Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Analyse des entités dans Amazon Detective
<a name="entity-profiles"></a>

Une entité est un objet unique extrait des données sources. Les exemples incluent une adresse IP, une EC2 instance Amazon ou un AWS compte spécifique. Consultez [Types d’entités dans la structure de données du graphe de comportement](graph-data-structure-overview.md#entity-types) pour obtenir la liste des types d’entités.

Le profil d’une entité Amazon Detective est une page unique qui fournit des informations détaillées sur l’entité et son activité. Vous pouvez utiliser un profil d’entité pour obtenir des informations complémentaires d’une enquête sur un résultat ou dans le cadre d’une recherche générale d’activités suspectes.

**Topics**
+ [Utilisation de profils d'entités](using-entity-profiles.md)
+ [Affichage et interaction avec les panneaux de profil de Detective](profile-panels.md)
+ [Accès direct au profil d’une entité ou d’une vue d’ensemble des résultats](navigate-to-profile.md)
+ [Pivotement d’un volet de profil vers une autre console](profile-panel-console-links.md)
+ [Exploration des détails d’activité sur un volet de profil](profile-panel-drilldown.md)
+ [Gestion de la durée de validité](scope-time-managing.md)
+ [Afficher les détails des résultats associés dans Detective](entity-finding-list.md)
+ [Afficher les détails des entités à volume élevé dans Detective](high-volume-entities.md)

# Utilisation de profils d'entités
<a name="using-entity-profiles"></a>

Un profil d’entité apparaît lorsque vous effectuez une des actions suivantes :
+ Dans la GuardDuty console Amazon, choisissez l'option permettant d'étudier une entité associée à un résultat sélectionné.

  Consultez [En passant au profil d'une entité ou en trouvant un aperçu sur Amazon GuardDuty ou AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).
+ Accédez à l’URL Detective correspondant au profil de l’entité.

  Consultez [Accès au profil d’une entité ou d’une vue d’ensemble des résultats à l’aide d’une URL](navigate-to-profile.md#profile-navigate-url).
+ Utilisez la recherche Detective dans la console Detective pour rechercher une entité.
+ Choisissez un lien vers le profil d’entité à partir d’un autre profil d’entité ou d’une vue d’ensemble des résultats.

## Durée de validité d’un profil d’entité
<a name="entity-profile-scope-time"></a>

Lorsque vous accédez directement au profil d’une entité sans indiquer la durée de validité, celle-ci est définie aux 24 heures précédentes.

Lorsque vous naviguez vers un profil d’entité à partir d’un autre profil d’entité, la durée de validité actuellement sélectionnée reste inchangée.

Lorsque vous accédez à un profil d’entité à partir d’une vue d’ensemble des résultats, la durée de validité est définie en fonction de la fenêtre temporelle de résultats.

Pour plus d'informations sur la personnalisation de la durée du champ d'application afin de limiter les données affichées sur les profils d'entité, consultez la section [Gestion de la durée du champ d'application](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).

## Identifiant et type d’entité
<a name="entity-identifier-type"></a>

L’identifiant de l’entité et le type d’entité se trouvent en haut du profil. Chaque type d’entité possède une icône correspondante, afin de fournir un indicateur visuel du type de profil.

## Résultats impliqués
<a name="entity-profile-associated-findings"></a>

Chaque profil contient une liste des résultats impliquant l’entité pendant la période de validité.

Vous pouvez voir les détails de chaque résultat, modifier la durée de validité pour refléter la fenêtre temporelle de résultats, et accéder à la vue d’ensemble des résultats pour rechercher d’autres ressources impliquées.

Consultez [Afficher les détails des résultats associés dans Detective](entity-finding-list.md).

## Groupes de résultats impliquant cette entité
<a name="entity-profile-associated-finding-group"></a>

Chaque profil contient une liste de groupes de résultats dans lesquels une entité est incluse.

Un groupe de résultats est composé de résultats, d’entités et de preuves que Detective rassemble dans un groupe afin de fournir plus de contexte sur d’éventuels problèmes de sécurité.

Pour plus d’informations sur les groupes de résultats, consultez [Analyse des groupes de résultats](groups-about.md).

## Volets de profil contenant les détails des entités et les résultats d’analyse
<a name="entity-profile-panels"></a>

Chaque profil d’entité contient un groupe d’un ou de plusieurs onglets. Chaque onglet contient un ou plusieurs volets de profil. Chaque volet de profil contient du texte et des visualisations générés à partir des données du graphe de comportement. Les onglets et volets de profil spécifiques sont adaptés au type d’entité.

Pour la plupart des entités, le volet situé en haut du premier onglet fournit des informations récapitulatives de haut niveau sur l’entité.

D’autres volets de profil mettent en évidence différents types d’activités. Pour une entité impliquée dans un résultat, les informations figurant dans les volets de profil de l’entité peuvent fournir des preuves supplémentaires pour aider à mener à bien une enquête. Chaque volet de profil donne accès à des instructions sur la manière d’utiliser les informations. Pour plus d’informations, consultez [Utilisation des instructions du volet de profil lors d’une enquête](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance). 

Pour plus de détails sur les volets de profil, les types de données qu’ils contiennent et les options disponibles pour interagir avec eux, consultez [Affichage et interaction avec les panneaux de profil de Detective](profile-panels.md).

## Naviguer dans un profil d'entité
<a name="profile-navigating"></a>

Un profil d’entité contient un ensemble d’un ou de plusieurs onglets. Chaque onglet contient un ou plusieurs volets de profil. Chaque volet de profil contient du texte et des visualisations générés à partir des données du graphe de comportement.

Lorsque vous parcourez un onglet de profil vers le bas, les informations suivantes restent visibles en haut du profil :
+ Type d’entité
+ Identifiant d’entité.
+ Durée de validité

![\[En-tête du profil avec le menu des onglets disponibles.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_header_tab_menu.png)


# Affichage et interaction avec les panneaux de profil de Detective
<a name="profile-panels"></a>

Chaque profil d’entité sur la console Amazon Detective se compose d’un ensemble de volets de profil. Un volet de profil est une visualisation qui fournit des détails généraux ou met en évidence une activité spécifique associée à une entité. Les volets de profil utilisent différents types de visualisations pour présenter différents types d’informations. Ils peuvent également fournir des liens vers des informations supplémentaires ou vers d’autres profils.

Chaque volet de profil est destiné à aider les analystes à trouver des réponses à des questions spécifiques concernant les entités et leurs activités associées. Les réponses à ces questions permettent de déterminer si l’activité représente une véritable menace.

Les volets de profil utilisent différents types de visualisations pour présenter différents types d’informations.

## Types d’informations sur un volet de profil
<a name="profile-panel-data-types"></a>

Les volets de profil fournissent généralement les types de données suivants.


|  Type de données du volet  |  Description  | 
| --- | --- | 
|  Informations de haut niveau sur un résultat ou une entité  |  Le type de volet le plus simple fournit quelques informations de base sur une entité. Les exemples d’informations incluses dans un volet d’information incluent l’identifiant, le nom, le type et la date de création. ![\[Exemple de volet de profil contenant des informations de haut niveau sur une entité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_item_details.png) La plupart des profils d’entité contiennent un volet d’informations pour cette entité.  | 
|  Résumé général de l’activité au fil du temps  |  Affiche un résumé de l’activité d’une entité au fil du temps. Ce type de volet fournit une vue d’ensemble du comportement d’une entité pendant la période couverte par la durée de validité. ![\[Exemple de volet de profil contenant une vue d’ensemble de l’activité d’une entité au fil du temps.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) Voici quelques exemples de données récapitulatives fournies sur les volets de profil Detective : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/profile-panels.html)  | 
|  Résumé de l’activité regroupée par valeurs  |  Affiche un résumé de l’activité d’une entité, regroupée selon des valeurs spécifiques. Vous pouvez voir ce type de panneau de profil sur le profil d'une EC2 instance. Le panneau de profil indique le volume moyen de données du journal de VPC flux à destination et en provenance d'une EC2 instance pour les ports courants associés à des types de services spécifiques. ![\[Exemple de volet de profil présentant un résumé des activités regroupées selon des valeurs spécifiques.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png)  | 
|  Activité qui n’a débuté que pendant la durée de validité  |  Au cours d’une enquête, il est utile de voir quelle activité n’a commencé à se produire qu’au cours d’une période donnée. Par exemple, y a-t-il des API appels, des emplacements géographiques ou des agents utilisateurs qui n'ont jamais été vus auparavant ? ![\[Exemple de volet de profil qui met en évidence les activités non observées avant la durée de validité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) Si le graphe de comportement est toujours en mode apprentissage, le volet de profil affiche un message de notification. Le message est supprimé lorsque le graphique de comportement a accumulé au moins deux semaines de données. Pour plus d’informations sur l’entraînement d’un modèle, consultez [Période de formation pour les nouveaux graphes comportementaux de Detective](detective-data-training-period.md).  | 
|  Activité qui a changé de manière significative pendant la période couverte par la durée de validité  |  À l’instar des nouveaux volets d’activité, les volets de profil peuvent également afficher les activités qui ont changé de manière significative au cours de la période couverte par la durée de validité. Par exemple, un utilisateur peut régulièrement émettre un certain API appel plusieurs fois par semaine. Si le même utilisateur émet soudainement le même appel plusieurs fois au cours d’une même journée, cela peut être le signe d’une activité malveillante. ![\[Exemple de volet de profil affichant une activité qui a changé de manière significative au cours de la période couverte par la durée de validité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) Si le graphe de comportement est toujours en mode apprentissage, le volet de profil affiche un message de notification. Le message est supprimé lorsque le graphique de comportement a accumulé au moins deux semaines de données. Pour plus d’informations sur l’entraînement d’un modèle, consultez [Période de formation pour les nouveaux graphes comportementaux de Detective](detective-data-training-period.md).  | 

