Konten dari Panduan Administrasi Detektif sekarang dikonsolidasikan ke dalam Panduan Pengguna Detektif.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Amazon Detective menggunakan data sumber untuk mengisi grafik perilaku
Untuk menyediakan data mentah untuk investigasi, Detective menyatukan data dari seluruh lingkungan AWS Anda dan sekitarnya, termasuk yang berikut:
-
Log data, termasuk Amazon Virtual Private Cloud (Amazon VPC) dan AWS CloudTrail
-
Temuan dari Amazon GuardDuty
-
Temuan dari AWS Security Hub
Untuk mempelajari lebih lanjut tentang sumber data yang digunakan dalam grafik perilaku, lihat Sumber data yang digunakan dalam grafik perilaku.
Bagaimana Detective memproses data sumber
Saat data baru masuk, Detective menggunakan kombinasi ekstraksi dan analitik untuk mengisi grafik perilaku.
Ekstraksi Detektif
Ekstraksi didasarkan pada aturan pemetaan yang dikonfigurasi. Aturan pemetaan pada dasarnya mengatakan, “Setiap kali Anda melihat potongan data ini, gunakan dengan cara khusus ini untuk memperbarui data grafik perilaku.”
Misalnya, catatan data sumber Detektif yang masuk mungkin menyertakan alamat IP. Jika ya, Detective menggunakan informasi dalam catatan itu untuk membuat entitas alamat IP baru atau memperbarui entitas alamat IP yang ada.
Analitik Detektif
Analytics adalah algoritma yang lebih kompleks yang menganalisis data untuk memberikan wawasan tentang aktivitas yang terkait dengan entitas.
Misalnya, salah satu jenis analitik Detektif menganalisis seberapa sering aktivitas terjadi dengan menjalankan algoritma. Untuk entitas yang melakukan panggilan API, algoritme mencari panggilan API yang biasanya tidak digunakan entitas. Algoritma ini juga mencari lonjakan besar dalam jumlah panggilan API.
Wawasan analitik mendukung investigasi dengan memberikan jawaban atas pertanyaan analis kunci dan sering digunakan untuk mengisi panel temuan dan profil entitas.
