Descripción general de la estructura de datos del gráfico de comportamiento - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento define la estructura de los datos extraídos y analizados. También define cómo se asignan los datos de origen al gráfico de comportamiento.

Tipos de elementos en la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento se compone de los siguientes elementos de información.

Entidad

Una entidad representa un elemento extraído de los datos de origen de Detective.

Cada entidad tiene un tipo, que identifica el tipo de objeto que representa. Algunos ejemplos de tipos de entidades son las direcciones IP, las instancias de Amazon EC2 yAWSusuarios.

Para cada entidad, los datos de origen también se utilizan para rellenar las propiedades de la entidad. Los valores de propiedad se pueden extraer directamente de los registros de origen o se pueden agregar en varios registros.

Algunas propiedades constan de un único valor escalar o agregado. Por ejemplo, para una instancia de Amazon EC2, Detective rastrea el tipo de instancia y el número total de bytes procesados.

Las propiedades de las series temporales hacen un seguimiento de la actividad Por ejemplo, para una instancia de EC2, Detective realiza un seguimiento a lo largo del tiempo de los puertos únicos que utilizó.

Relaciones

Una relación representa la actividad que se produce entre entidades individuales. Las relaciones también se extraen de los datos de origen de Detective.

Al igual que una entidad, una relación tiene un tipo, que identifica los tipos de entidades involucradas y la dirección de la conexión. Un ejemplo de tipo de relación son las direcciones IP que se conectan a instancias de Amazon EC2.

Para cada relación individual, como una dirección IP específica que se conecta a una instancia específica, Detective rastrea las ocurrencias a lo largo del tiempo.

Tipos de entidades en la estructura de datos del gráfico de comportamiento

La estructura de datos del gráfico de comportamiento consiste en tipos de entidades y relaciones que hacen lo siguiente:

  • Realizar un seguimiento de los servidores, las direcciones IP y los agentes de usuario que se utilizan

  • Realizar seguimiento deAWSusuarios, roles y cuentas que se utilizan

  • Realice un seguimiento de las conexiones de red y las autorizaciones que se producen en suAWSentorno

La estructura de datos del gráfico de comportamiento contiene los siguientes tipos de entidades.

Cuenta de AWS

AWScuentas que están presentes en los datos de origen de Detective.

Para cada cuenta, el Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado la cuenta?

  • ¿Qué agentes de usuario ha utilizado la cuenta?

  • ¿Qué organizaciones de sistemas autónomos (ASO) ha utilizado la cuenta?

  • ¿En qué ubicaciones geográficas ha estado activa la cuenta?

AWS rol

AWSfunciones que están presentes en los datos de origen de Detective.

Para cada función, el Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado la función?

  • ¿Qué agentes de usuario utilizan la función?

  • ¿Qué ASOs ha utilizado la función?

  • ¿En qué ubicaciones geográficas ha estado activa la función?

  • ¿Qué recursos han asumido esta función?

  • ¿Qué funciones ha asumido esta función?

  • ¿Qué sesiones de funciones han implicado esta función?

AWS usuario

AWSusuarios que están presentes en los datos de origen de Detective.

Para cada usuario, Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado el usuario?

  • ¿Qué agentes de usuario ha utilizado el usuario?

  • ¿En qué ubicaciones geográficas ha estado activo el usuario?

  • ¿Qué funciones ha asumido este usuario?

  • ¿Qué sesiones de rol han involucrado a este usuario?

Usuario federado

Orígenes de un usuario federado. A continuación, se muestran ejemplos de usuarios federados:

  • Una identidad que inicia sesión con Security Assertion Markup Language (SAML) (para)

  • Una identidad que inicia sesión con la identidad federada web

Para cada usuario federado, Detective responde a estas preguntas:

  • ¿Con qué proveedor de identidad se autenticó el usuario federado?

  • ¿Cuál era la audiencia del usuario federado? El público identifica la aplicación que solicitó el token de identidad web del usuario federado.

  • ¿En qué ubicaciones geográficas ha estado activo el usuario federado?

  • ¿Qué agentes de usuario ha utilizado el usuario federado?

  • ¿Qué ASOs ha utilizado el usuario federado?

  • ¿Qué funciones ha asumido este usuario federado?

  • ¿Qué sesiones de rol han involucrado a este usuario federado?

Instancia EC2

Instancias de EC2 que están presentes en los datos de origen de Detective.

Para las instancias de EC2, Detective responde a varias preguntas:

  • ¿Qué direcciones IP se comunicaron con la instancia?

  • ¿Qué puertos se han utilizado para comunicarse con la instancia?

  • ¿Qué volumen de datos se ha enviado a la instancia y desde ella?

  • ¿Qué VPC contiene la instancia?

  • ¿Qué llamadas a la API ha utilizado la instancia de EC2?

  • ¿Qué agentes de usuario ha utilizado la instancia de EC2?

  • ¿Qué ASOs ha utilizado la instancia de EC2?

  • ¿En qué ubicaciones geográficas ha estado activa la instancia de EC2?

  • ¿Qué funciones ha asumido la instancia de EC2?

Sesión de rol

Instancias de un recurso que asume una función. Cada sesión de rol se identifica mediante el identificador de rol y un nombre de sesión.

Para cada función, el Detective responde a varias preguntas:

  • ¿Qué recursos participaron en esta sesión de funciones? En otras palabras, ¿qué función se asumió y qué recurso asumió la función?

    Tenga en cuenta que para la suposición de roles entre cuentas, Detective no puede identificar el recurso que asumió el rol.

  • ¿Qué llamadas a la API ha utilizado la sesión de rol?