# Types de visualisations du volet de profil
<a name="profile-panel-display-types"></a>

Le contenu du volet de profil peut prendre l’une des formes suivantes.


|  Type de visualisation  |  Description  | 
| --- | --- | 
|  Paires clé-valeur  |  Le type de visualisation le plus simple est un ensemble de paires clé-valeur. Un volet de résultat ou d’information sur les entités est l’exemple le plus courant de volet de paires clé-valeur. ![\[Exemple de volet de profil contenant des paires clé-valeur.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_key_value.png) Les paires clé-valeur peuvent également être utilisées pour ajouter des informations supplémentaires à d’autres types de volets. À partir d’un volet de paires clé-valeur, si une valeur est l’identifiant d’une entité, vous pouvez passer à son profil.  | 
|  Tableau  |  Un tableau est une simple liste d’éléments sur plusieurs colonnes. ![\[Exemple de volet de profil contenant un tableau simple.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_table.png) Vous pouvez trier, filtrer et parcourir le tableau. Vous pouvez modifier le nombre d’entrées à afficher sur chaque page. Consultez [Configuration des préférences pour un volet de profil](profile-panel-preferences.md). Si une valeur de la table est l’identifiant d’une entité, vous pouvez passer à son profil.  | 
|  Chronologie  |  Une visualisation chronologique présente une valeur agrégée pour des intervalles définis au fil du temps. ![\[Exemple de volet de profil contenant des chronologies.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_timeline.png) La chronologie met en évidence la durée de validité actuelle et inclut le temps périphérique supplémentaire avant et après la durée de validité. Le temps périphérique fournit le contexte de l’activité dans la durée de validité. Passez le pointeur de la souris sur un intervalle de temps pour afficher un récapitulatif des données relatives à cet intervalle de temps.  | 
|  Tableau extensible  |  Un tableau extensible combine des tableaux et des chronologies. ![\[Exemple de volet de profil contenant une table extensible.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) La visualisation commence sous la forme d’un tableau. Vous pouvez trier, filtrer et parcourir le tableau. Vous pouvez modifier le nombre d’entrées à afficher sur chaque page. Consultez [Configuration des préférences pour un volet de profil](profile-panel-preferences.md). Vous pouvez ensuite développer chaque ligne pour afficher une visualisation chronologique spécifique à cette ligne.  | 
|  Diagramme à barres  |  Un diagramme à barres montre les valeurs basées sur des groupements. En fonction du diagramme, vous pouvez être en mesure de choisir une barre pour afficher la chronologie des activités associées. ![\[Exemple de volet de profil contenant un graphe à barres.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_bar_chart.png)  | 
|  Diagramme de géolocalisation  |  Un diagramme de géolocalisation affiche une carte marquée pour mettre en évidence les données en fonction de l’emplacement géographique. Il peut être suivi d’un tableau contenant des détails sur les différentes géolocalisations. ![\[Exemple de volet de profil contenant un diagramme de géolocalisation.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_geolocation.png) Notez que lors du traitement des données géographiques entrantes, Detective arrondit les valeurs de latitude et de longitude à une seule décimale.  | 

## Remarques sur le contenu du panneau de profil
<a name="profile-panel-other-notes"></a>

Lors de la consultation du contenu d’un volet de profil, tenez compte des éléments suivants :

****Avertissement relatif aux données de comptage approximatif****  
Cet avertissement indique que les éléments dont le nombre est extrêmement faible n’apparaissent pas en raison du volume de données applicables.  
Pour garantir un comptage précis, réduisez la quantité de données. Le moyen le plus simple d’y parvenir est de réduire la durée de validité. Consultez [Gestion de la durée de validité](scope-time-managing.md).

****Arrondi pour les emplacements géographiques****  
Detective arrondit toutes les valeurs de latitude et de longitude à une seule décimale.

**Modifications apportées à la façon dont Detective représente API les appels**  
À compter du 14 juillet 2021, Detective suit le service qui a effectué chaque API appel. Chaque fois que Detective affiche une API méthode, il affiche également le service associé. Sur les panneaux de profil qui affichent des informations sur les API appels, les appels sont toujours regroupés par service. Pour les données ingérées par Detective avant cette date, le nom du service est répertorié en tant que **Service inconnu**.  
À compter du 14 juillet 2021, pour les comptes et les rôles, les détails de l'activité du panneau de profil du **volume global d'APIappels** n'indiquent plus le nom AKID de la ressource à l'origine de l'appel. Pour les comptes, Detective affiche l’identifiant du principal (utilisateur ou rôle) qui a émis l’appel. Pour les rôles, Detective affiche l’identifiant de la session de rôle. Pour les données ingérées par Detective avant le 14 juillet 2021, l’identifiant est répertorié comme **ressource inconnue**.  
Pour les panneaux de profil qui affichent une liste d'APIappels, la chronologie associée met en évidence la période pendant laquelle cette transition s'est produite. La mise en évidence commence le 14 juillet 2021 et se termine lorsque la mise à jour a été entièrement propagée dans Detective.

# Configuration des préférences pour un volet de profil
<a name="profile-panel-preferences"></a>

Pour les panneaux de profil, vous pouvez personnaliser le nombre de lignes qui apparaissent sur chaque page des panneaux de profil et configurer la préférence de format d'horodatage.

## Définition de la longueur du tableau
<a name="profile-panel-preferences-table"></a>

Pour les volets de profil contenant des tableaux ou des tableaux extensibles, vous pouvez configurer le nombre de lignes à afficher sur chaque page. 

Définissez vos préférences quant au nombre d’entrées sur chaque page.

1. Ouvrez la console Amazon Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Dans le volet de navigation Detective, sous **Paramètres**, choisissez **Préférences**.

1. Sur la page **Préférences**, sous **Longueur de la table**, cliquez sur **Modifier**. 

1. Choisissez le nombre de lignes de tableau que vous souhaitez afficher sur chaque page.

1. Choisissez **Save** (Enregistrer).

## Définition du format d’horodatage
<a name="profile-panel-preferences-timestamp"></a>

Pour les panneaux de profil, vous pouvez configurer la préférence de format d'horodatage qui sera appliquée à tous les horodatages de chaque IAM utilisateur ou rôle dans IAM Detective. 
**Note**  
La préférence de format d'horodatage n'est pas appliquée à l'ensemble AWS du compte. 

Définissez la préférence pour l’horodatage.

1. Ouvrez la console Amazon Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Dans le volet de navigation Detective, sous **Paramètres**, choisissez **Préférences**.

1. Sur la page **Préférences**, sous **Préférences d’horodatage**, affichez et modifiez l’affichage préféré pour tous les horodatages. 

1. Par défaut, le format d'horodatage est défini sur. UTC Cliquez sur **Modifier** pour choisir votre fuseau horaire local.

