Detective での大量のエンティティの詳細の表示 - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective での大量のエンティティの詳細の表示

[behavior graph] (動作グラフ) で、Amazon Detective はエンティティ間の関係を追跡します。例えば、各動作グラフは、 AWS ユーザーが AWS ロールを作成するタイミングと、EC2インスタンスが IP アドレスに接続するタイミングを追跡します。

ある期間中にエンティティの関係が過多である場合、Detective はすべての関係を保存できません。これが現在のスコープ時間中に発生すると、Detective はその旨を通知します。Detective は、大量のエンティティの発生リストも提供します。

大量のエンティティとは

特定の時間間隔において、エンティティは、非常に多数の接続の発信元または発信先になる場合があります。例えば、EC2インスタンスには数百万の IP アドレスからの接続がある場合があります。

Detective は、各時間間隔で対応できる接続数の制限を維持しています。エンティティがその制限を超えると、Detective はその時間間隔の接続を破棄します。

例えば、制限が時間間隔あたり 100,000,000 接続であると仮定します。EC2 インスタンスが時間間隔中に 100,000,000 を超える IP アドレスで に接続されている場合、Detective はその時間間隔からの接続を破棄します。

ただし、関係のもう一方の端にあるエンティティに基づいて、そのアクティビティを分析できる場合があります。この例を続行するには、EC2インスタンスが数百万の IP アドレスから に接続されている可能性がありますが、1 つの IP アドレスがはるかに少数のEC2インスタンスに接続しています。各 IP アドレスプロファイルには、IP アドレスが接続されたEC2インスタンスに関する詳細が表示されます。

プロファイルにおける大量のエンティティ通知の表示

エンティティが大量である時間間隔がスコープ時間に含まれている場合、Detective は、検出結果またはエンティティプロファイルの先頭に通知を表示します。検出結果プロファイルについては、この通知は関係するエンティティに関するものです。

この通知には、大量の時間間隔を持つ関係のリストが含まれます。各リストエントリには、関係の説明と、大量の時間間隔の開始が含まれます。

大量の時間間隔は、疑わしいアクティビティを示唆している可能性があります。同時に発生した他のアクティビティを理解するために、大量の時間間隔を重点的に調査できます。大量のエンティティ通知には、スコープ時間をその時間間隔に設定するオプションが含まれています。

スコープ時間を大量の時間間隔に設定するには
  1. 大量のエンティティ通知で、時間間隔を選択します。

  2. ポップアップメニューで、[Apply scope time] (スコープ時間を適用) を選択します。

現在のスコープ時間についての大量エンティティのリストの表示

[High-volume entities] (大量のエンティティ) ページには、現在のスコープ時間中の大量の時間間隔とエンティティのリストが含まれています。

[High-volume entities] (大量のエンティティ) ページを表示するには
  1. https://console.aws.amazon.com/detective/ で Amazon Detective コンソールを開きます。

  2. Detective ナビゲーションペインで、[High-volume entities] (大量のエンティティ) を選択します。

リストの各エントリには、次の情報が含まれています。

  • 大量の時間間隔の開始

  • エンティティの識別子とタイプ

  • IP アドレスから接続されたEC2「インスタンス」など、関係の説明

任意の列でリストをフィルタリングしたり、ソートしたりできます。関係するエンティティのエンティティプロファイルに移動することもできます。

エンティティのプロファイルに移動するには
  1. [High-volume entities] (大量のエンティティ) リストで、移動元の行を選択します。

  2. [View profile with high-volume scope time] (大量のスコープ時間でプロファイルを表示) を選択します。

このオプションを使用してエンティティプロファイルに移動すると、スコープ時間は次のように設定されます。

  • スコープ時間は、大量の時間間隔の 30 日前に開始されます。

  • スコープ時間は、大量の時間間隔の終了時に終了します。