Detective 管理ガイドのコンテンツが Detective ユーザーガイドに統合されました。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Detective がソースデータを使用して動作グラフを作成する方法
調査の raw データを提供するために、Detective は、 AWS 環境全体のみならず、それを超えてデータを収集します。これには次のデータが含まれます。
-
アマゾン仮想プライベートクラウド (Amazon VPC) を含むログデータと AWS CloudTrail
-
Amazon からの調査結果 GuardDuty
-
からの調査結果 AWS Security Hub
ビヘイビアグラフで使用されるソースデータについて詳しくは、「ビヘイビアグラフで使用されるソースデータ」を参照してください。
Detective によるソースデータの処理方法
新しいデータが提供されると、Detective は抽出と分析の組み合わせを使用して動作グラフにデータを入力します。
![Detective が受信するソースデータのフローを示す図。動作グラフにデータを入力するために使用されます。](images/diagram_graph_ingest_analytics.png)
Detective の抽出
抽出は、設定されたマッピングルールに基づきます。マッピングルールは、基本的に「ある特定のデータについては、常にある特定の方法でそのデータを使用して動作グラフデータを更新する」ためのものです。
例えば、受信した Detective ソースデータレコードに IP アドレスが含まれている場合があります。その場合、Detective はそのレコードに含まれている情報を使用して、新しい IP アドレスエンティティを作成するか、既存の IP アドレスエンティティを更新します。
Detective の分析
分析は、データを分析してエンティティに関連付けられているアクティビティのインサイトを提供する、より複雑なアルゴリズムです。
例えば、あるタイプの Detective 分析では、アルゴリズムを実行して、アクティビティが発生する頻度を分析します。API コールを実行するエンティティの場合、アルゴリズムを実行することで、エンティティが通常使用しない API コールが検索されます。アルゴリズムでは、API コールの数の大幅なスパイクも検索されます。
分析インサイトは、アナリストの主要な質問に対する回答を提供することで調査をサポートし、検出結果およびエンティティプロファイルのパネルにデータを入力するために頻繁に使用されます。