Conceitos e terminologia do Amazon Detective - Amazon Detective

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos e terminologia do Amazon Detective

Os seguintes temos e conceitos são importantes para entender como o Amazon Detective funciona.

Conta de administrador

O Conta da AWS que possui um gráfico de comportamento e que usa o gráfico de comportamento para investigação.

Uma conta de administrador convida contas-membro para contribuírem com seus dados no gráfico de comportamento. Para ter mais informações, consulte Convidar contas-membro para um gráfico de comportamento.

Para o gráfico de comportamento da organização, a conta de administrador é a conta de administrador do Detective designada pela conta de gerenciamento da organização. Para ter mais informações, consulte Designar a conta de administrador do Detective para uma organização. A conta de administrador do Detective pode habilitar qualquer conta da organização como uma conta-membro no gráfico de comportamento. Para ter mais informações, consulte Gerenciar contas da organização como contas-membro.

As contas de administrador também podem visualizar o uso de dados do gráfico de comportamento e remover contas-membro desse gráfico.

Organização do Sistema Autônomo (ASO)

A organização intitulada à qual um sistema autônomo é atribuído. Esse sistema autônomo é uma rede heterogênea ou um conjunto de redes que usam lógica e políticas de roteamento semelhantes.

Gráfico de comportamento

Um conjunto de dados vinculado gerado a partir de dados de origem recebidos que é associado a uma ou mais Contas da AWS.

Cada gráfico de comportamento usa a mesma estrutura de descobertas, entidades e relacionamentos.

Conta de administrador delegada ()AWS Organizations

No Organizations, a conta de administrador delegado de um serviço consegue gerenciar o uso de um serviço para a organização.

No Detective, a conta de administrador do Detective também é a conta de administrador delegado, a menos que a conta de administrador do Detective seja a conta de gerenciamento da organização. A conta de gerenciamento da organização não pode ser uma conta de administrador delegado.

No Detective, a autodelegação é permitida. Uma conta de gerenciamento da organização pode delegar sua própria conta como o administrador delegado do Detective, mas isso seria registrado ou lembrado apenas no escopo do Detective, e não do Organizations.

Conta de administrador de Detective

A conta designada pela conta de gerenciamento da organização para ser a conta de administrador do gráfico de comportamento da organização em uma região. Para ter mais informações, consulte Designar a conta de administrador do Detective para uma organização.

O Detective recomenda que a conta de gerenciamento da organização escolha uma conta diferente de sua própria conta.

Se a conta não for a conta de gerenciamento da organização, a conta de administrador do Detective também será a conta de administrador delegado para o Detective no Organizations.

Dados de origem do Detective

Versões processadas e estruturadas de informações dos seguintes tipos de feeds:

  • Registros de AWS serviços, como AWS CloudTrail logs e Amazon VPC Flow Logs

  • GuardDuty descobertas

O Detective usa os dados de origem do Detective para preencher o gráfico de comportamento. Também armazena cópias dos dados de origem do Detective para apoiar suas análises.

Entidade

Um item extraído dos dados ingeridos.

Cada entidade tem um tipo, que identifica o tipo de objeto que ela representa. Exemplos de tipos de entidades incluem endereços IP, instâncias do Amazon EC2 e AWS usuários.

As entidades podem ser AWS recursos que você gerencia ou endereços IP externos que interagiram com seus recursos.

Para cada entidade, os dados de origem também são usados para preencher as propriedades da entidade. Os valores das propriedades podem ser extraídos diretamente dos registros de origem ou agregados em vários registros.

Descoberta

Um problema de segurança detectado pela Amazon GuardDuty.

Grupo de descobertas

Uma coleção de descobertas, entidades e evidências relacionadas que podem se referir ao mesmo evento ou problema de segurança. O Detective gera grupos de descobertas com base em um modelo de machine learning integrado.

