Details für Entitäten mit hohem Volumen anzeigen - Amazon Detective
Was ist eine Entität mit hohem Volumen?Anzeige der Benachrichtigung über Entitäten mit hohem Volumen in einem ProfilDie Liste der Entitäten mit hohem Volumen für den aktuellen Gültigkeitszeitraum anzeigen

Der Inhalt des Amazon Detective Administration Guide ist jetzt im Amazon Detective User Guide zusammengefasst. Der Standardsupport für Amazon Detective Administration Guide endet am 08. Mai 2024.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Details für Entitäten mit hohem Volumen anzeigen

Im Verhaltensdiagramm verfolgt Amazon Detective Beziehungen zwischen Entitäten. In jedem Verhaltensdiagramm wird beispielsweise nachverfolgt, wann ein AWS Benutzer eine AWS Rolle erstellt und wann eine EC2-Instance eine Verbindung zu einer IP-Adresse herstellt.

Wenn eine Entität in einem bestimmten Zeitraum zu viele Beziehungen hat, kann Detective nicht alle Beziehungen speichern. Wenn dies während der aktuellen Gültigkeitsdauer der Fall ist, werden Sie von Detective benachrichtigt. Detective bietet auch eine Liste der Vorkommen von Entitäten mit hohem Volumen.

Was ist eine Entität mit hohem Volumen?

Während eines bestimmten Zeitintervalls kann eine Entität der Ursprung oder das Ziel einer extrem großen Anzahl von Verbindungen sein. Beispielsweise kann eine EC2-Instance Verbindungen von Millionen von IP-Adressen haben.

Detective begrenzt die Anzahl der Verbindungen, die es in jedem Zeitintervall aufnehmen kann. Wenn eine Entität dieses Limit überschreitet, verwirft Detective die Verbindungen für dieses Zeitintervall.

Nehmen wir zum Beispiel an, dass das Limit bei 100.000.000 Verbindungen pro Zeitintervall liegt. Wenn eine EC2-Instance während eines Zeitintervalls über mehr als 100.000.000 IP-Adressen verbunden ist, verwirft Detective die Verbindungen aus diesem Zeitintervall.

Möglicherweise können Sie diese Aktivität jedoch anhand der Entität am anderen Ende der Beziehung analysieren. Um das Beispiel fortzusetzen: Eine EC2-Instance kann zwar von Millionen von IP-Adressen aus verbunden werden, eine einzelne IP-Adresse stellt jedoch eine Verbindung zu weit weniger EC2-Instances her. Jedes IP-Adressprofil enthält Details zu den EC2-Instances, mit denen die IP-Adresse verbunden ist.

Anzeige der Benachrichtigung über Entitäten mit hohem Volumen in einem Profil

Detective zeigt oben in einem Befund- oder Entitätsprofil einen Hinweis an, wenn die Gültigkeitsdauer ein Zeitintervall umfasst, in dem die Entität ein hohes Volumen aufweist. Bei der Suche nach Profilen bezieht sich der Hinweis auf die betroffene Entität.

Die Mitteilung enthält eine Liste der Beziehungen, die umfangreiche Zeitintervalle aufweisen. Jeder Listeneintrag enthält eine Beschreibung der Beziehung und den Beginn des Zeitintervalls mit hohem Datenvolumen.

Ein Zeitintervall mit hohem Volumen kann ein Indikator für verdächtige Aktivitäten sein. Um zu verstehen, welche anderen Aktivitäten gleichzeitig stattfanden, können Sie Ihre Untersuchung auf ein Zeitintervall mit hohem Datenvolumen konzentrieren. Die Mitteilung von Unternehmen mit hohem Volumen enthält eine Option, mit der Sie den Umfang auf dieses Zeitintervall festlegen können.

So legen Sie die Gültigkeitsdauer auf ein Zeitintervall mit hohem Volumen fest

  1. Wählen Sie in der großvolumigen Entitätsmitteilung das Zeitintervall aus.

  2. Wählen Sie im Popupmenü die Option Geltungsdauer anwenden aus.

Die Liste der Entitäten mit hohem Volumen für den aktuellen Gültigkeitszeitraum anzeigen

Die Seite Entitäten mit hohem Volumen enthält eine Liste der Zeitintervalle und Entitäten mit hohem Volumen während des aktuellen Gültigkeitszeitraums.

So zeigen Sie die Seite mit Entitäten mit hohem Volumen an

  1. Öffnen Sie die Amazon-Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Wählen Sie im Navigationsbereich von Detective die Option Entitäten mit hohem Volumen aus.

Jedes Listenelement enthält die folgenden Informationen.

  • Beginn des Zeitintervalls mit hohem Volumen

  • Die ID und die Art der Entität

  • Die Beschreibung der Beziehung, z. B. „Die EC2-Instance wurde über eine IP-Adresse verbunden“

Sie können die Liste nach einer beliebigen Spalte filtern und sortieren. Sie können auch zum Entitätsprofil einer beteiligten Entität navigieren.

So navigieren Sie zum Profil für eine Entität

  1. Wählen Sie in der Liste der Entitäten mit hohem Volumen die Zeile aus, aus der Sie navigieren möchten.

  2. Wählen Sie Profil mit umfangreichem Umfang anzeigen aus.

Wenn Sie diese Option verwenden, um zu einem Entitätsprofil zu navigieren, wird die Gültigkeitsdauer wie folgt festgelegt:

  • Die Geltungsdauer beginnt 30 Tage vor dem Zeitintervall für hohe Datenvolumen.

  • Die Gültigkeitsdauer endet am Ende des Zeitintervalls für hohe Datenvolumen.