Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Analysieren von Entitäten in Amazon Detective
<a name="entity-profiles"></a>

Eine Entität ist ein einzelnes Objekt, das aus den Quelldaten extrahiert wurde. Beispiele hierfür sind eine bestimmte IP-Adresse, eine EC2 Amazon-Instance oder AWS ein Konto. Eine Liste der Entitätstypen finden Sie unter [Arten von Entitäten in der Datenstruktur des Verhaltensdiagramms](graph-data-structure-overview.md#entity-types).

Ein Amazon-Detective-Entitätsprofil ist eine einzelne Seite, die detaillierte Informationen über die Entität und ihre Aktivitäten enthält. Sie können ein Entitätsprofil verwenden, um unterstützende Informationen für eine Untersuchung einer Erkenntnis oder im Rahmen einer allgemeinen Suche nach verdächtigen Aktivitäten zu erhalten.

**Topics**
+ [Verwenden von Entitätsprofilen](using-entity-profiles.md)
+ [Profilfenster von Detective anzeigen und mit ihnen interagieren](profile-panels.md)
+ [Direkt zu einem Entitätsprofil navigieren oder eine Übersicht finden](navigate-to-profile.md)
+ [Von einem Profilbereich zu einer anderen Konsole wechseln](profile-panel-console-links.md)
+ [Erkunden von Aktivitätsdetails in einem Profilbereich](profile-panel-drilldown.md)
+ [Verwaltung des Zeitbereichs](scope-time-managing.md)
+ [Details zu zugehörigen Ergebnissen in Detective anzeigen](entity-finding-list.md)
+ [Details für Entitäten mit hohem Volumen in Detective anzeigen](high-volume-entities.md)

# Verwenden von Entitätsprofilen
<a name="using-entity-profiles"></a>

Ein Entitätsprofil wird angezeigt, wenn Sie eine der folgenden Aktionen ausführen:
+ Wählen Sie in der GuardDuty Amazon-Konsole die Option, um eine Entität zu untersuchen, die mit einem ausgewählten Ergebnis zusammenhängt.

  Siehe [Zu einem Entitätsprofil wechseln oder eine Übersicht von Amazon GuardDuty suchen oder AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).
+ Gehen Sie zur Detective-URL für das Entitätsprofil.

  Siehe [Navigation zu einem Entitätsprofil oder Übersichtssuche mithilfe einer URL](navigate-to-profile.md#profile-navigate-url).
+ Verwenden Sie die Detective-Suche in der Detective-Konsole, um nach einer Entität zu suchen.
+ Wählen Sie einen Link zum Entitätsprofil aus einem anderen Entitätsprofil oder aus einer Erkenntnisübersicht.

## Geltungsbereich eines Entitätsprofils
<a name="entity-profile-scope-time"></a>

Wenn Sie direkt zu einem Entitätsprofil navigieren, ohne den Zeitbereich anzugeben, wird die Geltungsdauer auf die letzten 24 Stunden festgelegt.

Wenn Sie von einem anderen Entitätsprofil zu einem Entitätsprofil navigieren, bleibt die aktuell ausgewählte Gültigkeitsdauer erhalten.

Wenn Sie von einer Erkenntnisübersicht aus zu einem Entitätsprofil navigieren, wird die Gültigkeitsdauer auf das Suchzeitfenster festgelegt.

Informationen zur Anpassung der Gültigkeitsdauer zur Begrenzung der in Entitätsprofilen angezeigten Daten finden Sie unter [Verwaltung der Gültigkeitsdauer](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).

## Kennung und Typ der Entität
<a name="entity-identifier-type"></a>

Oben im Profil befinden sich die Entitäts-ID und der Entitätstyp. Jeder Entitätstyp hat ein entsprechendes Symbol, das einen visuellen Hinweis auf den Profiltyp bietet.

## Involvierte Erkenntnisse
<a name="entity-profile-associated-findings"></a>

Jedes Profil enthält eine Liste der Erkenntnisse, an denen das Unternehmen während des Berichtszeitraums beteiligt war.

Sie können die Details für jede Erkenntnis einsehen, den Zeitrahmen für den Umfang ändern, sodass er dem Zeitfenster für die Erkenntnisse entspricht, und in der Erkenntnisübersicht nach anderen beteiligten Ressourcen suchen.

Siehe [Details zu zugehörigen Ergebnissen in Detective anzeigen](entity-finding-list.md).

## Erkenntnisgruppen, an denen diese Entität beteiligt ist
<a name="entity-profile-associated-finding-group"></a>

Jedes Profil enthält eine Liste von Erkenntnisgruppen, in denen eine Entität enthalten ist.

Eine Erkenntnisgruppe besteht aus Erkenntnissen, Entitäten und Beweisen, die Detective zu einer Gruppe zusammenfasst, um mehr Kontext zu möglichen Sicherheitsproblemen bereitzustellen.

Weitere Informationen zu Gruppen finden Sie unter [Erkenntnisgruppen analysieren](groups-about.md).

## Profilbereich mit Entitätsdetails und Analyseergebnissen
<a name="entity-profile-panels"></a>

Jedes Entitätsprofil enthält mindestens eine Gruppe von einer oder mehreren Registerkarten. Jede Registerkarte enthält mindestens ein Profilbereich. Jeder Profilbereich enthält Text und Visualisierungen, die aus den Verhaltensdiagrammdaten generiert werden. Die spezifischen Registerkarten und Profilbereich sind auf den Entitätstyp zugeschnitten.

Bei den meisten Entitäten bietet der Bereich oben auf der ersten Registerkarte allgemeine zusammenfassende Informationen über die Entität.

In anderen Profilbereichen werden verschiedene Arten von Aktivitäten hervorgehoben. Für ein Unternehmen, das an einer Erkenntnis beteiligt ist, können die Informationen in den Profilbereichen der Entität zusätzliche Belege für den Abschluss einer Untersuchung liefern. Jeder Profilbereich bietet Zugang zu Anleitungen zur Verwendung der Informationen. Weitere Informationen finden Sie unter [Verwendung von Anleitungen durch den Profilbereich während einer Untersuchung](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance). 

Weitere Informationen zu den Profilbereichen, den darin enthaltenen Datentypen und den verfügbaren Optionen für die Interaktion mit ihnen finden Sie unter [Profilfenster von Detective anzeigen und mit ihnen interagieren](profile-panels.md).

## In einem Entitätsprofil navigieren
<a name="profile-navigating"></a>

Ein Entitätsprofil umfasst einen Satz von einer oder mehreren Registerkarten. Jede Registerkarte enthält mindestens ein Profilbereich. Jeder Profilbereich enthält Text und Visualisierungen, die aus den Verhaltensdiagrammdaten generiert werden.

Wenn Sie durch eine Profilregisterkarte nach unten scrollen, bleiben die folgenden Informationen oben im Profil sichtbar:
+ Entitätstyp
+ Entitäts-ID
+ Bereichsname

![\[Profilüberschrift mit dem Menü der verfügbaren Registerkarten.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_header_tab_menu.png)


# Profilfenster von Detective anzeigen und mit ihnen interagieren
<a name="profile-panels"></a>

Jedes Entitätsprofil auf der Amazon-Detective-Konsole besteht aus einer Reihe von Profilbereichen. Ein Profilbereich ist eine Visualisierung, die allgemeine Details enthält oder bestimmte Aktivitäten hervorhebt, die mit einer Entität verbunden sind. In Profilbereichen werden verschiedene Arten von Visualisierungen verwendet, um verschiedene Arten von Informationen darzustellen. Sie können auch Links zu zusätzlichen Details oder zu anderen Profilen enthalten.

Jeder Profilbereich soll Analysten dabei helfen, Antworten auf spezifische Fragen zu Unternehmen und den damit verbundenen Aktivitäten zu finden. Anhand der Antworten auf diese Fragen lässt sich schlussfolgern, ob die Aktivität eine echte Bedrohung darstellt.

In Profilbereichen werden verschiedene Arten von Visualisierungen verwendet, um verschiedene Arten von Informationen darzustellen.

## Arten von Informationen in einem Profilbereich
<a name="profile-panel-data-types"></a>

Profilbereiche enthalten in der Regel die folgenden Datentypen.


