Visualizar detalhes de entidades de alto volume

No gráfico de comportamento, o Amazon Detective rastreia os relacionamentos entre entidades. Por exemplo, cada gráfico de comportamento rastreia quando um AWS usuário cria uma AWS função e quando uma instância do EC2 se conecta a um endereço IP.

Quando uma entidade tem muitos relacionamentos durante um período de tempo, o Detective não pode armazenar todos os relacionamentos. Quando isso ocorre durante o escopo de tempo atual, o Detective notifica você. O Detective também fornece uma lista de ocorrências de entidades de alto volume.

O que é uma entidade de alto volume?

Durante um determinado intervalo de tempo, uma entidade pode ser a origem ou o destino de um número extremamente grande de conexões. Por exemplo, uma instância do EC2 pode ter conexões a partir de milhões de endereços IP.

O Detective mantém um limite no número de conexões que ele pode acomodar durante cada intervalo de tempo. Se uma entidade exceder esse limite, o Detective descarta as conexões desse intervalo de tempo.

Por exemplo, suponha que o limite seja de 100.000.000 de conexões por intervalo de tempo. Se uma instância do EC2 for conectada a mais de 100.000.000 de endereços IP durante um intervalo de tempo, o Detective descartará as conexões desse intervalo de tempo.

No entanto, talvez você consiga analisar essa atividade com base na entidade do outro lado do relacionamento. Para continuar o exemplo, embora uma instância do EC2 possa estar conectada a partir de milhões de endereços IP, um único endereço IP se conecta a muito menos instâncias do EC2. Cada perfil de endereço IP fornece detalhes sobre as instâncias do EC2 às quais o endereço IP está conectado.

Visualizar a notificação de entidade de alto volume em um perfil

O Detective exibe um aviso na parte superior de uma descoberta ou de um perfil de entidade se o escopo de tempo incluir um intervalo de tempo em que a entidade tiver alto volume. Para os perfis de descobertas, o aviso é para a entidade envolvida.

O aviso inclui a lista de relacionamentos com intervalos de tempo de alto volume. Cada entrada da lista contém uma descrição do relacionamento e o início do intervalo de tempo de alto volume.

Um intervalo de tempo de alto volume pode ser um indicador de atividade suspeita. Para entender quais outras atividades ocorreram ao mesmo tempo, você pode concentrar sua investigação em um intervalo de tempo de alto volume. O aviso de entidade de alto volume inclui uma opção para definir o escopo de tempo para esse intervalo de tempo.

Para definir o escopo de tempo para um intervalo de tempo de alto volume

1. No aviso de entidade de alto volume, escolha o intervalo de tempo.

2. No menu pop-up, escolha Aplicar escopo de tempo.

Visualizar a lista de entidades de alto volume para o escopo de tempo atual

A página Entidades de alto volume contém uma lista de intervalos de tempo e entidades de alto volume durante o escopo de tempo atual.

Para exibir a página de entidades de alto volume

1. Abra o console do Amazon Detective em https://console.aws.amazon.com/detective/.

2. No painel de navegação do Detective, escolha Entidades de alto volume.

Cada item da lista contém as seguintes informações:

• O início do intervalo de tempo de alto volume

• O identificador e o tipo de entidade

• A descrição do relacionamento, tal como “instância do EC2 conectada a partir do endereço IP”

É possível filtrar e ordenar a lista por qualquer uma das colunas. Você também pode navegar até o perfil da entidade envolvida.

Para navegar até o perfil de uma entidade

1. Na lista de Entidades de alto volume, escolha a linha a partir da qual navegar.

2. Escolha Visualizar perfil com escopo de tempo de alto volume.

Quando você usa essa opção para navegar até o perfil de uma entidade, o escopo de tempo é definido da seguinte forma:

• O escopo de tempo começa 30 dias antes do intervalo de tempo de alto volume.

• O escopo de tempo termina no final do intervalo de tempo de alto volume.