Comment Amazon Detective utilise les données sources pour remplir un graphe de comportement

Pour fournir les données brutes nécessaires aux enquêtes, Detective rassemble des données provenant de l’ensemble de votre environnement AWS et au-delà, notamment les données suivantes :

• Les données du journal, y compris Amazon Virtual Private Cloud (Amazon VPC) et AWS CloudTrail

• Conclusions d'Amazon GuardDuty

• Conclusions tirées de AWS Security Hub

Pour en savoir plus sur les données source utilisées dans un graphe de comportement, voir Données source utilisées dans un graphe de comportement.

Comment Detective traite les données sources

À mesure que de nouvelles données arrivent, Detective utilise une combinaison d’extraction et d’analyse pour renseigner le graphe de comportement.

Extraction de Detective

L’extraction est basée sur des règles de mappage configurées. Une règle de mappage indique essentiellement : « Chaque fois que vous voyez cette donnée, utilisez-la de cette manière spécifique pour mettre à jour les données du graphe de comportement ».

Par exemple, un enregistrement de données sources Detective entrant peut inclure une adresse IP. Si tel est le cas, Detective utilise les informations contenues dans cet enregistrement pour créer une nouvelle entité d’adresse IP ou mettre à jour une entité d’adresse IP existante.

Analyse Detective

Les analyses sont des algorithmes plus complexes qui analysent les données pour fournir un aperçu de l’activité associée aux entités.

Par exemple, un type d’analyse Detective analyse la fréquence de l’activité en exécutant des algorithmes. Pour les entités qui effectuent des appels d’API, l’algorithme recherche les appels d’API que l’entité n’utilise pas normalement. L’algorithme recherche également un pic important du nombre d’appels d’API.

Les informations analytiques étayent les enquêtes en fournissant des réponses aux principales questions des analystes, et elles sont fréquemment utilisées pour remplir les volets de résultats et de profils des entités.