   Exemple :   
**Example**  

   UTC- 20/09/22 16h39 UTC

   Local - 20/09/2022 9:39 (- 07:00) UTC

1. Choisissez **Save** (Enregistrer).

# Accès direct au profil d’une entité ou d’une vue d’ensemble des résultats
<a name="navigate-to-profile"></a>

Pour accéder directement au profil d’une entité ou une vue d’ensemble des résultats dans Amazon Detective, vous pouvez utiliser l’une de ces options.
+ Depuis Amazon GuardDuty ou depuis Amazon AWS Security Hub CSPM, vous pouvez passer d'une GuardDuty recherche au profil de recherche Detective correspondant.
+ Vous pouvez créer une URL Detective qui identifie un résultat ou une entité et définit la durée de validité à utiliser.

## En passant au profil d'une entité ou en trouvant un aperçu sur Amazon GuardDuty ou AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

Depuis la GuardDuty console Amazon, vous pouvez accéder au profil d'entité d'une entité associée à une découverte.

À partir des AWS Security Hub CSPM consoles GuardDuty et, vous pouvez également accéder à une vue d'ensemble des recherches. Cela fournit également des liens vers les profils des entités impliquées.

Ces liens peuvent aider à rationaliser le processus d’enquête. Vous pouvez rapidement utiliser Detective pour voir l’activité de l’entité associée et déterminer les prochaines étapes. Vous pouvez ensuite archiver un résultat s’il s’agit d’un faux positif ou l’explorer davantage pour déterminer l’ampleur du problème.

### Comment passer à la console Amazon Detective
<a name="profile-pivot-how-to"></a>

Les liens d'enquête sont disponibles pour tous les GuardDuty résultats. GuardDuty vous permet également de choisir d'accéder au profil d'une entité ou à l'aperçu des résultats.

**Pour passer à Detective depuis la GuardDuty console**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Le cas échéant, choisissez **Résultats** dans le volet de navigation de gauche.

1. Sur la GuardDuty **page Résultats**, sélectionnez le résultat.

   Le volet des détails des résultats s’affiche à droite de la liste des résultats.

1. Dans le volet des détails de la recherche, choisissez **Investigate in Detective**.

   GuardDuty affiche la liste des éléments disponibles à étudier dans Detective.

   La liste contient à la fois les entités associées, telles que les adresses IP ou les instances EC2, et le résultat.

1. Choisissez une entité ou le résultat.

   La console Detective s’ouvre dans un nouvel onglet. La console s’ouvre sur l’entité ou le profil de résultat.

   Si vous n’avez pas activé Detective, la console s’ouvre sur une page d’accueil qui fournit une vue d’ensemble de Detective. À partir de là, vous pouvez choisir d’activer Detective.

**Pour passer à Detective depuis la console Security Hub CSPM**

1. Ouvrez la AWS Security Hub CSPM console à l'adresse [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. Le cas échéant, choisissez **Résultats** dans le volet de navigation de gauche.

1. Sur la page des **résultats** du Security Hub CSPM, choisissez un GuardDuty résultat.

1. Dans le volet d’informations, choisissez **Investigate in Detective**, puis **Investigate finding**.

   Lorsque vous choisissez **Investigate finding**, la console Detective s’ouvre dans un nouvel onglet. La console s’ouvre pour afficher la vue d’ensemble des résultats.

   La console Detective s’ouvre toujours sur la région d’où provient le résultat, même si vous changez de région d’agrégation. Pour plus d’informations sur l’agrégation de résultat, consultez la section [Agrégation des résultats par régions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) dans le *guide de AWS Security Hub l’utilisateur*.

   Si vous n’avez pas activé Detective, la console s’ouvre sur la page d’accueil de Detective. À partir de là, vous pouvez activer Detective.

### Dépannage du pivot
<a name="profile-pivot-troubleshooting"></a>

Pour utiliser le pivot, l’une des conditions suivantes doit être vraie :
+ Votre compte doit être un compte administrateur à la fois pour Detective et pour le service que vous quittez.
+ Vous avez assumé un rôle multicompte qui vous permet d’accéder au graphe de comportement en tant qu’administrateur.

Pour plus d'informations sur la recommandation d'aligner les comptes administrateurs, consultez [Alignement recommandé avec Amazon GuardDuty et AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations).

Si le pivot ne fonctionne pas, vérifiez les points suivants.
+ **Le résultat appartient-il à un compte membre activé dans votre graphe de comportement ?** Si le compte associé n’a pas été invité au graphe de comportement en tant que compte membre, le graphe de comportement ne contient aucune donnée pour ce compte.

  Si le compte d’un membre invité n’a pas accepté l’invitation, le graphe de comportement ne contient aucune donnée pour ce compte.
+ **Le résultat est-il archivé ?** Detective ne reçoit pas les résultats archivés de GuardDuty.
+ **Le résultat a-t-il eu lieu avant que Detective ne commence à ingérer des données dans votre graphe de comportement ?** Si le résultat n’est pas présent dans les données ingérées par Detective, le graphe de comportement ne contient aucune donnée correspondante.
+ **Le résultat provient-il de la bonne région ?** Chaque graphe de comportement est spécifique à une région. Un graphe de comportement ne contient pas de données provenant d’autres régions.

## Accès au profil d’une entité ou d’une vue d’ensemble des résultats à l’aide d’une URL
<a name="profile-navigate-url"></a>

Pour accéder au profil d’une entité ou une vue d’ensemble des résultats dans Amazon Detective, vous pouvez utiliser une URL qui fournit un lien direct vers celui-ci. L’URL identifie le résultat ou l’entité. Il peut également spécifier la durée de validité à utiliser sur le profil. Detective conserve jusqu’à un an de données historiques sur les événements.

### Format de l’URL d’un profil
<a name="profile-url-format"></a>

**Note**  
Si vous utilisez l’ancien format d’URL, Detective redirige automatiquement vers la nouvelle URL. L’ancien format de l’URL était le suivant :  
https://console.aws.amazon.com/detective/maison ? région = *Region* \$1*type*/*namespace*/? *instanceID* *parameters*

Le nouveau format de l’URL du profil est le suivant : 
+ Pour les entités, à https://console.aws.amazon.com/detective/ la maison ? région = *Region* \$1*entities*/*namespace*/? *instanceID* *parameters*
+ Pour les résultats, à https://console.aws.amazon.com/detective/ la maison ? région = *Region* \$1*findings*/? *instanceID* *parameters*

L’URL nécessite les valeurs suivantes.

***Region***  
La région que vous souhaitez utiliser.

***type***  
Type d’élément correspondant au profil vers lequel vous naviguez.  
+ `entities` : indique que vous naviguez vers un profil d’entité
+ `findings` : indique que vous naviguez vers une vue d’ensemble des résultats

***namespace***  
Pour les entités, l’espace de noms est le nom du type d’entité.  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
Identifiant d’instance du résultat ou de l’entité.  
+ Pour une GuardDuty recherche, l'identifiant de la GuardDuty recherche.
+ Pour un AWS compte, l'identifiant du compte.
+ Pour AWS les rôles et les utilisateurs, l'identifiant principal du rôle ou de l'utilisateur.
+ Pour les utilisateurs fédérés, l’identifiant principal de l’utilisateur fédéré. L’identifiant principal est `<identityProvider>:<username>` ou `<identityProvider>:<audience>:<username>`.
+ Pour les adresses IP, l’adresse IP.
+ Pour les agents utilisateurs, le nom de l’agent utilisateur.
+ Pour les instances EC2, il s’agit de l’ID d’instance EC2.
+ Pour les sessions de rôle, identifiant de session. L’identifiant de session utilise le format ` <rolePrincipalID>:<sessionName>`.
+ Pour les compartiments S3, le nom du compartiment.
+ Pour un UUID FindingGroups, par exemple, `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ Pour les ressources EKS, utilisez les formats suivants :
  + Cluster EKS : *<clusterName>\$1<accountId>\$1EKS*
  + Module Kubernetes : *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Sujet Kubernetes : *<subjectName>\$1<clusterName>\$1<accountId>*
  + Image du conteneur : *<registry>/<repository>:<tag>@<digest>*
Le résultat ou l’entité doit être associé à un compte activé dans votre graphe de comportement.

L’URL peut également inclure les paramètres facultatifs suivants, qui sont utilisés pour définir la durée de validité. Pour plus d’informations sur la durée de validité et son utilisation sur les profils, consultez [Gestion de la durée de validité](scope-time-managing.md).

**`scopeStart`**  
Heure de début de la durée de validité d’utilisation de l’oscilloscope sur le profil. L’heure de début doit se situer dans les 365 derniers jours.  
La valeur est l’horodatage de l’époque.  
Si vous indiquez une heure de début mais pas d’heure de fin, la durée de validité se termine à l’heure actuelle.

