《侦探管理指南》中的内容现已合并到《侦探用户指南》中。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Detective 如何使用源数据填充行为图
为了为调查提供原始数据,Detective 汇集了来自整个 AWS 环境及其他环境的数据,包括:
-
日志数据,包括亚马逊 Virtual Private Cloud(亚马逊 VPC)和 AWS CloudTrail
-
来自亚马逊的调查结果 GuardDuty
-
调查结果来自 AWS Security Hub
要详细了解行为图中使用的源数据,请参阅行为图中使用的源数据。
Detective 如何处理源数据
随着新数据的出现,Detective 使用提取和分析相结合的方法来填充行为图。
![示意图显示了流入 Detective 的源数据,这些数据被用于填充行为图。](images/diagram_graph_ingest_analytics.png)
Detective 提取
提取根据配置的映射规则进行。映射规则基本上是说:“每当出现这段数据时,就以这种特定的方式使用它来更新行为图数据”。
例如,传入的 Detective 源数据记录可能包含一个 IP 地址。如果有,Detective 会使用该记录中的信息创建新的 IP 地址实体或更新现有的 IP 地址实体。
Detective 分析
分析是一种更复杂的算法,通过分析数据来深入了解与实体关联的活动。
例如,有一种 Detective 分析通过运行算法来分析活动发生的频率。对于发出 API 调用的实体,该算法会查找该实体通常不会使用的 API 调用。该算法还会查找 API 调用次数的大幅峰值。
分析见解通过为分析师的关键问题提供答案来支持调查,并且经常用于填充调查发现和实体配置文件面板。