Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Análisis de entidades en Amazon Detective
<a name="entity-profiles"></a>

Una entidad es un objeto único extraído de los datos de origen. Los ejemplos incluyen una dirección IP específica, una EC2 instancia de Amazon o AWS una cuenta. Para obtener una lista de los tipos de entidades, consulte [Tipos de entidades de la estructura de datos del gráfico de comportamiento](graph-data-structure-overview.md#entity-types).

Un perfil de entidad de Amazon Detective es una página única que proporciona información detallada sobre la entidad y su actividad. Puede usar un perfil de entidad para obtener información que respalde una investigación sobre un resultado o como parte de una búsqueda general de actividad sospechosa.

**Topics**
+ [Uso de perfiles de entidades](using-entity-profiles.md)
+ [Visualización e interacción con los paneles de perfil de Detective](profile-panels.md)
+ [Desplazarse directamente a un perfil de entidad o a la descripción general de un resultado](navigate-to-profile.md)
+ [Paso de un panel de perfil a otra consola](profile-panel-console-links.md)
+ [Exploración de los detalles de actividad en un panel de perfil](profile-panel-drilldown.md)
+ [Administración del rango temporal](scope-time-managing.md)
+ [Visualización de los detalles de los hallazgos asociados en Detective](entity-finding-list.md)
+ [Visualización de detalles de entidades de gran volumen en Detective](high-volume-entities.md)

# Uso de perfiles de entidades
<a name="using-entity-profiles"></a>

Un perfil de entidad se muestra al realizar una de las siguientes acciones:
+ Desde la GuardDuty consola de Amazon, elige la opción de investigar una entidad relacionada con un hallazgo seleccionado.

  Consulte [Pasar al perfil de una entidad o buscar información general en Amazon GuardDuty o AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).
+ Vaya a la URL de Detective correspondiente al perfil de entidad.

  Consulte [Desplazarse al perfil de una entidad o a la descripción general de un resultado mediante una URL](navigate-to-profile.md#profile-navigate-url).
+ Use la búsqueda de Detective en la consola de Detective para buscar una entidad.
+ Elija un enlace al perfil de entidad desde otro perfil de entidad o desde la descripción general de un resultado.

## Rango temporal de un perfil de entidad
<a name="entity-profile-scope-time"></a>

Cuando se desplaza directamente a un perfil de entidad sin proporcionar el rango temporal, este se establece en las 24 horas anteriores.

Cuando se desplaza a un perfil de entidad desde otro perfil de entidad, se conserva el rango temporal seleccionado.

Cuando se desplaza a un perfil de entidad desde la descripción general de un resultado, el rango temporal se establece en la franja horaria del resultado.

Para obtener información sobre cómo personalizar el tiempo de alcance para limitar los datos que se muestran en los perfiles de las entidades, consulte [Gestión del tiempo de alcance](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).

## Identificador y tipo de entidad
<a name="entity-identifier-type"></a>

En la parte superior del perfil se encuentran el identificador de entidad y el tipo de entidad. Cada tipo de entidad tiene un icono correspondiente, que proporciona una indicación visual del tipo de perfil.

## Resultados implicados
<a name="entity-profile-associated-findings"></a>

Cada perfil contiene una lista de resultados en los que la entidad estuvo implicada durante el rango temporal.

Puede ver los detalles de cada resultado, cambiar el rango temporal para que refleje la franja horaria del resultado, y acceder a la descripción general del resultado para buscar otros recursos implicados.

Consulte [Visualización de los detalles de los hallazgos asociados en Detective](entity-finding-list.md).

## Grupos de resultados que impliquen a esta entidad
<a name="entity-profile-associated-finding-group"></a>

Cada perfil contiene una lista de los grupos de resultados en los que está incluida una entidad.

Un grupo de resultados se compone de resultados, entidades y pruebas que Detective recopila en un grupo para proporcionar más contexto sobre posibles problemas de seguridad.

Para obtener más información acerca de los grupos de resultados, consulte [Análisis de grupos de resultados](groups-about.md).

## Paneles de perfil que contienen detalles de entidad y resultados de análisis
<a name="entity-profile-panels"></a>

Cada perfil de entidad contiene un conjunto de una o varias pestañas. Cada pestaña contiene uno o varios paneles de perfil. Cada panel de perfil contiene texto y visualizaciones que se generan a partir de los datos del gráfico de comportamiento. Las pestañas y los paneles de perfil específicos se adaptan al tipo de entidad.

Para la mayoría de las entidades, el panel situado en la parte superior de la primera pestaña proporciona información avanzada resumida sobre la entidad.

Otros paneles de perfil resaltan diferentes tipos de actividad. En el caso de una entidad implicada en un resultado, la información que figura en los paneles de perfil de entidad puede proporcionar pruebas complementarias que ayuden a completar la investigación. Cada panel de perfil proporciona acceso a directrices sobre cómo usar la información. Para obtener más información, consulte [Usar las directrices de los paneles de perfil durante una investigación](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance). 

Para obtener más información sobre los paneles de perfil, los tipos de datos que contienen y las opciones disponibles para interactuar con ellos, consulte [Visualización e interacción con los paneles de perfil de Detective](profile-panels.md).

## Navegar por el perfil de una entidad
<a name="profile-navigating"></a>

Un perfil de entidad consta de una o varias pestañas. Cada pestaña contiene uno o varios paneles de perfil. Cada panel de perfil contiene texto y visualizaciones que se generan a partir de los datos del gráfico de comportamiento.

A medida que se desplaza hacia abajo por una pestaña de perfil, la siguiente información permanece visible en la parte superior del perfil:
+ Tipo de identidad
+ Identificador de la entidad
+ Rango temporal

![\[Encabezado del perfil con el menú de pestañas disponibles.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_header_tab_menu.png)


# Visualización e interacción con los paneles de perfil de Detective
<a name="profile-panels"></a>

Cada perfil de entidad de la consola de Amazon Detective consta de un conjunto de paneles de perfil. Un panel de perfil es una visualización que proporciona detalles genéricos o resalta actividad específica asociada a una entidad. Los paneles de perfil usan distintos tipos de visualizaciones para presentar distintos tipos de información. También pueden proporcionar enlaces a detalles adicionales o a otros perfiles.

Cada panel de perfil está diseñado para ayudar a los analistas a encontrar respuestas a preguntas concretas sobre las entidades y su actividad asociada. Las respuestas a esas preguntas ayudan a llegar a una conclusión sobre si la actividad representa una amenaza real.

Los paneles de perfil usan distintos tipos de visualizaciones para presentar distintos tipos de información.

## Tipos de información de un panel de perfil
<a name="profile-panel-data-types"></a>

Los paneles de perfil suelen proporcionar los siguientes tipos de datos.


|  Tipo de datos del panel  |  Descripción  | 
| --- | --- | 
|  Información de alto nivel sobre un resultado o una entidad  |  El tipo de panel más sencillo proporciona cierta información básica acerca de una entidad. Ejemplos de información incluida en un panel de información incluyen el identificador, el nombre, el tipo y la fecha de creación. ![\[Ejemplo de un panel de perfil que contiene información de alto nivel acerca de una entidad.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_item_details.png) La mayoría de los perfiles de entidad contienen un panel de información para dicha entidad.  | 
|  Resumen general de actividad a lo largo del tiempo  |  Muestra un resumen de la actividad de una entidad a lo largo del tiempo. Este tipo de panel proporciona una visión general del comportamiento de una entidad durante el rango temporal. ![\[Ejemplo de un panel de perfil que contiene una visión general de la actividad de una entidad a lo largo del tiempo.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) A continuación se muestran algunos ejemplos de datos de resumen que se proporcionan en los paneles de perfil de Detective: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/profile-panels.html)  | 
|  Resumen de actividad agrupado por valores  |  Muestra un resumen de la actividad de una entidad, agrupado por determinados valores. Por ejemplo, puede ver este tipo de panel de perfil en el perfil. EC2 El panel de perfil muestra el volumen promedio de datos del registro de VPC flujo hacia y desde una EC2 instancia para los puertos comunes que están asociados a tipos específicos de servicios. ![\[Ejemplo de un panel de perfil que muestra un resumen de actividad agrupado por determinados valores.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png)  | 
|  Actividad que comenzó justo durante el rango temporal  |  Durante una investigación, es útil ver qué actividad comenzó a producirse justo durante un periodo de tiempo concreto. Por ejemplo, ¿hay API llamadas, ubicaciones geográficas o agentes de usuario que no se hayan visto antes? ![\[Ejemplo de un panel de perfil que resalta la actividad no observada antes del rango temporal.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) Si el gráfico de comportamiento sigue en modo de aprendizaje, el panel de perfil muestra un mensaje de notificación. El mensaje se elimina cuando el gráfico de comportamiento ha acumulado al menos dos semanas de datos. Para obtener más información acerca del modo de aprendizaje, consulte [Periodo de formación para nuevos gráficos de comportamiento de los Detectives](detective-data-training-period.md).  | 
|  Actividad que ha cambiado de manera significativa durante el rango temporal  |  Al igual que los nuevos paneles de actividad, los paneles de perfil también pueden mostrar la actividad que ha cambiado significativamente durante el rango temporal. Por ejemplo, un usuario puede emitir una API llamada determinada con regularidad varias veces a la semana. Si, de repente, el mismo usuario hace la misma llamada varias veces en un mismo día, eso podría ser indicio de una actividad malintencionada. ![\[Ejemplo de un panel de perfil en el que se muestra una actividad que ha cambiado significativamente durante el rango temporal.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) Si el gráfico de comportamiento sigue en modo de aprendizaje, el panel de perfil muestra un mensaje de notificación. El mensaje se elimina cuando el gráfico de comportamiento ha acumulado al menos dos semanas de datos. Para obtener más información acerca del modo de aprendizaje, consulte [Periodo de formación para nuevos gráficos de comportamiento de los Detectives](detective-data-training-period.md).  | 

