기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Detective에서 개체 분석
엔터티는 소스 데이터에서 추출한 단일 객체입니다. 예로는 특정 IP 주소, Amazon EC2 인스턴스 또는 AWS 계정이 있습니다. 이벤트 유형 목록은 [동작 그래프 데이터 구조의 엔터티 유형](graph-data-structure-overview.md#entity-types) 섹션을 참조하세요.
Amazon Detective 엔터티 프로필은 엔터티 및 해당 활동에 대한 세부 정보를 제공하는 단일 페이지입니다. 엔터티 프로필은 조사 결과에 대한 조사를 위한 지원 세부 정보를 얻거나 의심스러운 활동에 대한 일반적인 추적의 일환으로 사용할 수 있습니다.
**Topics**
+ [개체 프로파일 사용](using-entity-profiles.md)
+ [Detective 프로필 패널 보기 및 상호 작용](profile-panels.md)
+ [엔터티 프로필 또는 조사 결과 개요로 직접 이동](navigate-to-profile.md)
+ [프로필 패널에서 다른 콘솔로 피벗](profile-panel-console-links.md)
+ [프로필 패널에서 활동 세부 정보 탐색](profile-panel-drilldown.md)
+ [범위 시간 관리](scope-time-managing.md)
+ [Detective에서 관련 조사 결과에 대한 세부 정보 보기](entity-finding-list.md)
+ [Detective에서 대용량 엔터티에 대한 세부 정보 보기](high-volume-entities.md)
# 개체 프로파일 사용
엔터티 프로필은 다음 작업 중 하나를 수행할 때 나타납니다.
+ Amazon GuardDuty 콘솔에서 선택한 조사 결과와 관련된 엔터티를 조사하는 옵션을 선택합니다.
[Amazon GuardDuty 또는에서 개체 프로필 또는 결과 개요로 피벗 AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)을(를) 참조하세요.
+ 엔터티 프로필을 보려면 Detective URL로 이동합니다.
[URL을 사용하여 엔터티 프로파일 또는 조사 결과 개요로 이동](navigate-to-profile.md#profile-navigate-url)을(를) 참조하세요.
+ Detective 콘솔에서 Detective 조사을 사용하여 엔터티를 조회할 수 있습니다.
+ 다른 엔터티 프로필 또는 조사 결과 개요에서 엔터티 프로필로 연결되는 링크를 선택합니다.
## 엔터티 프로파일의 범위 시간
범위 시간을 제공하지 않고 엔터티 프로필로 직접 이동하면 범위 시간이 이전 24시간으로 설정됩니다.
다른 엔터티 프로파일에서 엔터티 프로파일로 이동해도 현재 선택한 범위 시간이 그대로 유지됩니다.
조사 결과 개요에서 엔터티 프로필로 이동하면 범위 시간이 조사 결과 기간으로 설정됩니다.
엔터티 프로필에 표시되는 데이터를 제한하기 위해 범위 시간을 사용자 지정하는 방법에 대한 자세한 내용은 [범위 시간 관리를 참조하세요](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).
## 엔터티 식별자 및 유형
프로필 상단에는 엔터티 식별자와 엔터티 유형이 있습니다. 각 엔터티 유형에는 해당 아이콘이 있어 프로필 유형의 시각적 지표기를 제공합니다.
## 관련 조사 결과
각 프로필에는 범위 시간 동안 해당 엔터티가 관여한 조사 결과 목록이 포함되어 있습니다.
각 조사 결과에 대한 세부 정보를 확인하고, 범위 시간을 조사 결과 기간으로 변경하며, 조사 결과 개요로 이동하여 다른 관련 리소스를 찾아볼 수 있습니다.
[Detective에서 관련 조사 결과에 대한 세부 정보 보기](entity-finding-list.md)을(를) 참조하세요.
## 해당 엔터티와 관련된 조사 결과 그룹
각 프로필에는 엔터티가 포함된 조사 결과 그룹 목록이 포함되어 있습니다.
조사 결과 그룹은 발생 가능한 보안 문제에 대한 추가 컨텍스트를 제공하기 위해 Detective가 그룹으로 수집하는 조사 결과, 엔터티 및 증거로 구성됩니다.
조사 결과 그룹에 대한 자세한 내용은 [조사 결과 그룹 분석](groups-about.md) 섹션을 참조하셍쇼.
