Affichage et interaction avec les volets de profil

Chaque profil d’entité sur la console Amazon Detective se compose d’un ensemble de volets de profil. Un volet de profil est une visualisation qui fournit des détails généraux ou met en évidence une activité spécifique associée à une entité. Les volets de profil utilisent différents types de visualisations pour présenter différents types d’informations. Ils peuvent également fournir des liens vers des informations supplémentaires ou vers d’autres profils.

Chaque volet de profil est destiné à aider les analystes à trouver des réponses à des questions spécifiques concernant les entités et leurs activités associées. Les réponses à ces questions permettent de déterminer si l’activité représente une véritable menace.

Contenu du volet de profil

Les volets de profil utilisent différents types de visualisations pour présenter différents types d’informations.

Types d’informations sur un volet de profil

Les volets de profil fournissent généralement les types de données suivants.

Type de données du volet	Description
Informations de haut niveau sur un résultat ou une entité	Le type de volet le plus simple fournit quelques informations de base sur une entité. Les exemples d’informations incluses dans un volet d’information incluent l’identifiant, le nom, le type et la date de création. La plupart des profils d’entité contiennent un volet d’informations pour cette entité.
Résumé général de l’activité au fil du temps	Affiche un résumé de l’activité d’une entité au fil du temps. Ce type de volet fournit une vue d’ensemble du comportement d’une entité pendant la période couverte par la durée de validité. Voici quelques exemples de données récapitulatives fournies sur les volets de profil Detective : Appels d’API échoués et réussis Volume VPC entrant et sortant
Résumé de l’activité regroupée par valeurs	Affiche un résumé de l’activité d’une entité, regroupée selon des valeurs spécifiques. Vous pouvez voir ce type de volet de profil sur le profil d’une instance EC2. Le volet de profil indique le volume moyen de données du journal de flux VPC à destination et en provenance d’une instance EC2 pour les ports courants associés à des types de services spécifiques.
Activité qui n’a débuté que pendant la durée de validité	Au cours d’une enquête, il est utile de voir quelle activité n’a commencé à se produire qu’au cours d’une période donnée. Par exemple, y a-t-il des appels d’API, des emplacements géographiques ou des agents utilisateurs qui n’ont jamais été vus auparavant ? Si le graphe de comportement est toujours en mode apprentissage, le volet de profil affiche un message de notification. Le message est supprimé lorsque le graphique de comportement a accumulé au moins deux semaines de données. Pour plus d’informations sur l’entraînement d’un modèle, consultez Période de formation pour les nouveaux graphes de comportement.
Activité qui a changé de manière significative pendant la période couverte par la durée de validité	À l’instar des nouveaux volets d’activité, les volets de profil peuvent également afficher les activités qui ont changé de manière significative au cours de la période couverte par la durée de validité. Par exemple, un utilisateur peut régulièrement émettre un certain appel d’API plusieurs fois par semaine. Si le même utilisateur émet soudainement le même appel plusieurs fois au cours d’une même journée, cela peut être le signe d’une activité malveillante. Si le graphe de comportement est toujours en mode apprentissage, le volet de profil affiche un message de notification. Le message est supprimé lorsque le graphique de comportement a accumulé au moins deux semaines de données. Pour plus d’informations sur l’entraînement d’un modèle, consultez Période de formation pour les nouveaux graphes de comportement.

Types de visualisations du volet de profil

Le contenu du volet de profil peut prendre l’une des formes suivantes.

Type de visualisation	Description
Paires clé-valeur	Le type de visualisation le plus simple est un ensemble de paires clé-valeur. Un volet de résultat ou d’information sur les entités est l’exemple le plus courant de volet de paires clé-valeur. Les paires clé-valeur peuvent également être utilisées pour ajouter des informations supplémentaires à d’autres types de volets. À partir d’un volet de paires clé-valeur, si une valeur est l’identifiant d’une entité, vous pouvez passer à son profil.
Tableau	Un tableau est une simple liste d’éléments sur plusieurs colonnes. Vous pouvez trier, filtrer et parcourir le tableau. Vous pouvez modifier le nombre d’entrées à afficher sur chaque page. veuillez consulter Configuration des préférences pour un volet de profil. Si une valeur de la table est l’identifiant d’une entité, vous pouvez passer à son profil.
Chronologie	Une visualisation chronologique présente une valeur agrégée pour des intervalles définis au fil du temps. La chronologie met en évidence la durée de validité actuelle et inclut le temps périphérique supplémentaire avant et après la durée de validité. Le temps périphérique fournit le contexte de l’activité dans la durée de validité. Passez le pointeur de la souris sur un intervalle de temps pour afficher un récapitulatif des données relatives à cet intervalle de temps.
Tableau extensible	Un tableau extensible combine des tableaux et des chronologies. La visualisation commence sous la forme d’un tableau. Vous pouvez trier, filtrer et parcourir le tableau. Vous pouvez modifier le nombre d’entrées à afficher sur chaque page. veuillez consulter Configuration des préférences pour un volet de profil. Vous pouvez ensuite développer chaque ligne pour afficher une visualisation chronologique spécifique à cette ligne.
Diagramme à barres	Un diagramme à barres montre les valeurs basées sur des groupements. En fonction du diagramme, vous pouvez être en mesure de choisir une barre pour afficher la chronologie des activités associées.
Diagramme de géolocalisation	Un diagramme de géolocalisation affiche une carte marquée pour mettre en évidence les données en fonction de l’emplacement géographique. Il peut être suivi d’un tableau contenant des détails sur les différentes géolocalisations. Notez que lors du traitement des données géographiques entrantes, Detective arrondit les valeurs de latitude et de longitude à une seule décimale.