# Tipos de visualizaciones de un panel de perfil
<a name="profile-panel-display-types"></a>

El contenido de un panel de perfil puede adoptar una de las siguientes formas:


|  Tipo de visualización  |  Descripción  | 
| --- | --- | 
|  Pares clave-valor  |  El tipo de visualización más simple es un conjunto de pares de clave-valor. Un panel de información de resultado o entidad es el ejemplo más común de un panel de pares de clave-valor. ![\[Ejemplo de un panel de perfil que contiene pares de clave-valor.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_key_value.png) Los pares de clave-valor también se pueden usar para añadir información adicional a otros tipos de paneles. Desde un panel de pares de clave-valor, si un valor es un identificador de una entidad, puede pasar directamente a su perfil.  | 
|  Tabla  |  Una tabla es una simple lista de elementos de varias columnas. ![\[Ejemplo de un panel de perfil que contiene una tabla sencilla.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_table.png) Puede ordenar, filtrar y desplazarse hacia arriba y hacia abajo por la tabla. Puede cambiar el número de entradas que se muestren en cada página. Consulte [Establecimiento de las preferencias de un panel de perfil](profile-panel-preferences.md). Si un valor de la tabla es un identificador de una entidad, puede pasar directamente a su perfil.  | 
|  Plazo  |  Una visualización de cronograma muestra un valor agregado a intervalos definidos a lo largo del tiempo. ![\[Ejemplo de un panel de perfil que contiene cronogramas.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_timeline.png) El cronograma resalta el rango temporal actual e incluye el tiempo periférico adicional antes y después del rango temporal. El tiempo periférico proporciona un contexto para la actividad en el rango temporal. Pase el ratón por encima de un intervalo de tiempo para ver un resumen de los datos de dicho intervalo.  | 
|  Tabla ampliable  |  Una tabla ampliable combina tablas y cronogramas. ![\[Ejemplo de un panel de perfil que contiene una tabla ampliable.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) La visualización comienza como una tabla. Puede ordenar, filtrar y desplazarse hacia arriba y hacia abajo por la tabla. Puede cambiar el número de entradas que se muestren en cada página. Consulte [Establecimiento de las preferencias de un panel de perfil](profile-panel-preferences.md). A continuación, puede expandir cada fila para que se muestre una visualización de cronograma específica de esa fila.  | 
|  Gráfico de barras  |  Un gráfico de barras muestra valores basándose en agrupaciones. Según el gráfico, tal vez pueda elegir una barra para que se muestre un cronograma de actividades relacionadas. ![\[Ejemplo de un panel de perfil que contiene un gráfico de barras.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_bar_chart.png)  | 
|  Gráfico de geolocalización  |  Un gráfico de geolocalización muestra un mapa marcado para resaltar los datos en función de la ubicación geográfica. Puede ir seguido de una tabla con detalles sobre geolocalizaciones individuales. ![\[Ejemplo de un panel de perfil que contiene un gráfico de geolocalización.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_geolocation.png) Tenga en cuenta que, al procesar datos geográficos entrantes, Detective redondea los valores de latitud y longitud a un solo punto decimal.  | 

## Notas sobre el contenido del panel de perfil
<a name="profile-panel-other-notes"></a>

Tenga en cuenta lo siguiente cuando vea el contenido de un panel de perfil:

****Advertencia de datos de recuento aproximado****  
Esta advertencia indica que los elementos con recuentos extremadamente bajos no aparecen debido al volumen de datos aplicables.  
Para garantizar un recuento completamente preciso, reduzca la cantidad de datos. La forma más sencilla de hacerlo es reducir la duración del rango temporal. Consulte [Administración del rango temporal](scope-time-managing.md).

****Redondear por ubicaciones geográficas****  
Detective redondea todos los valores de latitud y longitud a un solo punto decimal.

**Cambios en la forma en que Detective representa API las llamadas**  
A partir del 14 de julio de 2021, Detective rastrea el servicio que realizó cada API llamada. Siempre que Detective muestre un API método, también mostrará el servicio asociado. En los paneles de perfil que muestran información sobre las API llamadas, las llamadas siempre se agrupan por servicio. En el caso de los datos ingeridos por Detective antes de esa fecha, el nombre del servicio aparece como **Servicio desconocido**.  
Además, a partir del 14 de julio de 2021, en el caso de las cuentas y los roles, los detalles de la actividad del panel del perfil del **volumen general de API llamadas** AKID dejarán de mostrar el recurso que emitió la llamada. En el caso de las cuentas, Detective muestra el identificador de la entidad principal (usuario o rol) que emitió la llamada. En el caso de los roles, Detective muestra el identificador de la sesión de rol. En el caso de los datos ingeridos por Detective antes del 14 de julio de 2021, el identificador aparece como **Recurso desconocido**.  
En el caso de los paneles de perfil que muestran una lista de API llamadas, la cronología asociada resalta el período de tiempo durante el cual se produjo esta transición. La información destacada comienza el 14 de julio de 2021 y finaliza cuando la actualización se propagó por completo en Detective.

# Establecimiento de las preferencias de un panel de perfil
<a name="profile-panel-preferences"></a>

En el caso de los paneles de perfil, puede personalizar el número de filas que aparecen en cada página de los paneles de perfil y configurar la preferencia de formato de marca horaria.

## Establecimiento de la longitud de la tabla
<a name="profile-panel-preferences-table"></a>

En el caso de los paneles de perfil que contienen tablas o tablas ampliables, puede configurar el número de filas que se mostrarán en cada página. 

Defina su preferencia en cuanto al número de entradas por página.

1. Abre la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. En el panel de navegación de Detective, en **Configuración**, elija **Preferencias**.

1. En la página **Preferencias**, en **Longitud de la tabla**, haga clic en **Editar**. 

1. Elija el número de filas de la tabla que desea que se muestren por página.

1. Elija **Guardar**.

## Establecer el formato de marca temporal
<a name="profile-panel-preferences-timestamp"></a>

Para los paneles de perfil, puede configurar la preferencia de formato de marca de tiempo que se aplicará a todas las marcas de tiempo de cada IAM usuario o rol IAM de Detective. 
**nota**  
La preferencia de formato de marca horaria no se aplica a toda la cuenta. AWS 

Defina la preferencia para la marca temporal.

1. Abre la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. En el panel de navegación de Detective, en **Configuración**, elija **Preferencias**.

1. En la página **Preferencias**, en **Preferencias de marca de tiempo**, consulte y cambie la visualización preferida para todas las marcas de tiempo. 

1. De forma predeterminada, el formato de marca de tiempo está establecido en. UTC Haga clic en **Editar** para elegir su zona horaria local.

   Ejemplo:  
**Example**  

   UTC- 20/09/22 16:39 UTC

   Local - 20/09/2022 9:39 (- 07:00) UTC

1. Seleccione **Guardar**.

# Desplazarse directamente a un perfil de entidad o a la descripción general de un resultado
<a name="navigate-to-profile"></a>

Para desplazarse directamente a un perfil de entidad o a la descripción general de un resultado en Amazon Detective, puede usar una de estas opciones.
+ Desde Amazon GuardDuty o AWS Security Hub CSPM, puedes pasar de un GuardDuty hallazgo al perfil de búsqueda del Detective correspondiente.
+ Puede crear una URL de Detective que identifique un resultado o una entidad y establezca el rango temporal que se debe usar.

## Pasar al perfil de una entidad o buscar información general en Amazon GuardDuty o AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

Desde la GuardDuty consola de Amazon, puede navegar hasta el perfil de entidad de una entidad relacionada con un hallazgo.

Desde las AWS Security Hub CSPM consolas GuardDuty y, también puedes acceder a un resumen de los resultados. Esto también proporciona enlaces a los perfiles de entidad de las entidades implicadas.

Estos enlaces pueden contribuir a agilizar el proceso de investigación. Puede usar Detective rápidamente para ver la actividad de la entidad asociada y decidir los pasos siguientes. A continuación, puede archivar un resultado si se trata de un falso positivo, o examinarlo más a fondo para determinar el alcance del problema.

### Cómo pasar a la consola de Amazon Detective
<a name="profile-pivot-how-to"></a>

Los enlaces de la investigación están disponibles para ver todos los GuardDuty hallazgos. GuardDuty también le permite elegir si desea acceder al perfil de una entidad o al resumen de los resultados.

**Para pasar a Detective desde la consola GuardDuty**

1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. Si es necesario, en el panel de navegación izquierdo, elija **Resultados**.

