Visualización de detalles de entidades de gran volumen - Amazon Detective
¿Qué es una entidad de gran volumen?Ver la notificación de entidad de gran volumen en un perfilVer la lista de entidades de gran volumen para el rango temporal actual

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de detalles de entidades de gran volumen

En el gráfico de comportamiento, Amazon Detective hace un seguimiento de las relaciones entre entidades. Por ejemplo, cada gráfico de comportamiento registra cuándo un AWS usuario crea un AWS rol y cuándo una EC2 instancia se conecta a una dirección IP.

Cuando una entidad tiene demasiadas relaciones durante un periodo de tiempo, Detective no puede almacenar todas las relaciones. Cuando esto ocurre durante el rango temporal actual, Detective lo notifica. Detective también proporciona una lista de apariciones de entidades de gran volumen.

¿Qué es una entidad de gran volumen?

Durante un intervalo de tiempo dado, una entidad puede ser el origen o el destino de un número extremadamente elevado de conexiones. Por ejemplo, una EC2 instancia puede tener conexiones desde millones de direcciones IP.

Detective mantiene un límite del número de conexiones que puede admitir durante cada intervalo de tiempo. Si una entidad supera ese límite, Detective descarta las conexiones correspondientes a ese intervalo de tiempo.

Por ejemplo, supongamos que el límite es de 100 000 000 de conexiones por intervalo de tiempo. Si una EC2 instancia está conectada por más de 100 000 000 de direcciones IP durante un intervalo de tiempo, el Detective descarta las conexiones de ese intervalo de tiempo.

No obstante, es posible que pueda analizar la actividad en función de la entidad situada en el otro extremo de la relación. Para continuar con el ejemplo, si bien una EC2 instancia puede estar conectada desde millones de direcciones IP, una sola dirección IP se conecta a muchas menos instancias. EC2 Cada perfil de direcciones IP proporciona detalles sobre las EC2 instancias a las que se conectó la dirección IP.

Ver la notificación de entidad de gran volumen en un perfil

Detective muestra un aviso en la parte superior del perfil de un resultado o entidad si el rango temporal incluye un intervalo de tiempo en el que la entidad tiene un gran volumen. En el caso de los perfiles de resultado, el aviso es para la entidad implicada.

El aviso incluye la lista de relaciones que tienen intervalos de tiempo de gran volumen. Cada entrada de la lista contiene una descripción de la relación y el inicio del intervalo de tiempo de gran volumen.

Un intervalo de tiempo de gran volumen puede ser un indicador de actividad sospechosa. Para saber qué otra actividad se produjo al mismo tiempo, puede centrar su investigación en un intervalo de tiempo de gran volumen. El aviso de entidad de gran volumen incluye una opción para establecer el rango temporal en ese intervalo de tiempo.

Para establecer el rango temporal en un intervalo de tiempo de gran volumen

  1. En el aviso de entidad de gran volumen, elija el intervalo de tiempo.

  2. En el menú emergente, elija Aplicar rango temporal.

Ver la lista de entidades de gran volumen para el rango temporal actual

La página Entidades de gran volumen contiene una lista de intervalos de tiempo y entidades de gran volumen durante el rango temporal actual.

Visualización de la página Entidades de gran volumen

  1. Abra la consola de Amazon Detective en https://console.aws.amazon.com/detective/.

  2. En el panel de navegación de Detective, elija Entidades de gran volumen.

Cada entrada de la lista contiene la siguiente información:

  • El inicio del intervalo de tiempo de gran volumen

  • El identificador y el tipo de entidad

  • La descripción de la relación, como «EC2instancia conectada desde una dirección IP»

Puede filtrar y ordenar la lista por cualquiera de las columnas. También puede desplazarse al perfil de la entidad implicada.

Navegación al perfil de una entidad

  1. En la lista Entidades de gran volumen, elija la fila desde la que desea desplazarse.

  2. Seleccione Ver perfil con rango de tiempo de gran volumen.

Cuando se utiliza esta opción para desplazarse a un perfil de entidad, el rango temporal se establece de la siguiente manera:

  • El rango temporal comienza 30 días antes del intervalo de tiempo de gran volumen.

  • El rango temporal finaliza al final del intervalo de tiempo de gran volumen.