|  Datentyp des Bereichs  |  Beschreibung  | 
| --- | --- | 
|  Allgemeine Informationen zu einer Erkenntnis oder Entität  |  Der einfachste Bereichstyp bietet einige grundlegende Informationen zu einer Entität. Zu den in einem Informationsbereich enthaltenen Informationen gehören beispielsweise die Kennung, der Name, der Typ und das Erstellungsdatum. ![\[Beispiel für einen Profilbereich, der allgemeine Informationen über eine Entität enthält.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_item_details.png) Die meisten Entitätsprofile enthalten einen Informationsbereich für diese Entität.  | 
|  Allgemeine Übersicht der Aktivitäten im Laufe der Zeit  |  Zeigt eine Übersicht der Aktivitäten einer Entität im Zeitverlauf an. Diese Art von Bereich bietet einen Gesamtüberblick darüber, wie sich eine Entität während des Zeitbereichs verhält. ![\[Beispiel für einen Profilbereich, das einen Überblick über die Aktivitäten einer Entität im Zeitverlauf enthält.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) Hier finden Sie einige Beispiele für zusammenfassende Daten, die in den Profilbereichen von Detective bereitgestellt werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/profile-panels.html)  | 
|  Übersicht der Aktivitäten, gruppiert nach Werten  |  Zeigt eine Übersicht der Aktivitäten für eine Entität an, gruppiert nach bestimmten Werten. Sie können diese Art von Profilfenster im Profil einer EC2 Instanz sehen. Im Profilbereich wird das durchschnittliche Volumen der VPC Datenflüsse zu und von einer EC2 Instanz für allgemeine Ports angezeigt, die bestimmten Arten von Diensten zugeordnet sind. ![\[Beispiel für einen Profilbereich mit einer Übersicht der Aktivitäten, gruppiert nach bestimmten Werten.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png)  | 
|  Aktivität, die erst während des Zeitbereichs gestartet wurde  |  Während einer Untersuchung ist es wichtig zu sehen, welche Aktivität erst in einem bestimmten Zeitraum stattgefunden hat. Gibt es beispielsweise API Anrufe, geografische Standorte oder Benutzeragenten, die zuvor noch nicht gesehen wurden? ![\[Beispiel für einen Profilbereich, in dem Aktivitäten hervorgehoben werden, die vor dem Zeitbereich nicht beobachtet wurden.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) Befindet sich das Verhaltensdiagramm noch im Trainingsmodus, zeigt der Profilbereich eine Benachrichtigung an. Die Meldung wird entfernt, wenn das Verhaltensdiagramm Daten für mindestens zwei Wochen gesammelt hat. Weitere Informationen zum Trainingsmodus finden Sie unter [Einarbeitungszeit für neue Verhaltensdiagramme von Detektiven](detective-data-training-period.md).  | 
|  Aktivität, die sich während des Gültigkeitszeitraums erheblich geändert hat  |  Ähnlich wie in den neuen Aktivitätsbereiche können auch in Profilbereichen Aktivitäten angezeigt werden, die sich während des Gültigkeitszeitraums erheblich geändert haben. Zum Beispiel könnte ein Benutzer regelmäßig ein paar Mal pro Woche einen bestimmten API Anruf tätigen. Wenn derselbe Benutzer plötzlich mehrmals an einem Tag denselben Aufruf tätigt, kann dies ein Hinweis auf böswillige Aktivitäten sein. ![\[Beispiel für einen Profilbereich, in dem Aktivitäten angezeigt werden, die sich während des Gültigkeitszeitraums erheblich geändert haben.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) Befindet sich das Verhaltensdiagramm noch im Trainingsmodus, zeigt der Profilbereich eine Benachrichtigung an. Die Meldung wird entfernt, wenn das Verhaltensdiagramm Daten für mindestens zwei Wochen gesammelt hat. Weitere Informationen zum Trainingsmodus finden Sie unter [Einarbeitungszeit für neue Verhaltensdiagramme von Detektiven](detective-data-training-period.md).  | 

# Arten von Visualisierungen in Profilbereichen
<a name="profile-panel-display-types"></a>

Der Inhalt des Profilbereichs kann eine der folgenden Formen annehmen.


|  Art der Visualisierung  |  Beschreibung  | 
| --- | --- | 
|  Schlüssel-Wert-Paare  |  Die einfachste Art der Visualisierung ist eine Reihe von Schlüssel-Wert-Paaren. Ein Feld mit Befund- oder Entitätsinformationen ist das gängigste Beispiel für einen Schlüssel-Wert-Paar-Bereich. ![\[Beispiel für einen Profilbereich mit Schlüssel-Wert-Paaren.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_key_value.png) Schlüssel-Wert-Paare können auch verwendet werden, um zusätzliche Informationen zu anderen Bereichstypen hinzuzufügen. Wenn es sich bei einem Wert um einen Kennzeichner einer Entität handelt, können Sie in einem Bereich mit Schlüssel-Wert-Paaren zu ihrem Profil wechseln.  | 
|  Tabelle  |  Eine Tabelle ist eine einfache mehrspaltige Liste von Elementen. ![\[Beispiel für einen Profilbereich mit einer einfachen Tabelle.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_table.png) Sie können die Tabelle sortieren, filtern und durchblättern. Sie können die Anzahl der Einträge ändern, die auf jeder Seite angezeigt werden sollen. Siehe [Festlegen der Einstellungen für einen Profilbereich](profile-panel-preferences.md). Wenn ein Wert in der Tabelle ein Bezeichner einer Entität ist, können Sie zu ihrem Profil wechseln.  | 
|  Zeitplan  |  Eine Zeitleistenvisualisierung zeigt einen aggregierten Wert für definierte Intervalle im Zeitverlauf. ![\[Beispiel für einen Profilbereich mit Zeitleisten.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_timeline.png) In der Zeitleiste wird der aktuelle Zeitbereich hervorgehoben und zusätzliche Peripheriezeit vor und nach der Gültigkeitsdauer berücksichtigt. Die Peripheriezeit bietet den Kontext für die Aktivität im Zeitbereich. Zeigen Sie mit der Maus auf ein Zeitintervall, um eine Übersicht der Daten für dieses Zeitintervall anzuzeigen.  | 
|  Erweiterbare Tabelle  |  Eine erweiterbare Tabelle kombiniert Tabellen und Zeitleisten. ![\[Beispiel für einen Profilbereich mit einer erweiterbaren Tabelle.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) Die Visualisierung beginnt als Tabelle. Sie können die Tabelle sortieren, filtern und durchblättern. Sie können die Anzahl der Einträge ändern, die auf jeder Seite angezeigt werden sollen. Siehe [Festlegen der Einstellungen für einen Profilbereich](profile-panel-preferences.md). Sie können dann jede Zeile erweitern, um eine für diese Zeile spezifische Zeitleistenvisualisierung anzuzeigen.  | 
|  Balkendiagramm  |  Ein Balkendiagramm zeigt Werte, die auf Gruppierungen basieren. Je nach Diagramm können Sie einen Balken auswählen, um eine Zeitleiste verwandter Aktivitäten anzuzeigen. ![\[Beispiel für einen Profilbereich mit einem Balkendiagramm.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_bar_chart.png)  | 
|  Geolokalisierungsdiagramm  |  In einem Geolokalisierungsdiagramm wird eine Karte angezeigt, die so gekennzeichnet ist, dass Daten anhand der geografischen Position hervorgehoben werden. Darauf kann eine Tabelle mit Details zu einzelnen Geolocations folgen. ![\[Beispiel für einen Profilbereich mit einem Geolocation-Diagramm.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_geolocation.png) Beachten Sie, dass Detective bei der Verarbeitung eingehender geografischer Daten die Breiten- und Längengrade auf eine einzige Dezimalstelle rundet.  | 

## Hinweise zum Inhalt des Profilfensters
<a name="profile-panel-other-notes"></a>

Achten Sie beim Anzeigen des Inhalts eines Profilbereichs auf Folgendes:

****Warnung vor ungefähren Zähldaten****  
Diese Warnung weist darauf hin, dass Elemente mit extrem niedriger Anzahl aufgrund der Menge der entsprechenden Daten nicht angezeigt werden.  
Um eine absolut genaue Zählung zu gewährleisten, reduzieren Sie die Datenmenge. Der einfachste Weg, dies zu tun, besteht darin, die Dauer der Datenerhebung zu reduzieren. Siehe [Verwaltung des Zeitbereichs](scope-time-managing.md).

****Rundung für geografische Standorte****  
Detective rundet alle Breiten- und Längengrade auf eine einzige Dezimalstelle ab.

**Änderungen an der Art und Weise, wie Detective API Anrufe darstellt**  
Ab dem 14. Juli 2021 verfolgt Detective den Dienst, der jeden API Anruf getätigt hat. Immer wenn Detective eine API Methode anzeigt, wird auch der zugehörige Dienst angezeigt. In Profilfenstern, in denen Informationen zu API Aufrufen angezeigt werden, sind die Aufrufe immer nach dem Dienst gruppiert. Für Daten, die Detective vor diesem Datum aufgenommen hat, wird der Dienstname als **Unbekannter Dienst** aufgeführt.  
Ebenfalls ab dem 14. Juli 2021 werden in den Aktivitätsdetails für Konten und Rollen im Bereich Profil für das **gesamte API Anrufvolumen** nicht mehr die Daten AKID der Ressource angezeigt, die den Anruf getätigt hat. Für Konten zeigt Detective die ID des Prinzipals (Benutzer oder Rolle) an, der den Aufruf getätigt hat. Für Rollen zeigt Detective die ID der Rollen-Sitzung an. Für Daten, die Detective vor dem 14. Juli 2021 aufgenommen hat, wird der Kennzeichner als **Unbekannte Ressource** aufgeführt.  
Bei Profilfenstern, in denen eine Liste von API Anrufen angezeigt wird, wird in der zugehörigen Zeitleiste der Zeitraum hervorgehoben, in dem dieser Übergang stattgefunden hat. Das Highlight beginnt am 14. Juli 2021 und endet, wenn das Update vollständig in Detective propagiert wurde.

# Festlegen der Einstellungen für einen Profilbereich
<a name="profile-panel-preferences"></a>

Bei Profilfenstern können Sie die Anzahl der Zeilen, die auf jeder Seite in den Profilfenstern angezeigt werden, anpassen und die Einstellung für das Zeitstempelformat konfigurieren.

## Einstellung der Tabellenlänge
<a name="profile-panel-preferences-table"></a>

Für Profilbereiche, die Tabellen oder erweiterbare Tabellen enthalten, können Sie die Anzahl der Zeilen konfigurieren, die auf jeder Seite angezeigt werden sollen. 

Legen Sie Ihre Präferenz für die Anzahl der Einträge auf jeder Seite fest.

1. Öffnen Sie die Amazon Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Wählen Sie im Detective-Navigationsbereich unter **Einstellungen** die Option **Präferenzen** aus.

