行为图中使用的源数据 - Amazon Detective
Detective 中的核心数据来源类型Detective 中可选数据来源的类型Detective 如何摄取和存储源数据Detective 如何执行行为图的数据量配额

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

行为图中使用的源数据

要填充行为图,Amazon Detective 会使用来自行为图管理员账户和成员账户的源数据。

使用 Detective,您最多可以访问一年的历史事件数据。这些数据可通过一组可视化图表显示,在选定的时间窗口内,活动的类型和数量发生了变化。Detective 将这些变化与 GuardDuty 调查结果联系起来。

该图显示了行为图如何使用管理员账户和成员账户的数据,以及如何使用行为图数据结构。

有关行为图数据结构的详细信息,请参阅《Detective 用户指南》中的行为图数据结构概述

Detective 中的核心数据来源类型

Detective 从以下类型的 AWS 日志中提取数据:

  • AWS CloudTrail 日志

  • Amazon Virtual Private Cloud (Amazon VPC) 流日志

    • 同时提取 IPv4 和 IPv6 记录,但不提取弹性结构适配器生成的 MAC 记录。

    • log-status字段的值处于OK状态时提取日志记录。有关更多信息,请参阅 Amazon VPC 用户指南中的流日志记录

    • 仅提取在那些 VPC 中运行的 Amazon 弹性计算云实例生成的流日志。不使用其他资源,例如 NAT 网关、RDS 实例或 Fargate 集群。

    • 提取已接受和已拒绝的流量。

  • 对于注册的账户,Detective 还会摄取 GuardDuty 调查结果。 GuardDuty

Detective 使用独立 CloudTrail 和重复的流和 VPC 流日志和 VPC 流日志来消耗和 CloudTrail VPC 流日志事件。这些流程不会影响或使用您的现有 CloudTrail 和 VPC 流日志配置。它们也不会影响这些服务的性能或增加费用。

Detective 中可选数据来源的类型

除了 Detective 核心包中提供的三个数据源(核心包包括 AWS CloudTrail 日志、VPC 流日志和 GuardDuty调查结果)外,Detective 还提供可选的源包。可随时启动或停止行为图的可选数据来源包。

Detective 为每个区域的所有核心和可选源包提供 30 天的免费试用。

注意

Detective 会保留从每个数据来源包收到的所有数据,最多保留 1 年。

目前提供以下可选源包:

  • EKS 审计日志

    该可选的数据来源包允许 Detective 摄取环境中 EKS 集群的详细信息,并将这些数据添加到行为图中。Detective 将用户活动与 AWS CloudTrail 管理事件关联起来,将网络活动与 Amazon VPC 流日志关联起来,无需您手动启用或存储这些日志。有关详细信息,请参阅 Detective 的 Amazon EKS 审计日志

  • AWS 安全发现

    该可选数据来源包允许 Detective 从 Security Hub 获取数据,并将这些数据添加到行为图中。有关详细信息,请参阅 AWS 安全发现

启动或停止可选数据来源:

  1. 打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/

  2. 设置下的导航面板选择常规

  3. 可选源包下,选择更新。然后选择要启用的数据来源,或取消选择已启用数据来源的复选框,并选择更新来更改已启用的数据来源包。

注意

如果停止并重新启动可选数据来源,某些实体配置文件上显示的数据会出现空白。控制台显示屏上将显示这一空白,代表数据来源停止的时间段。重新启动数据来源时,Detective 不会追溯摄取数据。

Detective 如何摄取和存储源数据

启用 Detective 后,Detective 会开始从行为图管理员账户摄取源数据。当成员账户被添加到行为图中时,Detective 也开始使用来自这些成员账户的数据。

Detective 源数据由结构化和经过处理的原始信息源版本组成。为了支持 Detective 分析,Detective 会存储 Detective 源数据的副本。

Detective 将流程信息源数据摄取到 Detective 源数据存储中的 Amazon Simple Storage Service (Amazon S3) 存储桶中。当新的源数据到达时,其他 Detective 组件会接收数据并开始提取和分析流程。有关更多信息,请参阅《Detective 用户指南》中的 Detective 如何使用源数据填充行为图

Detective 如何执行行为图的数据量配额

Detective 对每个行为图的数据量都有严格的配额限制。数据量是指每天流入 Detective 行为图的数据量。

当管理员账户启用 Detective 和成员账户接受邀请加入行为图时,Detective 就会执行这些配额。

  • 如果管理员账户每天的数据量超过 10 TB,则管理员账户无法启用 Detective。

  • 如果成员账户增加的数据量会导致行为图每天超过 10 TB,则无法启用该成员账户。

行为图的数据量也可以随着时间的推移而自然增长。Detective 每天都会检查行为图的数据量,确保其不超过配额。

如果行为图数据量接近配额,Detective 会在控制台显示一条警告消息。为避免超出配额,可以删除成员账户。

如果行为图数据量每天超过 10 TB,则无法在行为图中添加新的成员账户。

如果行为图数据量每天超过 15 TB,则 Detective 就会停止向行为图中摄取数据。每天 15 TB 的配额既反映了正常的数据量,也反映了数据量的峰值。达到此配额后,不会向行为图摄取任何新数据,但不会删除现有数据。仍可以使用这些历史数据进行调查。控制台会显示一条消息,说明行为图的数据摄取已暂停。

如果数据采集已暂停,则必须与合作 AWS Support 才能将其重新启用。如果可能,在联系之前 AWS Support,请尝试删除成员帐户,以使数据量低于配额。这样就能更轻松地重新启用行为图的数据摄取。