Autres remarques sur le contenu du volet de profil

Lors de la consultation du contenu d’un volet de profil, tenez compte des éléments suivants :

Avertissement relatif aux données de comptage approximatif

Cet avertissement indique que les éléments dont le nombre est extrêmement faible n’apparaissent pas en raison du volume de données applicables.

Pour garantir un comptage précis, réduisez la quantité de données. Le moyen le plus simple d’y parvenir est de réduire la durée de validité. veuillez consulter Gestion de la durée de validité.

Arrondi pour les emplacements géographiques

Detective arrondit toutes les valeurs de latitude et de longitude à une seule décimale.

Modifications apportées à la façon dont Detective représente les appels d’API

À compter du 14 juillet 2021, Detective suit le service qui a effectué chaque appel d’API. Chaque fois que Detective affiche une méthode d’API, il affiche également le service associé. Sur les volets de profil qui affichent des informations sur les appels d’API, les appels sont toujours regroupés par service. Pour les données ingérées par Detective avant cette date, le nom du service est répertorié en tant que Service inconnu.

À compter du 14 juillet 2021, pour les comptes et les rôles, les détails de l’activité du volet de profil du volume global d’appels d’API n’indiquent plus l’AKID de la ressource qui a émis l’appel. Pour les comptes, Detective affiche l’identifiant du principal (utilisateur ou rôle) qui a émis l’appel. Pour les rôles, Detective affiche l’identifiant de la session de rôle. Pour les données ingérées par Detective avant le 14 juillet 2021, l’identifiant est répertorié comme ressource inconnue.

Pour les volets de profil qui affichent une liste d’appels d’API, la chronologie associée met en évidence la période pendant laquelle cette transition s’est produite. La mise en évidence commence le 14 juillet 2021 et se termine lorsque la mise à jour a été entièrement propagée dans Detective.

Configuration des préférences pour un volet de profil

Pour les panneaux de profil, vous pouvez personnaliser le nombre de lignes qui apparaissent sur chaque page des panneaux de profil et configurer la préférence de format d'horodatage.

Définition de la longueur du tableau

Pour les volets de profil contenant des tableaux ou des tableaux extensibles, vous pouvez configurer le nombre de lignes à afficher sur chaque page.

Définissez vos préférences quant au nombre d’entrées sur chaque page.

1. Ouvrez la console Amazon Detective à l’adresse : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation Detective, sous Paramètres, choisissez Préférences.

3. Sur la page Préférences, sous Longueur de la table, cliquez sur Modifier.

4. Choisissez le nombre de lignes de tableau que vous souhaitez afficher sur chaque page.

5. Choisissez Enregistrer.

Définition du format d’horodatage

Pour les volets de profil, vous pouvez configurer la préférence de format d’horodatage qui sera appliquée à tous les horodatages pour chaque rôle ou utilisateur IAM dans Detective.

Note

La préférence de format d'horodatage n'est pas appliquée à l'ensemble AWS du compte.

Définissez la préférence pour l’horodatage.

1. Ouvrez la console Amazon Detective à l’adresse : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation Detective, sous Paramètres, choisissez Préférences.

3. Sur la page Préférences, sous Préférences d’horodatage, affichez et modifiez l’affichage préféré pour tous les horodatages.

4. Par défaut, le format d’horodatage est défini sur UTC. Cliquez sur Modifier pour choisir votre fuseau horaire local.

   Exemple :

   UTC - 20/09/22 16:39 UTC

   Local - 20/09/2022 9:39 (UTC-07:00)

5. Choisissez Enregistrer.