**`scopeEnd`**  
Heure de fin de la durée de validité d’utilisation de l’oscilloscope sur le profil.  
La valeur est l’horodatage de l’époque.  
Si vous indiquez une heure de fin, mais pas d’heure de début, la durée de validité inclut tout le temps écoulé avant l’heure de fin.

Si vous ne spécifiez pas la durée de validité, c’est la durée de validité par défaut qui est utilisée.
+ Pour les résultats, la durée de validité par défaut utilise la première et la dernière fois que l’activité de résultat a été observée.
+ Pour les entités, la durée de validité par défaut correspond aux 24 heures précédentes.

Voici un exemple d’URL de Detective :

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

Cet exemple d’URL fournit les instructions suivantes.
+ Affichez le profil d’entité pour l’adresse IP 192.168.1.
+ Utilisez une durée de validité qui commence le lundi 18 mars 2019 à 12:00:00 GMT et qui se termine le lundi 18 mars 2019 à 00h00 GMT.

### Résolution des problèmes d’une règle
<a name="profile-url-troubleshooting"></a>

Si l’URL n’affiche pas le profil attendu, vérifiez d’abord qu’elle utilise le bon format et que vous avez fourni les bonnes valeurs.
+ Avez-vous commencé avec la bonne URL (`findings` ou `entities`) ? 
+ Avez-vous spécifié le bon espace de noms ?
+ Avez-vous fourni le bon identifiant ?

Si les valeurs sont correctes, vous pouvez également vérifier les points suivants.
+ **Le résultat ou l’entité appartient-il à un compte membre activé dans votre graphe de comportement ?** Si le compte associé n’a pas été invité au graphe de comportement en tant que compte membre, le graphe de comportement ne contient aucune donnée pour ce compte.

  Si le compte d’un membre invité n’a pas accepté l’invitation, le graphe de comportement ne contient aucune donnée pour ce compte.
+ **Dans le cas d’un résultat, celui-ci est-il archivé ?** Detective ne reçoit pas les résultats archivés d'Amazon GuardDuty.
+ **Le résultat ou l’entité s’est-il produit avant que Detective ne commence à ingérer des données dans votre graphe de comportement ?** Si le résultat ou l’entité ne figure pas dans les données ingérées par Detective, le graphe de comportement ne contient aucune donnée correspondante.
+ **Le résultat ou l’entité provient-il de la bonne région ?** Chaque graphe de comportement est spécifique à une région. Un graphe de comportement ne contient pas de données provenant d’autres régions.

## Ajouter Detective URLs for findings à Splunk
<a name="profile-splunk-integration-url"></a>

Le projet Splunk Trumpet vous permet d'envoyer des données depuis les AWS services vers Splunk.

Vous pouvez configurer le projet Trumpet pour générer les GuardDuty résultats de Detective URLs for Amazon. Vous pouvez ensuite les utiliser URLs pour passer directement de Splunk aux profils de recherche Detective correspondants.

Le projet Trumpet est disponible GitHub à [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)l'adresse suivante :.

Sur la page de configuration du projet Trumpet, dans **AWS CloudWatch Events**, sélectionnez **Detective GuardDuty URLs**.

# Pivotement d’un volet de profil vers une autre console
<a name="profile-panel-console-links"></a>

Pour les instances EC2, les utilisateurs IAM et les rôles IAM, vous pouvez accéder directement au volet de profil détaillé à la console correspondante. Les informations disponibles depuis la console peuvent fournir des informations supplémentaires pour votre enquête de sécurité.

Dans le volet de profil **Détails de l’instance EC2**, l’identifiant de l’instance EC2 est lié à la console Amazon EC2.

Dans le volet de profil des **Détails de l’utilisateur** le nom d’utilisateur est lié à la console IAM.

Dans le volet de profil des **Détails de l’instance EC2**, l’identifiant de l’instance EC2 est lié à la console Amazon EC2.

## Basculement d’un volet de profil vers un autre profil d’entité
<a name="profile-panel-pivot"></a>

Lorsqu’un volet de profil contient l’identifiant d’une entité différente, il s’agit généralement d’un lien vers le profil de cette entité. Les exceptions sont les liens vers les consoles Amazon EC2 et IAM sur l’instance EC2, les utilisateurs IAM et les profils de rôles IAM. Consultez [Pivotement d’un volet de profil vers une autre console](#profile-panel-console-links).

Par exemple, à partir d’une liste d’adresses IP, vous pouvez peut-être afficher le profil d’une adresse IP spécifique. Ainsi, vous pourrez voir si d’autres informations sont disponibles pour vous aider à mener à bien votre enquête.

# Exploration des détails d’activité sur un volet de profil
<a name="profile-panel-drilldown"></a>

Au cours d’une enquête, vous souhaiterez peut-être approfondir le schéma d’activité d’une entité.

Dans les volets de profil suivants, vous pouvez afficher un résumé des détails de l’activité :
+ **Volume global d’appels d’API**, à l’exception du volet de profil sur le profil de l’agent utilisateur
+ **Géolocalisations nouvellement observées**
+ **Volume global de flux VPC**
+ **Volume de flux VPC vers et depuis l’adresse IP de résultat**, pour les résultats associés à une adresse IP unique
+ **Détails du conteneur**
+ **Volume du flux VPC** pour les clusters
+ **Activité globale de l’API Kubernetes**

Les détails de l’activité peuvent répondre aux types de questions suivants :
+ Quelles adresses IP ont été utilisées ?
+ Où se trouvaient ces adresses IP ?
+ Quels appels d’API ont été effectués par chaque adresse IP, et à partir de quels services ont-ils effectué ces appels ?
+ Quels principes ou identifiants de clé d'accès (AKIDs) ont été utilisés pour passer les appels ?
+ Quelles ressources ont été utilisées pour passer ces appels ?
+ Combien d’appels ont été passés ? Combien ont abouti et ont échoué ?
+ Quel volume de données du journal de flux VPC a été envoyé vers ou depuis chaque adresse IP ?
+ Quels conteneurs étaient actifs pour un cluster, une image ou un pod spécifique ?

**Topics**
+ [Détails de l’activité pour le volume global d’appels d’API](profile-panel-drilldown-overall-api-volume.md)
+ [Détails de l’activité pour une géolocalisation](profile-panel-drilldown-new-geolocations.md)
+ [Détails de l’activité pour le volume global de flux VPC](profile-panel-drilldown-overall-vpc-volume.md)
+ [Activité globale de l’API Kubernetes impliquant le cluster EKS](profile-panel-drilldown-kubernetes-api-volume.md)

# Détails de l’activité pour le volume global d’appels d’API
<a name="profile-panel-drilldown-overall-api-volume"></a>

Les détails d’activité pour **Volume d’appels d’API global** indiquent les appels d’API qui ont été émis au cours d’une période sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

Notez que Detective a commencé à stocker et à afficher le nom du service pour les appels d’API le 14 juillet 2021. Cette date est mise en évidence sur la chronologie du volet de profil. Pour les activités effectuées avant cette date, le nom du service est **Service inconnu**.

## Contenu des détails de l’activité (utilisateurs, rôles, comptes, sessions de rôle, instances EC2, compartiments S3)
<a name="drilldown-api-volume-content"></a>

Pour les utilisateurs IAM, les rôles IAM, les comptes, les sessions de rôle, les instances EC2 et les compartiments S3, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée.

  Pour les compartiments S3, les informations reflètent les appels d’API qui ont été effectués vers le compartiment S3.

  Les appels d’API sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués. L’onglet **Adresses IP observées** indique également l’emplacement de chaque adresse IP.
+ Chaque entrée contient des informations sur les personnes qui ont passé les appels. Pour les comptes, les détails de l’activité identifient les utilisateurs ou les rôles. Pour les rôles, les détails de l’activité identifient les sessions de rôles. Pour les utilisateurs et les sessions de rôle, les détails de l'activité identifient les identifiants de clé d'accès (AKIDs).

  Notez qu'à compter du 14 juillet 2021, pour les profils de compte, les détails de l'activité indiquent les utilisateurs ou les rôles au lieu de AKIDs. Pour les profils de rôle, les détails de l'activité indiquent les sessions de rôle au lieu de AKIDs. Pour les activités qui ont lieu avant le 14 juillet 2021, l’appelant est répertorié comme **ressource inconnue**.