1. Klicken Sie auf der Seite **Einstellungen** unter **Tabellenlänge** auf **Bearbeiten**. 

1. Wählen Sie die Anzahl der Tabellenzeilen aus, die Sie auf jeder Seite anzeigen möchten.

1. Wählen Sie **Speichern**.

## Festlegen des Zeitstempelformats
<a name="profile-panel-preferences-timestamp"></a>

Für Profilfenster können Sie die Einstellung für das Zeitstempelformat konfigurieren, die auf alle Zeitstempel für jeden IAM Benutzer oder jede IAM Rolle in Detective angewendet wird. 
**Anmerkung**  
Die Einstellung für das Zeitstempelformat wird nicht auf das gesamte Konto angewendet. AWS 

Legen Sie die Präferenz für den Zeitstempel fest.

1. Öffnen Sie die Amazon Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Wählen Sie im Detective-Navigationsbereich unter **Einstellungen** die Option **Präferenzen** aus.

1. Auf der Seite **Einstellungen** können Sie unter **Zeitstempeleinstellungen** die bevorzugte Anzeige für alle Zeitstempel anzeigen und ändern. 

1. Standardmäßig ist das Zeitstempelformat auf UTC eingestellt. Klicken Sie auf **Bearbeiten**, um Ihre lokale Zeitzone auszuwählen.

   Beispiel:  
**Example**  

   UTC- 20.09.22 16:39 UTC

   Lokal - 20.09.2022 9:39 (- 07:00) UTC

1. Wählen Sie **Save (Speichern)** aus.

# Direkt zu einem Entitätsprofil navigieren oder eine Übersicht finden
<a name="navigate-to-profile"></a>

Um direkt zu einem Entitätsprofil zu gelangen oder eine Übersicht in Amazon Detective zu finden, können Sie eine dieser Optionen verwenden.
+ Von Amazon GuardDuty oder AWS Security Hub CSPM aus können Sie von einem GuardDuty Ergebnis zum entsprechenden Findungsprofil von Detective wechseln.
+ Sie können eine Detective-URL zusammenstellen, die eine Erkenntnis oder Entität identifiziert und die zu verwendende Gültigkeitsdauer festlegt.

## Zu einem Entitätsprofil wechseln oder eine Übersicht von Amazon GuardDuty suchen oder AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

Von der GuardDuty Amazon-Konsole aus können Sie zum Entitätsprofil für eine Entität navigieren, die sich auf einen Befund bezieht.

Von den AWS Security Hub CSPM Konsolen GuardDuty und aus können Sie auch zu einer Ergebnisübersicht navigieren. Dort finden Sie auch Links zu den Entitätsprofilen der beteiligten Entitäten.

Diese Links können dazu beitragen, den Untersuchungsprozess zu rationalisieren. Sie können Detective schnell verwenden, um die zugehörige Entitätsaktivität zu sehen und die nächsten Schritte festzulegen. Sie können dann eine Erkenntnis archivieren, falls es sich um eine falsch positive Erkenntnis handelt, oder Sie können das Ausmaß des Problems weiter untersuchen.

### So wechseln Sie zur Amazon-Detective-Konsole
<a name="profile-pivot-how-to"></a>

Die Links zur Untersuchung sind für alle GuardDuty Ergebnisse verfügbar. GuardDuty ermöglicht Ihnen auch die Auswahl, ob Sie zu einem Entitätsprofil oder zur Ergebnisübersicht navigieren möchten.

**Um von der GuardDuty Konsole zu Detective zu wechseln**

1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im linken Navigationsbereich ggf. **Erkenntnisse** aus.

1. Wählen Sie auf der Seite GuardDuty **Ergebnisse** das Ergebnis aus.

   Der Bereich mit den Erkenntnisdetails wird rechts neben der Erkenntnisliste angezeigt.

1. Wählen Sie im Bereich mit den Erkenntnisdetails die Option **In Detective untersuchen**.

   GuardDuty zeigt eine Liste der verfügbaren Elemente an, die in Detective untersucht werden können.

   Die Liste enthält sowohl die zugehörigen Entitäten, wie IP-Adressen oder EC2-Instances, als auch die Erkenntnis.

1. Wählen Sie eine Entität oder Erkenntnis aus.

   Die Detective-Konsole wird in einer neuen Registerkarte geöffnet. In der Konsole wird die Entität oder das Erkenntnisprofil geöffnet.

   Wenn Sie Detective nicht aktiviert haben, wird auf der Konsole eine Landingpage geöffnet, die einen Überblick über Detective bietet. Von dort aus können Sie wählen, ob Sie Detective aktivieren möchten.

**So wechseln Sie von der Security Hub CSPM-Konsole zu Detective**

1. Öffnen Sie die AWS Security Hub CSPM Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im linken Navigationsbereich ggf. **Erkenntnisse** aus.

1. Wählen Sie auf der Seite Security Hub CSPM **Findings** ein GuardDuty Ergebnis aus.

1. Wählen Sie im Detailbereich **Untersuchung in Detective** und dann **Untersuchungserkenntnis** aus.

   Wenn Sie **Erkenntnis untersuchen** wählen, wird die Detective-Konsole auf einer neuen Registerkarte geöffnet. In der Konsole wird die Übersicht der Erkenntnisse geöffnet.

   In der Detective-Konsole wird immer die Region geöffnet, aus der die Erkenntnis stammt, auch wenn Sie aus Ihrer Aggregationsregion wechseln. *Weitere Informationen zur Suche nach Aggregation finden Sie im Benutzerhandbuch unter [Aggregieren von Erkenntnissen in verschiedenen Regionen](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).AWS Security Hub *

   Wenn Sie Detective nicht aktiviert haben, öffnet sich die Konsole mit der Detective-Landingpage. Von dort aus können Sie Detective aktivieren.

### Fehlerbehebung für den Pivot
<a name="profile-pivot-troubleshooting"></a>

Um den Pivot zu verwenden, muss eine der folgenden Bedingungen erfüllt sein:
+ Ihr Konto muss sowohl für Detective als auch für den Dienst, von dem Sie wechseln, ein Administratorkonto sein.
+ Sie haben eine kontoübergreifende Rolle übernommen, die Ihrem Administratorkonto Zugriff auf das Verhaltensdiagramm gewährt.

Weitere Informationen zur Empfehlung, Administratorkonten aufeinander abzustimmen, finden Sie unter [Empfohlene Abstimmung mit Amazon GuardDuty und AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations).

Wenn der Pivot nicht funktioniert, überprüfen Sie Folgendes.
+ **Gehört die Erkenntnis zu einem aktivierten Mitgliedskonto in Ihrem Verhaltensdiagramm?** Wenn das zugehörige Konto nicht als Mitgliedskonto in das Verhaltensdiagramm eingeladen wurde, enthält das Verhaltensdiagramm keine Daten für dieses Konto.

  Wenn ein Konto eines eingeladenen Mitglieds die Einladung nicht angenommen hat, enthält das Verhaltensdiagramm keine Daten für dieses Konto.
+ **Ist die Erkenntnis archiviert?** Detective erhält keine archivierten Ergebnisse von GuardDuty.
+ **Ist die Erkenntnis eingetreten, bevor Detective begann, Daten in Ihr Verhaltensdiagramm aufzunehmen?** Wenn die Erkenntnis nicht in den Daten enthalten ist, die Detective aufnimmt, enthält das Verhaltensdiagramm keine Daten dafür.
+ **Stammt die Erkenntnis aus der richtigen Region?** Jedes Verhaltensdiagramm ist spezifisch für eine Region. Ein Verhaltensdiagramm enthält keine Daten aus anderen Regionen.

## Navigation zu einem Entitätsprofil oder Übersichtssuche mithilfe einer URL
<a name="profile-navigate-url"></a>

Um zu einem Entitätsprofil oder einer Suchübersicht in Amazon Detective zu navigieren, können Sie eine URL verwenden, die einen direkten Link dazu enthält. Die URL identifiziert den Befund oder die Entität. Sie kann auch den Zeitbereich angeben, der für das Profil verwendet werden soll. Detective verwaltet historische Ereignisdaten für bis zu einem Jahr.

### Format einer Profil-URL
<a name="profile-url-format"></a>

**Anmerkung**  
Wenn Sie das alte URL-Format verwenden, leitet Detective automatisch zur neuen URL weiter. Das alte Format der URL war:  
https://console.aws.amazon.com/detective/Zuhause? region= *Region* \$1*type*/*namespace*/? *instanceID* *parameters*

Das neue Format der Profil-URL lautet wie folgt: 
+ Für Entitäten - https://console.aws.amazon.com/detective/ Zuhause? region= *Region* \$1*entities*/*namespace*/? *instanceID* *parameters*
+ Für Erkenntnisse - https://console.aws.amazon.com/detective/ zu Hause? region= *Region* \$1*findings*/? *instanceID* *parameters*

Die URL erfordert die folgenden Werte.

***Region***  
Die Region, die Sie verwenden möchten.

***type***  
Der Elementtyp für das Profil, zu dem Sie navigieren.  
+ `entities` – Zeigt an, dass Sie zu einem Entitätsprofil navigieren
+ `findings` – Zeigt an, dass Sie zu einer Erkenntnisübersicht navigieren

***namespace***  
Bei Entitäten ist der Namespace der Name des Entitätstyps.  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
Die Instanz-ID des Befundes oder der Entität.  
+ Für einen GuardDuty GuardDuty Befund die Befund-ID.
+ Für ein AWS Konto die Konto-ID.
+ Für AWS Rollen und Benutzer die Prinzipal-ID der Rolle oder des Benutzers.
+ Für Verbundbenutzer die Prinzipal-ID des Verbundbenutzers. Die Prinzipal-ID ist entweder `<identityProvider>:<username>` oder `<identityProvider>:<audience>:<username>`.
+ Bei IP-Adressen die IP-Adresse.
+ Für Benutzeragenten der Name des Benutzeragenten.
+ Für EC2-Instances die Instance-ID.
+ Für Rollensitzungen die Sitzungs-ID. Die Sitzungs-ID verwendet das Format ` <rolePrincipalID>:<sessionName>`.
+ Für S3-Buckets der Bucket-Name.
+ Für FindingGroups eine UUID. Zum Beispiel `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ Verwenden Sie für EKS-Ressourcen die folgenden Formate:
  + EKS-Cluster: *<clusterName>\$1<accountId>\$1EKS*
  + Kubernetes-Pod: *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Kubernetes-Betreff: *<subjectName>\$1<clusterName>\$1<accountId>*
  + Container-Bild: *<registry>/<repository>:<tag>@<digest>*
Die Erkenntnis oder die Entität muss mit einem aktivierten Konto in Ihrem Verhaltensdiagramm verknüpft sein.