Evidência do Detective

O Detective identifica evidências adicionais relacionadas a um grupo de descobertas com base em dados em seu gráfico de comportamento coletados nos últimos 45 dias. Essa evidência é apresentada como uma descoberta com o valor de severidade Informativo. Uma evidência fornece informações de apoio que destacam uma atividade incomum ou um comportamento desconhecido que é potencialmente suspeito quando visto em um grupo de descobertas. Um exemplo disso podem ser geolocalizações recém-observadas ou chamadas de API observadas dentro do escopo de tempo de uma descoberta. No momento, essas descobertas só podem ser visualizadas no Detective e não são enviadas ao Security Hub.

Visão geral da descoberta

Uma única página que fornece um resumo das informações sobre uma descoberta.

A visão geral de uma descoberta contém uma lista de entidades envolvidas na descoberta. Na lista, você pode ir para o perfil de uma entidade.

A visão geral de uma descoberta também contém um painel de detalhes com os atributos da descoberta.

Entidade de alto volume

Uma entidade que tem conexões a ou de um grande número de outras entidades durante um intervalo de tempo. Por exemplo, uma instância do EC2 pode ter conexões a partir de milhões de endereços IP. O número de conexões excede o limite que o Detective pode acomodar.

Quando o escopo de tempo atual contém um intervalo de tempo de alto volume, o Detective notifica o usuário.

Para obter mais informações, consulte Visualizar detalhes de entidades de alto volume no Guia do usuário do Amazon Detective.

Investigação

O processo de triagem de atividades suspeitas ou interessantes, que determina seu escopo, chega à origem ou causa subjacente e, em seguida, determina como proceder.

Conta-membro

E Conta da AWS que uma conta de administrador convidou para contribuir com dados para um gráfico de comportamento. No gráfico de comportamento da organização, uma conta-membro pode ser uma conta da organização que a conta de administrador do Detective habilitou como conta-membro.

As contas-membro convidadas podem responder ao convite para o gráfico de comportamento e remover as próprias contas do gráfico de comportamento. Para ter mais informações, consulte Para contas-membro: gerenciar convites e associações a gráficos de comportamento.

As contas da organização não podem alterar sua associação ao gráfico de comportamento da organização.

Todas as contas-membro também podem visualizar as informações de uso de suas contas nos gráficos de comportamento para os quais contribuem com dados.

Elas não têm outro acesso ao gráfico de comportamento.

Gráfico de comportamento organizacional

O gráfico de comportamento que pertence à conta de administrador do Detective. A conta de gerenciamento da organização designa a conta de administrador do Detective. Para ter mais informações, consulte Designar a conta de administrador do Detective para uma organização.

No gráfico de comportamento da organização, a conta de administrador do Detective controla se uma conta da organização é uma conta-membro. Uma conta da organização não pode se remover do gráfico de comportamento da organização.

A conta de administrador do Detective também pode convidar outras contas para o gráfico de comportamento da organização.

Perfil

Uma única página que fornece uma coleção de visualizações de dados relacionadas à atividade de uma entidade.

Para descobertas, os perfis ajudam os analistas a determinarem se a descoberta é uma preocupação genuína ou um falso positivo.

Os perfis fornecem informações para apoiar uma investigação sobre uma descoberta ou para uma busca geral por atividades suspeitas.

Painel de perfil

Uma única visualização em um perfil. Cada painel de perfil tem como objetivo ajudar a responder uma pergunta ou perguntas específicas para auxiliar um analista em uma investigação.

Os painéis de perfil podem conter pares de valores-chave, tabelas, cronogramas, gráficos de barras ou gráficos de geolocalização.

Relacionamento

Atividade que ocorre entre entidades individuais. Os relacionamentos também são extraídos dos dados de origem recebidos.

Semelhante a uma entidade, um relacionamento tem um tipo, que identifica os tipos de entidades envolvidas e a direção da conexão. Um exemplo de tipo de relacionamento é um endereço IP conectado a uma instância do Amazon EC2.

Escopo de tempo

A janela de tempo usada para definir o escopo dos dados exibidos nos perfis.

O escopo de tempo padrão de uma descoberta reflete a primeira e a última vez em que a atividade suspeita foi observada.

O escopo de tempo padrão do perfil de uma entidade são as 24 horas anteriores.