Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Analisi delle entità in Amazon Detective
<a name="entity-profiles"></a>

Un'entità è un singolo oggetto estratto dai dati di origine. Gli esempi includono un indirizzo IP specifico, un'EC2istanza Amazon o un AWS account. Per un elenco dei tipi di evento, consulta [Tipi di entità nella struttura dei dati del grafico di comportamento](graph-data-structure-overview.md#entity-types).

Un profilo di entità di Amazon Detective è una singola pagina che fornisce informazioni dettagliate sull'entità e la sua attività. Puoi utilizzare un profilo di entità per ottenere dettagli di supporto per un'indagine su un risultato o come parte di una ricerca generale di attività sospette.

**Topics**
+ [Utilizzo dei profili di entità](using-entity-profiles.md)
+ [Visualizzazione e interazione con i pannelli del profilo del Detective](profile-panels.md)
+ [Navigazione diretta a un profilo di entità o alla panoramica di risultati](navigate-to-profile.md)
+ [Passaggio da un pannello di profilo a un'altra console](profile-panel-console-links.md)
+ [Esplorazione dei dettagli dell'attività su un pannello del profilo](profile-panel-drilldown.md)
+ [Gestione del periodo di validità](scope-time-managing.md)
+ [Visualizzazione dei dettagli dei risultati associati in Detective](entity-finding-list.md)
+ [Visualizzazione dei dettagli per entità ad alto volume in Detective](high-volume-entities.md)

# Utilizzo dei profili di entità
<a name="using-entity-profiles"></a>

Un profilo di entità viene visualizzato quando si completa una delle seguenti operazioni:
+ Dalla GuardDuty console Amazon, scegli l'opzione per indagare su un'entità correlata a un risultato selezionato.

  Per informazioni, consulta [Passare a un profilo di entità o cercare una panoramica su Amazon oppure GuardDuty AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).
+ Passa all'URL di Detective per il profilo dell'entità.

  Per informazioni, consulta [Navigazione a un profilo di entità o alla panoramica di risultati tramite un URL](navigate-to-profile.md#profile-navigate-url).
+ Usa la ricerca Detective nella console di Detective per cercare un'entità.
+ Scegli un link al profilo dell'entità da un altro profilo di entità o da una panoramica dei risultati.

## Periodo di validità per un profilo di entità
<a name="entity-profile-scope-time"></a>

Quando si accede direttamente a un profilo di entità senza fornire il periodo di validità, questo periodo viene impostato sulle 24 ore precedenti.

Quando si passa a un profilo di entità da un altro profilo di entità, il periodo di validità selezionato correntemente rimane invariato.

Quando si passa a un profilo di entità da una panoramica di risultati, il periodo di validità viene impostato sulla finestra dell'ora del risultato.

Per informazioni sulla personalizzazione dell'intervallo temporale per limitare i dati visualizzati nei profili delle entità, consulta [Gestione del periodo di validità](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).

## Identificatore e tipo di entità
<a name="entity-identifier-type"></a>

Nella parte superiore del profilo ci sono l'identificatore e il tipo di entità. A ogni tipo di entità è associata un'icona che fornisce un indicatore visivo del tipo di profilo.

## Risultati coinvolti
<a name="entity-profile-associated-findings"></a>

Ogni profilo contiene un elenco di risultati in cui l'entità è stata coinvolta durante il periodo di validità.

Per cercare altre risorse coinvolte, è possibile visualizzare i dettagli di ogni risultato, modificare il periodo di validità in modo che rifletta la finestra dell'ora del risultato e passare alla panoramica dei risultati.

Per informazioni, consulta [Visualizzazione dei dettagli dei risultati associati in Detective](entity-finding-list.md).

## Gruppi di risultati che coinvolgono questa entità
<a name="entity-profile-associated-finding-group"></a>

Ogni profilo contiene un elenco di gruppi di risultati in cui è inclusa un'entità.

Un gruppo di risultati è composto da risultati, entità e prove che Detective raccoglie in un gruppo per fornire un contesto più approfondito sui possibili problemi di sicurezza.

Per ulteriori informazioni sui gruppi di risultati, consulta [Analisi dei gruppi di risultati](groups-about.md).

## Pannelli del profilo contenenti i dettagli dell'entità e i risultati delle analisi
<a name="entity-profile-panels"></a>

Un profilo di entità contiene una serie di una o più schede. Ogni scheda contiene uno o più pannelli di profilo. Ogni pannello del profilo contiene testo e visualizzazioni generati dai dati del grafico di comportamento. I pannelli specifici di schede e profili sono personalizzati in base al tipo di entità.

Per la maggior parte delle entità, il pannello nella parte superiore della prima scheda fornisce informazioni di riepilogo di alto livello sull'entità.

Altri pannelli del profilo evidenziano diversi tipi di attività. Per un'entità coinvolta in un risultato, le informazioni contenute nei pannelli relativi al profilo dell'entità possono fornire ulteriori prove a sostegno del completamento di un'indagine. Ogni pannello del profilo fornisce l'accesso a linee guida su come utilizzare le informazioni. Per ulteriori informazioni, consulta [Utilizzo della guida del pannello del profilo durante un'indagine](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance). 

Per maggiori dettagli sui pannelli del profilo, sui tipi di dati che contengono e sulle opzioni disponibili per interagire con essi, consulta [Visualizzazione e interazione con i pannelli del profilo del Detective](profile-panels.md).

## Navigazione in un profilo di entità
<a name="profile-navigating"></a>

Un profilo di entità contiene una serie di una o più schede. Ogni scheda contiene uno o più pannelli di profilo. Ogni pannello del profilo contiene testo e visualizzazioni generati dai dati del grafico di comportamento.

Mentre scorri verso il basso una scheda del profilo, le seguenti informazioni rimangono visibili nella parte superiore del profilo:
+ Tipo di entità
+ Identificatore dell'entità
+ Periodo di validità

![\[Intestazione del profilo con il menu delle schede disponibili.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_header_tab_menu.png)


# Visualizzazione e interazione con i pannelli del profilo del Detective
<a name="profile-panels"></a>

Ogni profilo di entità sulla console di Amazon Detective è costituito da una serie di pannelli di profilo. Un pannello di profilo è una visualizzazione che fornisce dettagli generali o evidenzia attività specifiche associate a un'entità. I pannelli di profilo utilizzano diversi tipi di visualizzazioni per presentare diversi tipi di informazioni. Possono anche fornire collegamenti a dettagli aggiuntivi o ad altri profili.

Ogni pannello di profilo ha lo scopo di aiutare gli analisti a trovare risposte a domande specifiche sulle entità e sulle attività ad esse associate. Le risposte a queste domande aiutano a concludere se l'attività rappresenti una minaccia reale.

I pannelli di profilo utilizzano diversi tipi di visualizzazioni per presentare diversi tipi di informazioni.

## Tipi di informazioni su un pannello di profilo
<a name="profile-panel-data-types"></a>

I pannelli di profilo in genere forniscono i seguenti tipi di dati.


|  Tipo di dati del pannello  |  Descrizione  | 
| --- | --- | 
|  Informazioni di alto livello su un risultato o un'entità  |  Il tipo di pannello più semplice fornisce alcune informazioni di base su un'entità. Esempi di informazioni incluse in un pannello includono l'identificatore, il nome, il tipo e la data di creazione. ![\[Esempio di pannello di profilo contenente informazioni di alto livello su un'entità.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_item_details.png) La maggior parte dei profili di entità contiene un pannello informativo per tale entità.  | 
|  Riepilogo generale dell'attività nel tempo  |  Visualizza un riepilogo dell'attività di un'entità nel tempo. Questo tipo di pannello offre una visione generale del comportamento di un'entità durante il periodo di validità. ![\[Esempio di pannello di profilo contenente una panoramica dell'attività nel tempo per un'entità.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) Di seguito sono elencati alcuni esempi di dati di riepilogo forniti nei pannelli di profilo di Detective: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/profile-panels.html)  | 
|  Riepilogo delle attività raggruppate per valori  |  Visualizza un riepilogo delle attività di un'entità, raggruppate in base a valori specifici. Ad esempio, puoi vedere questo tipo di pannello del profilo sul profilo. EC2 Il pannello del profilo mostra il volume medio di dati del registro di VPC flusso da e verso un'EC2istanza per le porte comuni associate a tipi specifici di servizi. ![\[Esempio di pannello di profilo che mostra un riepilogo delle attività raggruppate per valori specifici.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png)  | 
|  Attività iniziata solo durante il periodo di validità  |  Durante un'indagine, è utile vedere quali attività hanno iniziato a verificarsi solo in un determinato periodo di tempo. Ad esempio, ci sono API chiamate, località geografiche o user agent mai visti prima? ![\[Esempio di un pannello di profilo che evidenzia le attività non osservate prima del periodo di validità.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) Se il grafico di comportamento è ancora in modalità di addestramento, il pannello del profilo visualizza un messaggio di notifica. Il messaggio viene rimosso quando il grafico di comportamento ha accumulato almeno due settimane di dati. Per ulteriori informazioni sulla modalità di addestramento, consulta [Periodo di formazione per nuovi grafici comportamentali dei Detective](detective-data-training-period.md).  | 
|  Attività che è cambiata in modo significativo durante il periodo di validità  |  Analogamente ai nuovi pannelli di attività, i pannelli di profilo possono anche visualizzare le attività che sono cambiate in modo significativo durante il periodo di validità. Ad esempio, un utente potrebbe effettuare regolarmente una determinata API chiamata alcune volte alla settimana. Se lo stesso utente invia improvvisamente la stessa chiamata più volte in un solo giorno, ciò potrebbe essere una prova di attività dannosa. ![\[Esempio di un pannello di profilo che mostra un'attività che è cambiata in modo significativo durante il periodo di validità.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) Se il grafico di comportamento è ancora in modalità di addestramento, il pannello del profilo visualizza un messaggio di notifica. Il messaggio viene rimosso quando il grafico di comportamento ha accumulato almeno due settimane di dati. Per ulteriori informazioni sulla modalità di addestramento, consulta [Periodo di formazione per nuovi grafici comportamentali dei Detective](detective-data-training-period.md).  | 