Die URL kann auch die folgenden optionalen Parameter enthalten, mit denen die Gültigkeitsdauer festgelegt wird. Weitere Informationen zur Gültigkeitsdauer und zu ihrer Verwendung in Profilen finden Sie unter [Verwaltung des Zeitbereichs](scope-time-managing.md).

**`scopeStart`**  
Startzeit des Zeitbereichs des Profils. Die Startzeit muss innerhalb der letzten 365 Tage liegen.  
Der Wert ist der Zeitstempel der Epoche.  
Wenn Sie eine Startzeit, aber keine Endzeit angeben, endet die Gültigkeitsdauer zum aktuellen Zeitpunkt.

**`scopeEnd`**  
Endzeit des Zeitbereichs des Profils.  
Der Wert ist der Zeitstempel der Epoche.  
Wenn Sie eine Endzeit, aber keine Startzeit angeben, umfasst der Zeitbereich die gesamte Zeit vor der Endzeit.

Wenn Sie den Zeitbereich nicht angeben, wird der Standardzeitbereich verwendet.
+ Für Erkenntnisse verwendet der Standard-Zeitbereich den Zeitpunkt, zu dem die Erkenntnisaktivität zum ersten und zum letzten Mal beobachtet wurde.
+ Für Entitäten entspricht der Standard-Zeitbereich den letzten 24 Stunden.

Hier finden Sie ein Beispiel für eine Detective-URL:

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

Diese Beispiel-URL enthält die folgenden Anweisungen.
+ Zeigen Sie das Entitätsprofil für die IP-Adresse 192.168.1 an.
+ Verwenden Sie eine Gültigkeitsdauer, die am Montag, den 18. März 2019, 12:00:00 Uhr GMT beginnt und am Montag, den 18. März 2019, 12:00:00 Uhr GMT endet.

### Fehlerbehebung bei einer URL
<a name="profile-url-troubleshooting"></a>

Wenn die URL nicht das erwartete Profil anzeigt, überprüfen Sie zunächst, ob die URL das richtige Format verwendet und ob Sie die richtigen Werte angegeben haben.
+ Haben Sie mit der richtigen URL (`findings` oder `entities`) angefangen? 
+ Haben Sie den richtigen Namespace angegeben?
+ Haben Sie den richtigen Bezeichner angegeben?

Wenn die Werte korrekt sind, können Sie auch Folgendes überprüfen.
+ **Gehört die Erkenntnis oder die Entität zu einem aktivierten Mitgliedskonto in Ihrem Verhaltensdiagramm?** Wenn das zugehörige Konto nicht als Mitgliedskonto in das Verhaltensdiagramm eingeladen wurde, enthält das Verhaltensdiagramm keine Daten für dieses Konto.

  Wenn ein Konto eines eingeladenen Mitglieds die Einladung nicht angenommen hat, enthält das Verhaltensdiagramm keine Daten für dieses Konto.
+ **Ist eine Erkenntnis archiviert?** Detective erhält keine archivierten Ergebnisse von Amazon GuardDuty.
+ **Ist die Erkenntnis oder Entität eingetreten, bevor Detective begann, Daten in Ihr Verhaltensdiagramm aufzunehmen?** Wenn die Erkenntnis oder die Entität nicht in den Daten enthalten ist, die Detective aufnimmt, enthält das Verhaltensdiagramm keine Daten dafür.
+ **Stammt die Erkenntnis oder Entität aus der richtigen Region?** Jedes Verhaltensdiagramm ist spezifisch für eine Region. Ein Verhaltensdiagramm enthält keine Daten aus anderen Regionen.

## Detective URLs for Findings zu Splunk hinzufügen
<a name="profile-splunk-integration-url"></a>

Das Splunk Trumpet-Projekt ermöglicht es Ihnen, Daten von Diensten an Splunk zu senden. AWS 

Sie können das Trumpet-Projekt so konfigurieren, dass die GuardDuty Ergebnisse von Detective URLs for Amazon generiert werden. Sie können diese dann verwenden URLs , um direkt von Splunk zu den entsprechenden Detective-Findungsprofilen zu wechseln.

Das Trumpet-Projekt ist unter verfügbar. GitHub [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)

Wählen Sie auf der Konfigurationsseite für das Trumpet-Projekt unter **AWS CloudWatch Ereignisse** die Option **Detective GuardDuty URLs** aus.

# Von einem Profilbereich zu einer anderen Konsole wechseln
<a name="profile-panel-console-links"></a>

Für EC2-Instances, IAM-Benutzer und IAM-Rollen können Sie direkt vom Profilbereich mit den Details zur entsprechenden Konsole navigieren. Die auf der Konsole verfügbaren Informationen können zusätzliche Informationen für Ihre Sicherheitsuntersuchung liefern.

Im Profilbereich mit den **EC2-Instance-Details** ist die EC2-Instance-ID mit der Amazon-EC2-Konsole verknüpft.

Im Profilbereich mit den **Benutzerdetails** ist der Benutzername mit der IAM-Konsole verknüpft.

Im Profilbereich **Rollendetails** ist der Rollenname mit der IAM-Konsole verknüpft.

## Von einem Profilbereich zu einem anderen Entitätsprofil wechseln
<a name="profile-panel-pivot"></a>

Wenn ein Profilbereich eine Kennung einer anderen Entität enthält, handelt es sich normalerweise um einen Link zu diesem Entitätsprofil. Ausnahmen sind die Links zu den Amazon-EC2- und IAM-Konsolen auf der EC2-Instance, IAM-Benutzer und IAM-Rollenprofile. Siehe [Von einem Profilbereich zu einer anderen Konsole wechseln](#profile-panel-console-links).

Beispielsweise können Sie anhand einer Liste von IP-Adressen möglicherweise das Profil für eine bestimmte IP-Adresse anzeigen. Auf diese Weise können Sie sehen, ob weitere Informationen verfügbar sind, die Ihnen beim Abschluss Ihrer Untersuchung helfen könnten.

# Erkunden von Aktivitätsdetails in einem Profilbereich
<a name="profile-panel-drilldown"></a>

Während einer Untersuchung möchten Sie möglicherweise das Aktivitätsmuster einer Entität genauer untersuchen.

In den folgenden Profilbereichen können Sie eine Übersicht der Aktivitätsdetails anzeigen:
+ **Gesamtes API-Aufrufvolumen**, mit Ausnahme des Profilbereichs im Benutzer-Agenten-Profil
+ **Neu beobachtete Geolocations**
+ **Gesamtes VPC-Datendurchflussvolumen**
+ **VPC-Datendurchflussvolumen zur und von der findenden IP-Adresse** für Erkenntnisse, die mit einer einzelnen IP-Adresse verknüpft sind
+ **Details zum Container**
+ **VPC-Datendurchflussvolumen** für Cluster
+ **Allgemeine Kubernetes-API-Aktivität**

Die Aktivitätsdetails können die folgenden Arten von Fragen beantworten:
+ Welche IP-Adressen wurden verwendet?
+ Wo befanden sich diese IP-Adressen?
+ Welche API-Aufrufe haben die einzelnen IP-Adressen getätigt und von welchen Diensten aus haben sie diese Aufrufe getätigt?
+ Welche Principals oder Zugangsschlüsselkennungen (AKIDs) wurden für die Anrufe verwendet?
+ Welche Ressourcen wurden für diese Aufrufe verwendet?
+ Wie viele Aufrufe wurden getätigt? Wie viele waren erfolgreich und sind gescheitert?
+ Welches Volumen an VPC-Datendurchfluss-Protokolldaten wurde an oder von jeder IP-Adresse gesendet?
+ Welche Container waren für einen bestimmten Cluster, ein bestimmtes Image oder einen Pod aktiv?

**Topics**
+ [Aktivitätsdetails für das gesamte API-Aufrufvolumen](profile-panel-drilldown-overall-api-volume.md)
+ [Aktivitätsdetails für eine Geolokalisierung](profile-panel-drilldown-new-geolocations.md)
+ [Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen](profile-panel-drilldown-overall-vpc-volume.md)
+ [Allgemeine Kubernetes-API-Aktivität mit Beteiligung des EKS-Clusters](profile-panel-drilldown-kubernetes-api-volume.md)

# Aktivitätsdetails für das gesamte API-Aufrufvolumen
<a name="profile-panel-drilldown-overall-api-volume"></a>

Die Aktivitätsdetails für das **API-Aufrufvolumen insgesamt** zeigen die API-Aufrufe an, die in einem ausgewählten Zeitraum ausgegeben wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen** aus.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API-Aufrufe zu speichern und anzuzeigen. Dieses Datum ist auf der Zeitleiste des Profilbereichs hervorgehoben. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname **Unbekannter Dienst**.

## Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2-Instances, S3-Buckets)
<a name="drilldown-api-volume-content"></a>

Für IAM-Benutzer, IAM-Rollen, Konten, Rollensitzungen, EC2-Instances und S3-Buckets enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden.

