Visualizzazione dei dettagli per entità ad alto volume - Amazon Detective
Cos'è un'entità ad alto volume?Visualizzazione della notifica di entità ad alto volume su un profiloVisualizzazione dell'elenco delle entità ad alto volume per il periodo di validità corrente

Il contenuto dell'Amazon Detective Administration Guide è ora consolidato nella Amazon Detective User Guide. Amazon Detective Administration Guide raggiungerà la fine del supporto standard l'8 maggio 2024.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione dei dettagli per entità ad alto volume

Nel grafico di comportamento, Amazon Detective tiene traccia delle relazioni tra le entità. Ad esempio, ogni grafico comportamentale traccia quando un AWS utente crea un AWS ruolo e quando un'istanza EC2 si connette a un indirizzo IP.

Quando un'entità ha troppe relazioni durante un periodo di tempo, Detective non riesce a memorizzare tutte le relazioni. Quando ciò si verifica durante il periodo di validità corrente, Detective ti avvisa. Detective fornisce anche un elenco delle occorrenze di entità ad alto volume.

Cos'è un'entità ad alto volume?

Durante un determinato intervallo di tempo, un'entità potrebbe essere l'origine o la destinazione di un numero estremamente elevato di connessioni. Ad esempio, un'istanza EC2 potrebbe avere connessioni da milioni di indirizzi IP.

Detective mantiene un limite al numero di connessioni che può gestire durante ogni intervallo di tempo. Se un'entità supera tale limite, Detective scarta le connessioni per quell'intervallo di tempo.

Ad esempio, supponiamo che il limite sia di 100.000.000 di connessioni per intervallo di tempo. Se un'istanza EC2 è connessa da più di 100.000.000 di indirizzi IP durante un intervallo di tempo, Detective elimina le connessioni da quell'intervallo di tempo.

Tuttavia, potresti essere in grado di analizzare tale attività in base all'entità all'altra estremità della relazione. Per continuare con l'esempio, mentre un'istanza EC2 potrebbe essere connessa da milioni di indirizzi IP, un singolo indirizzo IP si connette a molte meno istanze EC2. Ogni profilo di indirizzo IP fornisce dettagli sulle istanze EC2 a cui l'indirizzo IP è connesso.

Visualizzazione della notifica di entità ad alto volume su un profilo

Detective visualizza un avviso nella parte superiore del profilo del risultato o dell'entità se il periodo di validità include un intervallo di tempo in cui l'entità ha un volume elevato. Per quanto riguarda i profili dei risultati, l'avviso è per l'entità coinvolta.

L'avviso include l'elenco delle relazioni che hanno intervalli di tempo ad alto volume. Ogni voce dell'elenco contiene una descrizione della relazione e l'inizio dell'intervallo di tempo ad alto volume.

Un intervallo di tempo ad alto volume potrebbe essere un indicatore di attività sospette. Per capire quali altre attività si sono verificate nello stesso momento, puoi concentrare la tua indagine su un intervallo di tempo ad alto volume. L'avviso relativo alle entità a volumi elevati include un'opzione per impostare il periodo di validità in base a tale intervallo di tempo.

Impostare il periodo di validità su un intervallo di tempo ad alto volume

  1. Nell'avviso relativo all'entità ad alto volume, scegli l'intervallo di tempo.

  2. Nel menu a comparsa, scegli Applica periodo di validità.

Visualizzazione dell'elenco delle entità ad alto volume per il periodo di validità corrente

La pagina Entità ad alto volume contiene un elenco di intervalli di tempo ed entità ad alto volume durante il periodo di validità corrente.

Visualizzare la pagina Entità ad alto volume

  1. Apri la console Amazon Detective all'indirizzo https://console.aws.amazon.com/detective/.

  2. Nel pannello di navigazione di Detective, scegli Entità ad alto volume.

Ogni voce dell'elenco contiene le seguenti informazioni:

  • L'inizio dell'intervallo di tempo ad alto volume

  • L'identificatore e il tipo di entità.

  • La descrizione della relazione, ad esempio "Istanza EC2 connessa dall'indirizzo IP"

È possibile filtrare e ordinare l'elenco in base a qualsiasi colonna. Puoi anche accedere al profilo di entità per un'entità coinvolta.

Passare al profilo di un'entità

  1. Nell'elenco Entità ad alto volume, scegli la riga da cui navigare.

  2. Scegli Visualizza il profilo con il periodo di validità ad alto volume.

Quando utilizzi questa opzione per accedere a un profilo di entità, il periodo di validità viene impostato come segue:

  • Il periodo di validità inizia 30 giorni prima dell'intervallo di tempo ad alto volume.

  • Il periodo di validità termina alla fine dell'intervallo di tempo ad alto volume.