# Tipi di visualizzazioni del pannello di profilo
<a name="profile-panel-display-types"></a>

Il contenuto del pannello di profilo può assumere una delle seguenti forme.


|  Tipo di visualizzazione  |  Descrizione  | 
| --- | --- | 
|  Coppie chiave/valore  |  Il tipo di visualizzazione più semplice è un set di coppie chiave-valore. Un pannello di informazioni su risultati o entità è l'esempio più comune di pannello di coppie chiave-valore. ![\[Esempio di pannello di profilo contenente coppie chiave-valore.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_key_value.png) Le coppie chiave-valore possono essere utilizzate anche per aggiungere altre informazioni ad altri tipi di pannelli. Da un pannello di coppie chiave-valore, se un valore è un identificatore di un'entità, è possibile passare al suo profilo.  | 
|  Tabella  |  Una tabella è un semplice elenco di elementi composto da più colonne. ![\[Esempio di pannello di profilo contenente una tabella semplice.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_table.png) È possibile ordinare, filtrare e sfogliare la tabella. È possibile modificare il numero di voci da visualizzare su ogni pagina. Per informazioni, consulta [Impostazione delle preferenze per un pannello di profilo](profile-panel-preferences.md). Se un valore nella tabella è un identificatore di un'entità, è possibile passare al suo profilo.  | 
|  Sequenza temporale  |  Una visualizzazione della sequenza temporale mostra un valore aggregato per intervalli definiti nel tempo. ![\[Esempio di pannello di profilo contenente sequenze temporali.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_timeline.png) La sequenza temporale evidenzia il periodo di validità corrente e include il tempo periferico aggiuntivo prima e dopo il periodo di validità. L'ora periferica fornisce il contesto per l'attività nel periodo di validità. Passa il mouse su un intervallo di tempo per visualizzare un riepilogo dei dati relativi a quell'intervallo di tempo.  | 
|  Tabella espandibile  |  Una tabella espandibile combina tabelle e sequenze temporali. ![\[Esempio di un pannello di profilo contenente una tabella espandibile.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) La visualizzazione inizia come una tabella. È possibile ordinare, filtrare e sfogliare la tabella. È possibile modificare il numero di voci da visualizzare su ogni pagina. Per informazioni, consulta [Impostazione delle preferenze per un pannello di profilo](profile-panel-preferences.md). È quindi possibile espandere ogni riga per mostrare una visualizzazione della sequenza temporale specifica per quella riga.  | 
|  Grafico a barre  |  Un grafico a barre mostra i valori in base ai raggruppamenti. A seconda del grafico, potresti essere in grado di scegliere una barra per visualizzare una sequenza temporale dell'attività correlata. ![\[Esempio di un pannello di profilo contenente un grafico a barre.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_bar_chart.png)  | 
|  Grafico di geolocalizzazione  |  Un grafico di geolocalizzazione mostra una mappa contrassegnata per evidenziare i dati in base alla posizione geografica. Può essere seguito da una tabella contenente dettagli sulle singole geolocalizzazioni. ![\[Esempio di un pannello di profilo contenente un grafico di geolocalizzazione.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_geolocation.png) Tieni presente che durante l'elaborazione dei dati geografici in entrata, Detective arrotonda i valori di latitudine e longitudine a un singolo punto decimale.  | 

## Note sul contenuto del pannello del profilo
<a name="profile-panel-other-notes"></a>

Quando si visualizza il contenuto di un pannello di profilo, considera i seguenti elementi:

****Avviso sui dati di conteggio approssimativo****  
Questo avviso indica che gli elementi con conteggi estremamente bassi non vengono visualizzati a causa del volume di dati applicabili.  
Per garantire un conteggio completamente accurato, riduci la quantità di dati. Il modo più semplice per farlo è ridurre la durata del periodo di validità. Per informazioni, consulta [Gestione del periodo di validità](scope-time-managing.md).

****Arrotondamento per località geografiche****  
Detective arrotonda tutti i valori di latitudine e longitudine a un solo punto decimale.

**Modifiche al modo in cui Detective rappresenta API le chiamate**  
A partire dal 14 luglio 2021, Detective tiene traccia del servizio che ha effettuato ogni API chiamata. Ogni volta che Detective mostra un API metodo, mostra anche il servizio associato. Nei pannelli dei profili che visualizzano informazioni sulle API chiamate, le chiamate vengono sempre raggruppate in base al servizio. Per i dati che Detective ha importato prima di tale data, il nome del servizio è indicato come **Servizio sconosciuto**.  
Inoltre, a partire dal 14 luglio 2021, per gli account e i ruoli, i dettagli dell'attività nel pannello del profilo **del volume complessivo AKID delle API chiamate** non mostrano più la risorsa che ha emesso la chiamata. Per gli account, Detective visualizza l'identificatore del principale (utente o ruolo) che ha emesso la chiamata. Per i ruoli, Detective visualizza l'identificatore della sessione dei ruoli. Per i dati che Detective ha importato prima del 14 luglio 2021, l'identificatore è elencato come **Risorsa sconosciuta**.  
Per i pannelli di profilo che visualizzano un elenco di API chiamate, la timeline associata evidenzia il periodo di tempo durante il quale si è verificata questa transizione. L'evento clou inizia il 14 luglio 2021 e termina quando l'aggiornamento si è completamente propagato in Detective.

# Impostazione delle preferenze per un pannello di profilo
<a name="profile-panel-preferences"></a>

Per i pannelli di profilo, puoi personalizzare il numero di righe che appaiono su ogni pagina nei pannelli di profilo e configurare la preferenza del formato del timestamp.

## Impostazione della lunghezza della tabella
<a name="profile-panel-preferences-table"></a>

Per i pannelli di profilo che contengono tabelle o tabelle espandibili, è possibile configurare il numero di righe da visualizzare su ogni pagina. 

Imposta la tua preferenza per il numero di voci su ogni pagina.

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Nel riquadro di navigazione di Detective, in **Impostazioni**, scegli **Preferenze**.

1. Nella pagina **Preferenze**, in **Lunghezza tabella**, fai clic su **Modifica**. 

1. Scegli il numero di righe della tabella che desideri visualizzare su ogni pagina.

1. Seleziona **Salva**.

## Impostazione del formato del timestamp
<a name="profile-panel-preferences-timestamp"></a>

Per i pannelli del profilo, puoi configurare la preferenza del formato timestamp che verrà applicata a tutti i timestamp per ogni IAM utente o ruolo IAM in Detective. 
**Nota**  
La preferenza per il formato del timestamp non viene applicata all'intero account. AWS 

Imposta la preferenza per il timestamp.

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/). 

1. Nel riquadro di navigazione di Detective, in **Impostazioni**, scegli **Preferenze**.

1. Nella pagina **Preferenze**, in **Preferenze timestamp**, visualizza e modifica la visualizzazione preferita per tutti i timestamp. 

1. Per impostazione predefinita, il formato del timestamp è impostato su. UTC Fai clic su **Modifica** per scegliere il fuso orario locale.

   Esempio:  
**Example**  

   UTC- 20/09/22 16:39 UTC

   Locale - 20/09/2022 09:39 (- 07:00) UTC

1. Seleziona **Salva**.

# Navigazione diretta a un profilo di entità o alla panoramica di risultati
<a name="navigate-to-profile"></a>

Per passare direttamente al profilo di un'entità o a una panoramica dei risultati in Amazon Detective, puoi utilizzare una delle opzioni riportate di seguito.
+ Da Amazon GuardDuty or AWS Security Hub CSPM, puoi passare da una GuardDuty scoperta al corrispondente profilo di ricerca del Detective.
+ È possibile creare un URL di Detective che identifichi un risultato o un'entità e stabilisca il periodo di validità da utilizzare.

## Passare a un profilo di entità o cercare una panoramica su Amazon oppure GuardDuty AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

Dalla GuardDuty console Amazon, puoi accedere al profilo di entità di un'entità correlata a un risultato.

Dalle AWS Security Hub CSPM console GuardDuty e, puoi anche accedere a una panoramica dei risultati. Ciò fornisce anche collegamenti ai profili di entità per le entità coinvolte.

Questi collegamenti possono contribuire a semplificare il processo di indagine. Puoi usare rapidamente Detective per vedere l'attività dell'entità associata e determinare i passaggi successivi. Puoi quindi archiviare un risultato se si tratta di un falso positivo o approfondire per determinare la portata del problema.

### Come passare alla console Amazon Detective
<a name="profile-pivot-how-to"></a>

I link alle indagini sono disponibili per tutti i GuardDuty risultati. GuardDuty consente inoltre di scegliere se accedere al profilo di un'entità o alla panoramica dei risultati.

**Passare a Detective dalla console GuardDuty**

1. Apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. Se necessario, scegli **Risultati** nel riquadro di navigazione a sinistra.

1. Nella pagina GuardDuty **Risultati**, scegli il risultato.

   Il riquadro dei dettagli del risultato viene visualizzato sulla destra dell'elenco dei risultati.