1. En la página GuardDuty **Hallazgos**, elija el hallazgo.

   Se muestra el panel de detalles del resultado a la derecha de la lista de resultados.

1. En el panel de detalles del resultado, elija **Investigar en Detective**.

   GuardDuty muestra una lista de elementos disponibles para investigar en Detective.

   La lista contiene tanto las entidades relacionadas (por ejemplo, las direcciones IP o las instancias de EC2), como el resultado.

1. Elija una entidad o el resultado.

   La consola de Detective se abre en una pestaña nueva. Se abre la consola para mostrar la entidad o el perfil de resultado.

   Si no ha habilitado Detective, la consola se abre en una página de inicio que proporciona información general de Detective. Desde allí, puede optar por habilitar Detective.

**Para pasar a Detective desde la consola CSPM de Security Hub**

1. Abra la consola en AWS Security Hub CSPM . [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Si es necesario, en el panel de navegación izquierdo, elija **Resultados**.

1. En la página **Conclusiones** del CSPM de Security Hub, elija una GuardDuty conclusión.

1. En el panel de detalles, elija **Investigar en Detective** y, a continuación, elija **Investigar resultado**.

   Al elegir **Investigar resultado**, la consola de Detective se abre en una pestaña nueva. La consola se abre con la descripción general del resultado.

   La consola de Detective se abre siempre en la región en la que se originó el resultado, incluso si se cambia la región de agregación. Para obtener más información sobre la agregación de resultados, consulte [Aggregating findings across Regions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) en la *Guía del usuario de AWS Security Hub *.

   Si no ha habilitado Detective, la consola se abre en la página de inicio de Detective. Desde ella, puede habilitar Detective.

### Solución de problemas al pasar de un servicio a otro
<a name="profile-pivot-troubleshooting"></a>

Para usar el paso de servicio, se deben cumplir los siguientes criterios:
+ Su cuenta debe ser una cuenta de administrador tanto de Detective como del servicio desde el que está pasando.
+ Ha asumido un rol entre cuentas que otorga a su cuenta de administrador acceso al gráfico de comportamiento.

Para obtener más información sobre la recomendación de alinear las cuentas de administrador, consulta [Alineación recomendada con Amazon GuardDuty y AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations).

Si el paso de servicio no funciona, compruebe lo siguiente:
+ **¿El resultado pertenece a una cuenta de miembro habilitada en su gráfico de comportamiento?** Si la cuenta asociada no fue invitada al gráfico de comportamiento como cuenta de miembro, el gráfico de comportamiento no contiene datos de esa cuenta.

  Si una cuenta de miembro invitada no ha aceptado la invitación, el gráfico de comportamiento no contiene datos de esa cuenta.
+ **¿Se ha archivado el resultado?** El Detective no recibe los hallazgos archivados de GuardDuty.
+ **¿El resultado se produjo antes de que Detective comenzara la ingesta de datos en su gráfico de comportamiento?** Si el resultado no están presente en los datos de ingesta de Detective, el gráfico de comportamiento no contiene datos correspondientes.
+ **¿El resultado proviene de la región correcta?** Cada gráfico de comportamiento es específico de una región. Un gráfico de comportamiento no contiene datos de otras regiones.

## Desplazarse al perfil de una entidad o a la descripción general de un resultado mediante una URL
<a name="profile-navigate-url"></a>

Para desplazarse a un perfil de entidad o a la descripción general de un resultado en Amazon Detective, puede usar una URL que proporcione un enlace directo. La URL identifica el resultado o la entidad. También puede especificar el rango temporal que se utilice en el perfil. Detective mantiene hasta un año de datos de eventos históricos.

### Formato de URL de perfil
<a name="profile-url-format"></a>

**nota**  
Si utiliza el formato de URL anterior, Detective le redirigirá automáticamente a la URL nueva. El formato anterior de la URL era el siguiente:  
https://console.aws.amazon.com/detective/¿casa? región = *Region* \$1*type*/*namespace*/? *instanceID* *parameters*

El nuevo formato de URL del perfil es el siguiente: 
+ Para entidades, ¿ https://console.aws.amazon.com/detective/en casa? región= *Region* \$1*entities*/*namespace*/? *instanceID* *parameters*
+ Para hallazgos, ¿ https://console.aws.amazon.com/detective/en casa? región = *Region* \$1*findings*/? *instanceID* *parameters*

La URL requiere los siguientes valores:

***Region***  
La región que desea utilizar.

***type***  
El tipo de elemento del perfil al que se está desplazando.  
+ `entities`: indica que se está desplazando a un perfil de entidad.
+ `findings`: indica que se está desplazando a la descripción general de un resultado.

***namespace***  
Para las entidades, el espacio de nombre es el nombre del tipo de entidad.  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
El identificador de instancia del resultado o entidad.  
+ En el caso de un GuardDuty hallazgo, el identificador del GuardDuty hallazgo.
+ En el caso de una AWS cuenta, el identificador de la cuenta.
+ En el caso de los AWS roles y los usuarios, el ID principal del rol o del usuario.
+ Para los usuarios federados, el ID de entidad principal del usuario federado. El ID de entidad principal es `<identityProvider>:<username>` o `<identityProvider>:<audience>:<username>`.
+ Para las direcciones IP, la dirección IP.
+ Para los agentes de usuario, el nombre del agente de usuario.
+ Para instancias de EC2, el ID de instancia.
+ Para las sesiones de rol, el identificador de sesión. El identificador de sesión del rol utiliza el formato ` <rolePrincipalID>:<sessionName>`.
+ Para los buckets de S3, el nombre del bucket.
+ Para FindingGroups un UUID. Por ejemplo, `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ Para los recursos de EKS, use los siguientes formatos:
  + Clúster EKS: *<clusterName>\$1<accountId>\$1EKS*
  + Pod de Kubernetes: *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Asunto de Kubernetes: *<subjectName>\$1<clusterName>\$1<accountId>*
  + Imagen del contenedor: *<registry>/<repository>:<tag>@<digest>*
El resultado o entidad deben estar asociados a una cuenta habilitada en el gráfico de comportamiento.

La URL también puede incluir los siguientes parámetros opcionales, que se usan para establecer el rango temporal. Para obtener más información sobre el rango temporal y cómo se usa en los perfiles, consulte [Administración del rango temporal](scope-time-managing.md).

**`scopeStart`**  
Hora de inicio del rango temporal que se usará en el perfil. La hora de inicio debe situarse entre los últimos 365 días.  
El valor es la marca temporal en formato de tiempo Unix.  
Si proporciona una hora de inicio pero no una hora de finalización, el rango temporal finaliza a la hora actual.

**`scopeEnd`**  
Hora de finalización del rango temporal que se usará en el perfil.  
El valor es la marca temporal en formato de tiempo Unix.  
Si proporciona una hora de finalización, pero no una hora de inicio, el rango temporal incluye todo el tiempo anterior a la hora de finalización.

Si no especifica el rango temporal, se usará el rango temporal predeterminado.
+ En el caso de los resultados, el rango temporal predeterminado usa la primera y la última vez que se observó la actividad del resultado.
+ En el caso de las entidades, el rango temporal predeterminado son las 24 horas anteriores.

A continuación se muestra un ejemplo de una URL de Detective:

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

La URL de este ejemplo proporciona las siguientes instrucciones:
+ Muestra el perfil de entidad de la dirección IP 192.168.1.
+ Use un rango temporal que empiece el lunes, 18 de marzo de 2019 a las 12:00:00 AM GMT y finalice el lunes, 18 de marzo de 2019 a las 12:00:00 PM GMT.

### Solución de problemas de URL
<a name="profile-url-troubleshooting"></a>

Si la URL no muestra el perfil esperado, compruebe primero que la URL usa el formato correcto y que se han introducido los valores correctos.
+ ¿Se ha empezado con la URL correcta (`findings` o `entities`)? 
+ ¿Se ha especificado el espacio de nombre correcto?
+ ¿Se ha proporcionado el identificador correcto?

Si los valores son correctos, también puede comprobar lo siguiente:
+ **¿El resultado o la entidad pertenecen a una cuenta de miembro habilitada en su gráfico de comportamiento?** Si la cuenta asociada no fue invitada al gráfico de comportamiento como cuenta de miembro, el gráfico de comportamiento no contiene datos de esa cuenta.

  Si una cuenta de miembro invitada no ha aceptado la invitación, el gráfico de comportamiento no contiene datos de esa cuenta.
+ **En el caso de un resultado, ¿se ha archivado el resultado?** El Detective no recibe los hallazgos archivados de Amazon GuardDuty.
+ **¿El resultado o la entidad se produjeron antes de que Detective comenzara la ingesta de datos en su gráfico de comportamiento?** Si el resultado o la entidad no están presentes en los datos de ingesta de Detective, el gráfico de comportamiento no contiene datos correspondientes.
+ **¿El resultado o la entidad provienen de la región correcta?** Cada gráfico de comportamiento es específico de una región. Un gráfico de comportamiento no contiene datos de otras regiones.

