Concepts et terminologie d'Amazon Detective

Les termes et concepts suivants sont importants pour comprendre Amazon Detective et son fonctionnement.

Compte administrateur

Celui Compte AWS qui possède un graphe de comportement et qui utilise le graphe de comportement à des fins d'investigation.

Le compte administrateur invite les comptes membres à apporter leurs données au graphe de comportement. Pour plus d’informations, consultez Invitation des comptes membres à accéder à un graphe de comportement.

Pour le graphe du comportement de l’organisation, le compte administrateur est le compte administrateur Detective désigné par le compte de gestion de l’organisation. Pour plus d’informations, consultez Désignation du compte administrateur Detective pour une organisation. Le compte administrateur Detective peut activer n’importe quel compte de l’organisation comme compte membre dans le graphe de comportement. Pour plus d’informations, consultez Gestion des comptes de l’organisation en tant que comptes membres.

Les comptes administrateurs peuvent également consulter l’utilisation des données pour le graphe de comportement et supprimer des comptes membres du graphe de comportement.

Organisation du système autonome (ASO)

L’organisation intitulée à laquelle un système autonome est attribué. Ce système autonome est un réseau hétérogène ou un ensemble de réseaux utilisant une logique et des politiques de routage similaires.

Graphe de comportement

Ensemble de données liées généré à partir de données sources entrantes associées à une ou plusieurs d’entre elles Comptes AWS.

Chaque graphe de comportement utilise la même structure de résultats, d’entités et de relations.

Compte d'administrateur délégué (AWS Organizations)

Dans Organizations, le compte administrateur délégué d’un service est capable de gérer l’utilisation d’un service pour l’organisation.

Dans Detective, le compte administrateur Detective est également le compte administrateur délégué, sauf si le compte administrateur Detective est le compte de gestion de l’organisation. Le compte de gestion de votre organisation ne peut pas être un administrateur délégué.

Dans Detective, l’autodélégation est autorisée. Un compte de gestion de l’organisation peut déléguer son propre compte pour être l’administrateur délégué de Detective, mais cela ne sera enregistré ou mémorisé que dans le cadre de Detective, et non dans le cadre des organisations.

Compte administrateur Detective

Le compte désigné par le compte de gestion de l’organisation comme étant le compte administrateur du graphe du comportement de l’organisation dans une région. Pour plus d’informations, consultez Désignation du compte administrateur Detective pour une organisation.

Detective recommande au compte de gestion de l’organisation de choisir un compte autre que le sien.

Si le compte n’est pas le compte de gestion de l’organisation, le compte administrateur Detective est également le compte administrateur délégué de Detective dans Organizations.

Données sources de Detective

Versions structurées et traitées des informations issues des types de flux suivants :

AWS Journaux provenant de services, tels que AWS CloudTrail les journaux et les journaux de flux Amazon VPC
GuardDuty résultats

Detective utilise les données sources de Detective pour remplir le graphe de comportement. Pour prendre en charge son analyse, Detective stocke également des copies de ses données sources.

Entité

Un élément extrait des données ingérées.

Chaque entité possède un type qui identifie le type d’objet qu’elle représente. Les exemples de types d'entités incluent les adresses IP, les instances Amazon EC2 et AWS les utilisateurs.

Les entités peuvent être AWS des ressources que vous gérez ou des adresses IP externes qui ont interagi avec vos ressources.

Pour chaque entité, les données sources sont également utilisées pour renseigner les propriétés de l’entité. Les valeurs des propriétés peuvent être extraites directement des enregistrements sources, ou agrégées sur plusieurs enregistrements.

Résultat

Un problème de sécurité a été détecté par Amazon GuardDuty.

Groupe de résultats

Un ensemble de résultats, d’entités et de preuves connexes qui peuvent être liés au même événement ou au même problème de sécurité. Detective génère des groupes de résultats sur la base d’un modèle de machine learning intégré.