1. Nel riquadro dei dettagli dei risultati, scegli **Analisi in Detective**.

   GuardDuty mostra un elenco di oggetti disponibili su cui indagare in Detective.

   L'elenco contiene sia le entità correlate, come gli indirizzi IP o le istanze EC2, sia i risultati.

1. Scegli un'entità o il risultato.

   La console di Detective si apre in una nuova scheda. La console si apre sul profilo dell'entità o del risultato.

   Se non hai abilitato Detective, la console si apre su una pagina di destinazione che fornisce una panoramica di Detective. Da lì, puoi scegliere di abilitare Detective.

**Per passare a Detective dalla console CSPM di Security Hub**

1. Apri la console all'indirizzo. AWS Security Hub CSPM [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Se necessario, scegli **Risultati** nel riquadro di navigazione a sinistra.

1. Nella pagina **Risultati** CSPM di Security Hub, scegli un GuardDuty risultato.

1. Nel riquadro dei dettagli, scegli **Indaga in Detective**, quindi scegli **Analizza il risultato**.

   Quando scegli **Analizza il risultato**, la console Detective si apre in una nuova scheda. La console si apre con la panoramica dei risultati.

   La console di Detective mostra sempre la Regione da cui proviene il risultato, anche se si passa dalla Regione di aggregazione. Per ulteriori informazioni sull'aggregazione dei risultati, consulta [Aggregazione dei risultati tra le Regioni](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) nella *Guida per l'utente di AWS Security Hub *.

   Se non hai abilitato Detective, la console si apre sulla pagina iniziale di Detective. Da lì, puoi abilitare Detective.

### Risoluzione dei problemi relativi al pivot
<a name="profile-pivot-troubleshooting"></a>

Per usare il pivot, deve essere vera una delle seguenti condizioni:
+ Il tuo account deve essere un account amministratore sia per Detective che per il servizio da cui stai provenendo.
+ Hai assunto un ruolo tra account che consente all'account amministratore di accedere al grafico di comportamento.

Per ulteriori informazioni sulla raccomandazione di allineare gli account degli amministratori, consulta [Allineamento consigliato con Amazon](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations) e. GuardDuty AWS Security Hub CSPM

Se il passaggio non funziona, controlla quanto segue.
+ **Il risultato appartiene a un account membro abilitato nel tuo grafico di comportamento?** Se l'account associato non è stato invitato al grafico di comportamento come account membro, il grafico non conterrà dati relativi a quell'account.

  Se un account membro invitato non ha accettato l'invito, il grafico di comportamento non conterrà dati relativi a quell'account.
+ **Il risultato è archiviato?** Il Detective non riceve i risultati archiviati da GuardDuty.
+ **Il risultato si è verificato prima che Detective iniziasse a importare dati nel tuo grafico di comportamento?** Se il risultato non è presente nei dati importati da Detective, il grafico di comportamento non conterrà dati relativi.
+ **Il risultato proviene dalla Regione corretta?** Ogni grafico di comportamento è specifico per una Regione. Un grafico di comportamento non contiene dati provenienti da altre Regioni.

## Navigazione a un profilo di entità o alla panoramica di risultati tramite un URL
<a name="profile-navigate-url"></a>

Per passare al profilo di un'entità o a una panoramica dei risultati in Amazon Detective, puoi utilizzare un URL che fornisce un collegamento diretto. L'URL identifica il risultato o l'entità. Può anche specificare il periodo di validità da utilizzare sul profilo. Detective conserva fino a un anno di dati storici sugli eventi.

### Formato dell'URL di un profilo
<a name="profile-url-format"></a>

**Nota**  
Se utilizzi il vecchio formato URL, Detective ti reindirizzerà automaticamente al nuovo URL. Il vecchio formato dell'URL era:  
https://console.aws.amazon.com/detective/a casa? regione = *Region* \$1*type*//*namespace*? *instanceID* *parameters*

Il nuovo formato dell'URL del profilo è il seguente: 
+ Per le entità: https://console.aws.amazon.com/detective/ a casa? regione = *Region* \$1*entities*//*namespace*? *instanceID* *parameters*
+ Per i risultati: https://console.aws.amazon.com/detective/ a casa? regione = *Region* \$1*findings*/? *instanceID* *parameters*

L'URL richiede i seguenti valori.

***Region***  
La Regione che desideri utilizzare.

***type***  
Il tipo di elemento per il profilo verso cui stai navigando.  
+ `entities`: indica che stai navigando verso un profilo di entità
+ `findings`: indica che stai navigando verso una panoramica dei risultati

***namespace***  
Per le entità, lo spazio dei nomi è il nome del tipo di entità.  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
L'identificatore di istanza del risultato o dell'entità.  
+ Per un GuardDuty risultato, l'identificatore del GuardDuty risultato.
+ Per un AWS account, l'ID dell'account.
+ Per AWS ruoli e utenti, l'ID principale del ruolo o dell'utente.
+ Per gli utenti federati, l'ID principale dell'utente federato. L'ID principale è `<identityProvider>:<username>` o `<identityProvider>:<audience>:<username>`.
+ Per gli indirizzi IP, l'indirizzo IP.
+ Per gli agenti utente, il nome dell'agente utente.
+ Per istanze EC2, l'ID dell'istanza.
+ Per le sessioni di ruolo, l'identificatore di sessione. L'identificatore della sessione utilizza il formato ` <rolePrincipalID>:<sessionName>`.
+ Per i bucket S3, il nome del bucket.
+ Ad FindingGroups esempio, un UUID. `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ Per le risorse EKS, utilizza i seguenti formati:
  + Cluster EKS: *<clusterName>\$1<accountId>\$1EKS*
  + Pod Kubernetes: *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Oggetto Kubernetes: *<subjectName>\$1<clusterName>\$1<accountId>*
  + Immagine del contenitore: *<registry>/<repository>:<tag>@<digest>*
Il risultato o l'entità devono essere associati a un account abilitato nel grafico di comportamento.

L'URL può includere anche i seguenti parametri opzionali, che vengono utilizzati per impostare il periodo di validità. Per ulteriori informazioni sul periodo di validità e su come viene utilizzato con i profili, consulta [Gestione del periodo di validità](scope-time-managing.md).

**`scopeStart`**  
L'ora di inizio del periodo di validità da utilizzare sul profilo. L'ora di inizio deve essere compresa negli ultimi 365 giorni.  
Il valore è il timestamp epoch.  
Se si fornisce un'ora di inizio ma non un'ora di fine, il periodo di validità termina all'ora corrente.

**`scopeEnd`**  
L'ora di fine del periodo di validità da utilizzare sul profilo.  
Il valore è il timestamp epoch.  
Se si fornisce un'ora di fine, ma non un'ora di inizio, il periodo di validità include tutto il periodo di tempo prima dell'ora di fine.

Se non si specifica il periodo di validità, viene utilizzato il periodo di validità predefinito.
+ Per i risultati, il periodo di validità predefinito utilizza la prima e l'ultima volta in cui l'attività del risultato è stata osservata.
+ Per le entità, il periodo di validità predefinito è pari alle 24 ore precedenti.

Di seguito puoi trovare un esempio di URL di Detective:

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

Questo URL di esempio fornisce le istruzioni riportate di seguito.
+ Visualizza il profilo dell'entità per l'indirizzo IP 192.168.1.
+ Utilizza un periodo di validità che inizia lunedì 18 marzo 2019 12:00:00 GMT e termina lunedì 18 marzo 2019 12:00:00 GMT.

### Risoluzione dei problemi relativi a un URL
<a name="profile-url-troubleshooting"></a>

Se l'URL non mostra il profilo previsto, verifica innanzitutto che l'URL utilizzi il formato corretto e di aver fornito i valori corretti.
+ Hai iniziato con l'URL corretto (`findings` o `entities`)? 
+ Hai specificato lo spazio dei nomi corretto?
+ Hai fornito l'identificatore corretto?

Se i valori sono corretti, puoi anche controllare quanto segue.
+ **Il risultato o l'entità appartengono a un account membro abilitato nel tuo grafico di comportamento?** Se l'account associato non è stato invitato al grafico di comportamento come account membro, il grafico non conterrà dati relativi a quell'account.

  Se un account membro invitato non ha accettato l'invito, il grafico di comportamento non conterrà dati relativi a quell'account.
+ **Un risultato viene archiviato?** Detective non riceve i risultati archiviati da Amazon GuardDuty.
+ **Il risultato o l'entità si sono verificati prima che Detective iniziasse a importare dati nel tuo grafico di comportamento?** Se il reperto o l'entità non è presente nei dati che il Detective inserisce, il grafico di comportamento non contiene i relativi dati.
+ **Il risultato o l'entità provengono dalla Regione corretta?** Ogni grafico di comportamento è specifico per una Regione. Un grafico di comportamento non contiene dati provenienti da altre Regioni.

## Aggiungere Detective URLs for discovery a Splunk
<a name="profile-splunk-integration-url"></a>

Il progetto Splunk Trumpet consente di inviare dati dai servizi a Splunk. AWS 

Puoi configurare il progetto Trumpet per generare i risultati di Detective URLs for Amazon GuardDuty . Puoi quindi usarli URLs per passare direttamente da Splunk ai corrispondenti profili di ricerca del Detective.

Il progetto Trumpet è disponibile all'indirizzo. GitHub [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)

**Nella pagina di configurazione del progetto Trumpet, da **AWS CloudWatch Eventi**, scegli Detective. GuardDuty URLs**

# Passaggio da un pannello di profilo a un'altra console
<a name="profile-panel-console-links"></a>

Per le istanze EC2, gli utenti IAM e i ruoli IAM, puoi passare direttamente dal pannello del profilo dei dettagli alla console corrispondente. Le informazioni disponibili dalla console possono fornire un input aggiuntivo per le indagini di sicurezza.