## Añadir Detective URLs para encontrar hallazgos a Splunk
<a name="profile-splunk-integration-url"></a>

El proyecto Splunk Trumpet te permite enviar datos desde los servicios a Splunk. AWS 

Puedes configurar el proyecto Trumpet para generar los GuardDuty hallazgos de Detective URLs for Amazon. Luego puedes usarlos URLs para pasar directamente de Splunk a los perfiles de búsqueda de Detectives correspondientes.

El proyecto Trumpet está disponible en. GitHub [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)

En la página de configuración del proyecto Trumpet, en **AWS CloudWatch Eventos**, elija **Detective GuardDuty URLs**.

# Paso de un panel de perfil a otra consola
<a name="profile-panel-console-links"></a>

En el caso de las instancias de EC2, los usuarios de IAM y los roles de IAM, puede desplazarse directamente desde el panel del perfil de detalles hasta la consola correspondiente. La información disponible en la consola puede proporcionar información adicional para su investigación de seguridad.

En el panel de perfil **Detalles de la instancia de EC2**, el identificador de la instancia de EC2 está vinculado a la consola de Amazon EC2.

En el panel del perfil **Detalles del usuario**, el nombre de usuario está vinculado a la consola de IAM.

En el panel del perfil **Detalles del rol**, el nombre del rol está vinculado a la consola de IAM.

## Paso de un panel de perfil al perfil de otra entidad
<a name="profile-panel-pivot"></a>

Cuando un panel de perfil contiene un identificador de una entidad diferente, suele tratarse de un enlace al perfil de esa entidad. Las excepciones son los enlaces a las consolas de Amazon EC2 e IAM en los perfiles de instancia de EC2, usuarios de IAM y roles de IAM. Consulte [Paso de un panel de perfil a otra consola](#profile-panel-console-links).

Por ejemplo, a partir de una lista de direcciones IP, es posible que pueda ver el perfil de una dirección IP específica. De esa forma, podrá ver si hay alguna otra información disponible que le ayude a completar la investigación.

# Exploración de los detalles de actividad en un panel de perfil
<a name="profile-panel-drilldown"></a>

Durante una investigación, es posible que desee investigar más a fondo el patrón de actividad de una entidad.

En los siguientes paneles de perfil, puede ver un resumen de los detalles de actividad:
+ **Volumen total de llamadas a la API**, excepto para el panel de perfil correspondiente al perfil del agente de usuario
+ **Geolocalizaciones recién observadas**
+ **Volumen total del flujo de la VPC**
+ **Volumen de flujo de VPC hacia y desde la dirección IP del resultado**, para resultados asociados a una sola dirección IP
+ **Detalles del contenedor**
+ **Volumen de flujo de VPC** para clústeres
+ **Actividad total de API de Kubernetes**

Los detalles de actividad pueden responder a este tipo de preguntas:
+ ¿Qué direcciones IP se utilizaron?
+ ¿Dónde estaban ubicadas esas direcciones IP?
+ ¿Qué llamadas a la API realizó cada dirección IP y desde qué servicios las realizó?
+ ¿Qué identificadores principales o de clave de acceso (AKIDs) se utilizaron para realizar las llamadas?
+ ¿Qué recursos se utilizaron para realizar esas llamadas?
+ ¿Cuántas llamadas se hicieron? ¿Cuántas tuvieron éxito y cuántas fracasaron?
+ ¿Qué volumen de datos de registro de flujo de VPC se envió hacia o desde cada dirección IP?
+ ¿Qué contenedores estaban activos para un determinado clúster, imagen o pod?

**Topics**
+ [Detalles de actividad de Volumen total de llamadas a la API](profile-panel-drilldown-overall-api-volume.md)
+ [Detalles de actividad de una geolocalización](profile-panel-drilldown-new-geolocations.md)
+ [Detalles de actividad de Volumen total del flujo de la VPC](profile-panel-drilldown-overall-vpc-volume.md)
+ [Actividad total de la API de Kubernetes relacionada con el clúster de EKS](profile-panel-drilldown-kubernetes-api-volume.md)

# Detalles de actividad de Volumen total de llamadas a la API
<a name="profile-panel-drilldown-overall-api-volume"></a>

Los detalles de actividad de **Volumen total de llamadas a la API** muestran las llamadas a la API que se emitieron durante un intervalo de tiempo seleccionado.

Para ver los detalles de un único intervalo de tiempo, elija el intervalo de tiempo en el gráfico.

Para ver los detalles de actividad para el rango temporal actual, elija **Mostrar detalles del rango temporal**.

Tenga en cuenta que Detective comenzó a almacenar y mostrar el nombre del servicio para las llamadas a la API el 14 de julio de 2021. Esa fecha aparece resaltada en el cronograma del panel de perfil. En el caso de las actividades que se produzcan antes de esa fecha, el nombre del servicio es **Servicio desconocido**.

## Contenido de los detalles de actividad (usuarios, roles, cuentas, sesiones de rol, instancias de EC2, buckets de S3)
<a name="drilldown-api-volume-content"></a>

Para los usuarios de IAM, los roles de IAM, las cuentas, las sesiones de rol, las instancias de EC2 y los buckets de S3, los detalles de actividad contienen la siguiente información:
+ Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado.

  En el caso de los buckets de S3, la información refleja las llamadas a la API que se realizaron al bucket de S3.

  Las llamadas a la API se agrupan por los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.
+ Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas. La pestaña **Direcciones IP observadas** también muestra la ubicación de cada dirección IP.
+ Cada entrada muestra información sobre quién realizó las llamadas. En el caso de las cuentas, los detalles de actividad identifican a los usuarios o roles. En el caso de los roles, los detalles de actividad identifican las sesiones de los roles. En el caso de los usuarios y las sesiones de roles, los detalles de la actividad identifican los identificadores de las claves de acceso (). AKIDs

  Tenga en cuenta que, a partir del 14 de julio de 2021, en el caso de los perfiles de las cuentas, los detalles de la actividad muestran los usuarios o los roles en lugar de AKIDs. En el caso de los perfiles de rol, los detalles de la actividad muestran las sesiones de rol en lugar de AKIDs. En el caso de la actividad que se produjo antes del 14 de julio de 2021, el llamante aparece como **Recurso desconocido**.

Los detalles de actividad contienen las siguientes pestañas:

**Direcciones IP observadas**  
Muestra inicialmente la lista de direcciones IP utilizadas para emitir llamadas a la API.  
Puede ampliar cada dirección IP para que se muestre la lista de llamadas a la API que se emitieron desde esa dirección IP. Las llamadas a la API se agrupan por los servicios que las llamaron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  
A continuación, puede ampliar cada llamada a la API para que se muestre la lista de personas que llaman desde esa dirección IP. Según el perfil, la persona que llama puede ser un usuario, un rol, una sesión de rol o un AKID.  

![\[Vista de la pestaña Direcciones IP observadas del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de direcciones IP, llamadas a la API y AKIDs. Las llamadas a la API se agrupan por servicio.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**Método de API por servicio**  
Muestra inicialmente la lista de llamadas a la API que se emitieron. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  
Puede ampliar cada método de API para que se muestre la lista de direcciones IP desde las que se emitieron las llamadas.  
A continuación, puedes ampliar cada dirección IP para mostrar la lista de las AKIDs llamadas a la API emitidas desde esa dirección IP.  

![\[Vista de la pestaña Método de API por servicio del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de las llamadas a la API, las direcciones IP y AKIDs. Las llamadas a la API se agrupan por servicio.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**ID de recurso o clave de acceso**  
Muestra inicialmente la lista de usuarios, funciones, sesiones de funciones o AKIDs que se utilizaron para realizar llamadas a la API.  
Puede ampliar cada persona que llama para mostrar la lista de direcciones IP desde las que la persona que llama emitió llamadas a la API.  
A continuación, puede expandir cada dirección IP para que se muestre la lista de llamadas a la API emitidas desde esa dirección IP por la persona que llamó. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  

![\[Vista de la pestaña Recursos del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de AKIDs las direcciones IP y las llamadas a la API agrupadas por servicio.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Contenido de los detalles de actividad (direcciones IP)
<a name="drilldown-api-volume-content-ip"></a>

En el caso de las direcciones IP, los detalles de actividad contienen la siguiente información:
+ Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.
+ Para cada entrada, los detalles de actividad muestran el número de llamadas correctas y fallidas.

Los detalles de actividad contienen las siguientes pestañas:

**Recurso**  
Muestra inicialmente la lista de recursos que emitieron llamadas a la API desde la dirección IP.  
Para cada recurso, la lista incluye el nombre del recurso, el tipo y la AWS cuenta.  
Puede ampliar cada recurso para que se muestre la lista de llamadas a la API que el recurso emitió desde la dirección IP. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  

![\[Vista de la pestaña Recursos con los detalles de actividad en el panel de perfil Volumen total de llamadas a la API de una dirección IP.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**Método de API por servicio**  
Muestra inicialmente la lista de llamadas a la API que se emitieron. Las llamadas a la API se agrupan por los servicios que las emitieron. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  
Puede ampliar cada llamada a la API para que se muestre la lista de recursos que emitieron la llamada a la API desde la dirección IP durante el período de tiempo seleccionado.  

