Descripción general de la estructura de datos del gráfico de comportamiento - Amazon Detective
Tipos de elementos de la estructura de datos del gráfico de comportamientoTipos de entidades de la estructura de datos del gráfico de comportamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento define la estructura de los datos extraídos y analizados. También define cómo se asignan los datos de origen al gráfico de comportamiento.

Tipos de elementos de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento consta de los siguientes elementos de información:

Entidad

Una entidad representa un elemento extraído de los datos de origen de Detective.

Cada entidad tiene un tipo, que identifica el tipo de objeto al que representa. Algunos ejemplos de tipos de entidad son las direcciones IP, las instancias de Amazon EC2 y los usuarios de AWS.

En cada entidad, los datos de origen también se utilizan para rellenar las propiedades de la entidad. Los valores de las propiedades pueden extraerse directamente de los registros de origen o agregarse en varios registros.

Algunas propiedades consisten en un único valor escalar o agregado. Por ejemplo, para una instancia EC2, Detective rastrea el tipo de instancia y el número total de bytes procesados.

Las propiedades de las series temporales rastrean la actividad a lo largo del tiempo. Por ejemplo, en una instancia EC2, Detective rastrea a lo largo del tiempo los puertos únicos que utilizó.

Relaciones

Una relación representa la actividad que se produce entre entidades individuales. Las relaciones también se extraen de los datos de origen de Detective.

Al igual que una entidad, una relación tiene un tipo que identifica los tipos de entidades implicadas y el sentido de la conexión. Un ejemplo de tipo de relación es una dirección IP que se conecta a instancias EC2.

Para cada relación individual, como una dirección IP específica que se conecta a una instancia específica, Detective rastrea las apariciones a lo largo del tiempo.

Tipos de entidades de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento consta de tipos de entidades y relaciones que hacen lo siguiente:

  • Rastrear los servidores, las direcciones IP y los agentes de usuario utilizados

  • Rastrear los usuarios, roles y cuentas de AWS utilizados

  • Rastrear las conexiones de red y las autorizaciones que se producen en su entorno de AWS

La estructura de datos del gráfico de comportamiento contiene los siguientes tipos de entidad:

Cuenta de AWS

Cuentas de AWS que están presentes en los datos de origen de Detective.

Para cada cuenta, Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado la cuenta?

  • ¿Qué agentes de usuario ha utilizado la cuenta?

  • ¿Qué organizaciones de sistema autónomo (ASO) ha utilizado la cuenta?

  • ¿En qué ubicaciones geográficas ha estado activa la cuenta?

Rol de AWS

Roles de AWS que están presentes en los datos de origen de Detective.

Para cada rol, Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado el rol?

  • ¿Qué agentes de usuario ha utilizado el rol?

  • ¿Qué ASO ha utilizado el rol?

  • ¿En qué ubicaciones geográficas ha estado activo el rol?

  • ¿Qué recursos han asumido este rol?

  • ¿Qué roles ha asumido este rol?

  • ¿En qué sesiones de rol ha intervenido este rol?

Usuario de AWS

Usuarios de AWS que están presentes en los datos de origen de Detective.

Para cada usuario, Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado el usuario?

  • ¿Qué agentes de usuario ha utilizado el usuario?

  • ¿En qué ubicaciones geográficas ha estado activo el usuario?

  • ¿Qué roles ha asumido este usuario?

  • ¿En qué sesiones de rol ha intervenido este usuario?

Usuario federado

Instancias de un usuario federado. Algunos ejemplos de usuarios federados incluyen los siguientes:

  • Una identidad que inicia sesión con SAML (Security Assertion Markup Language)

  • Una identidad que inicia sesión mediante la federación de identidades web

Para cada usuario federado, Detective responde a las siguientes preguntas:

  • ¿Con qué proveedor de identidad se autenticó el usuario federado?

  • ¿Cuál era la audiencia del usuario federado? La audiencia identifica la aplicación que solicitó el token de identidad web del usuario federado.

  • ¿En qué ubicaciones geográficas ha estado activo el usuario federado?

  • ¿Qué agentes de usuario ha utilizado el usuario federado?

  • ¿Qué ASO ha utilizado el usuario federado?

  • ¿Qué roles ha asumido este usuario federado?

  • ¿En qué sesiones de rol ha intervenido este usuario federado?

Instancia EC2

Instancias EC2 que están presentes en los datos de origen de Detective.

Para las instancias EC2, Detective responde a varias preguntas:

  • ¿Qué direcciones IP se han comunicado con la instancia?

  • ¿Qué puertos se han utilizado para comunicarse con la instancia?

  • ¿Qué volumen de datos se ha enviado a y desde la instancia?

  • ¿Qué VPC contiene la instancia?

  • ¿Qué llamadas a la API ha utilizado la instancia EC2?

  • ¿Qué agentes de usuario ha utilizado la instancia EC2?

  • ¿Qué ASO ha utilizado la instancia EC2?

  • ¿En qué ubicaciones geográficas ha estado activa la instancia EC2?

  • ¿Qué roles ha asumido la instancia EC2?

Sesión de rol

Instancias de un recurso que asume un rol. Cada sesión de rol se identifica mediante el identificador de rol y un nombre de sesión.

Para cada rol, Detective responde a varias preguntas:

  • ¿Qué recursos intervinieron en esta sesión de rol? En otras palabras, ¿qué rol se asumió y qué recurso lo asumió?