Les détails de l’activité contiennent les onglets suivants :

**Adresses IP observées**  
Affiche initialement la liste des adresses IP utilisées pour émettre des appels d’API.  
Vous pouvez développer chaque adresse IP pour afficher la liste des appels d’API émis à partir de cette adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez ensuite développer chaque appel d’API pour afficher la liste des appelants provenant de cette adresse IP. Selon le profil, l’appelant peut être un utilisateur, un rôle, une session de rôle ou un AKID.  

![\[Vue de l'onglet Adresses IP observées du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des adresses IP, des appels d'API et AKIDs. Les appels d’API sont regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**Méthode d’API par service**  
Affiche initialement la liste des appels d’API émis. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez développer chaque méthode d’API pour afficher la liste des adresses IP à partir desquelles les appels ont été émis.  
Vous pouvez ensuite développer chaque adresse IP pour afficher la liste de celles AKIDs qui ont émis cet appel d'API à partir de cette adresse IP.  

![\[Vue de la méthode d'API par onglet de service du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des appels d'API, des adresses IP et AKIDs. Les appels d’API sont regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**ID de ressource ou de clé d’accès**  
Affiche initialement la liste des utilisateurs, des rôles, des sessions de rôle ou AKIDs qui ont été utilisés pour émettre des appels d'API.  
Vous pouvez développer chaque appelant pour afficher la liste des adresses IP à partir desquelles il a émis des appels d’API.  
Vous pouvez ensuite développer chaque adresse IP pour afficher la liste des appels d’API émis à partir de cette adresse IP par cet appelant. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Vue de l'onglet Ressources du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des AKIDs adresses IP et des appels d'API regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Contenu des détails de l’activité (adresses IP)
<a name="drilldown-api-volume-content-ip"></a>

Pour les adresses IP, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués.

Les détails de l’activité contiennent les onglets suivants :

**Ressource**  
Affiche initialement la liste des ressources qui ont émis des appels d’API à partir de l’adresse IP.  
Pour chaque ressource, la liste inclut le nom, le type et le compte AWS de la ressource.  
Vous pouvez développer chaque ressource pour afficher la liste des appels d’API émis par la ressource à partir de l’adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Affichage de l’onglet Ressource des détails de l’activité sur le volet de profil du volume global d’appels d’API pour une adresse IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**Méthode d’API par service**  
Affiche initialement la liste des appels d’API émis. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez développer chaque appel d’API pour afficher la liste des ressources qui ont émis l’appel d’API à partir de l’adresse IP pendant la période sélectionnée.  

![\[Affichage de la méthode d’API par onglet de service des détails de l’activité du volet de profil du volume global d’appels d’API pour une adresse IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Tri des détails de l’activité
<a name="drilldown-api-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-api-volume-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

**Pour ajouter un filtre**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles. Par exemple, lorsque vous filtrez par méthode d’API, si vous filtrez par **Instance**, les résultats incluent toute opération d’API dont le nom `Instance` figure dans son nom. Par conséquent, `ListInstanceAssociations` et `UpdateInstanceInformation` correspondraient tous deux.

   Pour les noms de service, les méthodes d’API et les adresses IP, vous pouvez spécifier une valeur ou choisir un filtre intégré.

   Pour **Sous-chaînes d’API communes**, choisissez la sous-chaîne qui représente le type d’opération, telle que `List`, `Create` ou `Delete`. Le nom de chaque méthode d’API commence par le type d’opération.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. **Choisissez une option booléenne *Resource* ou *Service* **: Contient** ou \$1 : Ne contient pas** ; ou *API method* ou *IP address* **= Est égal à** ou **\$1 : N'équivaut pas** à définir des filtres.  
![\[Liste des filtres disponibles pour le filtre des détails de l'activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/api-volume-search.png)

Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-api-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Fenêtre temporelle mise en évidence pour le volet de profil du volume global d’appels d’API\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Interrogation des journaux bruts
<a name="query-raw-logs"></a>

Amazon Detective est intégré à Amazon Security Lake, ce qui signifie que vous pouvez interroger et récupérer les données brutes des journaux stockées par Security Lake. Pour plus de détails sur cette intégration, consultez [Intégration d'Amazon Detective à Amazon Security Lake](securitylake-integration.md).

Grâce à cette intégration, vous pouvez collecter et interroger des journaux et des événements provenant des sources suivantes, prises en charge de manière native par Security Lake.
+ AWS CloudTrail événements de gestion version 1.0 et versions ultérieures
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs version 1.0 et ultérieure
+ Journal d'audit Amazon Elastic Kubernetes Service (Amazon EKS) version 2.0

**Note**  
L’interrogation des journaux de données brutes dans Detective n’entraîne pas de frais supplémentaires. Les frais d'utilisation des autres AWS services, y compris Amazon Athena, s'appliquent toujours aux tarifs publiés.

**Pour interroger des journaux bruts**

1. Choisissez les **détails d’affichage pour la durée de validité**. 

1. À partir de là, vous pouvez commencer à **interroger les journaux bruts**. 

1. Dans le tableau d’**aperçu des journaux bruts**, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena. 

   Dans le tableau d’interrogation des journaux bruts, vous pouvez **annuler la demande de requête**, **afficher les résultats dans Amazon Athena** et **télécharger les résultats** sous la forme d’un fichier de valeurs séparées par des virgules (.csv). 

Si vous voyez des journaux dans Detective, mais que la requête n’a renvoyé aucun résultat, les raisons peuvent en être les suivantes.
+ Les journaux bruts peuvent être disponibles dans Detective avant d’apparaître dans les tableaux des journaux de Security Lake. Réessayez ultérieurement.
+ Les journaux peuvent ne pas être présents dans Security Lake. Si vous avez attendu pendant une longue période, cela indique que les journaux sont absents de Security Lake. Contactez votre administrateur Security Lake pour résoudre le problème.

# Détails de l’activité pour une géolocalisation
<a name="profile-panel-drilldown-new-geolocations"></a>

Les détails de l’activité pour les **nouvelles géolocalisations observées** indiquent les appels d’API émis à partir d’une géolocalisation pendant la période couverte par la durée de validité. Les appels d’API incluent tous les appels émis depuis la géolocalisation. Ils ne se limitent pas aux appels utilisant l’entité de résultat ou de profil. Pour les compartiments S3, les appels d’activité sont des appels d’API adressés au compartiment S3.

Detective détermine l'emplacement des demandes à l'aide des bases de MaxMind données GeoIP. MaxMind fait état d'une très grande précision de ses données au niveau des pays, bien que la précision varie en fonction de facteurs tels que le pays et le type de propriété intellectuelle. Pour plus d'informations MaxMind, consultez la section [Géolocalisation MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si vous pensez que l'une des données GeoIP est incorrecte, vous pouvez envoyer une demande de correction à Maxmind à l'adresse [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.

Pour afficher les détails de l’activité, effectuez l’une des actions suivantes :
+ Sur la carte, choisissez une géolocalisation.
+ Dans la liste, choisissez **Détails** pour une géolocalisation.

Les détails de l’activité remplacent la liste de géolocalisation. Pour revenir à la liste de géolocalisation, choisissez **Retour à tous les résultats**.

Notez que Detective a commencé à stocker et à afficher le nom du service pour les appels d’API le 14 juillet 2021. Pour les activités effectuées avant cette date, le nom du service est **Service inconnu**.

## Détails du contenu de l’activité
<a name="profile-panel-drilldown-geolocation-content"></a>

Chaque onglet fournit des informations sur tous les appels d’API émis à partir de la géolocalisation pendant la période couverte par la durée de validité.

Pour chaque adresse IP, ressource et méthode d’API, la liste indique le nombre d’appels d’API réussis et échoués.

Les détails de l’activité contiennent les onglets suivants :

**Adresses IP observées**  
Affiche initialement la liste des adresses IP utilisées pour émettre des appels d’API à partir de la géolocalisation sélectionnée.  
Vous pouvez développer chaque adresse IP pour afficher les ressources qui ont émis des appels d’API à partir de cette adresse IP. La liste affiche le nom de la ressource. Pour voir l’ID principal, passez le curseur sur le nom.  
Vous pouvez ensuite développer chaque ressource pour afficher les appels d’API spécifiques émis par cette ressource à partir de cette adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Vue de l’onglet Adresses IP observées du volet de géolocalisations récemment observées avec une entrée développée pour afficher la hiérarchie des adresses IP, des ressources et des méthodes d’API.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Ressource**  
Affiche initialement la liste des ressources qui ont émis des appels d’API à partir de la géolocalisation sélectionnée. La liste affiche le nom de la ressource. Pour voir l’identifiant principal, faites une pause sur le nom. Pour chaque ressource, l’onglet **Ressource** affiche également les Compte AWS associés.  
Vous pouvez développer chaque utilisateur ou rôle pour afficher la liste des appels d’API émis par cette ressource. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez ensuite développer chaque appel d’API pour afficher la liste des adresses IP à partir desquelles la ressource a émis l’appel d’API.  