  • ¿Qué agentes de usuario ha utilizado la sesión de rol?

  • ¿Qué ASOs ha utilizado la sesión de roles?

  • ¿En qué ubicaciones geográficas ha estado activa la sesión de roles?

  • ¿Qué usuario o rol inició esta sesión de rol?

  • ¿Qué sesiones de rol comenzaron a partir de esta sesión de roles?

Resultado

Hallazgos descubiertos por Amazon GuardDuty que se introducen en los datos fuente de Detective.

Para cada hallazgo, Detective realiza un seguimiento del tipo de hallazgo, el origen y la ventana de tiempo de la actividad de búsqueda.

También almacena información específica del hallazgo, como las funciones o las direcciones IP que participan en la actividad detectada.

Dirección IP

Direcciones IP que están presentes en los datos de origen de Detective.

Para cada dirección IP, el Detective responde a varias preguntas:

  • ¿Qué llamadas a la API ha utilizado la dirección?

  • ¿Qué puertos utiliza la dirección?

  • ¿Qué usuarios y agentes de usuario han utilizado la dirección IP?

  • ¿En qué ubicaciones geográficas ha estado activa la dirección IP?

  • ¿A qué instancias de EC2 se ha asignado esta dirección IP y con las que se ha comunicado?

Bucket de S3

Depósitos de S3 que están en los datos de origen de Detective.

Para cada depósito de S3, Detective responde a estas preguntas:

  • ¿Qué entidades principales interactuaron con el depósito de S3?

  • ¿Qué llamadas de API se realizaron al depósito de S3?

  • ¿Desde qué ubicaciones geográficas realizaron los principales llamadas de API al depósito de S3?

  • ¿Qué agentes de usuario se utilizaron para interactuar con el depósito de S3?

  • ¿Qué ASOs se usaron para interactuar con el depósito de S3?

Puede eliminar un depósito de S3 y, a continuación, crear un depósito nuevo con el mismo nombre. Dado que Detective usa el nombre del bucket de S3 para identificar el bucket de S3, los trata como una sola entidad de bucket de S3. En el perfil de la entidad,Creation timees la primera vez de creación. Tiempo de borradoes la hora de eliminación más reciente.

Para ver todos los eventos de creación y eliminación, defina la hora del alcance para que comience con la hora de creación y termine con la hora de eliminación. Consulte Gestionar el tiempo del ámbito. En la páginaVolumen total de llamadas a la APIpanel de perfil, muestra los detalles de la actividad para el tiempo del alcance. Filtrar los métodos de la API para mostrarCreateyDeletemétodos. Consulte Detalles de actividad para Volumen general de llamadas a la API.

Agente usuario

Agentes de usuario que están presentes en los datos de origen de Detective.

Para cada agente de usuario, Detective responde a preguntas como estas:

  • ¿Qué llamadas a la API ha utilizado el agente de usuario?

  • ¿Qué usuarios y funciones han utilizado el agente de usuario?

  • ¿Qué direcciones IP han utilizado el agente de usuario?

Clúster de EKS

Clústeres de EKS que están presentes en los datos fuente de Detective.

nota

Para ver los detalles completos de este tipo de entidad, debe habilitarse la fuente de datos de registros de auditoría de EKS opcional. Para obtener más información, consulteOrígenes de datos

Para cada grupo de EKS, Detective responde a preguntas como estas:

  • ¿Qué llamadas a la API de Kubernetes se ejecutaron en este clúster?

  • ¿Qué usuarios y cuentas de servicio (sujetos) de Kubernetes están activos en este clúster?

  • ¿Qué contenedores se han lanzado en este clúster?

  • ¿Qué imágenes se utilizan para lanzar los contenedores en este clúster?

Cápsula de Kubernetes

Pods de Kubernetes que están presentes en los datos de origen de Detective.

nota

Para ver los detalles completos de este tipo de entidad, debe habilitarse la fuente de datos de registros de auditoría de EKS opcional. Para obtener más información, consulteOrígenes de datos

Para cada módulo, el Detective responde a preguntas como estas:

  • ¿Qué imágenes de contenedor de este pod son comunes en mis cuentas?

  • ¿Qué actividad se ha dirigido a este pod?

  • ¿Qué contenedores funcionan en este módulo?

  • ¿Los registros de los contenedores de este pod son comunes en mis cuentas?

  • ¿Qué otros contenedores se ejecutan en los otros pods de la carga de trabajo?

  • ¿Hay algún contenedor anómalo en este pod que no esté en los otros pods de la carga de trabajo?

Imagen de contenedor

Imágenes de contenedor que están presentes en los datos de origen de Detective.

nota

Para ver los detalles completos de este tipo de entidad, debe habilitarse la fuente de datos de registros de auditoría de EKS opcional. Para obtener más información, consulteOrígenes de datos

Para cada imagen de contenedor, Detective responde a preguntas como estas:

  • ¿Qué otras imágenes de mi entorno comparten el mismo repositorio o registro con esta imagen?

  • ¿Cuántas copias de esta imagen se están ejecutando en mi entorno?

Asunto de Kubernetes

Temas de Kubernetes que están presentes en los datos de origen de Detective. Un asunto de Kubernetes es una cuenta de usuario o servicio.

nota

Para ver los detalles completos de este tipo de entidad, debe habilitarse la fuente de datos de registros de auditoría de EKS opcional. Para obtener más información, consulteOrígenes de datos

Para cada tema, el Detective responde a preguntas como estas:

  • ¿Qué directores de IAM se han autenticado como sujeto?

  • ¿Qué hallazgos se asocian con este tema?

  • ¿Qué direcciones IP utiliza el sujeto?