Cómo usa Amazon Detective los datos de origen para rellenar un gráfico de comportamiento

Para proporcionar los datos brutos para las investigaciones, Detective reúne datos de todo su entorno de AWS y de fuera de este, incluidos los siguientes:

• Datos de registro, incluidos Amazon Virtual Private Cloud (Amazon VPC) y AWS CloudTrail

• Hallazgos de Amazon GuardDuty

• Hallazgos de AWS Security Hub

Para obtener más información sobre los datos de origen utilizados en un gráfico de comportamiento, consulte Datos de origen utilizados en un gráfico de comportamiento.

Cómo procesa Detective los datos de origen

A medida que llegan nuevos datos, Detective utiliza una combinación de extracción y análisis para completar el gráfico de comportamiento.

Extracción de Detective

La extracción se basa en reglas de mapeo configuradas. Básicamente, una regla de mapeo dice: “Siempre que se encuentre este fragmento de datos, usarlo de esta manera específica para actualizar los datos del gráfico de comportamiento”.

Por ejemplo, un registro de datos de origen de Detective entrante podría incluir una dirección IP. Si lo hace, Detective usa la información de ese registro para crear una nueva entidad de dirección IP o actualizar una entidad de dirección IP existente.

Análisis de Detective

Los análisis son algoritmos más complejos que analizan los datos para proporcionar visibilidad de la actividad asociada a las entidades.

Por ejemplo, un tipo de análisis de Detective analiza la frecuencia con la que se produce la actividad mediante la ejecución de algoritmos. En el caso de las entidades que realizan llamadas a la API, el algoritmo busca las llamadas a la API que la entidad no usa normalmente. El algoritmo también busca picos considerables en el número de llamadas a la API.

Las conclusiones de los análisis respaldan las investigaciones al proporcionar respuestas a preguntas clave de los analistas, y se utilizan con frecuencia para completar los paneles de perfil de resultado y de entidad.