Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Datos de origen usados en un gráfico de comportamiento
Para rellenar un gráfico de comportamiento, Amazon Detective utiliza datos de origen de la cuenta de administrador del gráfico de comportamiento y de las cuentas de miembro.
Con Detective, puede acceder a datos de eventos históricos de hasta un año de antigüedad. Estos datos están disponibles a través de un conjunto de visualizaciones que muestran los cambios en el tipo y el volumen de actividad durante un intervalo de hora seleccionado. El Detective relaciona estos cambios con los GuardDuty hallazgos.
Para obtener más información sobre la estructura de datos del gráfico de comportamiento, consulte Descripción general de la estructura de datos del gráfico de comportamiento en la Guía del usuario de Detective.
Tipos de orígenes de datos principales en Detective
El Detective ingiere datos de estos tipos de AWS registros:
-
AWS CloudTrail registros
-
Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)
-
Ingesta registros de IPv4 e IPv6, pero no los registros MAC producidos por los adaptadores de Elastic Fabric.
-
Ingesta los registros de registro cuando el valor del
log-statuscampo está en estado.OKPara obtener más información, consulte Registros de registro de flujo en la Guía del usuario de Amazon VPC. -
Solo ingiere los registros de flujo producidos por las instancias de Amazon Elastic Compute Cloud que se ejecutan en esas VPC. No se utilizan otros recursos, como las puertas de enlace NAT, las instancias de RDS o los clústeres de Fargate.
-
Ingiere tanto el tráfico aceptado como el rechazado.
-
-
En el caso de las cuentas en las que están inscritas GuardDuty, Detective también ingiere GuardDuty los hallazgos.
El Detective consume CloudTrail y registra los eventos de flujo de VPC mediante flujos independientes y duplicados de registros de flujo de CloudTrail VPC. Estos procesos no afectan ni utilizan las configuraciones de registro de flujo existentes CloudTrail y de VPC. Tampoco afectan al rendimiento de estos servicios ni aumentan sus costos.
Tipos de orígenes de datos opcionales en Detective
Detective ofrece paquetes fuente opcionales además de las tres fuentes de datos que se ofrecen en el paquete principal Detective (el paquete principal incluye AWS CloudTrail registros, registros de flujo de VPC y GuardDuty hallazgos). Se puede iniciar o detener un paquete de orígenes de datos opcional para un determinado gráfico de comportamiento en cualquier momento.
Detective ofrece una prueba gratuita de 30 días para todos los paquetes de orígenes básicos y opcionales por región.
nota
Detective retiene todos los datos recibidos de cada paquete de orígenes de datos durante un máximo de 1 año.
Actualmente están disponibles los siguientes paquetes de orígenes opcionales:
-
Registros de auditoría de EKS
Este paquete de orígenes de datos opcionales permite a Detective ingerir información detallada sobre los clústeres de EKS de su entorno, y añade esos datos a su gráfico de comportamiento. Detective correlaciona las actividades de los usuarios con los eventos de CloudTrail administración de AWS y la actividad de la red con los registros de flujo de Amazon VPC sin necesidad de habilitar ni almacenar estos registros manualmente. Para obtener más información, consulte Registros de auditoría de Amazon EKS para Detective.
-
AWS hallazgos de seguridad
Este paquete de orígenes de datos opcionales permite a Detective ingerir datos de Security Hub, y añade esos datos a su gráfico de comportamiento. Para obtener más información, consulte AWS hallazgos de seguridad.
Iniciar o detener un origen de datos opcional:
-
Abra la consola de Detective en https://console.aws.amazon.com/detective/
. -
En el panel de navegación, en Configuración, elija General.
-
En Paquetes de orígenes opcionales, seleccione Actualizar. A continuación, seleccione el origen de datos que desea habilitar, o anule la sección de la casilla de un origen de datos ya habilitado y elija Actualizar para cambiar los paquetes de orígenes de datos que están habilitados.
nota
Si detiene y luego reinicia un origen de datos opcional, verá una brecha en los datos que se muestran en algunos perfiles de entidad. Esta brecha aparecerá en la pantalla de la consola y representará el periodo de tiempo durante el cual se detuvo el origen de datos. Cuando se reinicia un origen de datos, Detective no ingiere datos con carácter retroactivo.
Cómo Detective ingiere y almacena datos de origen
Cuando Detective está habilitado, comienza a ingerir datos de origen de la cuenta de administrador del gráfico de comportamiento. A medida que se añaden cuentas de miembro al gráfico de comportamiento, Detective también comienza a usar los datos de dichas cuentas de miembro.
Los datos de origen de Detective consisten en versiones estructuradas y procesadas de las fuentes originales. Para respaldar el análisis de Detective, Detective almacena copias de los datos de origen de Detective.
El proceso de ingesta de Detective alimenta datos en buckets de Amazon Simple Storage Service (Amazon S3) en el almacén de datos de origen de Detective. A medida que llegan nuevos datos de origen, otros componentes de Detective recogen los datos e inician los procesos de extracción y análisis. Para obtener más información, consulte Cómo Detective usa los datos de origen para rellenar un gráfico de comportamiento en la Guía del usuario de Detective.
Cómo aplica Detective la cuota de volumen de datos a los gráficos de comportamiento
Detective aplica cuotas estrictas en cuanto al volumen de datos que permite en cada gráfico de comportamiento. El volumen de datos es la cantidad de datos diarios que fluyen al gráfico de comportamiento de Detective.
Detective aplica estas cuotas cuando una cuenta de administrador habilita Detective, y cuando una cuenta de miembro acepta una invitación para contribuir a un gráfico de comportamiento.
-
Si el volumen de datos de una cuenta de administrador supera los 10 TB diarios, la cuenta de administrador no podrá habilitar Detective.
-
Si el volumen de datos agregado de una cuenta de miembro hace que el gráfico de comportamiento supere los 10 TB diarios, la cuenta de miembro no se podrá habilitar.
El volumen de datos de un gráfico de comportamiento también puede aumentar de forma natural a lo largo del tiempo. Detective comprueba el volumen de datos del gráfico de comportamiento todos los días para asegurarse de que no supere la cuota.
Si el volumen de datos del gráfico de comportamiento se aproxima a la cuota, Detective muestra un mensaje de advertencia en la consola. Para evitar superar la cuota, puede eliminar cuentas de miembro.
Si el volumen de datos de un gráfico de comportamiento supera los 10 TB diarios, no podrá añadir nuevas cuentas de miembro al gráfico de comportamiento.
Si el volumen de datos del gráfico de comportamiento supera los 15 TB diarios, Detective detiene la ingesta de datos al gráfico de comportamiento. La cuota de 15 TB diarios refleja tanto el volumen de datos normal como los picos en el volumen de datos. Cuando se alcanza esta cuota, no se ingieren datos nuevos al gráfico de comportamiento, pero tampoco se eliminan los datos existentes. Puede seguir usando esos datos históricos con fines de investigación. La consola muestra un mensaje para indicar que se ha suspendido la ingesta de datos para el gráfico de comportamiento.
Si se suspende la ingesta de datos, debe trabajar AWS Support para volver a habilitarla. Si es posible, antes de contactar AWS Support, intenta eliminar las cuentas de los miembros para que el volumen de datos esté por debajo de la cuota. Esto facilita la rehabilitación de la ingesta de datos para el gráfico de comportamiento.