Nel pannello del profilo **Dettagli dell'istanza EC2**, l'identificatore dell'istanza EC2 è collegato alla console Amazon EC2.

Nel pannello del profilo **Dettagli utente**, il nome utente è collegato alla console IAM.

Nel pannello del profilo **Dettagli ruolo**, il nome del ruolo è collegato alla console IAM.

## Passaggio da un pannello di profilo a un altro profilo di entità
<a name="profile-panel-pivot"></a>

Quando un pannello di profilo contiene un identificatore di un'entità diversa, in genere si tratta di un collegamento a quel profilo di entità. Le eccezioni sono i collegamenti alle console Amazon EC2 e IAM sull'istanza EC2, gli utenti IAM e i profili dei ruoli IAM. Per informazioni, consulta [Passaggio da un pannello di profilo a un'altra console](#profile-panel-console-links).

Ad esempio, da un elenco di indirizzi IP, potresti essere in grado di visualizzare il profilo per un indirizzo IP specifico. In questo modo puoi vedere se sono disponibili altre informazioni che possono aiutarti a completare l'indagine.

# Esplorazione dei dettagli dell'attività su un pannello del profilo
<a name="profile-panel-drilldown"></a>

Durante un'indagine, potresti voler approfondire il modello di attività di un'entità.

Nei seguenti pannelli del profilo, puoi visualizzare un riepilogo dei dettagli dell'attività:
+ **Volume globale delle chiamate API**, ad eccezione del pannello del profilo del profilo dell'agente utente
+ **Geolocalizzazioni appena osservate**
+ **Volume globale dei flussi VPC**
+ **Volume di flusso VPC da e verso l'indirizzo IP del risultato**, per i risultati associati a un singolo indirizzo IP
+ **Dettagli container**
+ **Volume di flussi VPC** per cluster
+ **Attività complessiva dell'API Kubernetes**

I dettagli dell'attività possono rispondere a questi tipi di domande:
+ Quali indirizzi IP sono stati utilizzati?
+ Dove si trovavano quegli indirizzi IP?
+ Quali chiamate API ha effettuato ciascun indirizzo IP e da quali servizi ha effettuato tali chiamate?
+ Quali codici o identificatori delle chiavi di accesso (AKIDs) sono stati utilizzati per effettuare le chiamate?
+ Quali risorse sono state utilizzate per effettuare quelle chiamate?
+ Quante chiamate sono state effettuate? Quante hanno avuto successo e quante hanno fallito?
+ Quale volume di dati del log di flusso VPC è stato inviato da o verso ciascun indirizzo IP?
+ Quali contenitori erano attivi per un determinato cluster, immagine o pod?

**Topics**
+ [Dettagli dell'attività per Volume globale dei flussi VPC](profile-panel-drilldown-overall-api-volume.md)
+ [Dettagli dell'attività per una geolocalizzazione](profile-panel-drilldown-new-geolocations.md)
+ [Dettagli dell'attività per il volume globale dei flussi VPC](profile-panel-drilldown-overall-vpc-volume.md)
+ [Attività complessiva dell'API Kubernetes che coinvolge il cluster EKS](profile-panel-drilldown-kubernetes-api-volume.md)

# Dettagli dell'attività per Volume globale dei flussi VPC
<a name="profile-panel-drilldown-overall-api-volume"></a>

I dettagli dell'attività per **Volume globale delle chiamate API** mostrano le chiamate API emesse in un intervallo di tempo selezionato.

Per visualizzare i dettagli dell'attività per un singolo intervallo di tempo, scegli l'intervallo di tempo sul grafico.

Per visualizzare i dettagli dell'attività per il periodo di validità corrente, scegli **Visualizza dettagli per il periodo di validità**.

Tieni presente che Detective ha iniziato a memorizzare e visualizzare il nome del servizio per le chiamate API a partire dal 14 luglio 2021. Tale data è evidenziata nella sequenza temporale del pannello del profilo. Per le attività che si verificano prima di tale data, il nome del servizio è **Servizio sconosciuto**.

## Contenuto dei dettagli dell'attività (utenti, ruoli, account, sessioni di ruolo, istanze EC2, bucket S3)
<a name="drilldown-api-volume-content"></a>

Per gli utenti IAM, i ruoli IAM, gli account, le sessioni di ruolo, le istanze EC2 e i bucket S3, i dettagli dell'attività contengono le seguenti informazioni:
+ Ogni scheda fornisce informazioni sul set di chiamate API emesse durante l'intervallo di tempo selezionato.

  Per i bucket S3, le informazioni riflettono le chiamate API effettuate al bucket S3.

  Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.
+ Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite. La scheda **Indirizzi IP osservati** mostra anche la posizione di ogni indirizzo IP.
+ Ogni voce mostra informazioni su chi ha effettuato le chiamate. Per gli account, i dettagli dell'attività identificano gli utenti o i ruoli. Per i ruoli, i dettagli dell'attività identificano le sessioni di ruolo. Per gli utenti e le sessioni di ruolo, i dettagli dell'attività identificano gli identificatori delle chiavi di accesso (). AKIDs

  Tieni presente che a partire dal 14 luglio 2021, per i profili degli account, i dettagli dell'attività mostrano gli utenti o i ruoli anziché AKIDs. Per i profili di ruolo, i dettagli dell'attività mostrano le sessioni di ruolo anziché AKIDs. Per le attività che si sono svolte prima del 14 luglio 2021, il chiamante viene elencato come **Risorsa sconosciuta**.

I dettagli dell'attività contengono le seguenti schede:

**Indirizzi IP osservati**  
Visualizza inizialmente l'elenco degli indirizzi IP utilizzati per emettere chiamate API.  
È possibile espandere ogni indirizzo IP per visualizzare l'elenco di chiamate API che sono state emesse da quell'indirizzo IP. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  
È quindi possibile espandere ogni chiamata API per visualizzare l'elenco di chiamanti da quell'indirizzo IP. A seconda del profilo, il chiamante potrebbe essere un utente, un ruolo, una sessione di ruolo o un AKID.  

![\[Visualizzazione della scheda Indirizzi IP osservati del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia degli indirizzi IP, delle chiamate API e AKIDs. Le chiamate API sono raggruppate per servizio.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**Metodo API per servizio**  
Visualizza inizialmente l'elenco delle chiamate API emesse. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  
È possibile espandere ogni metodo API per visualizzare l'elenco degli indirizzi IP da cui sono state emesse le chiamate.  
È quindi possibile espandere ogni indirizzo IP per visualizzare l'elenco di AKIDs quella chiamata API emessa da quell'indirizzo IP.  

![\[Visualizzazione della scheda API metodo per servizio del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia delle chiamate API, degli indirizzi IP e AKIDs. Le chiamate API sono raggruppate per servizio.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**ID della risorsa o della chiave di accesso**  
Visualizza inizialmente l'elenco di utenti, ruoli, sessioni di ruolo o AKIDs che sono stati utilizzati per emettere chiamate API.  
È possibile espandere ogni chiamante per visualizzare l'elenco degli indirizzi IP da cui il chiamante ha emesso le chiamate API.  
È possibile espandere ogni indirizzo IP per visualizzare l'elenco di chiamate API che sono state emesse da quell'indirizzo IP da quel chiamante. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  

![\[Visualizzazione della scheda Risorse del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia AKIDs, gli indirizzi IP e le chiamate API raggruppati per servizio.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Contenuto dei dettagli dell'attività (indirizzi IP)
<a name="drilldown-api-volume-content-ip"></a>

Per gli indirizzi IP, i dettagli dell'attività contengono le seguenti informazioni:
+ Ogni scheda fornisce informazioni sul set di chiamate API emesse durante l'intervallo di tempo selezionato. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.
+ Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite e non riuscite.

I dettagli dell'attività contengono le seguenti schede:

**Risorsa**  
Visualizza inizialmente l'elenco di risorse che hanno emesso le chiamate API dall'indirizzo IP.  
Per ogni risorsa, l'elenco include il nome della risorsa, il tipo e l'account AWS .  
È possibile espandere ogni risorsa per visualizzare l'elenco di chiamate API che la risorsa ha emesso dall'indirizzo IP. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  

![\[Vista della scheda Risorsa dei dettagli dell'attività nel pannello di profilo Volume globale delle chiamate API per un indirizzo IP.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**Metodo API per servizio**  
Visualizza inizialmente l'elenco delle chiamate API emesse. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  
È possibile espandere ogni chiamata API per visualizzare l'elenco di risorse che hanno emesso la chiamata API dall'indirizzo IP durante il periodo di tempo selezionato.  

![\[Vista della scheda Metodo API per servizio dei dettagli dell'attività nel pannello di profilo Volume globale delle chiamate API per un indirizzo IP.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Ordinamento dei dettagli dell'attività
<a name="drilldown-api-volume-sort"></a>

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne dell'elenco.

Quando si ordina utilizzando la prima colonna, viene ordinato solo l'elenco di primo livello. Gli elenchi di livello inferiore vengono sempre ordinati in base al numero di chiamate API riuscite.

## Filtro dei dettagli dell'attività
<a name="drilldown-api-volume-filter"></a>

È possibile utilizzare le opzioni di filtro per concentrarsi su sottoinsiemi o aspetti specifici dell'attività rappresentata nei dettagli dell'attività.