  Bei S3-Buckets spiegeln die Informationen API-Aufrufe wider, die an den S3-Bucket getätigt wurden.

  Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe. Auf der Registerkarte **Beobachtete IP-Adressen** wird auch der Standort jeder IP-Adresse angezeigt.
+ Jeder Eintrag enthält Informationen darüber, wer die Aufrufe getätigt hat. Bei Konten identifizieren die Aktivitätsdetails die Benutzer oder Rollen. Bei Rollen identifizieren die Aktivitätsdetails die Rollensitzungen. Bei Benutzern und Rollensitzungen identifizieren die Aktivitätsdetails die Zugriffsschlüsselkennungen (). AKIDs

  Beachten Sie, dass ab dem 14. Juli 2021 in den Aktivitätsdetails für Kontoprofile Benutzer oder Rollen statt AKIDs Bei Rollenprofilen werden in den Aktivitätsdetails statt Rollensitzungen angezeigt AKIDs. Bei Aktivitäten, die vor dem 14. Juli 2021 stattfinden, wird der Aufrufer als **Unbekannte Ressource** aufgeführt.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Beobachtete IP-Adressen**  
Zeigt zunächst die Liste der IP-Adressen an, die für API-Aufrufe verwendet werden.  
Sie können jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können dann jeden API-Aufruf erweitern, um die Liste der Aufrufer von dieser IP-Adresse anzuzeigen. Je nach Profil kann es sich bei dem Aufrufer um einen Benutzer, eine Rolle, eine Rollensitzung oder eine AKID handeln.  

![\[Ansicht der Registerkarte „Beobachtete IP-Adressen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie von IP-Adressen, API-Aufrufen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**API-Methode nach Dienst**  
Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können jede API-Methode erweitern, um die Liste der IP-Adressen anzuzeigen, von denen aus die Aufrufe getätigt wurden.  
Anschließend können Sie jede IP-Adresse erweitern, um die Liste der Personen anzuzeigen AKIDs , die diesen API-Aufruf von dieser IP-Adresse aus getätigt haben.  

![\[Ansicht der API-Methode nach Service im Bereich „Gesamtes API-Aufrufvolumen“ auf der Registerkarte „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie der API-Aufrufe, IP-Adressen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**Ressourcen- oder Zugriffsschlüssel-ID**  
Zeigt zunächst die Liste der Benutzer, Rollen und Rollensitzungen an, AKIDs die zum Auslösen von API-Aufrufen verwendet wurden.  
Sie können jeden Aufrufer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen der Aufrufer API-Aufrufe ausgegeben hat.  
Sie können dann jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von diesem Aufrufer von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der erweitert wurde AKIDs, um die Hierarchie von IP-Adressen und API-Aufrufen gruppiert nach Diensten anzuzeigen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Inhalt der Aktivitätsdetails (IP-Adressen)
<a name="drilldown-api-volume-content-ip"></a>

Bei IP-Adressen enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Ressource**  
Zeigt zunächst die Liste der Ressourcen an, die API-Aufrufe von der IP-Adresse aus ausgegeben haben.  
Für jede Ressource enthält die Liste den Namen, den Typ und das AWS -Konto der Ressource.  
Sie können jede Ressource erweitern, um die Liste der API-Aufrufe anzuzeigen, die die Ressource über die IP-Adresse ausgegeben hat. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Anzeige der Aktivitätsdetails für eine IP-Adresse im Profilbereich Gesamtes API-Aufrufvolumen auf der Registerkarte Ressourcen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**API-Methode nach Dienst**  
Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können jeden API-Aufruf erweitern, um die Liste der Ressourcen anzuzeigen, die im ausgewählten Zeitraum den API-Aufruf von der IP-Adresse aus getätigt haben.  

![\[Anzeige der Registerkarte API-Methode nach Diensten der Aktivitätsdetails im Profilbereich Gesamtes API-Aufrufvolumen für eine IP-Adresse.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-api-volume-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-api-volume-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

**So fügen Sie einen Filter hinzu**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach einer API-Methode filtern und nach **Instance** filtern, enthalten die Ergebnisse alle API-Operationen, deren Name das Wort `Instance` enthält. Also sowohl `ListInstanceAssociations` als auch `UpdateInstanceInformation` würden passen.

   Für Dienstnamen, API-Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Wählen Sie für **Common API-Teilstrings** die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. `List`, `Create` oder `Delete`. Jeder API-Methodenname beginnt mit dem Operationstyp.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. **Wählen Sie eine boolesche Option *Resource* oder *Service***: Enthält** oder\$1 ****: Enthält nicht; oder oder *IP address* **= *API method* Entspricht oder\$1** : Entspricht nicht den** eingestellten Filtern.  
![\[Liste der verfügbaren Filter für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/api-volume-search.png)

Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-api-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für den Profilbereich „Gesamtes API-Aufrufvolumen“\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Abfragen von unformatierten Protokollen
<a name="query-raw-logs"></a>

Amazon Detective ist in Amazon Security Lake integriert, was bedeutet, dass Sie die von Security Lake gespeicherten Rohprotokolldaten abfragen und abrufen können. Weitere Informationen zu dieser Integration finden Sie unter [Integration von Amazon Detective mit Amazon Security Lake](securitylake-integration.md).

Mithilfe dieser Integration können Sie Protokolle und Ereignisse aus den folgenden Quellen sammeln und abfragen, die Security Lake nativ unterstützt.
+ AWS CloudTrail Verwaltungsereignisse Version 1.0 und höher
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs Version 1.0 und höher
+ Amazon Elastic Kubernetes Service (Amazon EKS) Auditprotokoll, Version 2.0

**Anmerkung**  
Für die Abfrage von Rohdatenprotokollen in Detective fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere AWS Services, einschließlich Amazon Athena, fallen weiterhin zu den veröffentlichten Tarifen an.

**So fragen Sie Rohprotokolle ab**

1. Wählen Sie **Details für den Zeitbereich anzeigen** aus. 

1. Von hier aus können Sie mit der **Abfrage von Rohprotokollen** beginnen. 

1. In der **Vorschautabelle für Rohprotokolle** können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten. 

   In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die **Abfrageanfrage stornieren**, **Ergebnisse in Amazon Athena anzeigen** und **Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen**. 

Wenn Sie Protokolle in Detective sehen, die Abfrage aber keine Ergebnisse lieferte, kann das aus den folgenden Gründen passieren.
+ Rohprotokolle werden möglicherweise in Detective verfügbar, bevor sie in den Security-Lake-Protokolltabellen angezeigt werden. Bitte versuchen Sie es später erneut.
+ In Security Lake fehlen möglicherweise Protokolle. Wenn Sie über einen längeren Zeitraum gewartet haben, deutet dies darauf hin, dass Protokolle in Security Lake fehlen. Wenden Sie sich an Ihren Security-Lake-Administrator, um das Problem zu beheben.

# Aktivitätsdetails für eine Geolokalisierung
<a name="profile-panel-drilldown-new-geolocations"></a>

Die Aktivitätsdetails für **Neu beobachtete Geolocations** zeigen die API-Aufrufe, die während des Gültigkeitszeitraums von einer Geolocation aus getätigt wurden. Die API-Aufrufe umfassen alle Aufrufe, die von der Geolocation aus getätigt wurden. Sie sind nicht auf Aufrufe beschränkt, bei denen die Such- oder Profilentität verwendet wurde. Bei S3-Buckets handelt es sich bei den Aktivitätsaufrufen um API-Aufrufe an den S3-Bucket.

Detective bestimmt den Standort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.

Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.

Um die Aktivitätsdetails anzuzeigen, führen Sie einen der folgenden Schritte aus:
+ Wählen Sie auf der Karte eine Geolocation aus.
+ Wählen Sie in der Liste **Details** für eine Geolocation aus.

Die Aktivitätsdetails ersetzen die Geolocation-Liste. Um zur Geolocation-Liste zurückzukehren, wählen Sie **Zurück zu allen Ergebnissen**.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API-Aufrufe zu speichern und anzuzeigen. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname **Unbekannter Dienst**.

## Inhalt der Aktivitätsdetails
<a name="profile-panel-drilldown-geolocation-content"></a>

Jede Registerkarte enthält Informationen zu allen API-Aufrufen, die während des Gültigkeitszeitraums von der Geolocation aus getätigt wurden.

Für jede IP-Adresse, Ressource und API-Methode zeigt die Liste die Anzahl der erfolgreichen und fehlgeschlagenen API-Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Beobachtete IP-Adressen**  
Zeigt zunächst die Liste der IP-Adressen an, die für API-Aufrufe von der ausgewählten Geolocation aus verwendet wurden.  
Sie können jede IP-Adresse erweitern, um die Ressourcen anzuzeigen, die API-Aufrufe von dieser IP-Adresse aus ausgegeben haben. In der Liste wird der Ressourcenname angezeigt. Um die Prinzipal-ID zu sehen, bewegen Sie den Mauszeiger über den Namen.  
Anschließend können Sie jede Ressource erweitern, um die spezifischen API-Aufrufe anzuzeigen, die von dieser Ressource von dieser IP-Adresse aus ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Ansicht der Registerkarte Beobachtete IP-Adressen im Bereich Neu beobachtete Geolocations mit einem Eintrag, der um die Hierarchie der IP-Adressen, Ressourcen und API-Methoden erweitert wurde.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Ressource**  
Zeigt zunächst die Liste der Ressourcen an, die API-Aufrufe von der ausgewählten Geolocation aus getätigt haben. In der Liste wird der Ressourcenname angezeigt. Um die Prinzipal-ID zu sehen, machen Sie eine Pause beim Namen. Für jede Ressource werden auf der Registerkarte **Ressource** auch die zugehörigen AWS-Konto angezeigt.  
Sie können jeden Benutzer oder jede Rolle erweitern, um die Liste der API-Aufrufe anzuzeigen, die von dieser Ressource ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können dann jeden API-Aufruf erweitern, um die Liste der IP-Adressen anzuzeigen, von denen die Ressource den API-Aufruf ausgeführt hat.  

