透過 URL 導覽至實體設定檔或調查結果概觀 - Amazon Detective
設定檔 URL 的格式URL 疑難排解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 URL 導覽至實體設定檔或調查結果概觀

若要導覽至實體設定檔或在 Amazon Detective 中的調查結果概觀,您可以使用提供直接連結的 URL。URL 可識別調查結果或實體。它也可以指定要在設定檔上使用的範圍時間。Detective 可保存長達一年的歷史事件資料。

設定檔 URL 的格式

注意

如果您使用舊版 URL 格式,Detective 會自動重新導向至新 URL。舊版 URL 格式為:

https://console.aws.amazon.com/detective/home?region=Region#type/namespace/instanceID?parameters

設定檔 URL 的新版格式如下:

  • 針對實體:https://console.aws.amazon.com/detective/home?region=Region#entities/namespace/instanceID?parameters

  • 針對調查結果:https://console.aws.amazon.com/detective/home?region=Region#findings/instanceID?parameters

URL 需要以下值。

區域

您希望使用的區域。

type

您要導覽設定檔的項目類型。

  • entities:表示您正在瀏覽至實體設定檔

  • findings:表示您正在瀏覽至調查結果概觀

命名空間

針對實體,命名空間是實體類型的名稱。

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

instanceID

調查結果或實體的執行個體識別符。

  • 針對發 GuardDuty 現項目,尋 GuardDuty 找項目識別碼。

  • 對於 AWS 帳戶,則為帳戶 ID。

  • 若為 AWS 角色和使用者,則為角色或使用者的主參與者識別碼。

  • 若為聯合身分使用者,則為聯合身分使用者的主體 ID。主體 ID 為 <identityProvider>:<username><identityProvider>:<audience>:<username>

  • 針對 IP 地址,則為 IP 地址。

  • 針對使用者代理程式,則為使用者代理程式名稱。

  • 針對 EC2 執行個體,則為執行個體 ID。

  • 針對角色工作階段,則為角色工作階段識別符。工作階段識別符使用格式 <rolePrincipalID>:<sessionName>

  • 針對 S3 儲存貯體,則為儲存貯體名稱。

  • 例如 FindingGroups,一個 UUID。例如,ca6104bc-a315-4b15-bf88-1c1e60998f83

  • 針對 EKS 資源,使用以下格式:

    • EKS 叢集:<clusterName>~<accountId>~EKS

    • 庫伯尼特斯莢:〜〜〜 EKS <podUid><clusterName><accountId>

    • Kubernetes 主體:<subjectName>~<clusterName>~<accountId>

    • 容器映像:<registry>/<repository>:<tag>@<digest>

調查結果或實體必須與行為圖表中已啟用的帳戶相關聯。

URL 也可以包含以下選用參數,用於設定範圍時間。如需範圍時間及其在設定檔上使用方式的詳細資訊,請參閱 管理範圍時間

scopeStart

在設定檔上使用的範圍時間的開始時間。開始時間必須在過去 365 天內。

該值是紀元時間戳記。

如果您提供了開始時間,但未提供結束時間,則範圍時間會在目前時間結束。

scopeEnd

在設定檔上使用的範圍時間的結束時間。

該值是紀元時間戳記。

如果您提供了結束時間,但未提供開始時間,則範圍時間會包含結束時間之前的所有時間。

如果您未指定範圍時間,則系統會使用預設的範圍時間。

  • 針對調查結果,預設範圍時間會使用觀察到調查結果活動的首次和末次時間。

  • 針對實體,預設範圍時間為前 24 小時。

以下是 Detective URL 的範例:

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

該範例 URL 提供以下指示。

  • 顯示 IP 地址 192.168.1 的實體設定檔。

  • 使用 2019 年 3 月 18 日星期一上午 12:00:00 GMT 開始至 2019 年 3 月 18 日星期一下午 12:00:00 GMT 結束的範圍時間。

URL 疑難排解

如果 URL 未顯示預期的設定檔,請先檢查 URL 是否使用了正確的格式,以及您是否提供了正確的值。

  • 您是否使用了正確的 URL (findingsentities)?

  • 您是否指定了正確的命名空間?

  • 您是否提供了正確的識別符?

如果值正確,則還可以檢查以下內容。

  • 調查結果或實體是否屬於行為圖表中已啟用的成員帳戶? 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表,則行為圖表不會包含該帳戶的資料。

    如果受邀成員帳戶不接受邀請,則行為圖表不會包含該帳戶的資料。

  • 針對某一調查結果,是否對其封存? Detective 沒有收到來自 Amazon 的存檔調查結果 GuardDuty。

  • 在 Detective 開始將資料擷取至行為圖表之前,該调查結果或實體是否已出现? 如果 Detective 所擷取的資料中無調查結果或實體,則行為圖表不會包含該調查結果的資料。

  • 調查結果或實體是否來自正確區域? 每個行為圖表都針對一個區域。行為圖表不包含來自其他區域的資料。