![\[Vista de la pestaña Método de API por servicio de los detalles de actividad del panel de perfil Volumen total de llamadas a la API de una dirección IP.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Ordenar los detalles de actividad
<a name="drilldown-api-volume-sort"></a>

Puede ordenar los detalles de actividad por cualquiera de las columnas de la lista.

Al ordenar utilizando la primera columna, solo se ordena la lista de nivel superior. Las listas de nivel inferior siempre se ordenan por el número de llamadas a la API que se han realizado correctamente.

## Filtrar los detalles de actividad
<a name="drilldown-api-volume-filter"></a>

Puede utilizar las opciones de filtrado para centrarse en subconjuntos o aspectos específicos de la actividad representados en los detalles de actividad.

En todas las pestañas, puede filtrar la lista por cualquiera de los valores de la primera columna.

**Para añadir un filtro**

1. Elija el cuadro de filtros.

1. En **Propiedades**, elija la propiedad que desee utilizar para el filtrado.

1. Proporcione el valor que se va a utilizar para el filtrado. El filtro admite valores parciales. Por ejemplo, si filtra por método de API, si filtra por **Instance**, los resultados incluyen cualquier operación de API que tenga `Instance` su nombre. Por lo tanto, ambos `ListInstanceAssociations` y `UpdateInstanceInformation` coincidirían.

   Para los nombres de los servicios, los métodos de API y las direcciones IP, puede especificar un valor o elegir un filtro integrado.

   En el caso de **las subcadenas de API comunes**, elija la subcadena que represente el tipo de operación, como `List`, `Create` o `Delete`. El nombre de cada método de API comienza con el tipo de operación.

   En el caso de **los patrones CIDR**, puede optar por incluir solo direcciones IP públicas, direcciones IP privadas o direcciones IP que coincidan con un patrón CIDR específico.

1. **Elige una opción booleana *Resource* o bien *Service***: Contiene** o\$1 ****: No contiene; o *IP address* **= es igual a *API method*** o\$1 : No equivale** a configurar filtros.  
![\[Lista de filtros disponibles para el filtro de detalles de la actividad.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/api-volume-search.png)

Para eliminar un filtro, elija el icono **x** de la parte superior derecha.

Para borrar los filtros seleccionados, elija **Borrar filtros**.

## Selección del intervalo de tiempo para los detalles de actividad
<a name="drilldown-api-volume-time-range"></a>

 Cuando se muestran los detalles de actividad por primera vez, el intervalo de tiempo es el rango temporal o un intervalo de tiempo seleccionado. Puede cambiar el intervalo de tiempo de los detalles de actividad.

**Para cambiar el intervalo de tiempo de los detalles de actividad**

1. Elija **Editar**.

1. En **Editar franja horaria**, elija las horas de inicio y de finalización que desea usar.

   Para configurar la franja horaria con el rango temporal predeterminado del perfil, elija **Establecer el rango temporal predeterminado**.

1. Elija **Actualizar periodo**.

El intervalo de tiempo para los detalles de actividad aparece resaltado en los gráficos del panel de perfil.

![\[Franja horaria resaltada del panel de perfil Volumen total de llamadas a la API\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Consulta de registros sin procesar
<a name="query-raw-logs"></a>

Amazon Detective se integra con Amazon Security Lake, lo que permite consultar y recuperar datos de registros sin procesar almacenados por Security Lake. Para obtener más información sobre esta integración, consulte [Integración de Amazon Detective con Amazon Security Lake](securitylake-integration.md).

Con esta integración puede recopilar y consultar registros y eventos de los siguientes orígenes que Security Lake admite de forma nativa.
+ AWS CloudTrail eventos de gestión, versión 1.0 y posteriores
+ Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) versión 1.0 y versiones posteriores
+ Registro de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) versión 2.0

**nota**  
No hay recargos adicionales por consultar registros de datos sin procesar en Detective. Los cargos por uso de otros AWS servicios, incluido Amazon Athena, se seguirán aplicando a las tarifas publicadas.

**Para consultar registros sin procesar**

1. Elija **Mostrar los detalles del rango de tiempo**. 

1. Desde aquí puede empezar a **Consultar registros sin procesar**. 

1. En la tabla **Vista previa del registro sin procesar** puede ver los registros y los eventos recuperados consultando datos de Security Lake. Para obtener más información sobre los registros de eventos sin procesar, puede ver los datos que se muestran en Amazon Athena. 

   En la tabla Registros de consulta sin procesar, puede **Cancelar solicitud de consulta**, **Ver resultados en Amazon Athena** y **Descargar resultados** como archivo de valores separados por comas (.csv). 

Si ve registros en Detective, pero la consulta no devuelve resultados, podría deberse a los siguientes motivos.
+ Es posible que los registros sin procesar pasen a estar disponibles en Detective antes de mostrarse en tablas de registros de Security Lake. Inténtelo de nuevo más tarde.
+ Es posible que falten registros en Security Lake. Si esperó durante un período prolongado, significa que faltan registros en Security Lake. Póngase en contacto con el administrador de Security Lake para solucionar el problema.

# Detalles de actividad de una geolocalización
<a name="profile-panel-drilldown-new-geolocations"></a>

Los detalles de actividad de las **Geolocalizaciones recién observadas** muestran las llamadas a la API que se emitieron desde una geolocalización durante ese período. Las llamadas a la API incluyen todas las llamadas emitidas desde la geolocalización. No se limitan a las llamadas que utilizaron la entidad de resultado o perfil. En el caso de los buckets de S3, las llamadas a la actividad son llamadas a la API que se realizan al bucket de S3.

El Detective determina la ubicación de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa que sus datos son muy precisos a nivel de país, aunque la precisión varía según factores como el país y el tipo de IP. Para obtener más información MaxMind, consulte [Geolocalización MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si cree que alguno de los datos de GeoIP es incorrecto, puede enviar una solicitud de corrección a Maxmind en [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.

Para mostrar los detalles de actividad, realice una de las siguientes acciones:
+ En el mapa, elija una geolocalización.
+ En la lista, elija **Detalles** para una geolocalización.

Los detalles de actividad sustituyen a la lista de geolocalización. Para volver a la lista de geolocalización, elija **Volver a todos los resultados**.

Tenga en cuenta que Detective comenzó a almacenar y mostrar el nombre del servicio para las llamadas a la API el 14 de julio de 2021. En el caso de las actividades que se produzcan antes de esa fecha, el nombre del servicio es **Servicio desconocido**.

## Contenido de los detalles de actividad
<a name="profile-panel-drilldown-geolocation-content"></a>

Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado.

Para cada dirección IP, recurso y método de API, la lista muestra el número de llamadas a la API correctas y fallidas.

Los detalles de actividad contienen las siguientes pestañas:

**Direcciones IP observadas**  
Muestra inicialmente la lista de direcciones IP que se utilizaron para emitir llamadas a la API desde la geolocalización seleccionada.  
Puede ampliar cada dirección IP para que se muestren los recursos que emitieron llamadas a la API desde esa dirección IP. La lista muestra el nombre del recurso. Para ver el ID de la entidad principal, coloque el cursor sobre el nombre.  
A continuación, puede expandir cada recurso para que se muestren las llamadas a la API específicas que ese recurso emitió desde esa dirección IP. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  

![\[Vista de la pestaña Direcciones IP observadas del panel Geolocalizaciones recién observadas con una entrada ampliada para que se muestre la jerarquía de direcciones IP, recursos y métodos de API.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Resource**  
Muestra inicialmente la lista de recursos que emitieron llamadas a la API desde la geolocalización seleccionada. La lista muestra el nombre del recurso. Para ver el ID de la entidad principal, haga una pausa en el nombre. Para cada recurso, la pestaña **Recurso** también muestra el asociado Cuenta de AWS.  
Puede ampliar cada usuario o rol para que se muestre la lista de llamadas a la API emitidas por ese recurso. Las llamadas a la API se agrupan por los servicios que las emitieron. En el caso de los buckets de S3, el servicio es siempre Amazon S3. Si Detective no puede determinar el servicio que emitió la llamada, la llamada aparece como **Servicio desconocido**.  
A continuación, puede ampliar cada llamada a la API para que se muestre la lista de direcciones IP desde las que el recurso emitió la llamada a la API.  

![\[Vista de la pestaña Recursos del panel Geolocalizaciones recién observadas, con una entrada ampliada para que se muestre la jerarquía de usuarios o roles, los métodos de la API y las direcciones IP.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Ordenar los detalles de actividad
<a name="drilldown-geolocation-sort"></a>

Puede ordenar los detalles de actividad por cualquiera de las columnas de la lista.

Al ordenar utilizando la primera columna, solo se ordena la lista de nivel superior. Las listas de nivel inferior siempre se ordenan por el número de llamadas a la API que se han realizado correctamente.

## Filtrar los detalles de actividad
<a name="drilldown-geolocation-filter"></a>

Puede utilizar las opciones de filtrado para centrarse en subconjuntos o aspectos específicos de la actividad representados en los detalles de actividad.

En todas las pestañas, puede filtrar la lista por cualquiera de los valores de la primera columna.

