Como o Amazon Detective usa dados de origem para preencher um gráfico de comportamento

Para fornecer os dados brutos para investigações, o Detective reúne dados de todo o seu ambiente da AWS e de outros lugares, inclusive o seguinte:

• Dados de log, incluindo Amazon Virtual Private Cloud (Amazon VPC) e AWS CloudTrail

• Descobertas da Amazon GuardDuty

• Descobertas de AWS Security Hub

Para saber mais sobre os dados de origem usados em um gráfico de comportamento, consulte Dados de origem usados em um gráfico de comportamento.

Como o Detective processa os dados de origem

À medida que novos dados chegam, o Detective usa uma combinação de extração e análise para preencher o gráfico de comportamento.

Extração do Detective

A extração é baseada em regras de mapeamento configuradas. Uma regra de mapeamento basicamente diz: “Sempre que você ver esse dado, use-o dessa forma específica para atualizar os dados do gráfico de comportamento”.

Por exemplo, um registro de dados de origem do Detective recebido pode incluir um endereço IP. Se isso acontecer, o Detective usa as informações desse registro para criar uma nova entidade de endereço IP ou atualizar uma entidade de endereço IP existente.

Análise do Detective

As análises são algoritmos mais complexos que analisam os dados para fornecer informações sobre as atividades associadas às entidades.

Por exemplo, um tipo de análise do Detective analisa a frequência com que a atividade ocorre por meio da execução de algoritmos. Para entidades que fazem chamadas de API, o algoritmo procura chamadas de API que a entidade normalmente não usa. O algoritmo também busca um grande aumento no número de chamadas de API.

Os insights analíticos apoiam as investigações ao fornecerem respostas às principais perguntas dos analistas e são frequentemente usados para preencher painéis de perfil de descobertas e entidades.