Buscar un resultado o una entidad - Amazon Detective
Completar la búsquedaUsar los resultados de búsquedaSolución de problemas de búsqueda

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buscar un resultado o una entidad

Con la función de búsqueda de Amazon Detective, puede buscar un resultado o una entidad. Desde los resultados de búsqueda, puede desplazarse hasta el perfil de una entidad o la descripción general de un resultado. Si la búsqueda arroja más de 10 000 resultados, se mostrarán solo los 10 000 primeros. Al cambiar el orden de clasificación, cambian los resultados devueltos.

Puede exportar los resultados de búsqueda a un archivo de valores separados por comas (.csv). Este archivo contiene los datos devueltos en la página de búsqueda. Para obtener más información, consulte Exportar datos desde Detective.

Completar la búsqueda

Para completar la búsqueda, elija el tipo de entidad que desea buscar. A continuación, proporcione el identificador exacto o el identificador con caracteres comodín * o ?. Para buscar un rango de direcciones IP, también puede usar las notaciones CIDR o de puntos. Vea los siguientes ejemplos de cadenas de búsqueda:

Para las direcciones IP:

  • 1.0.*.*

  • 1.0.133.*

  • 1.0.0.0/16

  • 0.239.48.198/31

Para todos los demás tipos de entidades:

  • Admin

  • ad*

  • ad*n

  • ad*n*

  • adm?n

  • a?m*

  • *min

Se admiten los siguientes identificadores para cada tipo de entidad:

  • Para los resultados, el identificador o el nombre de recurso de Amazon (ARN) del resultado.

  • Para las cuentas AWS, el ID de la cuenta.

  • Para los roles de AWS y usuarios de AWS, el ID de la entidad principal, el nombre o el ARN.

  • Para los clústeres de contenedor, el nombre o ARN del clúster.

  • Para las imágenes de contenedor, el repositorio o el resumen completo de la imagen de contenedor.

  • Para los pods o tareas de contenedor, el nombre o el UID del pod.

  • Para las instancias EC2, el identificador o el ARN de la instancia.

  • Para un grupo de resultados, el identificador del grupo de resultados.

  • Para las direcciones IP, la dirección en notación CIDR o de puntos.

  • Para los sujetos de Kubernetes (cuentas de servicio o usuarios), el nombre.

  • Para una sesión de rol, puede usar cualquiera de los siguientes valores de búsqueda:

    • El identificador de sesión del rol.

      El identificador de sesión del rol utiliza el formato <rolePrincipalID>:<sessionName>.

      A continuación se muestra un ejemplo: AROA12345678910111213:MySession.

    • ARN de la sesión del rol

    • Nombre de la sesión

    • ID de entidad principal del rol asumido

    • Nombre del rol asumido

  • Para los buckets de S3, el nombre o el ARN del bucket.

  • Para los usuarios federados, el ID de la entidad principal o el nombre de usuario. El ID de entidad principal es <identityProvider>:<username> o <identityProvider>:<audience>:<username>.

  • Para los agentes de usuario, el nombre del agente de usuario.

Para buscar un resultado o entidad

  1. Inicie sesión en AWS Management Console. Luego abra la consola de Detective en https://console.aws.amazon.com/detective/.

  2. En el panel de navegación, elija Buscar.

  3. En el menú Elegir tipo, elija el tipo de elemento que está buscando.

    Tenga en cuenta que, al elegir Usuario, puede buscar un usuario de AWS o un usuario federado.

    Ejemplos de sus datos contiene un conjunto de muestra de identificadores del tipo seleccionado que se encuentran en los datos del gráfico de comportamiento. Para ver el perfil de uno de los ejemplos, elija su identificador.

  4. Introduzca el identificador exacto o un identificador con caracteres comodín que desea buscar.

    La búsqueda distingue entre mayúsculas y minúsculas.

  5. Elija Buscar o presione Intro.

Usar los resultados de búsqueda

Al completar la búsqueda, Detective muestra una lista de hasta 10 000 resultados coincidentes. Las búsquedas que utilizan un identificador único devuelven una única coincidencia.

En los resultados, para ir al perfil de entidad o a la descripción general del resultado, elija el identificador.

Para los resultados, los usuarios y las instancias EC2, los resultados de búsqueda incluyen la cuenta asociada. Para desplazarse hasta el perfil de la cuenta, elija el identificador de la cuenta.

Solución de problemas de búsqueda

Si Detective no encuentra el resultado o la entidad, compruebe primero que ha introducido el identificador correcto. Si el identificador es correcto, también puede comprobar lo siguiente:

  • ¿El resultado o la entidad pertenecen a una cuenta de miembro habilitada en el gráfico de comportamiento? Si la cuenta asociada no fue invitada al gráfico de comportamiento como cuenta de miembro, el gráfico de comportamiento no contiene datos de esa cuenta.

    Si una cuenta de miembro invitada no ha aceptado la invitación, el gráfico de comportamiento no contiene datos de esa cuenta.

  • En el caso de un resultado, ¿se ha archivado el resultado? Detective no recibe resultados archivados de Amazon GuardDuty.

  • ¿El resultado o la entidad se produjeron antes de que Detective comenzara la ingesta de datos en su gráfico de comportamiento? Si el resultado o la entidad no están presentes en los datos de ingesta de Detective, el gráfico de comportamiento no contiene datos correspondientes.

  • ¿El resultado o la entidad provienen de la región correcta? Cada gráfico de comportamiento es específico de una Región de AWS. Un gráfico de comportamiento no contiene datos de otras regiones.