Visualización de detalles de entidades de gran volumen - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de detalles de entidades de gran volumen

En el navegadorGráfico de comportamiento, Amazon Detective hace un seguimiento de las relaciones entre entidades. Por ejemplo, cada gráfico de comportamiento realiza un seguimiento cuando unAWSusuario crea unAWSrol y cuando una instancia EC2 se conecta a una dirección IP.

Cuando una entidad tiene demasiadas relaciones durante un período de tiempo, el Detective no puede almacenar todas las relaciones. Cuando esto ocurre durante el tiempo de aplicación actual, Detective le notifica. Detective también proporciona una lista de ocurrencias de entidades de gran volumen.

¿Qué es una entidad de gran volumen?

Durante un intervalo de tiempo determinado, una entidad podría ser el origen o el destino de un número extremadamente elevado de conexiones. Por ejemplo, una instancia EC2 puede tener conexiones desde millones de direcciones IP.

Detective mantiene un límite en el número de conexiones que puede acomodar durante cada intervalo de tiempo. Si una entidad supera ese límite, Detective descarta las conexiones durante ese intervalo de tiempo.

Por ejemplo, supongamos que el límite es de 100 millones de conexiones por intervalo de tiempo. Si una instancia EC2 está conectada mediante más de 100.000.000 de direcciones IP durante un intervalo de tiempo, Detective descarta las conexiones de ese intervalo de tiempo.

Sin embargo, es posible que pueda analizar esa actividad basándose en la entidad situada en el otro extremo de la relación. Para continuar con el ejemplo, aunque una instancia EC2 podría estar conectada desde millones de direcciones IP, una única dirección IP se conecta a muchas menos instancias EC2. Cada perfil de dirección IP proporciona detalles sobre las instancias EC2 a las que está conectada la dirección IP.

Visualización de la notificación de entidad de gran volumen en un perfil

Detective muestra un aviso en la parte superior de una búsqueda o perfil de entidad si el tiempo de ámbito incluye un intervalo de tiempo en el que la entidad tiene un gran volumen. Para buscar perfiles, el aviso es para la entidad involucrada.

El aviso incluye la lista de relaciones que tienen intervalos de tiempo de gran volumen. Cada entrada de lista contiene una descripción de la relación y el inicio del intervalo de tiempo de gran volumen.

Un intervalo de tiempo de gran volumen podría ser un indicador de actividad sospechosa. Para entender qué otra actividad se ha producido al mismo tiempo, puede centrar la investigación en un intervalo de tiempo de gran volumen. El aviso de entidad de gran volumen incluye una opción para establecer el tiempo de ámbito en ese intervalo de tiempo.

Para establecer el tiempo de ámbito en un intervalo de tiempo de gran volumen

  1. En el aviso de entidad de gran volumen, elija el intervalo de tiempo.

  2. En el menú desplegable, elijaAplicar el tiempo de aplicación.

Visualización de la lista de entidades de gran volumen para el tiempo de ámbito actual

LaEntidades de gran volumencontiene una lista de intervalos de tiempo y entidades de gran volumen durante el tiempo de ámbito actual.

Para mostrar la página Entidades de gran volumen

  1. Abra el iconoConsola detective.

  2. En el panel de navegación Detective, elijaEntidades de gran volumen.

Cada entrada de la lista contiene la siguiente información:

  • El inicio del intervalo de tiempo de gran volumen

  • El identificador y el tipo de entidad

  • La descripción de la relación, como «instancia EC2 conectada desde la dirección IP»

Puede filtrar y ordenar la lista por cualquiera de las columnas. También puede navegar hasta el perfil de entidad de una entidad involucrada.

Para navegar hasta el perfil de una entidad

  1. En el navegadorEntidades de gran volumenlista, elija la fila desde la que navegar.

  2. ElegirVer perfil con un tiempo de alcance de gran volumen.

Cuando utiliza esta opción para navegar hasta un perfil de entidad, el tiempo de ámbito se establece de la siguiente manera:

  • El tiempo del alcance comienza 30 días antes del intervalo de tiempo de gran volumen.

  • El tiempo de alcance finaliza al final del intervalo de tiempo de gran volumen.