**Para añadir un filtro**

1. Elija el cuadro de filtros.

1. En **Propiedades**, elija la propiedad que desee utilizar para el filtrado.

1. Proporcione el valor que se va a utilizar para el filtrado. El filtro admite valores parciales. Por ejemplo, si filtra por método de API, si filtra por **Instance**, los resultados incluyen cualquier operación de API que tenga `Instance` su nombre. Por lo tanto, ambos `ListInstanceAssociations` y `UpdateInstanceInformation` coincidirían.

   Para los nombres de los servicios, los métodos de API y las direcciones IP, puede especificar un valor o elegir un filtro integrado.

   En el caso de **las subcadenas de API comunes**, elija la subcadena que represente el tipo de operación, como `List`, `Create` o `Delete`. El nombre de cada método de API comienza con el tipo de operación.

   En el caso de **los patrones CIDR**, puede optar por incluir solo direcciones IP públicas, direcciones IP privadas o direcciones IP que coincidan con un patrón CIDR específico.

1. Si tiene varios filtros, elija una opción booleana para establecer cómo se conectan esos filtros.  
![\[Lista de conectores disponibles entre filtros individuales para el filtro de detalles de actividad.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Para eliminar un filtro, elija el icono **x** de la parte superior derecha.

1. Para borrar los filtros seleccionados, elija **Borrar filtros**.

# Detalles de actividad de Volumen total del flujo de la VPC
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

En el caso de una instancia de EC2, los detalles de actividad de **Volumen total de flujo de la VPC** muestran las interacciones entre la instancia de EC2 y las direcciones IP durante un intervalo de tiempo seleccionado.

En el caso de un pod de Kubernetes, **Volumen total del flujo de la VPC** muestra el volumen total de bytes que entran y salen de la dirección IP asignada al pod de Kubernetes para todas las direcciones IP de destino. La dirección IP del pod de Kubernetes no es única cuando. `hostNetwork:true` En este caso, el panel muestra el tráfico hacia otros pods con la misma configuración y el nodo que los aloja.

En el caso de una dirección IP, los detalles de actividad de **Volumen total del flujo de la VPC** muestran las interacciones entre la dirección IP y las instancias de EC2 durante un intervalo de tiempo seleccionado.

Para ver los detalles de un único intervalo de tiempo, elija el intervalo de tiempo en el gráfico.

Para ver los detalles de actividad para el rango temporal actual, elija **Mostrar detalles del rango temporal**.

## Contenido de los detalles de actividad
<a name="drilldown-vpc-volume-content"></a>

El contenido refleja la actividad durante el intervalo de tiempo seleccionado.

En el caso de una instancia de EC2, los detalles de actividad contienen una entrada para cada combinación única de dirección IP, puerto local, puerto remoto, protocolo y dirección.

En el caso de una dirección IP, los detalles de actividad contienen una entrada para cada combinación única de instancia de EC2, puerto local, puerto remoto, protocolo y dirección.

Cada entrada muestra el volumen del tráfico entrante, el volumen del tráfico saliente y si la solicitud de acceso se ha aceptado o rechazado. Al buscar perfiles, la columna **Anotaciones** indica si una dirección IP está relacionada con el resultado actual.

![\[El panel de perfil Volumen total del flujo de la VPC ahora proporciona acceso a los detalles de actividad.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Ordenar los detalles de actividad
<a name="drilldown-vpc-volume-sort"></a>

Puede ordenar los detalles de actividad por cualquiera de las columnas de la tabla.

De forma predeterminada, los detalles de actividad se ordenan primero por las anotaciones y, a continuación, por el tráfico entrante.

## Filtrar los detalles de actividad
<a name="drilldown-vpc-volume-filter"></a>

Para centrarse en una actividad específica, puede filtrar los detalles de actividad por los siguientes valores:
+ Dirección IP o instancia de EC2
+ Puerto local o remoto
+ Dirección
+ Protocolo
+ Si la solicitud fue aceptada o rechazada

**Para añadir y eliminar filtros**

1. Elija el cuadro de filtros.

1. En **Propiedades**, elija la propiedad que desee utilizar para el filtrado.

1. Proporcione el valor que se va a utilizar para el filtrado. El filtro admite valores parciales.

   Para filtrar por dirección IP, puede especificar un valor o elegir un filtro integrado.

   En el caso de **los patrones CIDR**, puede optar por incluir solo direcciones IP públicas, direcciones IP privadas o direcciones IP que coincidan con un patrón CIDR específico.

1. Si tiene varios filtros, elija una opción booleana para establecer cómo se conectan esos filtros.  
![\[Lista de conectores disponibles entre filtros individuales para el filtro de detalles de actividad.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Para eliminar un filtro, elija el icono **x** de la parte superior derecha.

1. Para borrar los filtros seleccionados, elija **Borrar filtros**.

## Selección del intervalo de tiempo para los detalles de actividad
<a name="drilldown-vpc-volume-time-range"></a>

 Cuando se muestran los detalles de actividad por primera vez, el intervalo de tiempo es el rango temporal o un intervalo de tiempo seleccionado. Puede cambiar el intervalo de tiempo de los detalles de actividad.

**Para cambiar el intervalo de tiempo de los detalles de actividad**

1. Elija **Editar**.

1. En **Editar franja horaria**, elija las horas de inicio y de finalización que desea usar.

   Para configurar la franja horaria con el rango temporal predeterminado del perfil, elija **Establecer el rango temporal predeterminado**.

1. Elija **Actualizar periodo**.

El intervalo de tiempo para los detalles de actividad aparece resaltado en los gráficos del panel de perfil.

![\[Franja horaria resaltada de los detalles de actividad del panel de perfil Volumen total del flujo de la VPC.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Muestra el volumen de tráfico de las filas seleccionadas
<a name="drilldown-vpc-volume-chart-details"></a>

Al identificar las filas que son de interés, puede mostrar en los gráficos principales el volumen de tráfico de esas filas a lo largo del tiempo.

Para cada fila que desee añadir a los gráficos, seleccione la casilla de verificación. Para cada fila seleccionada, el volumen se muestra como una línea en los gráficos entrantes o salientes.

![\[El tráfico de las filas de detalles de actividad seleccionadas se muestran en los gráficos principales del panel de perfil Volumen total del flujo de la VPC.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Para centrarse en el volumen de tráfico de las entradas seleccionadas, puede ocultar el volumen total. Para mostrar u ocultar el volumen de tráfico total, active la opción **Tráfico total**.

![\[El tráfico de las filas de detalles de actividad seleccionadas se muestra en los gráficos principales del panel de perfil Volumen total del flujo de la VPC. El tráfico total está oculto.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Ver el tráfico de flujo de VPC para los clústeres de EKS
<a name="display-traffic-for-eks-clusters"></a>

Detective puede ver los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), que representan el tráfico que atraviesa los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). En el caso de los recursos de Kubernetes, el contenido de los registros de flujo de la VPC depende de la interfaz de red de contenedores (CNI) implementada en el clúster de EKS.

Un clúster de EKS con una configuración predeterminada que utilice el complemento CNI de Amazon VPC. Para obtener más información, consulte [Administrar el CNI de VPC](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) en la **Guía del usuario de Amazon EKS**. El complemento CNI de Amazon VPC envía el tráfico interno con la dirección IP del pod y traduce la dirección IP de origen a la dirección IP del nodo para la comunicación externa. Detective puede capturar y correlacionar el tráfico interno con el pod correcto, pero no puede hacer lo mismo con el tráfico externo.

Si desea que Detective vea el tráfico externo de sus pods, habilite la traducción de direcciones de red de origen externo (SNAT). La activación de SNAT tiene limitaciones e inconvenientes. Para obtener más información, consulte [SNAT para pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) en la **Guía del usuario de Amazon EKS**.

Si utilizas un complemento de CNI diferente, Detective tiene una visibilidad limitada a los pods con `hostNetwork:true` él. Para estos pods, el panel de **flujo de VPC** muestra todo el tráfico dirigido a la dirección IP del pod. Esto incluye el tráfico al nodo host y a cualquier pod del nodo con la `hostNetwork:true` configuración.

Detective muestra el tráfico en el panel de **flujo de VPC** de un pod de EKS para las siguientes configuraciones de clúster de EKS:
+ En un clúster con el complemento CNI de Amazon VPC, cualquier pod con la configuración `hostNetwork:false` envía tráfico dentro de la VPC del clúster.
+ En un clúster con el complemento CNI de Amazon VPC y la configuración`AWS_VPC_K8S_CNI_EXTERNALSNAT=true`, cualquier pod que `hostNetwork:false` envíe tráfico fuera de la VPC del clúster.
+ Cualquier pod con la configuración. `hostNetwork:true` El tráfico del nodo se mezcla con el tráfico de otros pods que tienen la configuración`hostNetwork:true`.

Detective no muestra el tráfico en el panel de **Flujo de VPC** para:
+ En un clúster con el complemento CNI de Amazon VPC y la configuración`AWS_VPC_K8S_CNI_EXTERNALSNAT=false`, cualquier pod con la configuración `hostNetwork:false` envía tráfico fuera de la VPC del clúster.
+ En un clúster sin el complemento CNI de Amazon VPC para Kubernetes, cualquier pod con la configuración. `hostNetwork:false`
+ Cualquier pod que envíe tráfico a otro pod que esté alojado en el mismo nodo.