![\[Vue de l’onglet Ressources du volet des géolocalisations récemment observées, avec une entrée développée pour afficher la hiérarchie des utilisateurs ou des rôles, les méthodes d’API et les adresses IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Tri des détails de l’activité
<a name="drilldown-geolocation-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-geolocation-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

**Pour ajouter un filtre**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles. Par exemple, lorsque vous filtrez par méthode d’API, si vous filtrez par **Instance**, les résultats incluent toute opération d’API dont le nom `Instance` figure dans son nom. Par conséquent, `ListInstanceAssociations` et `UpdateInstanceInformation` correspondraient tous deux.

   Pour les noms de service, les méthodes d’API et les adresses IP, vous pouvez spécifier une valeur ou choisir un filtre intégré.

   Pour **Sous-chaînes d’API communes**, choisissez la sous-chaîne qui représente le type d’opération, telle que `List`, `Create` ou `Delete`. Le nom de chaque méthode d’API commence par le type d’opération.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. Si vous disposez de plusieurs filtres, choisissez une option booléenne pour définir la manière dont ils sont connectés.  
![\[Liste des connecteurs disponibles entre les filtres individuels pour le filtre des détails de l’activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

1. Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

# Détails de l’activité pour le volume global de flux VPC
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Pour une instance EC2, les détails de l’activité pour le **volume global de flux VPC** indiquent les interactions entre l’instance EC2 et les adresses IP pendant une plage de temps sélectionnée.

Pour un pod Kubernetes, le **volume global de flux VPC** affiche le volume global d’octets entrant et sortant de l’adresse IP attribuée au pod Kubernetes pour toutes les adresses IP de destination. L’adresse IP du pod Kubernetes n’est pas unique quand `hostNetwork:true`. Dans ce cas, le volet affiche le trafic vers d’autres pods ayant la même configuration et le nœud qui les héberge.

Pour une adresse IP, les détails de l’activité pour le **volume global de flux VPC** indiquent les interactions entre l’adresse IP et les instances EC2 au cours d’une plage de temps sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

## Détails du contenu de l’activité
<a name="drilldown-vpc-volume-content"></a>

Le contenu reflète l’activité au cours de la période sélectionnée.

Pour une instance EC2, les détails de l’activité contiennent une entrée pour chaque combinaison unique d’adresse IP, de port local, de port distant, de protocole et de direction.

Pour une adresse IP, les détails de l’activité contiennent une entrée pour chaque combinaison unique d’instance EC2, de port local, de port distant, de protocole et de direction.

Chaque entrée indique le volume du trafic entrant, le volume du trafic sortant et indique si la demande d’accès a été acceptée ou rejetée. Sur les profils de résultats, la colonne **Annotations** indique à quel moment une adresse IP est liée au résultat en cours.

![\[Détails de l’activité pour le volet de profil de volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Tri des détails de l’activité
<a name="drilldown-vpc-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes du tableau.

Par défaut, les détails de l’activité sont d’abord triés en fonction des annotations, puis du trafic entrant.

## Filtrer les détails de l’activité
<a name="drilldown-vpc-volume-filter"></a>

Pour vous concentrer sur une activité spécifique, vous pouvez filtrer les détails de l’activité selon les valeurs suivantes :
+ Adresse IP ou instance EC2
+ Port local ou distant
+ Direction
+  Protocole
+ Si la demande a été acceptée ou rejetée

**Pour ajouter et supprimer des filtres**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles.

   Pour filtrer par adresse IP, vous pouvez soit spécifier une valeur, soit choisir un filtre intégré.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. Si vous disposez de plusieurs filtres, choisissez une option booléenne pour définir la manière dont ils sont connectés.  
![\[Liste des connecteurs disponibles entre les filtres individuels pour le filtre des détails de l’activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

1. Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-vpc-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Fenêtre temporelle surlignée pour les détails de l’activité sur le volet de profil du volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Affichage du volume de trafic pour les lignes sélectionnées
<a name="drilldown-vpc-volume-chart-details"></a>

Lorsque vous identifiez les lignes qui présentent un intérêt, vous pouvez afficher dans les graphiques principaux le volume de trafic au fil du temps pour ces lignes.

Pour chaque ligne à ajouter aux graphiques, cochez la case correspondante. Pour chaque ligne sélectionnée, le volume est affiché sous forme de ligne sur les graphiques entrants ou sortants.

![\[Le trafic correspondant à l’activité sélectionnée détaille les lignes affichées sur les graphiques principaux du volet de profil de volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Pour vous concentrer sur le volume de trafic pour les entrées sélectionnées, vous pouvez masquer le volume global. Pour afficher ou masquer le volume de trafic global, activez l’option **Trafic global**.

![\[Le trafic correspondant à l’activité sélectionnée détaille les lignes affichées sur les graphiques principaux du volet de profil de volume global de flux VPC. Le trafic global est masqué.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Affichage du trafic de flux VPC pour les clusters EKS
<a name="display-traffic-for-eks-clusters"></a>

Detective a une visibilité sur vos journaux de flux Amazon Virtual Private Cloud (Amazon VPC), qui représentent le trafic qui traverse vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). Pour les ressources Kubernetes, le contenu des journaux de flux VPC dépend de l’interface réseau de conteneurs (CNI) déployée dans le cluster EKS.

Un cluster EKS avec une configuration par défaut utilise le plug-in CNI Amazon VPC. Pour plus de détails, consultez [Managing VPC CNI dans](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) le guide de l’utilisateur **Amazon EKS**. Le plug-in Amazon VPC CNI envoie le trafic interne avec l’adresse IP du pod et traduit l’adresse IP source en adresse IP du nœud pour les communications externes. Detective peut capturer et corréler le trafic interne au pod approprié, mais il ne peut pas faire de même pour le trafic externe.

Si vous souhaitez que Detective ait une visibilité sur le trafic externe de vos pods, activez la traduction d’adresses réseau source externe (SNAT). L’activation du SNAT comporte des limites et des inconvénients. Pour plus de détails, consultez la section [SNAT pour les pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) dans le **guide de l’utilisateur Amazon EKS**.

Si vous utilisez un autre plug-in CNI, Detective dispose d’une visibilité limitée aux pods dotés de la configuration `hostNetwork:true`. Pour ces pods, le volet **VPC Flow** affiche tout le trafic vers l’adresse IP du pod. Cela inclut le trafic vers le nœud hôte et tout pod du nœud contenant la configuration `hostNetwork:true`.

Detective affiche le trafic dans le volet de **flux VPC** d’un pod EKS pour les configurations de cluster EKS suivantes :
+ Dans un cluster doté du plug-in Amazon VPC CNI, tout pod doté de la configuration `hostNetwork:false` envoie du trafic à l’intérieur du VPC du cluster.
+ Dans un cluster doté du plug-in Amazon VPC CNI et de la configuration `AWS_VPC_K8S_CNI_EXTERNALSNAT=true`, tout pod `hostNetwork:false` envoyant du trafic en dehors du VPC du cluster.
+ N’importe quel pod avec cette configuration `hostNetwork:true`. Le trafic provenant du nœud est mélangé au trafic provenant d’autres pods dotés de cette configuration `hostNetwork:true`.

Detective n’affiche pas le trafic dans le volet de **flux VPC** pour :
+ Dans un cluster doté du plug-in Amazon VPC CNI et de la configuration `AWS_VPC_K8S_CNI_EXTERNALSNAT=false`, tout pod doté de la configuration `hostNetwork:false` envoie du trafic en dehors du VPC du cluster.
+ Dans un cluster sans le plugin CNI Amazon VPC pour Kubernetes, n’importe quel pod avec la configuration `hostNetwork:false`.
+ Tout pod envoyant le trafic vers un autre pod hébergé sur le même nœud.

