Bagaimana Detective mengisi grafik perilaku

Untuk menyediakan data mentah untuk investigasi, Detective menyatukan data dari seluruh lingkungan AWS Anda dan sekitarnya, termasuk yang berikut:

• Log data, termasuk Amazon Virtual Private Cloud (AmazonVPC) dan AWS CloudTrail

• Temuan dari Amazon GuardDuty

• Temuan dari AWS Security Hub

Untuk mempelajari lebih lanjut tentang sumber data yang digunakan dalam grafik perilaku, lihat Sumber data yang digunakan dalam grafik perilaku.

Bagaimana Detective memproses data sumber

Saat data baru masuk, Detective menggunakan kombinasi ekstraksi dan analitik untuk mengisi grafik perilaku.

Ekstraksi Detektif

Ekstraksi didasarkan pada aturan pemetaan yang dikonfigurasi. Aturan pemetaan pada dasarnya mengatakan, “Setiap kali Anda melihat potongan data ini, gunakan dengan cara khusus ini untuk memperbarui data grafik perilaku.”

Misalnya, catatan data sumber Detektif yang masuk mungkin menyertakan alamat IP. Jika ya, Detective menggunakan informasi dalam catatan itu untuk membuat entitas alamat IP baru atau memperbarui entitas alamat IP yang ada.

Analitik Detektif

Analytics adalah algoritma yang lebih kompleks yang menganalisis data untuk memberikan wawasan tentang aktivitas yang terkait dengan entitas.

Misalnya, salah satu jenis analitik Detektif menganalisis seberapa sering aktivitas terjadi dengan menjalankan algoritme. Untuk entitas yang melakukan API panggilan, algoritme mencari API panggilan yang biasanya tidak digunakan entitas. Algoritma ini juga mencari lonjakan besar dalam jumlah API panggilan.

Wawasan analitik mendukung investigasi dengan memberikan jawaban atas pertanyaan analis kunci dan sering digunakan untuk mengisi panel temuan dan profil entitas.