![\[Ansicht der Registerkarte Ressource im Bereich Neu beobachtete Geolocations mit einem erweiterten Eintrag zur Benutzer- oder Rollenhierarchie, API-Methoden und IP-Adressen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-geolocation-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-geolocation-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

**So fügen Sie einen Filter hinzu**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach einer API-Methode filtern und nach **Instance** filtern, enthalten die Ergebnisse alle API-Operationen, deren Name das Wort `Instance` enthält. Also sowohl `ListInstanceAssociations` als auch `UpdateInstanceInformation` würden passen.

   Für Dienstnamen, API-Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Wählen Sie für **Common API-Teilstrings** die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. `List`, `Create` oder `Delete`. Jeder API-Methodenname beginnt mit dem Operationstyp.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.  
![\[Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

1. Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

# Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Für eine EC2-Instance zeigen die Aktivitätsdetails für das **Gesamte VPC-Datendurchflussvolumen** die Interaktionen zwischen der EC2-Instance und IP-Adressen während eines ausgewählten Zeitraums.

Für einen Kubernetes-Pod zeigt **Gesamtes VPC-Datendurchflussvolumen** das Gesamtvolumen der Bytes an, die in die zugewiesene IP-Adresse des Kubernetes-Pods für alle Ziel-IP-Adressen ein- und ausgehen. Die IP-Adresse des Kubernetes-Pods ist nicht eindeutig, wenn `hostNetwork:true`. In diesem Fall zeigt der Bereich den Datenverkehr zu anderen Pods mit derselben Konfiguration und dem Knoten, der sie hostet.

Bei einer IP-Adresse zeigen die Aktivitätsdetails für das **Gesamte VPC-Datendurchflussvolumen** die Interaktionen zwischen der IP-Adresse und EC2-Instances während eines ausgewählten Zeitraums.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen aus**.

## Inhalt der Aktivitätsdetails
<a name="drilldown-vpc-volume-content"></a>

Der Inhalt spiegelt die Aktivität im ausgewählten Zeitraum wider.

Bei einer EC2-Instance enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus IP-Adresse, lokalem Port, Remote-Port, Protokoll und Richtung.

Bei einer IP-Adresse enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus EC2-Instance, lokalem Port, Remote-Port, Protokoll und Richtung.

Jeder Eintrag zeigt das Volumen des eingehenden Datenverkehrs, das Volumen des ausgehenden Datenverkehrs und ob die Zugriffsanfrage akzeptiert oder abgelehnt wurde. Bei der Suche nach Profilen gibt die Spalte **Anmerkungen** an, wann eine IP-Adresse mit der aktuellen Erkenntnis zusammenhängt.

![\[Aktivitätsdetails für den Profilbereich Gesamtes VPC-Datendurchflussvolumen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-vpc-volume-sort"></a>

Sie können die Aktivitätsdetails nach einer beliebigen Spalte in der Tabelle sortieren.

Standardmäßig werden die Aktivitätsdetails zuerst nach den Anmerkungen und dann nach dem eingehenden Verkehr sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-vpc-volume-filter"></a>

Um sich auf eine bestimmte Aktivität zu konzentrieren, können Sie die Aktivitätsdetails nach den folgenden Werten filtern:
+ IP-Adresse oder EC2-Instance
+ Lokaler oder Remote-Port
+ Richtung
+ Protokoll
+ Ob die Anfrage akzeptiert oder abgelehnt wurde

**So fügen Sie Filter hinzu und entfernen sie**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte.

   Um nach IP-Adresse zu filtern, können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.  
![\[Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

1. Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-vpc-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für die Aktivitätsdetails im Profilbereich Gesamtes VPC-Datendurchflussvolumen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Anzeige des Verkehrsaufkommens für ausgewählte Zeilen
<a name="drilldown-vpc-volume-chart-details"></a>

Wenn Sie Zeilen identifizieren, die für Sie von Interesse sind, können Sie in den Hauptdiagrammen das Verkehrsaufkommen für diese Zeilen im Zeitverlauf anzeigen.

Aktivieren Sie für jede Zeile, die zu den Diagrammen hinzugefügt werden soll, das Kontrollkästchen. Für jede ausgewählte Zeile wird das Volumen in den Charts für eingehende oder ausgehende Sendungen als Linie angezeigt.

![\[Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen für den Profilbereich Gesamtes VPC-Datendurchflussvolumen angezeigt werden.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Um sich auf das Verkehrsvolumen für die ausgewählten Einträge zu konzentrieren, können Sie das Gesamtvolumen ausblenden. Um das Gesamtverkehrsvolumen ein- oder auszublenden, aktivieren Sie die Option **Gesamtverkehr**.

![\[Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen im Profilbereich „Gesamtes VPC-Datendurchflussvolumen“ angezeigt werden. Der gesamte Verkehr ist ausgeblendet.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Anzeige des VPC-Datendurchflussverkehrs für EKS-Cluster
<a name="display-traffic-for-eks-clusters"></a>

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle, die den Datenverkehr darstellen, der Ihre Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster durchquert. Bei Kubernetes-Ressourcen hängt der Inhalt der VPC-Datendurchflussprotokolle vom Container Network Interface (CNI) ab, das im EKS-Cluster bereitgestellt wird.

Ein EKS-Cluster mit einer Standardkonfiguration verwendet das Amazon-VPC-CNI-Plugin Weitere Informationen finden Sie unter [Verwalten der VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) im **Amazon-EKS-Benutzerhandbuch**. Das Amazon-VPC- CNI-Plugin sendet internen Datenverkehr mit der IP-Adresse des Pods und übersetzt die Quell-IP-Adresse in die IP-Adresse des Knotens für die externe Kommunikation. Detective kann internen Datenverkehr erfassen und mit dem richtigen Pod korrelieren, dies gilt aber nicht für externen Verkehr.

Wenn Sie möchten, dass Detective Einblick in den externen Datenverkehr Ihrer Pods hat, aktivieren Sie External Source Network Address Translation (SNAT). Die Aktivierung von SNAT ist mit Einschränkungen und Nachteilen verbunden. Weitere Informationen finden Sie unter [SNAT für Pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) im **Amazon-EKS-Benutzerhandbuch**.

Wenn Sie ein anderes CNI-Plugin verwenden, ist Detective nur eingeschränkt auf Pods mit `hostNetwork:true` sichtbar. Für diese Pods zeigt das **VPC-Datendurchfluss-Bedienfeld** den gesamten Datenverkehr zur IP-Adresse des Pods an. Dies beinhaltet den Datenverkehr zum Hostknoten und zu allen Pods auf dem Knoten mit der Konfiguration `hostNetwork:true`.

Detective zeigt den Verkehr im **VPC-Datendurchfluss-Bereich** eines EKS-Pods für die folgenden EKS-Cluster-Konfigurationen an:
+ In einem Cluster mit dem Amazon-VPC-CNI-Plugin sendet jeder Pod mit der Konfiguration `hostNetwork:false`-Datenverkehr innerhalb des Cluster-VPCs.
+ In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` jeder Pod, der Datenverkehr außerhalb der VPC des Clusters `hostNetwork:false` sendet.
+ Jeder Pod mit der Konfiguration `hostNetwork:true`. Der Datenverkehr vom Knoten wird mit dem Verkehr von anderen Pods gemischt mit der Konfiguration `hostNetwork:true` vermischt.

Detective zeigt keinen Verkehr im **VPC-Datendurchfluss-Bereich** an für:
+ In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` sendet jeder Pod mit der Konfiguration `hostNetwork:false`, der Datenverkehr außerhalb des Cluster-VPC sendet.
+ In einem Cluster ohne Amazon-VPC-CNI-Plugin für Kubernetes jeder Pod mit der Konfiguration `hostNetwork:false`.
+ Jeder Pod, der Traffic an einen anderen Pod sendet, der auf demselben Knoten gehostet wird.

## Anzeige des VPC-Flow-Verkehrs für gemeinsam genutztes Amazon VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC) Flow-Logs für geteilte VPCs:
+ Wenn ein Detective-Mitgliedskonto über eine gemeinsam genutzte Amazon VPC verfügt und es andere Nicht-Detective-Konten gibt, die die gemeinsam genutzte VPC verwenden, überwacht Detective den gesamten Datenverkehr von dieser VPC und bietet einen Überblick über den gesamten Datenverkehr in der VPC. 
+ Wenn Sie eine Amazon-EC2-Instance in einer gemeinsam genutzten Amazon VPC haben und der Eigentümer der gemeinsam genutzten VPC kein Detective-Mitglied ist, überwacht Detective den Datenverkehr von der VPC nicht. Wenn Sie den Datenverkehr innerhalb der VPC anzeigen möchten, müssen Sie den Eigentümer der Amazon VPC als Mitglied Ihres Detective-Diagramms hinzufügen.

# Allgemeine Kubernetes-API-Aktivität mit Beteiligung des EKS-Clusters
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Die Aktivitätsdetails für die **Gesamte Kubernetes-API-Aktivität mit dem EKS-Cluster** zeigen die Anzahl der erfolgreichen und fehlgeschlagenen Kubernetes-API-Aufrufe an, die in einem ausgewählten Zeitraum ausgegeben wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen** aus.

## Inhalt der Aktivitätsdetails (Cluster, Pod, Benutzer, Rolle, Rollensitzung)
<a name="drilldown-kubernetes-api-volume-content"></a>

Für Cluster, Pods, Benutzer, Rollen oder Rollensitzungen enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden.