In tutte le schede, puoi filtrare l'elenco in base a uno qualsiasi dei valori nella prima colonna.

**Aggiungere un filtro**

1. Scegli la casella di filtro.

1. In **Proprietà**, scegli la proprietà da utilizzare per il filtraggio.

1. Fornisci il valore da utilizzare per il filtraggio. Il filtro supporta valori parziali. Ad esempio, quando si filtra per metodo API, se si filtra per **Instance**, i risultati includono qualsiasi operazione API che abbia `Instance` nel nome. Quindi sia `ListInstanceAssociations` che `UpdateInstanceInformation` corrisponderebbero.

   Per i nomi dei servizi, i metodi API e gli indirizzi IP, puoi specificare un valore o scegliere un filtro integrato.

   Per **Sottostringhe API comuni**, scegli la sottostringa che rappresenta il tipo di operazione, ad esempio `List`, `Create` o `Delete`. Il nome di ogni metodo API inizia con il tipo di operazione.

   Per **Modelli CIDR**, puoi scegliere di includere solo indirizzi IP pubblici, indirizzi IP privati o indirizzi IP che corrispondono a uno schema CIDR specifico.

1. **Scegliete un'opzione booleana oppure: Contiene *Resource* o\$1 *Service*** ** ****: Non contiene; o o *IP address* **= Uguale a *API method* o\$1** : non equivale** a impostare filtri.  
![\[Elenco dei filtri disponibili per il filtro dei dettagli dell'attività.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/api-volume-search.png)

Per rimuovere un filtro, scegli l'icona **x** nell'angolo in alto a destra.

Per cancellare tutti i filtri, scegli **Cancella filtro**.

## Selezione dell'intervallo di tempo per i dettagli dell'attività
<a name="drilldown-api-volume-time-range"></a>

 Quando si visualizzano per la prima volta i dettagli dell'attività, l'intervallo di tempo corrisponde al periodo di validità o a un intervallo di tempo selezionato. È possibile modificare l'intervallo di tempo per i dettagli dell'attività.

**Modificare l'intervallo di tempo per i dettagli dell'attività**

1. Scegli **Modifica**.

1. In **Modifica finestra temporale**, scegli l'ora di inizio e di fine da utilizzare.

   Per impostare la finestra temporale sul periodo di validità predefinito per il profilo, scegli **Imposta il periodo di validità predefinito**.

1. Scegli la **Finestra temporale di aggiornamento**.

L'intervallo di tempo per i dettagli dell'attività è evidenziato nei grafici del pannello del profilo.

![\[Finestra temporale evidenziata per il pannello di profilo Volume globale delle chiamate API\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Esecuzione di query sui log non elaborati
<a name="query-raw-logs"></a>

Amazon Detective è ora integrato con Security Lake, il che significa che puoi interrogare e recuperare i dati dei log non elaborati archiviati da Security Lake. Per ulteriori dettagli su questa integrazione, consulta [Integrazione di Amazon Detective con Amazon Security Lake](securitylake-integration.md).

Grazie a questa integrazione, puoi raccogliere ed eseguire query su log ed eventi dalle seguenti origini supportate in modo nativo da Security Lake.
+ AWS CloudTrail gestione degli eventi versione 1.0 e successive
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs versione 1.0 e successive
+ Registro di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) versione 2.0

**Nota**  
Non sono previsti costi supplementari per l'interrogazione dei log di dati non elaborati in Detective. I costi di utilizzo per altri AWS Servizi, incluso Amazon Athena, si applicano ancora alle tariffe pubblicate.

**Interrogare i log non elaborati**

1. Scegli **i dettagli di visualizzazione per il periodo di validità**. 

1. Da qui, puoi iniziare a **interrogare i log non elaborati**. 

1. Nella tabella di **anteprima dei log non elaborati**, è possibile visualizzare i log e gli eventi recuperati interrogando i dati da Security Lake. Per maggiori dettagli sui log degli eventi non elaborati, puoi visualizzare i dati visualizzati in Amazon Athena. 

   Dalla tabella Interroga log non elaborati, puoi **annullare la richiesta di query**, **visualizzare i risultati in Amazon Athena** e **scaricare i risultati** come file con valori separati da virgole (.csv). 

Se vedi i log in Detective ma la query non ha prodotto risultati, ciò potrebbe accadere per i seguenti motivi.
+ I log non elaborati possono diventare disponibili in Detective prima di essere visualizzati nelle tabelle di log di Security Lake. Riprova più tardi.
+ È possibile che in Security Lake manchino dei log . Se hai atteso per un periodo di tempo prolungato, significa che i log non sono presenti in Security Lake. Contatta l'amministratore di Security Lake per risolvere il problema.

# Dettagli dell'attività per una geolocalizzazione
<a name="profile-panel-drilldown-new-geolocations"></a>

I dettagli dell'attività per **Geolocalizzazioni appena osservate** mostrano le chiamate API emesse da una geolocalizzazione durante il periodo di validità. Le chiamate API includono tutte le chiamate emesse dalla geolocalizzazione. Non si limitano alle chiamate che hanno utilizzato il risultato o l'entità del profilo. Per i bucket S3, le chiamate di attività sono chiamate API effettuate al bucket S3.

Detective determina la posizione delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di IP. Per ulteriori informazioni su MaxMind, consulta la sezione [Geolocalizzazione MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Se ritieni che uno qualsiasi dei dati GeoIP sia errato, puoi inviare una richiesta di correzione a Maxmind all'indirizzo [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.

Per visualizzare i dettagli dell'attività, completa una delle seguenti operazioni:
+ Sulla mappa, scegli una geolocalizzazione.
+ Nell'elenco, scegli **Dettagli** per una geolocalizzazione.

I dettagli dell'attività sostituiscono l'elenco di geolocalizzazione. Per tornare all'elenco di geolocalizzazione, scegli **Torna a tutti i risultati**.

Tieni presente che Detective ha iniziato a memorizzare e visualizzare il nome del servizio per le chiamate API a partire dal 14 luglio 2021. Per le attività che si verificano prima di tale data, il nome del servizio è **Servizio sconosciuto**.

## Contenuto dei dettagli dell'attività
<a name="profile-panel-drilldown-geolocation-content"></a>

Ogni scheda fornisce informazioni su tutte le chiamate API emesse dalla geolocalizzazione durante il periodo di validità.

Per ogni indirizzo IP, risorsa e metodo API, l'elenco mostra il numero di chiamate API riuscite e non riuscite.

I dettagli dell'attività contengono le seguenti schede:

**Indirizzi IP osservati**  
Visualizza inizialmente l'elenco degli indirizzi IP utilizzati per emettere chiamate API dalla geolocalizzazione selezionata.  
È possibile espandere ogni indirizzo IP per visualizzare le risorse che hanno emesso chiamate API da quell'indirizzo IP. L'elenco mostra il nome della risorsa. Per visualizzare l'ID principale, passa il mouse sul nome.  
È possibile espandere ogni risorsa per visualizzare le chiamate API specifiche che sono state emesse da quell'indirizzo IP in base a quella risorsa. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  

![\[Vista della scheda Indirizzi IP osservati del pannello Geolocalizzazioni appena osservate con una voce espansa per mostrare la gerarchia degli indirizzi IP, delle risorse e dei metodi API.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Risorsa**  
Visualizza inizialmente l'elenco di risorse che hanno emesso le chiamate API dalla geolocalizzazione selezionata. L'elenco mostra il nome della risorsa. Per visualizzare l'ID principale, passa il mouse sul nome. Per ogni risorsa, la scheda **Risorsa** mostra anche l' Account AWS associato.  
Puoi espandere ogni utente o ruolo per visualizzare l'elenco delle chiamate API emesse da quella risorsa. Le chiamate API sono raggruppate in base ai servizi che hanno emesso le chiamate. Per i bucket S3, il servizio è sempre Amazon S3. Se Detective non è in grado di determinare il servizio che ha emesso una chiamata, la chiamata viene elencata in **Servizio sconosciuto**.  
È quindi possibile espandere ogni chiamata API per visualizzare l'elenco di indirizzi IP da cui la risorsa ha emesso la chiamata API.  

![\[Vista della scheda Risorsa del pannello Geolocalizzazioni appena osservate con una voce espansa per mostrare la gerarchia dell'utente o del ruolo, dei metodi api e degli indirizzi IP.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Ordinamento dei dettagli dell'attività
<a name="drilldown-geolocation-sort"></a>

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne dell'elenco.

Quando si ordina utilizzando la prima colonna, viene ordinato solo l'elenco di primo livello. Gli elenchi di livello inferiore vengono sempre ordinati in base al numero di chiamate API riuscite.

## Filtro dei dettagli dell'attività
<a name="drilldown-geolocation-filter"></a>

È possibile utilizzare le opzioni di filtro per concentrarsi su sottoinsiemi o aspetti specifici dell'attività rappresentata nei dettagli dell'attività.

In tutte le schede, puoi filtrare l'elenco in base a uno qualsiasi dei valori nella prima colonna.

**Aggiungere un filtro**

1. Scegli la casella di filtro.

1. In **Proprietà**, scegli la proprietà da utilizzare per il filtraggio.

1. Fornisci il valore da utilizzare per il filtraggio. Il filtro supporta valori parziali. Ad esempio, quando si filtra per metodo API, se si filtra per **Instance**, i risultati includono qualsiasi operazione API che abbia `Instance` nel nome. Quindi sia `ListInstanceAssociations` che `UpdateInstanceInformation` corrisponderebbero.

   Per i nomi dei servizi, i metodi API e gli indirizzi IP, puoi specificare un valore o scegliere un filtro integrato.

