行為圖表中使用的來源資料 - Amazon Detective
Detective 中核心資料來源的類型Detective 中選用的資料來源的類型Detective 如何擷取和儲存來源資料Detective 如何強制執行行為圖表的資料量配額

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

行為圖表中使用的來源資料

為了填入行為圖表,Amazon Detective 會使用行為圖表管理員帳戶和成員帳戶中的來源資料。

使用 Detective,您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得,視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 將這些更改與 GuardDuty 發現聯繫起來。

顯示行為圖表如何使用管理員帳戶和成員帳戶中的資料以及如何使用行為圖表資料結構的圖表。

如需行為圖表資料結構的相關資訊,請參閱《Detective 使用者指南》中的行為圖表資料結構概觀

Detective 中核心資料來源的類型

Detective 會從下列類型的 AWS 記錄擷取資料:

  • AWS CloudTrail 日誌

  • Amazon Virtual Private Cloud (Amazon VPC) 流程日誌

    • 擷取 IPv4 和 IPv6 記錄,但不會擷取彈性網狀架構介面卡所產生的 MAC 記錄。

    • log-status欄位的值OK處於狀態時,擷取記錄檔記錄。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的流程記錄

    • 僅擷取在這些 VPC 中執行的 Amazon 彈性運算雲端執行個體所產生的流程日誌。不會使用其他資源,例如 NAT 閘道、RDS 執行個體或 Fargate 叢集。

    • 擷取已接受和拒絕的流量。

  • 對於已註冊的帳戶 GuardDuty,Detective 還會收錄 GuardDuty 調查結果。

Detective 會使用獨立 CloudTrail 且重複的 VPC 流程記錄檔以及 VPC 流程記錄檔來消耗 CloudTrail 和 VPC 流程記錄事件。這些程序不會影響或使用您現有 CloudTrail 的 VPC 流程記錄組態。它們也不會影響此類服務的效能或增加成本。

Detective 中選用的資料來源的類型

Detective 除 Detective 核心套件中提供的三個資料來源之外,還提供選用的原始碼套件 (核心套件包括 AWS CloudTrail 記錄檔、VPC 流程記錄和 GuardDuty發現項目)。您可以隨時為行為圖表啟動或停止選用的資料來源套件。

Detective 為每個區域的所有核心和選用的來源套件提供 30 天免費試用。

注意

Detective 會將從每個資料來源套件收到的所有資料保留最多 1 年。

目前有以下選用的來源套件可供使用:

  • EKS 稽核日誌

    透過該選用資料來源套件,Detective 可擷取環境中 EKS 叢集的詳細資訊,並將該資料新增至您的行為圖表。Detective 可將使用者活動與 AWS CloudTrail 管理事件和網路活動與 Amazon VPC 流程日誌建立關聯,而不需要您手動啟用或存放這些日誌。如需詳細資訊,請參閱 針對 Detective 的 Amazon EKS 審核日誌

  • AWS 安全發現

    透過選用的資料來源套件,Detective 可以從 Security Hub 擷取資料,並將該資料新增至您的行為圖表。如需詳細資訊,請參閱 AWS 安全發現

啟動或停止選用的資料來源:

  1. 前往 https://console.aws.amazon.com/detective/ 開啟 Detective 主控台。

  2. 在導覽窗格中,於設定下選擇一般

  3. 選用的來源套件下,選取更新。然後選取要啟用的資料來源,或取消選取已啟用資料來源的方塊,然後選擇更新以變更啟用的資料來源套件。

注意

如果您停止然後重新啟動選用的資料來源,您將在某些實體設定檔上顯示的資料中發現間隙。此間隙將在主控台顯示中註明,代表資料來源停止的時間段。當資料來源重新啟動時,Detective 不會追溯擷取資料。

Detective 如何擷取和儲存來源資料

啟用 Detective 後,Detective 會開始從行為圖表管理員帳戶擷取來源資料。當成員帳戶新增至行為圖表時,Detective 也會開始使用此類成員帳戶中的資料。

Detective 來源資料包含原始摘要的結構化和處理版本。為了支援 Detective 分析,Detective 會儲存 Detective 來源資料的副本。

Detective 擷取程序會將資料饋送至 Detective 來源資料存放區中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。當新來源資料到達時,其他 Detective 元件會接收資料,並開始擷取和分析程序。如需詳細資訊,請參閱《Detective 使用者指南》中的 Detective 如何使用來源資料填入行為圖表

Detective 如何強制執行行為圖表的資料量配額

Detective 在每個行為圖表中允許的資料量都有嚴格的配額。資料量指每天流入 Detective 行為圖表的資料量。

當管理員帳戶啟用 Detective,以及成員帳戶接受邀請以提供行為圖表時,Detective 會強制執行此類配額。

  • 如果管理員帳戶的資料量每天超過 10 TB,則管理員帳戶無法啟用 Detective。

  • 如果從成員帳戶新增的資料量會導致行為圖表每天超過 10 TB,則無法啟用該成員帳戶。

行為圖表的資料量也會隨著時間的推移自然增加。Detective 會每天檢查行為圖表資料量,以確保它不會超過配額。

如果行為圖表資料量接近配額,Detective 會在主控台上顯示警告訊息。為避免超出配額,您可以移除成員帳戶。

如果行為圖表資料量每天超過 10 TB,則您無法將新成員帳戶新增至行為圖表。

如果行為圖表資料量每天超過 15 TB,則 Detective 就會停止將資料擷取至行為圖表中。每天 15 TB 的配額反映正常資料量和資料量峰值。達到此配額時,系統不會在行為圖表中擷取任何新資料,但不會移除現有資料。您仍然可以使用該歷史資料進行調查。主控台會顯示訊息,指出行為圖表的資料擷取已暫停。

如果資料擷取已暫停,您必須使用 AWS Support 以重新啟用資料。如果可能,在您聯絡之前 AWS Support,請嘗試移除成員帳戶,讓資料磁碟區低於配額。此舉可以簡化重新啟用行為圖表的資料擷取程序。