## 엔터티 세부 정보 및 분석 결과를 포함하는 프로필 패널
각 엔터티 프로필에는 하나 이상의 탭 세트가 포함되어 있습니다. 각 탭에는 하나 이상의 프로필 패널이 포함되어 있습니다. 각 프로필 프로필에는 동작 그래프 데이터에서 생성된 텍스트 및 시각화가 포함되어 있습니다. 특정 탭과 프로필 패널은 엔터티 유형에 맞게 조정됩니다.
대부분의 엔터티의 경우 첫 번째 탭 상단의 패널은 엔터티에 대한 높은 수준의 요약 정보를 제공합니다.
다른 프로필 패널은 다양한 유형의 활동을 강조 표시합니다. 조사 결과와 관련된 엔터티의 경우, 엔터티 프로필 패널에 있는 정보는 조사를 완료하는 데 도움이 되는 추가 증거 자료를 제공할 수 있습니다. 각 프로필 패널은 정보 사용 방법에 대한 지침을 제공합니다. 자세한 내용은 [조사 중 프로필 패널 지침 사용](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance) 단원을 참조하십시오.
프로필 패널, 프로필 패널에 포함된 데이터 유형, 프로필 패널과 상호 작용하는 데 사용할 수 있는 옵션에 대한 자세한 정보는 [Detective 프로필 패널 보기 및 상호 작용](profile-panels.md) 섹션을 참조하세요.
## 개체 프로필 탐색
엔터티 프로필에는 하나 이상의 탭 세트가 포함되어 있습니다. 각 탭에는 하나 이상의 프로필 패널이 포함되어 있습니다. 각 프로필 프로필에는 동작 그래프 데이터에서 생성된 텍스트 및 시각화가 포함되어 있습니다.
프로필 탭을 아래로 스크롤해도 프로필 상단에 다음과 같은 정보가 계속 표시됩니다.
+ 엔터티 유형
+ 엔터티 식별자
+ 범위 시간
![\[사용 가능한 탭 메뉴가 있는 프로필 헤더.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_header_tab_menu.png)
# Detective 프로필 패널 보기 및 상호 작용
Amazon Detective 콘솔의 각 엔터티 프로필은 프로필 패널 세트로 구성되어 있습니다. 프로필 패널은 일반적인 세부 정보를 제공하거나 엔터티와 관련된 특정 활동을 강조 표시하는 시각화입니다. 프로필 패널은 다양한 유형의 시각화를 사용하여 다양한 유형의 정보를 표시합니다. 추가 세부 정보 또는 다른 프로필로 연결되는 링크를 제공할 수도 있습니다.
각 프로필 패널은 분석가가 엔터티 및 관련 활동에 대한 특정 질문에 대한 답을 찾는 데 도움을 주기 위한 것입니다. 이러한 질문에 대한 답은 해당 활동이 진정한 위협인지 여부에 대한 결론을 내리는 데 도움이 됩니다.
프로필 패널은 다양한 유형의 시각화를 사용하여 다양한 유형의 정보를 표시합니다.
## 프로필 패널의 정보 유형
프로필 패널은 일반적으로 다음과 같은 유형의 데이터를 제공합니다.
