Konzepte und Terminologie von Amazon Detective - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konzepte und Terminologie von Amazon Detective

Die folgenden Begriffe und Konzepte sind für ein Verständnis der Funktionsweise von Amazon Detective wichtig.

Administratorkonto

AWS-Konto Derjenige, der ein Verhaltensdiagramm besitzt und das Verhaltensdiagramm zur Untersuchung verwendet.

Das Administratorkonto lädt Mitgliedskonten ein, ihre Daten zum Verhaltensdiagramm beizutragen. Weitere Informationen finden Sie unter Mitgliedskonten zu einem Verhaltensdiagramm einladen.

Für das Diagramm zum Organisationsverhalten ist das Administratorkonto das Detective-Administratorkonto, das das Verwaltungskonto der Organisation festlegt. Weitere Informationen finden Sie unter Festlegen des Detective-Administratorkontos für eine Organisation. Das Detective Administrator-Konto kann jedes Organisationskonto als Mitgliedskonto im Verhaltensdiagramm der Organisation aktivieren. Weitere Informationen finden Sie unter Organisationskonten als Mitgliedskonten verwalten.

Administratorkonten können auch die Datennutzung für das Verhaltensdiagramm anzeigen und Mitgliedskonten aus dem Verhaltensdiagramm entfernen.

Organisation autonomer Systeme (ASO)

Die betitelte Organisation, der ein autonomes System zugewiesen ist. Dieses autonome System ist ein heterogenes Netzwerk oder eine Gruppe von Netzwerken, die ähnliche Routing-Logik und Richtlinien verwenden.

Verhaltensdiagramm

Ein verknüpfter Datensatz, der aus eingehenden Quelldaten generiert wird und mit einem oder mehreren AWS-Konten verknüpft ist.

Jedes Verhaltensdiagramm verwendet dieselbe Struktur von Erkenntnissen, Entitäten und Beziehungen.

Delegiertes Administratorkonto ()AWS Organizations

In Organizations kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.

In Detective ist das Detective-Administratorkonto auch das delegierte Administratorkonto, es sei denn, das Detective-Administratorkonto ist das Verwaltungskonto der Organisation. Das Verwaltungskonto der Organisation darf kein delegierter Administrator sein.

In Detective ist Selbstdelegation erlaubt. Das Verwaltungskonto einer Organisation kann sein eigenes Konto an den delegierten Administrator von Detective delegieren, aber dies würde nur im Bereich von Detective registriert oder gespeichert, nicht im Bereich von Organisationen.

Administratorkonto für Detective

Das Konto, das vom Verwaltungskonto der Organisation als Administratorkonto für das Verhaltensdiagramm der Organisation in einer Region festgelegt wurde. Weitere Informationen finden Sie unter Festlegen des Detective-Administratorkontos für eine Organisation.

Detective empfiehlt, dass das Verwaltungskonto der Organisation ein anderes Konto als sein Konto auswählt.

Wenn es sich bei dem Konto nicht um das Verwaltungskonto der Organisation handelt, ist das Detective-Administratorkonto auch das delegierte Administratorkonto für Detective in Organizations.

Quelldaten von Detective

Verarbeitete, strukturierte Versionen von Informationen aus den folgenden Arten von Feeds:

  • Protokolle von AWS Diensten, wie AWS CloudTrail Logs und Amazon VPC Flow Logs

  • GuardDuty Ergebnisse

Detective verwendet die Detective-Quelldaten, um das Verhaltensdiagramm zu füllen. Detective speichert auch Kopien der Detective-Quelldaten, um seine Analysen zu unterstützen.

Entität

Ein Element, das aus den aufgenommenen Daten extrahiert wurde.

Jede Entität hat einen Typ, der den Objekttyp identifiziert, den sie repräsentiert. Beispiele für Entitätstypen sind IP-Adressen, Amazon EC2 EC2-Instances und AWS Benutzer.

Entitäten können AWS Ressourcen sein, die Sie verwalten, oder externe IP-Adressen, die mit Ihren Ressourcen interagiert haben.

Für jede Entität werden die Quelldaten auch verwendet, um Entitätseigenschaften aufzufüllen. Eigenschaftswerte können direkt aus Quelldatensätzen extrahiert oder über mehrere Datensätze hinweg aggregiert werden.

Erkenntnis

Ein von Amazon festgestelltes Sicherheitsproblem GuardDuty.

Erkenntnisgruppe

Eine Sammlung verwandter Erkenntnisse, Entitäten und Beweise, die sich möglicherweise auf dasselbe Ereignis oder Sicherheitsproblem beziehen. Detective generiert Suchgruppen auf der Grundlage eines integrierten Modells für Machine Learning.

Detective Beweise

Detective identifiziert zusätzliche Beweise im Zusammenhang mit einer Befundgruppe auf der Grundlage von Daten in Ihrem Verhaltensdiagramm, die in den letzten 45 Tagen gesammelt wurden. Diese Evidenz wird als Erkenntnis mit dem Schweregrad Informativ dargestellt. Beweise liefern unterstützende Informationen, die auf eine ungewöhnliche Aktivität oder ein unbekanntes Verhalten hinweisen, das möglicherweise verdächtig ist, wenn es innerhalb einer Erkenntnisgruppe betrachtet wird. Ein Beispiel hierfür könnten neu beobachtete Geolocations oder API-Aufrufe sein, die innerhalb des Zeitraums einer Erkenntnis beobachtet wurden. Derzeit sind diese Erkenntnisse nur in Detective sichtbar und werden nicht an Security Hub gesendet.