## Mostrar el tráfico de flujo de VPC para Amazon compartido VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective puede ver los registros de flujo de sus registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) para compartirlos: VPCs
+ Si una cuenta miembro de Detective tiene una VPC de Amazon compartida y hay otras cuentas ajenas a Detective que utilizan la VPC compartida, Detective monitorizará todo el tráfico de esa VPC y proporcionará visualización de todo el flujo de tráfico de la VPC. 
+ Si tiene una instancia Amazon EC2 dentro de una VPC de Amazon compartida y el propietario compartido no es miembro de Detective, Detective no monitorizará tráfico de la VPC. Si desea ver el flujo de tráfico dentro de la VPC, debe agregar al propietario de la VPC de Amazon como miembro de su gráfico de Detective.

# Actividad total de la API de Kubernetes relacionada con el clúster de EKS
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Los detalles de actividad de **Actividad total de la API de Kubernetes relacionada con el clúster de EKS** muestra el número de llamadas a la API de Kubernetes correctas y fallidas durante un intervalo de tiempo seleccionado.

Para ver los detalles de un único intervalo de tiempo, elija el intervalo de tiempo en el gráfico.

Para ver los detalles de actividad del rango temporal actual, elija **Mostrar detalles del rango temporal**.

## Contenido de los detalles de actividad (clúster, pod, usuario, rol, sesión de rol)
<a name="drilldown-kubernetes-api-volume-content"></a>

Para un clúster, pod, usuario, rol o sesión de rol, los detalles de actividad contienen la siguiente información:
+ Cada pestaña proporciona información sobre el conjunto de llamadas a la API que se emitieron durante el intervalo de tiempo seleccionado.

  En el caso de los clústeres, las llamadas a la API se produjeron dentro del clúster.

  En el caso de los pods, las llamadas a la API se dirigían al pod.

  En el caso de los usuarios, los roles y las sesiones de roles, las llamadas a la API las emitieron los usuarios de Kubernetes que se autenticaron como ese usuario, rol o sesión de rol.
+ Para cada entrada, los detalles de actividad muestran el número de llamadas correctas, fallidas, no autorizadas y prohibidas.
+ La información incluye la dirección IP, el tipo de llamada de Kubernetes, la entidad afectada por la llamada y el sujeto (cuenta de servicio o usuario) que realizó la llamada. A partir de los detalles de actividad, puede pasar a los perfiles de la dirección IP, el asunto y la entidad afectada.

Los detalles de actividad contienen las siguientes pestañas:

**Asunto**  
Muestra inicialmente la lista de cuentas de servicio y usuarios que se utilizaron para realizar llamadas a la API.  
Puede ampliar cada cuenta de servicio y usuario para que se muestre la lista de direcciones IP desde las que la cuenta o el usuario realizaron llamadas a la API.  
A continuación, puede expandir cada dirección IP para que se muestren las llamadas a la API de Kubernetes que realizó esa cuenta o usuario desde esa dirección IP.   
Amplía la llamada a la API de Kubernetes para ver e identificar la acción `requestURI ` que se realizó.  

![\[Vista de la pestaña Sujetos del panel Volumen total de llamadas a la API de Kubernetes, con una entrada ampliada para que se muestre la jerarquía de las direcciones IP y las llamadas a la API.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/kube-subject-drilldown.png)


**Dirección IP**  
Muestra inicialmente la lista de direcciones IP desde las que se realizaron las llamadas a la API.  
Puede ampliar cada llamada para que se muestre la lista de sujetos de Kubernetes (cuentas de servicio y usuarios) que realizaron la llamada.  
A continuación, puede ampliar cada asunto para incluir una lista de los tipos de llamadas a la API realizadas por el sujeto durante ese período.  
Amplía el tipo de llamada a la API para ver el requestURI de la solicitud e identificar la acción que se realizó.  

![\[Vista de la pestaña de direcciones IP del panel de volumen general de llamadas a la API de Kubernetes, con una entrada ampliada para mostrar la jerarquía de llamadas a la API, direcciones IP y. AKIDs Las llamadas a la API se agrupan por servicio\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/kube-ip-drilldown.png)


**Llamada a la API de Kubernetes**  
Muestra inicialmente la lista de verbos de llamada a la API de Kubernetes.  
Puedes expandir cada verbo de la API para mostrar la solicitud URIs asociada a esa acción.  
A continuación, puede expandir cada requestURI para ver el sujeto de Kubernetes (cuentas de servicio y usuarios) que realizó la llamada a la API.  
Amplía el asunto para ver cuál usó IPs ese sujeto para realizar la llamada a la API.  

![\[Vista de la pestaña Recursos del panel de volumen general de llamadas a la API, con una entrada ampliada para mostrar la jerarquía de AKIDs las direcciones IP y las llamadas a la API agrupadas por servicio.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Ordenar los detalles de actividad
<a name="drilldown-kubernetes-api-volume-sort"></a>

Puede ordenar los detalles de actividad por cualquiera de las columnas de la lista.

Al ordenar utilizando la primera columna, solo se ordena la lista de nivel superior. Las listas de nivel inferior siempre se ordenan por el número de llamadas a la API que se han realizado correctamente.

## Filtrar los detalles de actividad
<a name="drilldown-kubernetes-api-volume-filter"></a>

Puede utilizar las opciones de filtrado para centrarse en subconjuntos o aspectos específicos de la actividad representados en los detalles de actividad.

En todas las pestañas, puede filtrar la lista por cualquiera de los valores de la primera columna.

## Selección del intervalo de tiempo para los detalles de actividad
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Cuando se muestran los detalles de actividad por primera vez, el intervalo de tiempo es el rango temporal o un intervalo de tiempo seleccionado. Puede cambiar el intervalo de tiempo de los detalles de actividad.

**Para cambiar el intervalo de tiempo de los detalles de actividad**

1. Elija **Editar**.

1. En **Editar franja horaria**, elija las horas de inicio y de finalización que desea usar.

   Para configurar la franja horaria con el rango temporal predeterminado del perfil, elija **Establecer el rango temporal predeterminado**.

1. Elija **Actualizar periodo**.

El intervalo de tiempo para los detalles de actividad aparece resaltado en los gráficos del panel de perfil.

![\[Franja horaria resaltada del panel de perfil Volumen total de llamadas a la API\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Usar las directrices de los paneles de perfil durante una investigación
<a name="profile-panel-guidance"></a>

Cada panel de perfil está diseñado para proporcionar respuestas a preguntas específicas que surjan al llevar a cabo una investigación y analizar la actividad de las entidades relacionadas.

Las directrices proporcionadas para cada panel de perfil le ayudan a encontrar estas respuestas.

Las directrices de los paneles de perfil comienzan con una sola frase en el propio panel. Estas directrices proporcionas una breve explicación de los datos presentados en el panel.

Para ver directrices más detalladas de un panel, elija **Más información** en el encabezado del panel. Estas directrices ampliadas aparecen en el panel de ayuda.

Las directrices pueden proporcionar estos tipos de información:
+ Una descripción general del contenido del panel
+ Cómo usar el panel para responder a las preguntas pertinentes
+ Pasos siguientes recomendados según las respuestas

# Administración del rango temporal
<a name="scope-time-managing"></a>

Personalice el rango temporal utilizado para limitar los datos que se muestran en los perfiles de entidad.

Los gráficos, los cronogramas y otros datos que se muestran en los perfiles de entidad se basan en el rango temporal actual. El rango temporal es el resumen de actividad de una entidad a lo largo del tiempo. Este aparece en la parte superior derecha de cada perfil en la consola de Amazon Detective. Los datos que se muestran en esos gráficos, cronogramas y otras visualizaciones se basan en el rango temporal. En algunos paneles de perfil, se añade tiempo adicional antes y después del rango temporal para proporcionar contexto. En Detective, todas las marcas temporales se muestran en UTC de forma predeterminada. Para seleccionar su zona horaria local, cambie las **Preferencias de marca temporal**. Para actualizar la **Preferencia de marca temporal**, consulte [Establecer el formato de marca temporal](profile-panel-preferences.md#profile-panel-preferences-timestamp).

El análisis de Detective utiliza el rango temporal para comprobar si existe actividad inusual. El proceso de análisis obtiene la actividad durante el rango temporal y, a continuación, la compara con la actividad durante los 45 días anteriores al rango temporal. También utiliza ese periodo de 45 días para generar líneas de base de actividad. 

En la descripción general de un resultado, el rango temporal refleja la primera y la última vez que se observó el resultado. Para obtener más información sobre la descripción general de un resultado, consulte [Análisis de una visión general de los hallazgos en Detective](finding-overview.md).

A medida que avance en una investigación, puede ajustar el rango temporal. Por ejemplo, si el análisis original se basaba en la actividad de un solo día, quizás desee ampliarlo a una semana o un mes. La ampliación del periodo podría ayudar a entender mejor si la actividad se ajusta a un patrón normal o si es inusual.

También puede configurar el rango temporal para que coincida con un resultado asociado de la entidad actual.

Al cambiar el rango temporal, Detective repite su análisis y actualiza los datos mostrados en función del nuevo rango temporal.

