Recherche d’un résultat ou d’une entité - Amazon Detective
Finalisation de la rechercheUtilisation des résultats de rechercheRésolution des problèmes de recherche

Le contenu de l'Amazon Detective Administration Guide est désormais consolidé dans le Amazon Detective User Guide. Le support standard d'Amazon Detective Administration Guide arrivera à expiration le 8 mai 2024.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recherche d’un résultat ou d’une entité

Avec la fonction de recherche Amazon Detective, vous pouvez rechercher un résultat ou une entité. À partir des résultats de recherche, vous pouvez accéder à un profil d’entité ou à une vue d’ensemble des résultats. Si votre recherche renvoie plus de 10 000 résultats, seuls les 10 000 premiers résultats sont affichés. La modification de l’ordre de tri modifie les résultats renvoyés.

Vous pouvez exporter les résultats de votre recherche vers un fichier de valeurs séparées par des virgules (.csv). Ce fichier contient les données renvoyées dans la page de recherche. Pour plus d’informations, consultez Exportation de données à partir de Detective.

Finalisation de la recherche

Pour terminer la recherche, choisissez le type d’entité à rechercher. Fournissez ensuite l’identifiant exact ou l’identifiant avec des caractères génériques * ou ?. Pour rechercher une plage d’adresses IP, vous pouvez également utiliser le CIDR ou les notations par points. Consultez les exemples de chaînes de recherche suivants.

Pour les adresses IP :

  • 1.0.*.*

  • 1.0.133.*

  • 1.0.0.0/16

  • 0.239.48.198/31

Pour tous les autres types d’entités :

  • Admin

  • ad*

  • ad*n

  • ad*n*

  • adm?n

  • a?m*

  • *min

Pour chaque type d’entité, les identifiants suivants sont pris en charge :

  • Pour les résultats, l’ID de résultat ou le résultat Amazon Resource Name (ARN).

  • Pour les AWS comptes, l'identifiant du compte.

  • Pour les AWS rôles et AWS les utilisateurs, il s'agit de l'ID principal, du nom ou de l'ARN.

  • Pour les clusters de conteneurs, le nom ou l’ARN du cluster.

  • Pour les images du conteneur, le référentiel ou le résumé complet de l’image du conteneur.

  • Pour les pods ou les tâches du conteneur, le nom du pod ou l’UID du pod.

  • Pour les instances EC2, l’identifiant de l’instance ou l’ARN.

  • Pour le groupe de résultats, l’identifiant du groupe de résultats.

  • L’adresse IP ou des plages d’adresses, en notation CIDR.

  • Pour les sujets Kubernetes (comptes de service ou utilisateurs), le nom.

  • Pour une session de rôle, vous pouvez utiliser l’une des valeurs suivantes pour effectuer une recherche :

    • Identifiant de session de rôle.

      L’identifiant de la session du rôle utilise le format <rolePrincipalID>:<sessionName>.

      Voici un exemple : AROA12345678910111213:MySession.

    • L’ARN de la session de rôle

    • Nom de la session

    • ID principal du rôle assumé

    • Nom du rôle assumé

  • Pour les compartiments S3, le nom ou l’ARN du compartiment.

  • Pour les utilisateurs fédérés, l’ID principal ou le nom d’utilisateur. L’ID principal est <identityProvider>:<username> ou <identityProvider>:<audience>:<username>.

  • Pour les agents utilisateurs, le nom de l’agent utilisateur.

Pour rechercher un résultat ou une entité

  1. Connectez-vous au AWS Management Console. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

  2. Dans le volet de navigation, sélectionnez Recherche.

  3. Dans le menu Choisir un type, choisissez le type d’article que vous recherchez.

    Notez que lorsque vous sélectionnez Utilisateur, vous pouvez rechercher un AWS utilisateur ou un utilisateur fédéré.

    Les exemples tirés de vos données contiennent un ensemble d’exemples d’identifiants du type sélectionné qui figurent dans les données de votre graphe de comportement. Pour afficher le profil de l’un des exemples, choisissez son identifiant.

  4. Entrez l’identifiant exact ou un identifiant avec des caractères génériques à rechercher.

    La recherche ne distingue pas les majuscules et minuscules.

  5. Choisissez Rechercher ou appuyez sur Entrée.

Utilisation des résultats de recherche

Lorsque vous terminez la recherche, Detective affiche une liste contenant jusqu’à 10 000 résultats correspondants. Pour les recherches utilisant un identifiant unique, il n’y a qu’un seul résultat correspondant.

Dans les résultats, pour accéder au profil de l’entité ou à la vue d’ensemble des résultats, choisissez l’identifiant.

Pour les résultats, les rôles, les utilisateurs et les instances EC2, les résultats de recherche incluent le compte associé. Pour accéder au profil du compte, choisissez l’identifiant du compte.

Résolution des problèmes de recherche

Si Detective ne trouve pas le résultat ou l’entité, vérifiez d’abord que vous avez saisi le bon identifiant. Si l’identifiant est correct, vous pouvez également vérifier les points suivants.

  • Le résultat ou l’entité appartient-il à un compte membre activé dans votre graphe de comportement ? Si le compte associé n’a pas été invité au graphe de comportement en tant que compte membre, le graphe de comportement ne contient aucune donnée pour ce compte.

    Si le compte d’un membre invité n’a pas accepté l’invitation, le graphe de comportement ne contient aucune donnée pour ce compte.

  • Dans le cas d’un résultat, celui-ci est-il archivé ? Detective ne reçoit pas les résultats archivés d'Amazon GuardDuty.

  • Le résultat ou l’entité s’est-il produit avant que Detective ne commence à ingérer des données dans votre graphe de comportement ? Si le résultat ou l’entité ne figure pas dans les données ingérées par Detective, le graphe de comportement ne contient aucune donnée correspondante.

  • Le résultat ou l’entité provient-il de la bonne région ? Chaque graphe de comportement est spécifique à un Région AWS. Un graphe de comportement ne contient pas de données provenant d’autres régions.