## Afficher le trafic de flux VPC pour Amazon partagé VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective a une visibilité sur vos journaux de flux Amazon Virtual Private Cloud (Amazon VPC) à partager : VPCs
+ Si un compte membre Detective possède un Amazon VPC partagé et que d’autres comptes non Detective l’utilisent, Detective surveille tout le trafic provenant de ce VPC et fournit une visualisation de l’ensemble du flux de trafic au sein du VPC. 
+ Si vous disposez d’une instance Amazon EC2 au sein d’un Amazon VPC partagé et que le propriétaire du VPC partagé n’est pas membre de Detective, Detective ne surveillera aucun trafic provenant du VPC. Si vous souhaitez visualiser le flux de trafic au sein du VPC, vous devez ajouter le propriétaire de l’Amazon VPC en tant que membre de votre graphique Detective.

# Activité globale de l’API Kubernetes impliquant le cluster EKS
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Les détails d’activité pour l’**activité API Kubernetes globale impliquant le cluster EKS** indiquent le nombre d’appels d’API Kubernetes réussis et échoués qui ont été émis au cours d’une période sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

## Contenu des détails de l’activité (cluster, pod, utilisateur, rôle, session de rôle)
<a name="drilldown-kubernetes-api-volume-content"></a>

Pour un cluster, un pod, un utilisateur, un rôle ou une session de rôle, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée.

  Pour les clusters, les appels d’API se sont produits à l’intérieur du cluster.

  Pour les pods, les appels d’API ciblaient le pod.

  Pour les utilisateurs, les rôles et les sessions de rôle, les appels d’API ont été émis par des utilisateurs Kubernetes qui se sont authentifiés en tant qu’utilisateur, rôle ou session de rôle.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis, échoués, non autorisés et interdits.
+ Les informations incluent l’adresse IP, le type d’appel Kubernetes, l’entité affectée par l’appel et le sujet (compte de service ou utilisateur) qui a effectué l’appel. À partir des détails de l’activité, vous pouvez accéder aux profils de l’adresse IP, du sujet et de l’entité concernée.

Les détails de l’activité contiennent les onglets suivants :

**Sujet**  
Affiche initialement la liste des comptes de service et des utilisateurs utilisés pour effectuer des appels d’API.  
Vous pouvez développer chaque compte de service et utilisateur pour afficher la liste des adresses IP à partir desquelles le compte ou l’utilisateur a effectué des appels d’API.  
Vous pouvez ensuite développer chaque adresse IP pour afficher les appels d’API Kubernetes effectués par ce compte ou cet utilisateur à partir de cette adresse IP.   
Développez l’appel d’API Kubernetes pour voir le `requestURI `afin d’identifier l’action qui a été effectuée.  

![\[Vue de l’onglet Sujets du volet de volume global des appels d’API Kubernetes, avec une entrée développée pour afficher la hiérarchie des adresses IP et des appels d’API.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/kube-subject-drilldown.png)


**Adresse IP**  
Affiche initialement la liste des adresses IP à partir desquelles les appels d’API ont été effectués.  
Vous pouvez développer chaque appel pour afficher la liste des sujets Kubernetes (comptes de service et utilisateurs) qui ont effectué l’appel.  
Vous pouvez ensuite étendre chaque sujet à une liste des types d’appels d’API effectués par le sujet pendant la durée de validité.  
Développez le type d’appel d’API pour voir l’élément requestURI afin d’identifier l’action effectuée.  

![\[Vue de l'onglet Adresse IP du panneau de volume global des appels de l'API Kubernetes, avec une entrée étendue pour afficher la hiérarchie des appels d'API, des adresses IP et. AKIDs Les appels d’API sont regroupés par service\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/kube-ip-drilldown.png)


**Appel d’API Kubernetes**  
Affiche initialement la liste des verbes d’appel d’API Kubernetes.  
Vous pouvez développer chaque verbe d'API pour afficher la demande URIs associée à cette action.  
Vous pouvez ensuite développer chaque élément requestURI pour voir le sujet Kubernetes (comptes de service et utilisateurs) qui a effectué l’appel d’API.  
Développez le sujet pour voir quel sujet IPs a été utilisé pour effectuer l'appel d'API.  

![\[Vue de l'onglet Ressources du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des AKIDs adresses IP et des appels d'API regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Tri des détails de l’activité
<a name="drilldown-kubernetes-api-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-kubernetes-api-volume-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Période mise en évidence dans le volet de profil Volume global des appels d’API\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Utilisation des instructions du volet de profil lors d’une enquête
<a name="profile-panel-guidance"></a>

Chaque volet de profil est conçu pour fournir des réponses à des questions spécifiques qui se posent lorsque vous menez une enquête et analysez l’activité des entités associées.

Les conseils fournis pour chaque volet de profil vous aident à trouver ces réponses.

Les instructions du volet de profil commencent par une seule phrase sur le volet lui-même. Ce guide fournit une brève explication des données présentées sur le volet.

Pour afficher des instructions plus détaillées pour un volet, choisissez **Plus d’informations** dans l’en-tête du volet. Ces instructions étendues apparaissent dans le volet d’aide.

Le guide peut fournir les types d’informations suivants :
+ Vue d’ensemble du contenu du panel
+ Comment utiliser le volet pour répondre aux questions pertinentes
+ Prochaines étapes suggérées en fonction des réponses

# Gestion de la durée de validité
<a name="scope-time-managing"></a>

Personnalisez la durée de validité utilisée pour limiter les données affichées sur les profils d’entité.

Les graphiques, les chronologies et les autres données affichées sur les profils d’entités sont tous basés sur la durée de validité actuelle du périmètre. La durée de validité est le résumé de l’activité d’une entité au fil du temps. Cela apparaît en haut à droite de chaque profil dans la console Amazon Detective. Les données affichées sur ces graphiques, chronologies et autres visualisations sont basées sur la durée de validité. Pour certains volets de profil, du temps supplémentaire est ajouté avant et après la durée de validité afin de fournir un contexte. Dans Detective, tous les horodatages sont affichés en UTC par défaut. Vous pouvez sélectionner votre fuseau horaire local en modifiant les préférences d’**horodatage**. Pour mettre à jour la **préférence d’horodatage**, voir [Définition du format d’horodatage](profile-panel-preferences.md#profile-panel-preferences-timestamp).

Detective Analytics utilise la durée de validité pour détecter toute activité inhabituelle. Le processus d’analyse enregistre l’activité pendant la durée de validité, puis la compare à l’activité pendant les 45 jours précédant la durée de validité. Il utilise également ce délai de 45 jours pour générer des bases d’activité. 

Dans une vue d’ensemble des résultats, la durée de validité reflète la première et la dernière fois que le résultat a été observé. Pour plus d’informations sur la vue d’ensemble des résultats, consultez [Analyse d'une vue d'ensemble des résultats dans Detective](finding-overview.md).

Au fur et à mesure que vous menez une enquête, vous pouvez ajuster la durée de validité. Par exemple, si l’analyse initiale était basée sur l’activité d’une seule journée, vous souhaiterez peut-être étendre cette analyse à une semaine ou à un mois. La période prolongée pourrait vous aider à mieux comprendre si l’activité correspond à un schéma normal ou si elle est inhabituelle.

Vous pouvez également définir la durée de validité pour qu’elle corresponde à un résultat associé à l’entité actuelle.

Lorsque vous modifiez la durée de validité, Detective répète son analyse et met à jour les données affichées en fonction de la nouvelle durée de validité.

La durée de validité ne peut être inférieure à une heure ni supérieure à un an. Dates de début et de fin doivent être une heure après l’heure.

## Définition de dates et d'heures de début et de fin spécifiques
<a name="scope-time-select-date"></a>

Vous pouvez définir les dates de début et de fin de la durée de validité depuis la console Detective.

**Pour définir des heures de début et de fin spécifiques pour la nouvelle durée de validité**

1. Ouvrez la console Amazon à l’adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Sur un profil d’entité, choisissez la durée de validité.

1. Dans le volet **Modifier la durée de validité**, sous **Démarrer**, choisissez les nouvelles date et heure de début de la durée de validité. Pour la nouvelle heure de début, vous choisissez uniquement l’heure.

1. Sous **Fin**, choisissez la nouvelle date et heure de fin pour la durée de validité. Pour la nouvelle heure de fin, vous choisissez uniquement l’heure. L’heure de fin doit être au moins une heure après l’heure de début.

1. Lorsque vous avez terminé les modifications, pour enregistrer les modifications et mettre à jour les données affichées, choisissez **Mettre à jour la durée de validité**.