   Per **Sottostringhe API comuni**, scegli la sottostringa che rappresenta il tipo di operazione, ad esempio `List`, `Create` o `Delete`. Il nome di ogni metodo API inizia con il tipo di operazione.

   Per **Modelli CIDR**, puoi scegliere di includere solo indirizzi IP pubblici, indirizzi IP privati o indirizzi IP che corrispondono a uno schema CIDR specifico.

1. Se disponi di più filtri, scegli un'opzione booleana per impostare il modo in cui tali filtri sono collegati.  
![\[Elenco dei connettori disponibili tra i singoli filtri per il filtro dei dettagli delle attività.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Per rimuovere un filtro, scegli l'icona **x** nell'angolo in alto a destra.

1. Per cancellare tutti i filtri, scegli **Cancella filtro**.

# Dettagli dell'attività per il volume globale dei flussi VPC
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Per un'istanza EC2, i dettagli dell'attività per **Volume globale dei flussi VPC** mostrano le interazioni tra l'istanza EC2 e gli indirizzi IP durante un intervallo di tempo selezionato.

Per un pod Kubernetes, **Volume globale dei flussi VPC** mostra il volume complessivo di byte in entrata e in uscita dall'indirizzo IP assegnato al pod Kubernetes per tutti gli indirizzi IP di destinazione. L'indirizzo IP del pod Kubernetes non è univoco quando `hostNetwork:true`. In questo caso, il pannello mostra il traffico verso altri pod con la stessa configurazione e il nodo che li ospita.

Per un indirizzo IP, i dettagli dell'attività per **Volume globale dei flussi VPC** mostrano le interazioni tra l'indirizzo IP e le istanze EC2 durante un intervallo di tempo selezionato.

Per visualizzare i dettagli dell'attività per un singolo intervallo di tempo, scegli l'intervallo di tempo sul grafico.

Per visualizzare i dettagli dell'attività per il periodo di validità corrente, scegli **Visualizza dettagli per il periodo di validità**.

## Contenuto dei dettagli dell'attività
<a name="drilldown-vpc-volume-content"></a>

Il contenuto riflette l'attività nell'intervallo di tempo selezionato.

Per un'istanza EC2, i dettagli dell'attività contengono una voce per ogni combinazione univoca di indirizzo IP, porta locale, porta remota, protocollo e direzione.

Per un indirizzo IP, i dettagli dell'attività contengono una voce per ogni combinazione univoca di istanza EC2, porta locale, porta remota, protocollo e direzione.

Ogni voce mostra il volume del traffico in entrata, il volume del traffico in uscita e se la richiesta di accesso è stata accettata o rifiutata. Nella profili dei risultati, la colonna **Annotazioni** indica quando un indirizzo IP è correlato al risultato corrente.

![\[Dettagli dell'attività per il pannello del profilo Volume globale di flussi VPC.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Ordinamento dei dettagli dell'attività
<a name="drilldown-vpc-volume-sort"></a>

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne nella tabella.

Per impostazione predefinita, i dettagli dell'attività vengono ordinati prima in base alle annotazioni, quindi in base al traffico in entrata.

## Filtro dei dettagli dell'attività
<a name="drilldown-vpc-volume-filter"></a>

Per concentrarti su un'attività specifica, puoi filtrare i dettagli dell'attività in base ai seguenti valori:
+ Indirizzo IP o istanza EC2
+ Porta locale o remota
+ Direzione
+ Protocollo
+ Se la richiesta è stata accettata o rifiutata

**Aggiungere e rimuovere filtri**

1. Scegli la casella di filtro.

1. In **Proprietà**, scegli la proprietà da utilizzare per il filtraggio.

1. Fornisci il valore da utilizzare per il filtraggio. Il filtro supporta valori parziali.

   Per filtrare in base all'indirizzo IP, puoi specificare un valore o scegliere un filtro integrato.

   Per **Modelli CIDR**, puoi scegliere di includere solo indirizzi IP pubblici, indirizzi IP privati o indirizzi IP che corrispondono a uno schema CIDR specifico.

1. Se disponi di più filtri, scegli un'opzione booleana per impostare il modo in cui tali filtri sono collegati.  
![\[Elenco dei connettori disponibili tra i singoli filtri per il filtro dei dettagli delle attività.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Per rimuovere un filtro, scegli l'icona **x** nell'angolo in alto a destra.

1. Per cancellare tutti i filtri, scegli **Cancella filtro**.

## Selezione dell'intervallo di tempo per i dettagli dell'attività
<a name="drilldown-vpc-volume-time-range"></a>

 Quando si visualizzano per la prima volta i dettagli dell'attività, l'intervallo di tempo corrisponde al periodo di validità o a un intervallo di tempo selezionato. È possibile modificare l'intervallo di tempo per i dettagli dell'attività.

**Modificare l'intervallo di tempo per i dettagli dell'attività**

1. Scegli **Modifica**.

1. In **Modifica finestra temporale**, scegli l'ora di inizio e di fine da utilizzare.

   Per impostare la finestra temporale sul periodo di validità predefinito per il profilo, scegli **Imposta il periodo di validità predefinito**.

1. Scegli la **Finestra temporale di aggiornamento**.

L'intervallo di tempo per i dettagli dell'attività è evidenziato nei grafici del pannello del profilo.

![\[Finestra temporale evidenziata per i dettagli dell'attività nel pannello del profiloVolume globale dei flussi VPC.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Visualizzazione del volume di traffico per le righe selezionate
<a name="drilldown-vpc-volume-chart-details"></a>

Quando identifichi le righe che ti interessano, sui grafici principali puoi visualizzare il volume di traffico nel tempo relativo a tali righe.

Per ogni riga da aggiungere ai grafici, seleziona la casella di controllo. Per ogni riga selezionata, il volume viene visualizzato come una linea sui grafici in entrata o in uscita.

![\[Traffico per le righe dei dettagli dell'attività selezionata visualizzato sui grafici principali del pannello di profilo Volume globale dei flussi VPC.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Per concentrarti sul volume di traffico per le voci selezionate, puoi nascondere il volume complessivo. Per mostrare o nascondere il volume di traffico complessivo, attiva **Traffico complessivo**.

![\[Traffico per le righe dei dettagli dell'attività selezionata visualizzato sui grafici principali del pannello di profilo Volume globale dei flussi VPC. Il traffico complessivo è nascosto.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Visualizzazione del traffico del flusso VPC per i cluster EKS
<a name="display-traffic-for-eks-clusters"></a>

Detective ha visibilità sui log di flusso di Amazon Virtual Private Cloud (Amazon VPC) che rappresentano il traffico che attraversa i cluster Amazon Elastic Kubernetes Service (Amazon EKS). Per le risorse Kubernetes, il contenuto dei log di flusso VPC dipende dalla Container Network Interface (CNI) distribuita nel cluster EKS.

Un cluster EKS con una configurazione predefinita utilizza il plug-in CNI di Amazon VPC. Per maggiori dettagli, consulta [Gestione del componente aggiuntivo CNI VPC](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) nella **Guida per l'utente di Amazon EKS**. Il plug-in CNI di Amazon VPC invia il traffico interno con l'indirizzo IP del pod e traduce l'indirizzo IP di origine nell'indirizzo IP del nodo per la comunicazione esterna. Detective può acquisire e correlare il traffico interno al pod corretto, ma non può fare lo stesso per il traffico esterno.

Se vuoi che Detective abbia visibilità sul traffico esterno dei tuoi pod, abilita External Source Network Address Translation (SNAT). L'abilitazione di SNAT comporta limitazioni e svantaggi. Per maggiori dettagli, consulta [SNAT per i pod](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) nella **Guida per l'utente di Amazon EKS**.

Se utilizzi un plug-in CNI diverso, Detective ha una visibilità limitata ai pod con `hostNetwork:true`. Per questi pod, il pannello **Flusso VPC** mostra tutto il traffico verso l'indirizzo IP del pod. Ciò include il traffico verso il nodo host e qualsiasi pod sul nodo con la configurazione `hostNetwork:true`.

Detective visualizza il traffico nel pannello **Flusso VPC** di un pod EKS per le seguenti configurazioni del cluster EKS:
+ In un cluster con il plug-in CNI di Amazon VPC, qualsiasi pod con la configurazione `hostNetwork:false` che invia traffico all'interno del VPC del cluster.
+ In un cluster con il plug-in CNI di Amazon VPC e la configurazione `AWS_VPC_K8S_CNI_EXTERNALSNAT=true`, qualsiasi pod con `hostNetwork:false` che invia il traffico all'esterno del VPC del cluster.
+ Qualsiasi pod con la configurazione `hostNetwork:true`. Il traffico proveniente dal nodo viene mescolato al traffico proveniente da altri pod con la configurazione `hostNetwork:true`.

Detective non visualizza il traffico nel pannello **Flusso VPC** per:
+ In un cluster con il plug-in CNI di Amazon VPC e la configurazione `AWS_VPC_K8S_CNI_EXTERNALSNAT=false`, qualsiasi pod con la configurazione `hostNetwork:false` che invia il traffico all'esterno del VPC del cluster.
+ In un cluster senza il plug-in CNI di Amazon VPC per Kubernetes, qualsiasi pod con la configurazione `hostNetwork:false`.
+ Qualsiasi pod che invia traffico a un altro pod ospitato nello stesso nodo.