  Bei Clustern erfolgten die API-Aufrufe innerhalb des Clusters.

  Bei Pods zielten die API-Aufrufe auf den Pod ab.

  Für Benutzer, Rollen und Rollensitzungen wurden die API-Aufrufe von Kubernetes-Benutzern ausgegeben, die sich als dieser Benutzer, diese Rolle oder diese Rollensitzung authentifiziert hatten.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen, fehlgeschlagenen, nicht autorisierten und verbotenen Aufrufe.
+ Zu den Informationen gehören die IP-Adresse, die Art des Kubernetes-Aufrufs, die Entität, die von dem Aufruf betroffen war, und der Betreff (Dienstkonto oder Benutzer), der den Aufruf getätigt hat. Von den Aktivitätsdetails aus können Sie zu den Profilen für die IP-Adresse, den Betreff und die betroffene Entität wechseln.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Betreff**  
Zeigt zunächst die Liste der Dienstkonten und Benutzer an, die für API-Aufrufe verwendet wurden.  
Sie können jedes Dienstkonto und jeden Benutzer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen das Konto oder der Benutzer API-Aufrufe getätigt hat.  
Sie können dann jede IP-Adresse erweitern, um die Kubernetes-API-Aufrufe anzuzeigen, die von diesem Konto oder Benutzer von dieser IP-Adresse aus getätigt wurden.   
Erweitern Sie den Kubernetes-API-Aufruf, um den `requestURI ` zur Identifizierung der ausgeführten Aktion anzuzeigen.  

![\[Ansicht der Registerkarte Themen im Bereich Gesamtes Volumen der Kubernetes-API-Aufrufe mit einem Eintrag, der um die Hierarchie der IP-Adressen und API-Aufrufe erweitert wurde.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/kube-subject-drilldown.png)


**IP-Adresse**  
Zeigt zunächst die Liste der IP-Adressen an, von denen aus die API-Aufrufe getätigt wurden.  
Sie können jeden Aufruf erweitern, um die Liste der Kubernetes-Themen (Dienstkonten und Benutzer) anzuzeigen, die den Aufruf getätigt haben.  
Sie können dann jeden Betreff um eine Liste von API-Aufruftypen erweitern, die der Betreff während des Gültigkeitszeitraums getätigt hat.  
Erweitern Sie den API-Aufruftyp, um den Aufrug-URI zu sehen, mit dem die ausgeführte Aktion identifiziert werden kann.  

![\[Ansicht der Registerkarte „IP-Adresse“ im Bereich „Gesamtanzahl der Kubernetes-API-Aufrufe“ mit einem Eintrag, der um die Hierarchie der API-Aufrufe, IP-Adressen und erweitert wurde. AKIDs API-Aufrufe sind nach Diensten gruppiert\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/kube-ip-drilldown.png)


**Kubernetes-API-Aufruf**  
Zeigt zunächst die Liste der Kubernetes-API-Aufrufverben an.  
Sie können jedes API-Verb erweitern, um die mit dieser Aktion URIs verknüpfte Anfrage anzuzeigen.  
Sie können dann jeden Aufruf-URI erweitern, um den Kubernetes-Betreff (Dienstkonten und Benutzer) zu sehen, der den API-Aufruf getätigt hat.  
Erweitern Sie den Betreff, um zu sehen IPs , welcher Betreff für den API-Aufruf verwendet wurde.  

![\[Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie von AKIDs IP-Adressen und API-Aufrufen gruppiert nach Diensten angezeigt wird.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für den Profilbereich „Gesamtes API-Aufrufvolumen“\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Verwendung von Anleitungen durch den Profilbereich während einer Untersuchung
<a name="profile-panel-guidance"></a>

Jeder Profilbereich ist darauf ausgelegt, Antworten auf spezifische Fragen zu geben, die sich bei der Durchführung einer Untersuchung und der Analyse der Aktivitäten der betreffenden Entitäten stellen.

Die Anleitungen für jeden Profilbereich helfen Ihnen dabei, diese Antworten zu finden.

Die Anleitung für den Profilbereich beginnt mit einem einzigen Satz im Bereich selbst. Diese Anleitung enthält eine kurze Erläuterung der im Bereich präsentierten Daten.

Um detailliertere Anleitungen für einen Bereich anzuzeigen, wählen Sie in der Bereichsüberschrift **Weitere Informationen** aus. Diese erweiterte Anleitung wird im Hilfebereich angezeigt.

Die Anleitung kann folgende Arten von Informationen enthalten:
+ Einen Überblick über den Inhalt des Bereichs
+ Wie benutzt man den Bereich, um die relevanten Fragen zu beantworten
+ Vorgeschlagene nächste Schritte auf Grundlage der Antworten

# Verwaltung des Zeitbereichs
<a name="scope-time-managing"></a>

Passen Sie den Zeitbereich an, der zur Begrenzung der in Entitätsprofilen angezeigten Daten verwendet wird.

Die Diagramme, Zeitpläne und anderen Daten, die in Entitätsprofilen angezeigt werden, basieren alle auf dem aktuellen Zeitbereich. Der Zeitbereich ist die Übersicht der Aktivitäten einer Entität im Zeitverlauf. Dies wird oben rechts in jedem Profil in der Amazon-Detective-Konsole angezeigt. Die in diesen Diagrammen, Zeitplänen und anderen Visualisierungen angezeigten Daten basieren auf der Gültigkeitsdauer. Bei einigen Profilbereichen wird zusätzliche Zeit vor und nach dem Zeitbereich hinzugefügt, um den Kontext bereitzustellen. In Detective werden alle Zeitstempel standardmäßig in UTC angezeigt. Sie können Ihre lokale Zeitzone auswählen, indem Sie die **Zeitstempel-Einstellungen** ändern. Informationen zum Aktualisieren der **Zeitstempel-Einstellung** finden Sie unter [Festlegen des Zeitstempelformats](profile-panel-preferences.md#profile-panel-preferences-timestamp).

Detective Analytics verwendet den Zeitbereich, um nach ungewöhnlichen Aktivitäten zu suchen. Der Analyseprozess erfasst die Aktivität während des Zeitbereichs und vergleicht sie dann mit der Aktivität in den 45 Tagen vor dem Zeitbereich. Außerdem wird dieser Zeitraum von 45 Tagen verwendet, um Basiswerte für Aktivitäten zu generieren. 

In einer Übersicht über die Erkenntnisse gibt die Dauer des Umfangs an, wann die Erkenntnis zum ersten und zum letzten Mal beobachtet wurde. Weitere Informationen zur Erkenntnisübersicht finden Sie unter [Analysieren einer Befundübersicht in Detective](finding-overview.md).

Während Sie eine Untersuchung durchführen, können Sie den Zeitbereich anpassen. Wenn die ursprüngliche Analyse beispielsweise auf Aktivitäten an einem einzigen Tag beruhte, möchten Sie diese möglicherweise auf eine Woche oder einen Monat ausweiten. Der erweiterte Zeitraum könnte Ihnen helfen, ein besseres Gefühl dafür zu bekommen, ob die Aktivität einem normalen Muster entspricht oder ungewöhnlich ist.

Sie können den Zeitbereich auch so festlegen, dass er einer zugehörigen Erkenntnis für die aktuelle Entität entspricht.

Wenn Sie den Zeitbereich ändern, wiederholt Detective seine Analyse und aktualisiert die angezeigten Daten auf Grundlage des neuen Zeitbereichs.

Der Zeitbereich darf nicht kürzer als eine Stunde und nicht länger als ein Jahr sein. Die Start- und Endzeit müssen auf einer Stunde liegen.

## Festlegen des spezifischen Start- und Enddatums und der Uhrzeiten
<a name="scope-time-select-date"></a>

Sie können das Start- und Enddatum des Zeitbereichs in der Detective-Konsole festlegen.

**So legen Sie bestimmte Start- und Endzeiten für den neuen Zeitbereich fest**

1. Öffnen Sie die Amazon-Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie in einem Entitätsprofil den Zeitbereich aus.

1. Wählen Sie im Bereich **Zeitbereich bearbeiten** unter **Start** das neue Startdatum und die neue Startzeit für den Zeitbereich aus. Für die neue Startzeit wählen Sie nur die Stunde aus.

1. Wählen Sie unter **Ende** das neue Enddatum und die neue Endzeit für den Zeitbereich aus. Für die neue Endzeit wählen Sie nur die Stunde aus. Die Endzeit muss mindestes eine Stunde nach der Startzeit liegen.

1. Wenn Sie mit der Bearbeitung fertig sind, wählen Sie **Zeitbereich aktualisieren**, um die Änderungen zu speichern und die angezeigten Daten zu aktualisieren.

## Bearbeiten der Zeitdauer für den Zeitbereich
<a name="scope-time-select-length"></a>

Wenn Sie eine Zeitdauer für den Zeitbereich festlegen, legt Detective den Zeitbereich auf diese Zeitspanne ab der aktuellen Uhrzeit fest.

**So bearbeiten Sie die Zeitdauer für den Zeitbereich**

1. Öffnen Sie die Amazon-Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie in einem Entitätsprofil den Zeitbereich aus.

1. Wählen Sie im Bereich **Zeitbereich bearbeiten** neben **Historisch** den Zeitraum für den Zeitbereich aus.

   Wenn Sie einen Zeitraum angeben, werden die **Start** - und **Endeinstellungen** aktualisiert.

1. Wenn Sie mit der Bearbeitung fertig sind, wählen Sie **Zeitbereich aktualisieren**, um die Änderungen zu speichern und die angezeigten Daten zu aktualisieren.