## Modifier la durée de validité
<a name="scope-time-select-length"></a>

Lorsque vous définissez la durée de validité, Detective définit la durée de validité en fonction de cette durée par rapport à l’heure actuelle.

**Pour modifier la durée de validité**

1. Ouvrez la console Amazon à l’adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Sur un profil d’entité, choisissez la durée de validité.

1. Dans le volet **Modifier la durée de validité**, à côté de **Historique**, choisissez la durée de validité.

   La spécification d’une plage horaire met à jour les paramètres de **début** et de **fin**.

1. Lorsque vous avez terminé les modifications, pour enregistrer les modifications et mettre à jour les données affichées, choisissez **Mettre à jour la durée de validité**.

## Réglage de la durée de validité sur une fenêtre temporelle de résultats
<a name="scope-time-align-to-finding"></a>

Chaque résultat est associé à une fenêtre temporelle, qui reflète la première et la dernière fois que le résultat a été observé. Lorsque vous affichez une vue d’ensemble des résultats, la durée de validité passe à la fenêtre temporelle de résultats.

À partir d’un profil d’entité, vous pouvez aligner la durée de validité sur la fenêtre temporelle pour un résultat associé. Cela vous permet d’étudier l’activité qui s’est produite pendant cette période.

Pour aligner la durée de validité sur une fenêtre temporelle de résultats, dans le volet **Résultats associés**, choisissez le résultat que vous souhaitez utiliser.

Detective renseigne les détails des résultats et définit la durée de validité en fonction de la fenêtre temporelle de résultats.

## Réglage de la durée de validité sur la page de résumé
<a name="scope-time-summary-page"></a>

Lorsque vous consultez la page **Résumé**, vous pouvez ajuster la durée de validité pour visualiser l’activité sur une période de 24 heures au cours des 365 jours précédents.

Pour définir la durée de validité sur la page Résumé

1. Ouvrez la console Amazon à l’adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation Detective, choisissez **Résumé**. 

1. Dans le volet **Durée de validité**, à côté de **Résumé**, vous pouvez modifier la **date et l’heure de début**. L’heure de début doit se situer dans les 365 derniers jours.

   Lorsque vous modifiez la **date et l’heure de début**, la **date et l’heure de fin** sont automatiquement mises à jour 24 heures après l’heure de début que vous avez choisie.
**Note**  
Avec Detective, vous pouvez accéder à un an de données historiques sur les événements. Pour plus d'informations sur les données source dans Detective, voir [Données source utilisées dans un graphe de comportement](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

1. Lorsque vous avez terminé les modifications, pour enregistrer les modifications et mettre à jour les données affichées, choisissez **Mettre à jour la durée de validité**.

# Afficher les détails des résultats associés dans Detective
<a name="entity-finding-list"></a>

Chaque profil d’entité contient un volet de résultats associé qui répertorie les résultats impliquant l’entité au cours de la durée de validité actuelle. L’implication d’une entité dans de multiples résultats indique qu’elle a été compromise. Les types de résultats peuvent également donner un aperçu du type d’activité présentant un souci.

Le volet des résultats associé est affiché juste en dessous du volet de profil des détails de l’entité.

Pour chaque résultat, le tableau comprend des informations sur les points suivants :
+ Le titre du résultat, qui est également un lien vers la vue d’ensemble des résultats.
+ Le AWS compte associé à la recherche, qui est également un lien vers le profil du compte
+ Le type de résultats
+ La première fois que le résultat a été observé
+ La dernière fois que le résultat a été observé
+ Le niveau de gravité du résultat

Pour afficher les détails d’un résultat, cliquez sur le bouton radio correspondant au résultat. Detective remplit le volet des détails des résultats situé à droite de la page. Detective modifie également la durée de validité pour qu’elle corresponde à la fenêtre temporelle de résultats. Cela vous permet de vous concentrer sur les activités qui se sont produites pendant cette période.

Si vous avez accédé au profil de l’entité à partir d’une vue d’ensemble des résultats, ce résultat est sélectionné automatiquement et les détails des résultats sont affichés.

Pour revenir à la vue d’ensemble des résultats à partir des détails des résultats, choisissez **Voir toutes les entités associées**.

Vous pouvez également archiver le résultat. Pour plus de détails, consultez [Archivage d'une GuardDuty recherche Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).

# Afficher les détails des entités à volume élevé dans Detective
<a name="high-volume-entities"></a>

Dans le [graphe de comportement](behavior-graph-data-about.md), Amazon Detective suit les relations entre les entités. Par exemple, chaque graphe de comportement suit le moment où un AWS utilisateur crée un AWS rôle et lorsqu'une instance EC2 se connecte à une adresse IP.

Lorsqu’une entité possède trop de relations au cours d’une période donnée, Detective ne peut pas enregistrer toutes les relations. Lorsque cela se produit pendant la durée de validité actuelle, Detective vous en informe. Detective fournit également une liste des occurrences d’entités à volume élevé.

## Qu’est-ce qu’une entité à volume élevé ?
<a name="high-volume-entity-about"></a>

Pendant un intervalle de temps donné, une entité peut être la source ou la destination d’un très grand nombre de connexions. Par exemple, une instance EC2 peut avoir des connexions provenant de millions d’adresses IP.

Detective limite le nombre de connexions qu’il peut accepter pendant chaque intervalle de temps. Si une entité dépasse cette limite, Detective supprime les connexions pendant cet intervalle de temps.

Supposons, par exemple, que la limite soit de 100 000 000 connexions par intervalle de temps. Si une instance EC2 est connectée par plus de 100 000 000 adresses IP au cours d’un intervalle de temps, Detective rejette les connexions issues de cet intervalle de temps.

Toutefois, vous pouvez peut-être analyser cette activité en fonction de l’entité située à l’autre bout de la relation. Pour continuer l’exemple, alors qu’une instance EC2 peut être connectée à partir de millions d’adresses IP, une seule adresse IP se connecte à beaucoup moins d’instances EC2. Chaque profil d’adresse IP fournit des détails sur les instances EC2 auxquelles l’adresse IP est connectée.

## Affichage de notification d’entité à volume élevé sur un profil
<a name="high-volume-entity-profile-notification"></a>

Detective affiche un avis en haut d’un résultat ou d’un profil d’entité si la durée de validité inclut un intervalle de temps pendant lequel l’entité présente un volume élevé. Pour les profils de résultats, l’avis est destiné à l’entité concernée.

L’avis comprend la liste des relations dont les intervalles de temps sont de volume élevé. Chaque entrée de liste contient une description de la relation et du début de l’intervalle de temps à volume élevé.

Un intervalle de temps à volume élevé peut être le signe d’une activité suspecte. Pour comprendre quelles autres activités se sont produites en même temps, vous pouvez concentrer votre enquête sur un intervalle de temps à volume élevé. L’avis relatif aux entités à volume élevé inclut une option permettant de définir la durée de validité en fonction de cet intervalle de temps.

**Pour régler la durée de validité sur un intervalle de temps à volume élevé**

1. Dans l’avis relatif aux entités à volume élevé, choisissez l’intervalle de temps.

1. Dans le menu contextuel, choisissez **Appliquer la durée de validité**.

## Affichage de la liste des entités à volume élevé pour la durée de validité actuelle
<a name="high-volume-entity-list"></a>

La page **Entités à volume élevé** contient une liste des intervalles de temps et des entités à volume élevé pendant la durée de validité actuelle.

**Pour afficher la page Entités à volume élevé**

1. Ouvrez la console Amazon Detective à l’adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation Detective, sélectionnez **Entités à volume élevé**.

Chaque élément de la liste contient les informations suivantes :
+ Le début de l’intervalle de temps à volume élevé
+ L’identifiant et le type de l’entité
+ La description de la relation, telle que « instance EC2 connectée depuis une adresse IP »

Vous pouvez filtrer et trier la liste par n’importe quelle colonne. Vous pouvez également accéder au profil d’entité d’une entité impliquée.

**Pour accéder au profil d’une entité**

1. Dans la liste des **entités à volume élevé**, choisissez la ligne à partir de laquelle vous souhaitez naviguer.

1. Choisissez **Afficher le profil avec une durée de validité élevée**.

Lorsque vous utilisez cette option pour accéder à un profil d’entité, la durée de validité est définie comme suit :
+ La durée de validité commence 30 jours avant l’intervalle de temps à volume élevé.
+ La durée de validité se termine à la fin de l’intervalle de temps à volume élevé.