## Visualizzazione del traffico di flusso VPC per Amazon condiviso VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective ha visibilità sui log di flusso di Amazon Virtual Private Cloud (Amazon VPC) per la condivisione di: VPCs
+ Se un account membro di Detective dispone di un Amazon VPC condiviso e ci sono altri account non Detective che utilizzano il VPC condiviso, Detective monitorerà tutto il traffico proveniente da quel VPC e fornisce la visualizzazione su tutto il flusso di traffico nel VPC. 
+ Se hai un'istanza EC2 all'interno di un Amazon VPC condiviso e il proprietario condiviso non è un membro di Detective, Detective non monitorerà alcun traffico proveniente dal VPC. Se desideri visualizzare il flusso di traffico all'interno del VPC, devi aggiungere il proprietario dell'Amazon VPC come membro del grafico di Detective.

# Attività complessiva dell'API Kubernetes che coinvolge il cluster EKS
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

I dettagli dell'attività per **Attività complessiva dell'API di Kubernetes che coinvolge il cluster EKS** mostrano il numero di chiamate API di Kubernetes riuscite e non riuscite emesse in un intervallo di tempo selezionato.

Per visualizzare i dettagli dell'attività per un singolo intervallo di tempo, scegli l'intervallo di tempo sul grafico.

Per visualizzare i dettagli dell'attività per il periodo di validità corrente, scegli **Visualizza dettagli per il periodo di validità**.

## Contenuto dei dettagli dell'attività (cluster, pod, utente, ruolo, sessione di ruolo)
<a name="drilldown-kubernetes-api-volume-content"></a>

Per un cluster, un pod, un utente, un ruolo o una sessione di ruolo, i dettagli dell'attività contengono le seguenti informazioni:
+ Ogni scheda fornisce informazioni sul set di chiamate API emesse durante l'intervallo di tempo selezionato.

  Per i cluster, le chiamate API che sono avvenute all'interno del cluster.

  Per i pod, le chiamate API indirizzate al pod.

  Per gli utenti, i ruoli e le sessioni di ruolo, le chiamate API emesse da utenti di Kubernetes che si sono autenticati come utente, ruolo o sessione di ruolo.
+ Per ogni immissione, i dettagli dell'attività mostrano il numero di chiamate riuscite, non riuscite, non autorizzate e proibite.
+ Le informazioni includono l'indirizzo IP, il tipo di chiamata Kubernetes, l'entità interessata dalla chiamata e il soggetto (account o utente del servizio) che ha effettuato la chiamata. Dai dettagli dell'attività, puoi passare ai profili relativi all'indirizzo IP, al soggetto e all'entità interessata.

I dettagli dell'attività contengono le seguenti schede:

**Oggetto**  
Visualizza inizialmente l'elenco degli account di servizio e degli utenti utilizzati per effettuare le chiamate API.  
È possibile espandere ogni account di servizio e utente per visualizzare l'elenco di indirizzi IP da cui l'account o l'utente ha effettuato chiamate API.  
Puoi quindi espandere ogni indirizzo IP per mostrare le chiamate API Kubernetes effettuate da quell'account o utente a partire da quell'indirizzo IP.   
Espandi la chiamata all'API Kubernetes per visualizzare il `requestURI ` per identificare l'operazione che è stata eseguita.  

![\[Vista della scheda Soggetti del pannello Volume globale di chiamate API Kubernetes, con una voce espansa per mostrare la gerarchia degli indirizzi IP e delle chiamate API.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/kube-subject-drilldown.png)


**Indirizzo IP**  
Visualizza inizialmente l'elenco degli indirizzi IP da cui sono state effettuate le chiamate API.  
Puoi espandere ogni chiamata per visualizzare l'elenco dei soggetti Kubernetes (account di servizio e utenti) che hanno effettuato la chiamata.  
Puoi quindi espandere ogni oggetto fino a un elenco di tipi di chiamate API effettuate dal soggetto durante il periodo di riferimento.  
Espandi il tipo di chiamata API per visualizzare il requestURI per identificare l'operazione che è stata eseguita.  

![\[Visualizzazione della scheda Indirizzo IP del pannello Generale del volume di chiamate dell'API Kubernetes, con una voce espansa per mostrare la gerarchia delle chiamate API, degli indirizzi IP e. AKIDs Le chiamate API sono raggruppate per servizio\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/kube-ip-drilldown.png)


**Chiamata API a Kubernetes**  
Visualizza inizialmente l'elenco dei verbi della chiamata API a Kubernetes.  
Puoi espandere ogni verbo dell'API per visualizzare la richiesta URIs associata a quell'azione.  
Puoi espandere ogni requestURI per visualizzare l'elenco dei soggetti Kubernetes (account di servizio e utenti) che hanno effettuato la chiamata API.  
Espandi l'oggetto per vedere quale soggetto IPs è stato utilizzato per effettuare la chiamata API.  

![\[Visualizzazione della scheda Risorse del pannello Volume complessivo delle chiamate API, con una voce espansa per mostrare la gerarchia degli AKIDs indirizzi IP e le chiamate API raggruppati per servizio.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Ordinamento dei dettagli dell'attività
<a name="drilldown-kubernetes-api-volume-sort"></a>

Puoi ordinare i dettagli dell'attività in base a una qualsiasi delle colonne dell'elenco.

Quando si ordina utilizzando la prima colonna, viene ordinato solo l'elenco di primo livello. Gli elenchi di livello inferiore vengono sempre ordinati in base al numero di chiamate API riuscite.

## Filtro dei dettagli dell'attività
<a name="drilldown-kubernetes-api-volume-filter"></a>

È possibile utilizzare le opzioni di filtro per concentrarsi su sottoinsiemi o aspetti specifici dell'attività rappresentata nei dettagli dell'attività.

In tutte le schede, puoi filtrare l'elenco in base a uno qualsiasi dei valori nella prima colonna.

## Selezione dell'intervallo di tempo per i dettagli dell'attività
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Quando si visualizzano per la prima volta i dettagli dell'attività, l'intervallo di tempo corrisponde al periodo di validità o a un intervallo di tempo selezionato. È possibile modificare l'intervallo di tempo per i dettagli dell'attività.

**Modificare l'intervallo di tempo per i dettagli dell'attività**

1. Scegli **Modifica**.

1. In **Modifica finestra temporale**, scegli l'ora di inizio e di fine da utilizzare.

   Per impostare la finestra temporale sul periodo di validità predefinito per il profilo, scegli **Imposta il periodo di validità predefinito**.

1. Scegli la **Finestra temporale di aggiornamento**.

L'intervallo di tempo per i dettagli dell'attività è evidenziato nei grafici del pannello del profilo.

![\[Finestra temporale evidenziata per il pannello di profilo Volume globale delle chiamate API\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Utilizzo della guida del pannello del profilo durante un'indagine
<a name="profile-panel-guidance"></a>

Ogni pannello del profilo è progettato per fornire risposte a domande specifiche che sorgono quando si conduce un'indagine e si analizza l'attività delle entità correlate.

La guida fornita per ogni pannello del profilo ti aiuta a trovare queste risposte.

Le linee guida del pannello del profilo iniziano con una singola frase sul pannello stesso. Questa guida fornisce una breve spiegazione dei dati presentati nel pannello.

Per visualizzare una guida più dettagliata per un pannello, scegli **Altre informazioni** dall'intestazione del pannello. Questa guida estesa viene visualizzata nel riquadro di aiuto.

La guida può fornire questi tipi di informazioni:
+ Una panoramica del contenuto del pannello
+ Come usare il pannello per rispondere alle domande pertinenti
+ Passaggi successivi suggeriti in base alle risposte

# Gestione del periodo di validità
<a name="scope-time-managing"></a>

Personalizza il periodo di validità utilizzato per limitare i dati visualizzati nei profili di entità.

I grafici, le sequenze temporali e gli altri dati visualizzati nei profili di entità si basano tutti sul periodo di validità corrente. Il periodo di validità è il riepilogo dell'attività di un'entità nel tempo. Viene visualizzato nella parte in alto a destra di ogni profilo nella console Amazon Detective. I dati visualizzati su tali grafici, sequenze temporali e altre visualizzazioni si basano sul periodo di validità. Per alcuni pannelli di profilo, viene aggiunto del tempo prima e dopo il periodo di validità per fornire un contesto. In Detective, tutti i timestamp sono visualizzati in UTC per impostazione predefinita. È possibile selezionare il fuso orario locale modificando le **preferenze del timestamp**. Per aggiornare la **preferenza Timestamp**, consulta [Impostazione del formato del timestamp](profile-panel-preferences.md#profile-panel-preferences-timestamp).

L'analisi dei dati di Detective utilizza il periodo di validità per verificare la presenza di attività insolite. Il processo di analisi rileva l'attività durante il periodo di validità, quindi la confronta con l'attività dei 45 giorni precedenti il periodo di validità. Inoltre, utilizza tale intervallo di tempo di 45 giorni per generare linee di base di attività. 

In una panoramica dei risultati, il periodo di validità riflette la prima e l'ultima volta che il risultato è stato osservato. Per ulteriori informazioni sulla panoramica dei risultati, consulta [Analisi di una panoramica dei risultati in Detective](finding-overview.md).

Man mano che si conduce un'indagine, è possibile modificare il periodo di validità. Ad esempio, se l'analisi originale si basava sull'attività di un solo giorno, è possibile estendere il periodo a una settimana o un mese. Il periodo prolungato può aiutare a capire meglio se l'attività rientra in uno schema normale o inusuale.

È inoltre possibile impostare il periodo di validità in modo che corrisponda a un risultato associato per l'entità corrente.

Quando si modifica il periodo di validità, Detective ripete l'analisi e aggiorna i dati visualizzati in base al nuovo periodo di validità.