El rango temporal no puede ser inferior a una hora ni superior a un año. La hora de inicio y de finalización deben comenzar en una hora.

## Establecer fechas y horas de inicio y de finalización específicas
<a name="scope-time-select-date"></a>

Puede establecer las fechas de inicio y de finalización del rango temporal desde la consola de Detective.

**Para establecer horas específicas de inicio y de finalización para el nuevo rango temporal**

1. Abra la consola de Amazon Detective, en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En un perfil de entidad, elija el rango temporal.

1. En el panel **Editar el rango temporal**, en **Iniciar**, elija la nueva fecha y hora de inicio del rango temporal. Para la nueva hora de inicio, puede elegir solo la hora.

1. En **Finalizar**, elija la nueva fecha y hora de finalización para el rango temporal. Para la nueva hora de finalización, puede elegir solo la hora. La hora de finalización debe finalizar al menos una hora después de la hora de inicio.

1. Cuando termine de editar, para guardar los cambios y actualizar los datos que se muestran, seleccione **Actualizar rango temporal**.

## Edición de la duración del rango temporal
<a name="scope-time-select-length"></a>

Cuando se establece una duración de rango temporal, Detective establece el rango temporal en esa cantidad de tiempo desde la hora actual.

**Para editar la duración del rango temporal**

1. Abra la consola de Amazon Detective, en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En un perfil de entidad, elija el rango temporal.

1. En el panel **Editar rango temporal**, junto a **Histórico**, elija la duración del rango temporal.

   Al especificar un intervalo de tiempo, se actualizan los ajustes de **Inicio** y **Finalización**.

1. Cuando termine de editar, para guardar los cambios y actualizar los datos que se muestran, seleccione **Actualizar rango temporal**.

## Establecer el rango temporal en una franja horaria de resultados.
<a name="scope-time-align-to-finding"></a>

Cada resultado tiene una franja horaria asociada, que refleja la primera y la última vez que se observó el resultado. Al visualizar la descripción general de un resultado, el rango temporal cambia a la franja horaria del resultado.

Desde un perfil de entidad, puede alinear el rango temporal con la franja horaria de un resultado asociado. Esto le permite investigar la actividad que se produjo durante ese tiempo.

Para alinear el rango temporal con la franja horaria de un resultado, en el panel **Resultados asociados**, elija el resultado que desea utilizar.

Detective rellena los detalles del resultado y establece el rango temporal en la franja horaria del resultado.

## Establecer el rango temporal en la página de resumen
<a name="scope-time-summary-page"></a>

Mientras revisa la página **Resumen**, puede ajustar el rango temporal para ver la actividad de cualquier periodo de 24 horas de los 365 días anteriores.

Para establecer el rango temporal en la página Resumen

1. Abra la consola de Amazon Detective, en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación de Detective, elija **Resumen**. 

1. En el panel **Rango temporal**, junto a **Resumen**, puede cambiar la **Fecha y hora de inicio**. La hora de inicio debe situarse entre los últimos 365 días.

   Al cambiar la **Fecha y hora de inicio**, la **Fecha y hora de finalización** se actualizan automáticamente a 24 horas después de la hora de inicio elegida.
**nota**  
Con Detective, puede acceder a datos de eventos históricos de hasta un año de antigüedad. Para obtener más información sobre los datos de origen en Detective, consulte [Datos de origen utilizados en un gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

1. Cuando termine de editar, para guardar los cambios y actualizar los datos que se muestran, seleccione **Actualizar rango temporal**.

# Visualización de los detalles de los hallazgos asociados en Detective
<a name="entity-finding-list"></a>

Cada perfil de entidad contiene un panel de resultados asociados en el que se enumeran los resultados que implicaron a la entidad durante el rango temporal actual. Un indicio de que una entidad se ha visto comprometida es su implicación en varios resultados. El tipo de resultado también puede proporcionar información sobre el tipo de actividad que es motivo de preocupación.

El panel de resultados asociados se muestra inmediatamente debajo del panel de perfil de detalles de la entidad.

La tabla incluye la siguiente información para cada resultado:
+ El título del resultado, que también es un enlace a la descripción general del resultado.
+ La AWS cuenta asociada al hallazgo, que también es un enlace al perfil de la cuenta
+ El tipo de resultado
+ La hora en la que se observó el resultado por primera vez
+ La hora más reciente en la que se observó el resultado
+ La gravedad del resultado

Para ver los detalles de un resultado, presione el botón de opción correspondiente. Detective completa el panel de detalles del resultado situado a la derecha de la página. Detective también cambia el rango temporal para que sea la franja horaria del resultado. Esto le permite centrarse en la actividad que se produjo durante ese tiempo.

Si ha accedido al perfil de la entidad desde una vista general de resultado, dicho resultado se selecciona automáticamente y se muestran los detalles del resultado.

En los detalles del resultado, para volver a la descripción general del resultado, seleccione **Ver todas las entidades relacionadas**.

También puede archivar el resultado. Para obtener más información, consulta [Archivar un GuardDuty hallazgo de Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).

# Visualización de detalles de entidades de gran volumen en Detective
<a name="high-volume-entities"></a>

En el [gráfico de comportamiento](behavior-graph-data-about.md), Amazon Detective hace un seguimiento de las relaciones entre entidades. Por ejemplo, cada gráfico de comportamiento registra cuándo un AWS usuario crea un AWS rol y cuándo una instancia EC2 se conecta a una dirección IP.

Cuando una entidad tiene demasiadas relaciones durante un periodo de tiempo, Detective no puede almacenar todas las relaciones. Cuando esto ocurre durante el rango temporal actual, Detective lo notifica. Detective también proporciona una lista de apariciones de entidades de gran volumen.

## ¿Qué es una entidad de gran volumen?
<a name="high-volume-entity-about"></a>

Durante un intervalo de tiempo dado, una entidad puede ser el origen o el destino de un número extremadamente elevado de conexiones. Por ejemplo, una instancia de EC2 puede tener conexiones desde millones de direcciones IP.

Detective mantiene un límite del número de conexiones que puede admitir durante cada intervalo de tiempo. Si una entidad supera ese límite, Detective descarta las conexiones correspondientes a ese intervalo de tiempo.

Por ejemplo, supongamos que el límite es de 100 000 000 de conexiones por intervalo de tiempo. Si una instancia de EC2 recibe conexiones de más de 100 000 000 de direcciones IP durante un intervalo de tiempo, Detective descarta las conexiones de dicho intervalo.

No obstante, es posible que pueda analizar la actividad en función de la entidad situada en el otro extremo de la relación. Para continuar con el ejemplo, si bien una instancia de EC2 puede estar recibir conexiones desde millones de direcciones IP, una sola dirección IP se conecta a muchas menos instancias de EC2. Cada perfil de dirección IP proporciona detalles sobre las instancias de EC2 a las que se conectó la dirección IP.

## Ver la notificación de entidad de gran volumen en un perfil
<a name="high-volume-entity-profile-notification"></a>

Detective muestra un aviso en la parte superior del perfil de un resultado o entidad si el rango temporal incluye un intervalo de tiempo en el que la entidad tiene un gran volumen. En el caso de los perfiles de resultado, el aviso es para la entidad implicada.

El aviso incluye la lista de relaciones que tienen intervalos de tiempo de gran volumen. Cada entrada de la lista contiene una descripción de la relación y el inicio del intervalo de tiempo de gran volumen.

Un intervalo de tiempo de gran volumen puede ser un indicador de actividad sospechosa. Para saber qué otra actividad se produjo al mismo tiempo, puede centrar su investigación en un intervalo de tiempo de gran volumen. El aviso de entidad de gran volumen incluye una opción para establecer el rango temporal en ese intervalo de tiempo.

**Para establecer el rango temporal en un intervalo de tiempo de gran volumen**

1. En el aviso de entidad de gran volumen, elija el intervalo de tiempo.

1. En el menú emergente, elija **Aplicar rango temporal.**

## Ver la lista de entidades de gran volumen para el rango temporal actual
<a name="high-volume-entity-list"></a>

La página **Entidades de gran volumen** contiene una lista de intervalos de tiempo y entidades de gran volumen durante el rango temporal actual.

**Visualización de la página Entidades de gran volumen**

1. Abra la consola de Amazon Detective en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación de Detective, elija **Entidades de gran volumen**.

Cada entrada de la lista contiene la siguiente información:
+ El inicio del intervalo de tiempo de gran volumen
+ El identificador y el tipo de entidad
+ La descripción de la relación, por ejemplo, “instancia de EC2 conectada desde una dirección IP”

Puede filtrar y ordenar la lista por cualquiera de las columnas. También puede desplazarse al perfil de la entidad implicada.

**Navegación al perfil de una entidad**

1. En la lista **Entidades de gran volumen**, elija la fila desde la que desea desplazarse.

1. Seleccione **Ver perfil con rango de tiempo de gran volumen**.

Cuando se utiliza esta opción para desplazarse a un perfil de entidad, el rango temporal se establece de la siguiente manera:
+ El rango temporal comienza 30 días antes del intervalo de tiempo de gran volumen.
+ El rango temporal finaliza al final del intervalo de tiempo de gran volumen.