使用网址导航到实体配置文件或调查发现概述 - Amazon Detective
配置文件网址的格式对网址故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用网址导航到实体配置文件或调查发现概述

要导航到 Amazon Detective 中的实体配置文件或调查发现概述,您可以使用提供直接链接的网址。网址可标识调查发现或实体。它还可以指定在配置文件上使用的范围时间。Detective 最多可保存一年的历史事件数据。

配置文件网址的格式

注意

如果您使用的是旧网址格式,Detective 会自动重定向到新网址。网址的旧格式是:

https://console.aws.amazon.com/detective/home?region=Region#type/namespace/instanceID?parameters

配置文件网址的新格式如下:

  • 对于实体 - https://console.aws.amazon.com/detective/home?region=Region#entities/namespace/instanceID?parameters

  • 对于调查发现 - https://console.aws.amazon.com/detective/home?region=Region#findings/instanceID?parameters

网址需要以下值。

区域

您要使用的区域。

类型

您要导航到的配置文件的项目类型。

  • entities - 表示您正在导航到实体配置文件

  • findings - 表示您正在导航到调查发现概述

命名空间

对于实体,命名空间是实体类型的名称。

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

instanceID

调查发现或实体的实例标识符。

  • 对于 GuardDuty 查找结果,为查找 GuardDuty 结果标识符。

  • 对于 AWS 账户,为账户 ID。

  • 对于 AWS 角色和用户,是角色或用户的委托人 ID。

  • 对于联合用户,即联合用户的主体 ID。主体 ID 为 <identityProvider>:<username><identityProvider>:<audience>:<username>

  • 对于 IP 地址,即 IP 地址。

  • 对于用户代理,即用户代理名称。

  • 对于 EC2 实例,即实例 ID。

  • 对于角色会话,即会话标识符。会话标识符使用格式 <rolePrincipalID>:<sessionName>

  • 对于 S3 存储桶,即存储桶名称。

  • 对于 FindingGroups,一个 UUID。例如,ca6104bc-a315-4b15-bf88-1c1e60998f83

  • 对于 EKS 资源,请使用以下格式:

    • EKS 集群:<clusterName>~<accountId>~EKS

    • Kubernetes Pod:~~~EKS <podUid><clusterName><accountId>

    • Kubernetes 主题:<subjectName>~<clusterName>~<accountId>

    • 容器映像:<registry>/<repository>:<tag>@<digest>

调查发现或实体必须与行为图中已启用的账户相关联。

网址还可以包含以下可选参数,用于设置范围时间。有关范围时间以及其如何在配置文件中使用的更多信息,请参阅管理范围时间

scopeStart

在配置文件中使用的范围时间的开始时间。开始时间必须在过去 365 天内。

该值是事件时间戳。

如果您提供了开始时间,但没有提供结束时间,则范围时间将在当前时间结束。

scopeEnd

在配置文件中使用的范围时间的结束时间。

该值是事件时间戳。

如果您提供了结束时间,但没有提供开始时间,则范围时间包括结束时间之前的所有时间。

如果您未指定范围时间,则使用默认的范围时间。

  • 对于调查发现,默认范围时间使用观察到调查发现活动的第一次和最后一次时间。

  • 对于实体,默认范围时间是前 24 小时。

以下是 Detective 网址示例:

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

该示例网址提供了以下说明。

  • 显示 IP 地址 192.168.1 的实体配置文件。

  • 使用从 GMT 2019 年 3 月 18 日(星期一)上午 12:00:00 开始,到 GMT 2019 年 3 月 18 日(星期一)下午 12:00:00 结束的范围时间。

对网址故障排除

如果网址未显示预期配置文件,请首先检查网址是否使用了正确的格式,以及提供的值是否正确。

  • 是否使用了正确的网址(findingsentities)?

  • 是否指定了正确的命名空间?

  • 是否提供了正确的标识符?

如果数值正确,您还可以检查以下内容。

  • 在行为图中,该调查发现或实体是否属于已启用的成员账户? 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。

    如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。

  • 对于调查发现,该调查发现是否存档? Detective 不会收到来自亚马逊的存档调查结果 GuardDuty。

  • 这一调查发现或实体是否发生在 Detective 开始将数据导入行为图之前? 如果 Detective 采集的数据中不存在该调查发现或实体,则行为图中就不包含相关数据。

  • 调查发现或实体是否来自正确的区域? 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。