Búsqueda de un hallazgo o entidad - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Búsqueda de un hallazgo o entidad

Con la función de búsqueda de Amazon Detective, puede buscar un hallazgo o una entidad. Desde los resultados de la búsqueda, puede navegar hasta un perfil de entidad o una descripción general de la búsqueda.

Completar la búsqueda

Para completar la búsqueda, elija el tipo de entidad que desee buscar. A continuación, proporcione el identificador exacto o el identificador con caracteres comodín*o?. Para buscar un rango de direcciones IP, también puede usar CIDR o notaciones de puntos. Consulte el siguiente ejemplo de cadenas de búsqueda:

Para la dirección IP:

  • 1.0.*.*

  • 1.0.133.*

  • 1.0.0.0/16

  • 0.239.48.198/31

Para todos los demás tipos de entidades:

  • Admin

  • ad*

  • ad*n

  • ad*n*

  • adm?n

  • a?m*

  • *min

Para cada tipo de entidad, se admiten los siguientes identificadores.

  • ParaAWSaccounts, el ID de la cuenta.

  • Para las direcciones IP, la dirección.

  • ParaAWSroles yAWSusuarios, ya sea el ID principal, el nombre o el ARN.

  • Para los usuarios federados, el ID principal o el nombre de usuario. El ID principal de<identityProvider>:<username>o<identityProvider>:<audience>:<username>.

  • Para los agentes de usuario, el nombre del agente de usuario.

  • Para las instancias de EC2, el identificador de instancia o el ARN.

  • Para una sesión de rol, puede usar cualquiera de los siguientes valores para buscar:

    • Identificador de sesión de rol.

      El identificador de sesión de rol utiliza el formato<rolePrincipalID>:<sessionName>.

      A continuación se muestra un ejemplo: AROA12345678910111213:MySession.

    • ARN de sesión de rol

    • Nombre de la sesión

    • ID principal de la función que se asumió

    • Nombre de la función que se asumió

  • Para los depósitos de S3, el nombre del depósito o el ARN del depósito.

  • Para los hallazgos, el identificador de la búsqueda o el ARN de búsqueda.

  • Para los clústeres de EKS, el nombre del clúster o ARN.

  • Para las imágenes de contenedor de Kubernetes, el nombre o el resumen completo.

  • Para los pods de Kubernetes, el nombre del pod.

  • Para los temas de Kubernetes (cuentas de servicio o usuarios), el nombre.

Para buscar una conclusión o entidad

  1. Inicie sesión en AWS Management Console. A continuación, abra la consola de Detectivehttps://console.aws.amazon.com/detective/.

  2. En el panel de navegación, seleccione Search (Búsqueda).

  3. Desde laElija el tipo, elige el tipo de artículo que buscas.

    Ten en cuenta que cuando eligesUsuario, puede buscar unAWSun usuario o un usuario federado.

    Ejemplos de los datoscontiene un conjunto de ejemplos de identificadores del tipo seleccionado que se encuentran en los datos del gráfico de comportamiento. Para mostrar el perfil de uno de los ejemplos, elija su identificador.

  4. Introduzca el identificador exacto o un identificador con caracteres comodín que desee buscar.

    La búsqueda distingue entre mayúsculas y minúsculas.

  5. ElegirBúsquedao pulseEntrar.

Usar los resultados de búsqueda

Cuando complete la búsqueda, Detective mostrará una lista de hasta 10 000 resultados coincidentes. Para las búsquedas que utilizan un identificador único, solo hay un resultado coincidente.

En los resultados, para navegar hasta el perfil de la entidad o la visión general de la búsqueda, elija el identificador.

Para los hallazgos, las funciones, los usuarios y las instancias de EC2, los resultados de la búsqueda incluyen la cuenta asociada. Para navegar hasta el perfil de la cuenta, elija el identificador de la cuenta.

Solución de problemas de búsqueda

Si el Detective no encuentra el hallazgo o la entidad, compruebe primero que ha introducido el identificador correcto. Si el identificador es correcto, también puede comprobar lo siguiente.

  • ¿La conclusión o la entidad pertenecen a una cuenta de miembro habilitada en su gráfico de comportamiento? Si la cuenta asociada no fue invitada al gráfico de comportamiento como cuenta de miembro, el gráfico de comportamiento no contiene datos de esa cuenta.

    Si una cuenta de miembro invitado no aceptó la invitación, el gráfico de comportamiento no contiene datos de esa cuenta.

  • Para un hallazgo, ¿se archiva el hallazgo? Detective no recibe hallazgos archivados de Amazon GuardDuty.

  • ¿Se produjo el hallazgo o la entidad antes de que Detective comenzara a ingerir datos en su gráfico de comportamiento? Si el hallazgo o la entidad no están presentes en los datos que Detective ingiere, el gráfico de comportamiento no contiene datos correspondientes.

  • ¿El hallazgo o la entidad son de la región correcta? Cada gráfico de comportamiento es específico de una región. Un gráfico de comportamiento no contiene datos de otras regiones.