Überblick finden

Eine einzelne Seite, die eine Übersicht der Informationen zu einer Erkenntnis enthält.

Eine Übersicht über die Erkenntnisse enthält die Liste der beteiligten Entitäten für die Erkenntnisse. Von der Liste aus können Sie zum Profil einer Entität wechseln.

Eine Erkenntnsübersicht enthält auch einen Detailbereich, der die Suchattribute enthält.

Entität mit hohem Volumen

Eine Entität, die während eines Zeitintervalls Verbindungen zu oder von einer großen Anzahl anderer Entitäten unterhält. Eine EC2-Instance kann beispielsweise Verbindungen von Millionen von IP-Adressen haben. Die Anzahl der Verbindungen überschreitet den Schwellenwert, den Detective verarbeiten kann.

Wenn die aktuelle Gültigkeitsdauer ein großes Zeitintervall enthält, benachrichtigt Detective den Benutzer.

Weitere Informationen finden Sie im Amazon Detective Benutzerhandbuch unter Details für Entitäten mit hohem Volumen anzeigen.

Untersuchung

Der Prozess, bei dem verdächtige oder interessante Aktivitäten ausfindig gemacht, ihr Umfang bestimmt, die zugrunde liegende Quelle oder Ursache ermittelt und dann festgelegt wird, wie vorzugehen ist.

Mitgliedskonto

Und AWS-Konto dass ein Administratorkonto aufgefordert wurde, Daten zu einem Verhaltensdiagramm beizutragen. Im Diagramm zum Organisationsverhalten kann ein Mitgliedskonto ein Organisationskonto sein, das das Detective-Administratorkonto als Mitgliedskonto aktiviert hat.

Eingeladene Mitgliedskonten können auf die Einladung zum Verhaltensdiagramm antworten und ihr Konto aus dem Verhaltensdiagramm entfernen. Weitere Informationen finden Sie unter Für Mitgliedskonten: Einladungen und Mitgliedschaften im Verhaltensdiagramm verwalten.

Organizations-Konten können ihre Mitgliedschaft im Verhaltensdiagramm der Organisation nicht ändern.

Alle Mitgliedskonten können auch Nutzungsinformationen für ihr Konto in den Verhaltensdiagrammen einsehen, zu denen sie Daten beitragen.

Sie haben keinen anderen Zugriff auf das Verhaltensdiagramm.

Diagramm zum Verhalten der Organisation

Das Verhaltensdiagramm, das dem Detective-Administratorkonto gehört. Das Verwaltungskonto der Organisation bezeichnet das Detective-Administratorkonto. Weitere Informationen finden Sie unter Festlegen des Detective-Administratorkontos für eine Organisation.

Im Diagramm zum Organisationsverhalten steuert das Detective-Administratorkonto, ob es sich bei einem Organisationskonto um ein Mitgliedskonto handelt. Ein Organisationskonto kann sich nicht selbst aus dem Verhaltensdiagramm der Organisation entfernen.

Das Detective-Administratorkonto kann auch andere Konten zum Verhaltensdiagramm der Organisation einladen.

Profil

Eine einzelne Seite, die eine Sammlung von Datenvisualisierungen im Zusammenhang mit Aktivitäten für eine Entität enthält.

Bei Ergebnissen können Analysten anhand von Profilen feststellen, ob die Erkenntnis wirklich besorgniserregend oder falsch positiv ist.

Profile bieten Informationen zur Unterstützung einer Untersuchung eines Befundes oder zur allgemeinen Suche nach verdächtigen Aktivitäten.

Profilbereich

Eine einzelne Visualisierung in einem Profil. Jeder Profilbereich soll dazu beitragen, eine oder mehrere spezifische Fragen zu beantworten, um einen Analysten bei einer Untersuchung zu unterstützen.

Profilbereiche können Schlüssel-Wert-Paare, Tabellen, Zeitleisten, Balkendiagramme oder Geolokalisierungsdiagramme enthalten.

Beziehung

Aktivität, die zwischen einzelnen Entitäten stattfindet. Beziehungen werden auch aus den eingehenden Quelldaten extrahiert.

Ähnlich wie eine Entität hat eine Beziehung einen Typ, der die Typen der beteiligten Entitäten und die Richtung der Verbindung identifiziert. Ein Beispiel für einen Beziehungstyp ist eine IP-Adresse, die eine Verbindung zu einer Amazon-EC2-Instance herstellt.

Bereichsname

Das Zeitfenster, das für den Umfang der in Profilen angezeigten Daten verwendet wird.

Die standardmäßige Gültigkeitsdauer für einen Befund gibt an, wann die verdächtige Aktivität zum ersten und letzten Mal beobachtet wurde.

Die standardmäßige Gültigkeitsdauer für ein Entitätsprofil entspricht den letzten 24 Stunden.