen wie NAT-Gateways, RDS-Instances oder Fargate-Cluster verwendet.
-
Nimmt sowohl akzeptierten als auch abgelehnten Datenverkehr auf.
-
-
Für Konten, für die registriert ist GuardDuty, nimmt Detective auch Ergebnisse auf. GuardDuty
Detective verarbeitet CloudTrail und protokolliert VPC-Flow-Ereignisse mithilfe unabhängiger und duplizierter Streams von CloudTrail VPC-Flow-Logs. Diese Prozesse wirken sich nicht auf Ihre vorhandenen Konfigurationen und Ihre VPC-Flow-Log-Konfigurationen aus CloudTrail und verwenden diese auch nicht. Sie wirken sich auch nicht auf die Leistung dieser Dienste aus und erhöhen auch nicht Ihre Kosten.
Arten optionaler Datenquellen in Detective
Detective bietet zusätzlich zu den drei Datenquellen, die im Detective-Kernpaket angeboten werden, optionale Quellpakete an (das Kernpaket umfasst AWS CloudTrail Protokolle, VPC Flow-Protokolle und GuardDuty Ergebnisse). Ein optionales Datenquellenpaket kann für ein Verhaltensdiagramm jederzeit gestartet oder gestoppt werden.
Detective bietet eine kostenlose 30-Tage-Testversion für alle Kern- und optionalen Quellpakete pro Region.
Anmerkung
Detective bewahrt alle von jedem Datenquellenpaket empfangenen Daten bis zu 1 Jahr lang auf.
Derzeit sind die folgenden optionalen Quellpakete verfügbar:
-
EKS-Auditprotokolle
Mit diesem optionalen Datenquellenpaket kann Detective detaillierte Informationen zu EKS-Clustern in Ihrer Umgebung aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Detective korreliert Benutzeraktivitäten mit CloudTrail AWS-Management-Ereignissen und Netzwerkaktivitäten mit Amazon VPC Flow Logs, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Details dazu finden Sie unter Amazon EKS-Auditprotokolle für Detective.
-
AWS Ergebnisse zur Sicherheit
Mit diesem optionalen Datenquellenpaket kann Detective Daten aus Security Hub aufnehmen und diese Daten Ihrem Verhaltensdiagramm hinzufügen. Details dazu finden Sie unter AWS Ergebnisse zur Sicherheit.
Starten oder Stoppen einer optionalen Datenquelle:
-
Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/
. -
Klicken Sie im Navigationsbereich unter Einstellungen auf Allgemein.
-
Wählen Sie unter Optionale Quellpakete die Option Update aus. Wählen Sie dann die Datenquelle aus, die Sie aktivieren oder deaktivieren möchten, ein Feld für eine bereits aktivierte Datenquelle und wählen Sie Aktualisieren, um zu ändern, welche Datenquellenpakete aktiviert sind.
Anmerkung
Wenn Sie eine optionale Datenquelle beenden und dann neu starten, sehen Sie eine Lücke in den in einigen Entitätsprofilen angezeigten Daten. Diese Lücke wird in der Konsolenanzeige angezeigt und steht für den Zeitraum, in dem die Datenquelle gestoppt wurde. Wenn eine Datenquelle neu gestartet wird, nimmt Detective keine Daten rückwirkend auf.
Wie Detective Quelldaten aufnimmt und speichert
Wenn Detective aktiviert ist, beginnt es mit der Aufnahme von Quelldaten aus dem Administratorkonto für Verhaltensdiagramme. Sobald Mitgliedskonten zum Verhaltensdiagramm hinzugefügt werden, beginnt Detective auch, die Daten aus diesen Mitgliedskonten zu verwenden.
Die Quelldaten von Detective bestehen aus strukturierten und verarbeiteten Versionen der ursprünglichen Feeds. Um Detective Analytics zu unterstützen, speichert Detective Kopien der Detective-Quelldaten.
Der Detective-Ingest-Prozess speist Daten in Amazon Simple Storage Service (Amazon S3)-Buckets im Detective-Quelldatenspeicher. Sobald neue Quelldaten eintreffen, nehmen andere Detective-Komponenten die Daten auf und starten die Extraktions- und Analyseprozesse. Weitere Informationen finden Sie unter So verwendet Detective Quelldaten, um ein Verhaltensdiagramm zu füllen im Detective-Benutzerhandbuch.
Wie Detective das Datenvolumenkontingent für Verhaltensdiagramme durchsetzt
Detective hat strenge Kontingente für das Datenvolumen, das in jedem Verhaltensdiagramm zulässig ist. Das Datenvolumen ist die Datenmenge pro Tag, die in das Detective-Verhaltensdiagramm fließt.
Detective setzt diese Kontingente durch, wenn ein Administratorkonto Detective aktiviert und wenn ein Mitgliedskonto eine Einladung annimmt, zu einem Verhaltensdiagramm beizutragen.
-
Wenn das Datenvolumen für ein Administratorkonto 10 TB pro Tag übersteigt, kann das Administratorkonto Detective nicht aktivieren.
-
Wenn das hinzugefügte Datenvolumen von einem Mitgliedskonto dazu führen würde, dass das Verhaltensdiagramm 10 TB pro Tag überschreitet, kann das Mitgliedskonto nicht aktiviert werden.
Das Datenvolumen für ein Verhaltensdiagramm kann im Laufe der Zeit auch auf natürliche Weise zunehmen. Detective überprüft täglich das Datenvolumen des Verhaltensdiagramms, um sicherzustellen, dass das Kontingent nicht überschritten wird.
Wenn sich das Datenvolumen des Verhaltensdiagramms dem Kontingent nähert, zeigt Detective eine Warnmeldung auf der Konsole an. Um zu verhindern, dass das Kontingent überschritten wird, können Sie Mitgliedskonten entfernen.
Wenn das Datenvolumen des Verhaltensdiagramms 10 TB pro Tag überschreitet, können Sie dem Verhaltensdiagramm kein neues Mitgliedskonto hinzufügen.
Wenn das Datenvolumen des Verhaltensdiagramms 15 TB pro Tag überschreitet, beendet Detective die Aufnahme von Daten in das Verhaltensdiagramm. Das Kontingent von 15 TB pro Tag spiegelt sowohl das normale Datenvolumen als auch Spitzenwerte beim Datenvolumen wider. Wenn dieses Kontingent erreicht ist, werden keine neuen Daten in das Verhaltensdiagramm aufgenommen, aber vorhandene Daten werden nicht entfernt. Sie können diese historischen Daten weiterhin für Untersuchungen verwenden. In der Konsole wird eine Meldung angezeigt, die darauf hinweist, dass die Datenaufnahme für das Verhaltensdiagramm unterbrochen wurde.
Wenn die Datenaufnahme unterbrochen wurde, müssen Sie damit arbeiten, sie wieder AWS Support zu aktivieren. Versuchen Sie nach Möglichkeit, vor der Kontaktaufnahme Mitgliedskonten zu entfernen AWS Support, um das Datenvolumen unter das Kontingent zu bringen. Dadurch ist es einfacher, die Datenaufnahme für das Verhaltensdiagramm wieder zu aktivieren.