    Tenga en cuenta que para asumir roles entre cuentas, Detective no puede identificar al recurso que asumió el rol.

  • ¿Qué llamadas a la API ha utilizado la sesión de rol?

  • ¿Qué agentes de usuario ha utilizado la sesión de rol?

  • ¿Qué ASO ha utilizado la sesión de rol?

  • ¿En qué ubicaciones geográficas ha estado activa la sesión de rol?

  • ¿Qué usuario o rol inició esta sesión de rol?

  • ¿Qué sesiones de rol comenzaron a partir de esta sesión de rol?

Resultado

Resultados descubiertos por Amazon GuardDuty que se alimentan a los datos de origen de Detective.

Para cada resultado, Detective rastrea el tipo de resultado, el origen y la horquilla de tiempo de la actividad del resultado.

También almacena información específica del resultado, como los roles o las direcciones IP que intervienen en la actividad detectada.

Dirección IP

Direcciones IP que están presentes en los datos de origen de Detective.

Para cada dirección IP, Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado la dirección?

  • ¿Qué puertos ha utilizado la dirección?

  • ¿Qué usuarios y agentes de usuario han utilizado la dirección IP?

  • ¿En qué ubicaciones geográficas ha estado activa la dirección IP?

  • ¿A qué instancias EC2 se ha asignado esta dirección IP y con cuáles se ha comunicado?

Bucket de S3

Buckets de S3 que se encuentran en los datos de origen de Detective.

Para cada bucket de S3, Detective responde a estas preguntas:

  • ¿Qué entidades principales interactuaron con el bucket de S3?

  • ¿Qué llamadas a la API se realizaron al bucket de S3?

  • ¿Desde qué ubicaciones geográficas realizaban las entidades principales llamadas a la API al bucket de S3?

  • ¿Qué agentes de usuario se utilizaron para interactuar con el bucket de S3?

  • ¿Qué ASO se usaron para interactuar con el bucket de S3?

Puede eliminar un bucket de S3 y, a continuación, crear uno nuevo con el mismo nombre. Como Detective usa el nombre del bucket de S3 para identificar el bucket de S3, los trata como una única entidad de bucket de S3. En el perfil de entidad, la Hora de creación es la primera hora de creación. La Hora de eliminación es la hora de eliminación más reciente.

Para ver todos los eventos de creación y eliminación, defina el tiempo de alcance para que comience con la hora de creación y finalice con la hora de eliminación. Consulte Administrar el tiempo de alcance. En el panel de perfil Volumen general de llamadas a la API, vea los detalles de actividad correspondientes al tiempo de alcance. Filtre los métodos de API para mostrar los métodos Create y Delete. Consulte Detalles de actividad de Volumen total de llamadas a la API.

Agente de usuario

Agentes de usuario que están presentes en los datos de origen de Detective.

Para cada agente de usuario, Detective responde preguntas como las siguientes:

  • ¿Qué llamadas a la API ha utilizado el agente de usuario?

  • ¿Qué usuarios y roles han utilizado el agente de usuario?

  • ¿Qué direcciones IP han utilizado el agente de usuario?

Clúster de EKS

Clústeres de EKS que están presentes en los datos de origen de Detective.

nota

Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada clúster de EKS, Detective responde a preguntas como las siguientes:

  • ¿Qué llamadas a la API de Kubernetes se han ejecutado en este clúster?

  • ¿Qué usuarios y cuentas de servicio (sujetos) de Kubernetes están activos en este clúster?

  • ¿Qué contenedores se han lanzado en este clúster?

  • ¿Qué imágenes se utilizan para lanzar contenedores en este clúster?

Pod de Kubernetes

Pods de Kubernetes que están presentes en los datos de origen de Detective.

nota

Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada pod, Detective responde a preguntas como las siguientes:

  • ¿Qué imágenes de contenedor de este pod son comunes en mis cuentas?

  • ¿Qué actividad se ha dirigido a este pod?

  • ¿Qué contenedores se ejecutan en este pod?

  • ¿Son habituales en mis cuentas los registros de contenedor de este pod?

  • ¿Qué otros contenedores se ejecutan en los otros pods de la carga de trabajo?

  • ¿Hay contenedores anómalos en este pod que no estén en los otros pods de la carga de trabajo?

Imagen de contenedor

Imágenes de contenedor que están presentes en los datos de origen de Detective.

nota

Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada imagen de contenedor, Detective responde preguntas como las siguientes:

  • ¿Qué otras imágenes de mi entorno comparten el mismo repositorio o registro que esta imagen?

  • ¿Cuántas copias de esta imagen se están ejecutando en mi entorno?

Sujeto de Kubernetes

Sujetos de Kubernetes que están presentes en los datos de origen de Detective. Un sujeto de Kubernetes es una cuenta de usuario o de servicio.

nota

Para ver detalles completos de este tipo de entidad, debe estar habilitado el origen de datos opcional de los registros de auditoría de EKS. Para obtener más información, consulte Orígenes de datos opcionales.

Para cada sujeto, Detective responde preguntas como las siguientes:

  • ¿Qué entidades principales de IAM se han autenticado como este sujeto?

  • ¿Qué resultados están asociados a este sujeto?

  • ¿Qué direcciones IP utiliza el sujeto?