Il periodo di validità non può essere inferiore a un'ora e non può essere superiore a un anno. Le ore di inizio e fine devono essere un'ora.

## Impostazione di date e ore di inizio e fine specifiche
<a name="scope-time-select-date"></a>

Puoi impostare le date di inizio e fine del periodo di validità dalla console Detective.

**Impostare orari di inizio e fine specifici per il nuovo periodo di validità**

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. In un profilo di entità, scegli il periodo di validità.

1. Nel pannello **Modifica periodo di validità**, in **Inizio**, scegli la nuova data e ora di inizio per il periodo. Per la nuova ora di inizio, scegli solo l'ora.

1. In **Fine**, scegli la nuova data e ora di fine per il periodo di validità. Per la nuova ora di fine, scegli solo l'ora. L'ora di fine deve essere almeno un'ora dopo l'ora di inizio.

1. Al termine della modifica, per salvare le modifiche e aggiornare i dati visualizzati, scegli **Aggiorna periodo di validità**.

## Modifica della durata del periodo di validità
<a name="scope-time-select-length"></a>

Quando imposti la durata del periodo di validità, Detective imposta l'intervallo di tempo su quel periodo di tempo dall'ora corrente.

**Modificare la durata del periodo di validità**

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. In un profilo di entità, scegli il periodo di validità.

1. Nel pannello **Modifica periodo di validità**, accanto a **Cronologico**, scegli la durata del periodo di validità.

   La specifica di un intervallo di tempo aggiorna le impostazioni di **inizio** e **fine**.

1. Al termine della modifica, per salvare le modifiche e aggiornare i dati visualizzati, scegli **Aggiorna periodo di validità**.

## Configurazione del periodo di validità su una finestra dell'ora del risultato
<a name="scope-time-align-to-finding"></a>

A ogni risultato è associata una finestra temporale che riflette la prima e l'ultima volta in cui il risultato è stato osservato. Quando si visualizza una panoramica dei risultati, il periodo di validità passa alla finestra dell'ora dei risultati.

Da un profilo di entità, è possibile allineare il periodo di validità alla finestra temporale relativa a un risultato associato. Ciò consente di esaminare l'attività che si è svolta in quel periodo.

Per allineare il periodo di validità a una finestra dell'ora del risultato, nel pannello **Risultati associati**, scegli il risultato che desideri utilizzare.

Detective inserisce i dettagli del risultato e imposta il periodo di validità sulla finestra dell'ora del risultato.

## Impostazione del periodo di validità nella pagina di riepilogo
<a name="scope-time-summary-page"></a>

Mentre esamini la pagina **Riepilogo**, puoi modificare il periodo di validità in modo da visualizzare l'attività per qualsiasi periodo di 24 ore nei 365 giorni precedenti.

Impostare il periodo di validità nella pagina Riepilogo

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione di Detective, scegli **Riepilogo**. 

1. Nel pannello **Periodo di validità**, accanto a **Riepilogo**, puoi modificare la **data e l'ora di inizio**. L'ora di inizio deve essere compresa negli ultimi 365 giorni.

   Quando modifichi la **data e l'ora di inizio**, la **data e l'ora di fine** vengono aggiornate automaticamente a 24 ore dall'ora di inizio scelta.
**Nota**  
Con Detective puoi accedere fino a un anno di dati storici degli eventi. Per ulteriori informazioni sui dati di origine in Detective, consulta [Dati di origine utilizzati in un grafico comportamentale](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

1. Al termine della modifica, per salvare le modifiche e aggiornare i dati visualizzati, scegli **Aggiorna periodo di validità**.

# Visualizzazione dei dettagli dei risultati associati in Detective
<a name="entity-finding-list"></a>

Ogni profilo di entità contiene un pannello dei risultati associato che elenca i risultati che hanno interessato l'entità nel periodo di validità corrente. Un'indicazione che un'entità è stata compromessa è la sua presenza in molteplici risultati. I tipi di risultati possono anche fornire informazioni sul tipo di attività di cui preoccuparsi.

Il pannello dei risultati associato viene visualizzato immediatamente sotto il pannello del profilo dei dettagli dell'entità.

Per ciascun risultato, sono incluse le informazioni seguenti:
+ Il titolo del risultato, che è anche un collegamento alla panoramica dei risultati.
+ L' AWS account associato al risultato, che è anche un collegamento al profilo dell'account
+ Il tipo di risultato
+ Il primo orario in cui è stato osservato il risultato
+ L'orario più recente in cui è stato osservato il risultato
+ La gravità del risultato

Per visualizzare i dettagli di un risultato, scegli il pulsante radio corrispondente al risultato. Detective compila il pannello dei dettagli dei risultati nella parte destra della pagina. Detective modifica anche il periodo di validità in modo che diventi la finestra temporale del risultato. In questo modo, potrai concentrarti sulle attività che si sono svolte in quel periodo.

Se si è passati al profilo dell'entità da una panoramica dei risultati, tale risultato viene selezionato automaticamente e vengono visualizzati i dettagli del risultato.

Dai dettagli del risultato, per tornare alla panoramica dei risultati, scegli **Visualizza tutte le entità correlate**.

Puoi anche archiviare il risultato. Per maggiori dettagli, consulta [Archiviazione di un GuardDuty risultato Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).

# Visualizzazione dei dettagli per entità ad alto volume in Detective
<a name="high-volume-entities"></a>

Nel [grafico di comportamento](behavior-graph-data-about.md), Amazon Detective tiene traccia delle relazioni tra le entità. Ad esempio, ogni grafico comportamentale registra quando un AWS utente crea un AWS ruolo e quando un'istanza EC2 si connette a un indirizzo IP.

Quando un'entità ha troppe relazioni durante un periodo di tempo, Detective non riesce a memorizzare tutte le relazioni. Quando ciò si verifica durante il periodo di validità corrente, Detective ti avvisa. Detective fornisce anche un elenco delle occorrenze di entità ad alto volume.

## Cos'è un'entità ad alto volume?
<a name="high-volume-entity-about"></a>

Durante un determinato intervallo di tempo, un'entità potrebbe essere l'origine o la destinazione di un numero estremamente elevato di connessioni. Ad esempio, un'istanza EC2 potrebbe avere connessioni da milioni di indirizzi IP.

Detective mantiene un limite al numero di connessioni che può gestire durante ogni intervallo di tempo. Se un'entità supera tale limite, Detective scarta le connessioni per quell'intervallo di tempo.

Ad esempio, supponiamo che il limite sia di 100.000.000 di connessioni per intervallo di tempo. Se un'istanza EC2 è connessa da più di 100.000.000 di indirizzi IP durante un intervallo di tempo, Detective elimina le connessioni da quell'intervallo di tempo.

Tuttavia, potresti essere in grado di analizzare tale attività in base all'entità all'altra estremità della relazione. Per continuare con l'esempio, mentre un'istanza EC2 potrebbe essere connessa da milioni di indirizzi IP, un singolo indirizzo IP si connette a molte meno istanze EC2. Ogni profilo di indirizzo IP fornisce dettagli sulle istanze EC2 a cui l'indirizzo IP è connesso.

## Visualizzazione della notifica di entità ad alto volume su un profilo
<a name="high-volume-entity-profile-notification"></a>

Detective visualizza un avviso nella parte superiore del profilo del risultato o dell'entità se il periodo di validità include un intervallo di tempo in cui l'entità ha un volume elevato. Per quanto riguarda i profili dei risultati, l'avviso è per l'entità coinvolta.

L'avviso include l'elenco delle relazioni che hanno intervalli di tempo ad alto volume. Ogni voce dell'elenco contiene una descrizione della relazione e l'inizio dell'intervallo di tempo ad alto volume.

Un intervallo di tempo ad alto volume potrebbe essere un indicatore di attività sospette. Per capire quali altre attività si sono verificate nello stesso momento, puoi concentrare la tua indagine su un intervallo di tempo ad alto volume. L'avviso relativo alle entità a volumi elevati include un'opzione per impostare il periodo di validità in base a tale intervallo di tempo.

**Impostare il periodo di validità su un intervallo di tempo ad alto volume**

1. Nell'avviso relativo all'entità ad alto volume, scegli l'intervallo di tempo.

1. Nel menu a comparsa, scegli **Applica periodo di validità**.

## Visualizzazione dell'elenco delle entità ad alto volume per il periodo di validità corrente
<a name="high-volume-entity-list"></a>

La pagina **Entità ad alto volume** contiene un elenco di intervalli di tempo ed entità ad alto volume durante il periodo di validità corrente.

**Visualizzare la pagina Entità ad alto volume**

1. Apri la console Amazon Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel pannello di navigazione di Detective, scegli **Entità ad alto volume**.

Ogni voce dell'elenco contiene le seguenti informazioni:
+ L'inizio dell'intervallo di tempo ad alto volume
+ L'identificatore e il tipo di entità.
+ La descrizione della relazione, ad esempio "Istanza EC2 connessa dall'indirizzo IP"

È possibile filtrare e ordinare l'elenco in base a qualsiasi colonna. Puoi anche accedere al profilo di entità per un'entità coinvolta.

**Passare al profilo di un'entità**

1. Nell'elenco **Entità ad alto volume**, scegli la riga da cui navigare.

1. Scegli **Visualizza il profilo con il periodo di validità ad alto volume**.

Quando utilizzi questa opzione per accedere a un profilo di entità, il periodo di validità viene impostato come segue:
+ Il periodo di validità inizia 30 giorni prima dell'intervallo di tempo ad alto volume.
+ Il periodo di validità termina alla fine dell'intervallo di tempo ad alto volume.