## Stellen Sie den Zeitbereich auf ein Zeitfenster für die Suche ein
<a name="scope-time-align-to-finding"></a>

Jede Erkenntnis ist ein Zeitfenster zugeordnet, das angibt, wann die Erkenntnis zum ersten und zum letzten Mal beobachtet wurde. Wenn Sie sich eine Erkenntnisübersicht ansehen, ändert sich der Zeitbereich zum Zeitfenster für die Erkenntnisse.

In einem Entitätsprofil können Sie den Zeitbereich an das Zeitfenster für eine zugeordnete Erkenntnis anpassen. Auf diese Weise können Sie die Aktivität untersuchen, die in diesem Zeitraum stattgefunden hat.

Wählen Sie im Bereich **Zugeordnete Erkenntnisse** die Erkenntnis aus, das Sie verwenden möchten, um den Zeitbereich an ein Zeitfenster für die Erkenntnisse anzupassen.

Detective füllt die Erkenntnisdetails aus und legt die Gültigkeitsdauer auf das Suchzeitfenster fest.

## Festlegen des Zeitbereichs auf der Übersichtsseite
<a name="scope-time-summary-page"></a>

Wenn Sie sich die **Übersichtsseite** ansehen, können Sie den Zeitbereich für den Umfang anpassen, sodass Sie sich die Aktivität für einen beliebigen 24-Stunden-Zeitraum der letzten 365 Tage ansehen können.

So legen Sie den Zeitbereich auf der Übersichtsseite fest

1. Öffnen Sie die Amazon-Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Detective-Navigationsbereich **Übersicht** aus. 

1. Im Bereich **Zeitbereich** können Sie neben **Übersicht** das **Startdatum und die Startzeit** ändern. Die Startzeit muss innerhalb der letzten 365 Tage liegen.

   Wenn Sie das **Startdatum und die Startzeit** ändern, werden das **Enddatum und die Endzeit** automatisch auf 24 Stunden nach der ausgewählten Startzeit aktualisiert.
**Anmerkung**  
Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Weitere Informationen zu Quelldaten in Detective finden Sie unter [In einem Verhaltensdiagramm verwendete Quelldaten](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

1. Wenn Sie mit der Bearbeitung fertig sind, wählen Sie **Zeitbereich aktualisieren**, um die Änderungen zu speichern und die angezeigten Daten zu aktualisieren.

# Details zu zugehörigen Ergebnissen in Detective anzeigen
<a name="entity-finding-list"></a>

Jedes Entitätsprofil enthält einen zugehörigen Erkenntnisbereich, in dem die Erkenntnis aufgeführt sind, an denen die Entität im aktuellen Zeitbereich beteiligt war. Ein Anzeichen dafür, dass eine Entität kompromittiert wurde, ist ihre Beteiligung an mehreren Erkenntnissen. Die Art der Erkenntnisse kann auch Aufschluss über die Art der Aktivität geben, über die man sich Sorgen machen muss.

Der zugehörige Erkenntnisbereich wird unmittelbar unter dem Profilbereich mit den Entitätsdetails angezeigt.

Für jede Erkenntnis umfasst die Tabelle Informationen über Folgendes:
+ Der Titel der Erkenntnisse, der auch ein Link zur Erkenntnisübersicht ist.
+ Das mit dem Ergebnis verknüpfte AWS Konto, das auch ein Link zum Kontoprofil ist
+ Den Erkenntnistyp
+ Der früheste Zeitpunkt, zu dem der Befund beobachtet wurde
+ Der Zeitpunkt, zu dem der Befund zuletzt beobachtet wurde
+ Den Schweregrad einer Erkenntnis

Um die Erkenntnisdetails für eine Erkenntnis anzuzeigen, wählen Sie das Optionsfeld für die Erkenntnis. Detective füllt den Bereich mit den Erkenntnisdetails rechts auf der Seite aus. Detective ändert auch den Zeitbereich in das Erkenntnis-Zeitfenster. So können Sie sich auf Aktivitäten konzentrieren, die in diesem Zeitraum stattgefunden haben.

Wenn Sie von einer Erkenntnisübersicht zum Entitätsprofil navigiert sind, wird diese Erkenntnis automatisch ausgewählt und die Details für die Erkenntnis werden angezeigt.

Wählen Sie in den Erkenntnisdetails die Option **Alle verwandten Entitäten anzeigen** aus, um zurück zur Erkenntnisübersicht zu gelangen.

Sie können die Erkenntnis auch archivieren. Weitere Informationen finden Sie unter [Archivierung eines GuardDuty Amazon-Ergebnisses](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).

# Details für Entitäten mit hohem Volumen in Detective anzeigen
<a name="high-volume-entities"></a>

Im [Verhaltensdiagramm](behavior-graph-data-about.md) verfolgt Amazon Detective Beziehungen zwischen Entitäten. In jedem Verhaltensdiagramm wird beispielsweise nachverfolgt, wann ein AWS Benutzer eine AWS Rolle erstellt und wann eine EC2-Instance eine Verbindung zu einer IP-Adresse herstellt.

Wenn eine Entität in einem bestimmten Zeitraum zu viele Beziehungen hat, kann Detective nicht alle Beziehungen speichern. Wenn dies während der aktuellen Gültigkeitsdauer der Fall ist, werden Sie von Detective benachrichtigt. Detective bietet auch eine Liste der Vorkommen von Entitäten mit hohem Volumen.

## Was ist eine Entität mit hohem Volumen?
<a name="high-volume-entity-about"></a>

Während eines bestimmten Zeitintervalls kann eine Entität der Ursprung oder das Ziel einer extrem großen Anzahl von Verbindungen sein. Beispielsweise kann eine EC2-Instance Verbindungen von Millionen von IP-Adressen haben.

Detective begrenzt die Anzahl der Verbindungen, die es in jedem Zeitintervall aufnehmen kann. Wenn eine Entität dieses Limit überschreitet, verwirft Detective die Verbindungen für dieses Zeitintervall.

Nehmen wir zum Beispiel an, dass das Limit bei 100.000.000 Verbindungen pro Zeitintervall liegt. Wenn eine EC2-Instance während eines Zeitintervalls über mehr als 100.000.000 IP-Adressen verbunden ist, verwirft Detective die Verbindungen aus diesem Zeitintervall.

Möglicherweise können Sie diese Aktivität jedoch anhand der Entität am anderen Ende der Beziehung analysieren. Um das Beispiel fortzusetzen: Eine EC2-Instance kann zwar von Millionen von IP-Adressen aus verbunden werden, eine einzelne IP-Adresse stellt jedoch eine Verbindung zu weit weniger EC2-Instances her. Jedes IP-Adressprofil enthält Details zu den EC2-Instances, mit denen die IP-Adresse verbunden ist.

## Anzeige der Benachrichtigung über Entitäten mit hohem Volumen in einem Profil
<a name="high-volume-entity-profile-notification"></a>

Detective zeigt oben in einem Befund- oder Entitätsprofil einen Hinweis an, wenn die Gültigkeitsdauer ein Zeitintervall umfasst, in dem die Entität ein hohes Volumen aufweist. Bei der Suche nach Profilen bezieht sich der Hinweis auf die betroffene Entität.

Die Mitteilung enthält eine Liste der Beziehungen, die umfangreiche Zeitintervalle aufweisen. Jeder Listeneintrag enthält eine Beschreibung der Beziehung und den Beginn des Zeitintervalls mit hohem Datenvolumen.

Ein Zeitintervall mit hohem Volumen kann ein Indikator für verdächtige Aktivitäten sein. Um zu verstehen, welche anderen Aktivitäten gleichzeitig stattfanden, können Sie Ihre Untersuchung auf ein Zeitintervall mit hohem Datenvolumen konzentrieren. Die Mitteilung von Unternehmen mit hohem Volumen enthält eine Option, mit der Sie den Umfang auf dieses Zeitintervall festlegen können.

**So legen Sie die Gültigkeitsdauer auf ein Zeitintervall mit hohem Volumen fest**

1. Wählen Sie in der großvolumigen Entitätsmitteilung das Zeitintervall aus.

1. Wählen Sie im Popupmenü die Option **Geltungsdauer anwenden** aus.

## Die Liste der Entitäten mit hohem Volumen für den aktuellen Gültigkeitszeitraum anzeigen
<a name="high-volume-entity-list"></a>

Die Seite **Entitäten mit hohem Volumen** enthält eine Liste der Zeitintervalle und Entitäten mit hohem Volumen während des aktuellen Gültigkeitszeitraums.

**So zeigen Sie die Seite mit Entitäten mit hohem Volumen an**

1. Öffnen Sie die Amazon-Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich von Detective die Option **Entitäten mit hohem Volumen** aus.

Jedes Listenelement enthält die folgenden Informationen.
+ Beginn des Zeitintervalls mit hohem Volumen
+ Die ID und die Art der Entität
+ Die Beschreibung der Beziehung, z. B. „Die EC2-Instance wurde über eine IP-Adresse verbunden“

Sie können die Liste nach einer beliebigen Spalte filtern und sortieren. Sie können auch zum Entitätsprofil einer beteiligten Entität navigieren.

**So navigieren Sie zum Profil für eine Entität**

1. Wählen Sie in der Liste der **Entitäten mit hohem Volumen** die Zeile aus, aus der Sie navigieren möchten.

1. Wählen Sie **Profil mit umfangreichem Umfang anzeigen** aus.

Wenn Sie diese Option verwenden, um zu einem Entitätsprofil zu navigieren, wird die Gültigkeitsdauer wie folgt festgelegt:
+ Die Geltungsdauer beginnt 30 Tage vor dem Zeitintervall für hohe Datenvolumen.
+ Die Gültigkeitsdauer endet am Ende des Zeitintervalls für hohe Datenvolumen.