Preuve de Detective

Detective identifie des preuves supplémentaires liées à un groupe de résultats sur la base des données de votre graphe de comportement collectées au cours des 45 derniers jours. Ces preuves sont présentées sous la forme d’un résultat dont la valeur de gravité est Informationnelle. Les preuves fournissent des informations complémentaires qui mettent en évidence une activité inhabituelle ou un comportement inconnu potentiellement suspect au sein d’un groupe de résultats. Les géolocalisations récemment observées ou les appels d’API observés dans la durée de validité d’un résultat en sont un exemple. Pour le moment, ces résultats ne sont visibles que dans Detective et ne sont pas envoyés à Security Hub.

Vue d'ensemble des recherches

Une page unique qui fournit un résumé des informations relatives à un résultat.

Une vue d’ensemble des résultats contient la liste des entités impliquées dans les résultats. Dans la liste, vous pouvez passer au profil d’une entité.

Une vue d’ensemble des résultats contient également un volet de détails qui contient les attributs des résultats.

Entité à volume élevé

Entité qui est connectée à un grand nombre d’autres entités ou à partir d’un grand nombre d’autres entités pendant un intervalle de temps. Par exemple, une instance EC2 peut avoir des connexions provenant de millions d’adresses IP. Le nombre de connexions dépasse le seuil que Detective peut accepter.

Lorsque la durée de validité actuelle contient un intervalle de temps élevé, Detective en informe l’utilisateur.

Pour plus d’informations, consultez la section Affichage des informations sur les entités à volume élevé dans le Guide de l’utilisateur Amazon Detective.

Enquête

Processus qui consiste à trier les activités suspectes ou intéressantes, à déterminer leur validité, à identifier leur source ou cause sous-jacente, puis à déterminer la marche à suivre.

Compte membre

Et Compte AWS qu'un compte administrateur a invité à apporter des données à un graphe de comportement. Dans le graphe du comportement de l’organisation, un compte membre peut être un compte de l’organisation que le compte administrateur Detective a activé en tant que compte membre.

Les comptes membres invités peuvent répondre à l’invitation du graphe de comportement et supprimer leur compte du graphe de comportement. Pour plus d’informations, consultez Pour les comptes membres : gestion des invitations des graphes de comportement et des appartenances.

Les comptes de l’organisation ne peuvent pas modifier leur appartenance dans le graphe de comportement de l’organisation.

Tous les comptes membres peuvent également consulter les informations d’utilisation de leur compte sur les graphes de comportement auxquels ils fournissent des données.

Ils n’ont aucun autre accès au graphe de comportement.

Graphique du comportement de l'organisation

Le graphe de comportement appartenant au compte administrateur Detective. Le compte de gestion de l’organisation désigne le compte administrateur Detective. Pour plus d’informations, consultez Désignation du compte administrateur Detective pour une organisation.

Dans le graphe du comportement de l’organisation, le compte administrateur Detective contrôle si un compte de l’organisation est un compte membre. Un compte de l’organisation ne peut pas se supprimer lui-même du graphe de comportement de l’organisation.

Le compte administrateur Detective peut également inviter d’autres comptes à rejoindre le graphe de comportement de l’organisation.

Profil

Page unique qui fournit un ensemble de visualisations de données relatives à l’activité d’une entité.

En ce qui concerne les résultats, les profils aident les analystes à déterminer si le résultat est réellement préoccupant ou s’il s’agit d’un faux positif.

Les profils fournissent des informations pour appuyer une enquête dans un résultat, ou pour une recherche générale d’activités suspectes.

volet de profil

Une visualisation unique sur un profil. Chaque volet de profil est destiné à répondre à une ou plusieurs questions spécifiques afin d’aider un analyste dans le cadre d’une enquête.

Les volets de profil peuvent contenir des paires valeur-clé, des tableaux, des chronologies, des diagrammes à barres ou des diagrammes de géolocalisation.

Relation

Activité qui se produit entre des entités individuelles. Les relations sont également extraites des données sources entrantes.

Tout comme une entité, une relation possède un type qui identifie les types d’entités impliquées et le sens de la connexion. Un exemple de type de relation est une adresse IP se connectant à une instance Amazon EC2.

Durée

La fenêtre temporelle utilisée pour définir les données affichées sur les profils.

La durée de validité par défaut d’un résultat correspond à la première et à la dernière fois que l’activité suspecte a été observée.

La durée de validité par défaut d’un profil d’entité correspond aux 24 heures précédentes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Premiers pas

Données dans un graphe de comportement