| 패널 데이터 유형 | 설명 |
| --- | --- |
| 조사 결과 또는 엔터티에 대한 상위 수준 정보 | 가장 간단한 패널 유형은 엔터티에 대한 몇 가지 기본 정보를 제공합니다. 정보 패널에 포함되는 정보의 예로는 식별자, 이름, 유형, 생성 날짜 등이 있습니다. ![\[엔터티에 대한 높은 수준의 정보가 들어 있는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_item_details.png) 대부분의 엔터티 프로필에는 해당 엔터티에 대한 정보 패널이 포함되어 있습니다. |
| 시간 경과에 따른 활동에 대한 일반적인 요약 | 시간 경과에 따른 엔터티의 활동 요약을 표시합니다. 이 유형의 패널은 범위 기간 동안 엔터티가 어떻게 동작하는지에 대한 전반적인 보기를 제공합니다. ![\[엔터티의 시간 경과에 따른 활동 개요가 포함된 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) 다음은 Detective 프로필 패널에 제공된 요약 데이터 예입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/profile-panels.html) |
| 값별로 그룹화된 활동 요약 | 엔터티의 활동 요약을 특정 값별로 그룹화하여 표시합니다. EC2 인스턴스의 프로파일에서 이러한 유형의 프로파일 패널을 볼 수 있습니다. 프로파일 패널은 특정 유형의 서비스와 연결된 공통 포트의 EC2 인스턴스에서 주고받는 VPC 흐름 로그 데이터의 평균 볼륨을 보여줍니다. ![\[특정 값별로 그룹화된 활동 요약을 보여주는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png) |
| 범위 시간 동안에만 시작된 활동 | 조사 중에 특정 기간 동안에만 어떤 활동이 시작되었는지 확인하는 것이 중요합니다. 예를 들어 이전에는 볼 수 없었던 API 통화, 지리적 위치 또는 사용자 에이전트가 있나요? ![\[범위 시간 이전에 관찰되지 않은 활동을 강조 표시하는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) 동작 그래프가 아직 훈련 모드인 경우 프로필 패널에 알림 메시지가 표시됩니다. 동작 그래프에 최소 2주 분량의 데이터가 누적되면 메시지가 삭제됩니다. 훈련 모드에 관한 자세한 정보는 [새 Detective 동작 그래프의 훈련 기간](detective-data-training-period.md) 섹션을 참조하세요. |
| 범위 시간 동안 크게 변경된 활동 | 새 활동 패널과 마찬가지로 프로필 패널도 범위 시간 동안 크게 변경된 활동을 표시할 수 있습니다. 예를 들어, 사용자는 정기적으로 일주일에 몇 번 특정 API 호출을 실행할 수 있습니다. 동일한 사용자가 갑자기 하루에 같은 호출을 여러 번 하면 이는 악의적인 활동의 증거일 수 있습니다. ![\[범위 기간 동안 크게 변경된 활동을 보여주는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) 동작 그래프가 아직 훈련 모드인 경우 프로필 패널에 알림 메시지가 표시됩니다. 동작 그래프에 최소 2주 분량의 데이터가 누적되면 메시지가 삭제됩니다. 훈련 모드에 관한 자세한 정보는 [새 Detective 동작 그래프의 훈련 기간](detective-data-training-period.md) 섹션을 참조하세요. |
# 프로필 패널 시각화 유형
프로필 패널 내용은 다음 양식 중 하나를 사용할 수 있습니다.
| 시각화 유형 | 설명 |
| --- | --- |
| 키-값 페어 | 가장 간단한 시각화 유형은 키-값 페어의 집합입니다. 키-값 페어 패널의 가장 일반적인 예는 조사 결과 또는 엔터티 정보 패널입니다. ![\[키-값 페어를 포함하는 프로필 패널의 예\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_key_value.png) 키-값 페어를 사용하여 다른 유형의 패널에 추가 정보를 추가할 수도 있습니다. 키-값 페어 패널에서 값이 엔터티의 식별자인 경우 해당 프로필로 피벗할 수 있습니다. |
| 표 | 테이블은 여러 열로 구성된 간단한 항목 목록입니다. ![\[간단한 테이블을 포함하는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_table.png) 표를 정렬하고, 필터링하고, 페이지를 넘길 수 있습니다. 각 페이지에 표시할 엔터티 수를 변경할 수 있습니다. [프로필 패널의 기본 설정 지정](profile-panel-preferences.md)을 참조하세요. 테이블의 값이 엔터티의 식별자인 경우 해당 프로필로 피벗할 수 있습니다. |
| 타임라인 | 타임라인 시각화는 시간 경과에 따른 정의된 간격의 집계된 값을 보여줍니다. ![\[타임라인이 포함된 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_timeline.png) 타임라인은 현재 범위 시간을 강조 표시하고 범위 시간 전후의 추가 주변 시간을 포함합니다. 주변 시간은 범위 시간의 활동에 대한 컨텍스트를 제공합니다. 시간 간격을 마우스로 가리키면 해당 시간 간격의 데이터 요약이 표시됩니다. |
| 확장 가능한 테이블 | 확장 가능한 테이블은 테이블과 타임라인을 결합합니다. ![\[확장 가능한 테이블을 포함하는 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) 시각화는 테이블로 시작됩니다. 표를 정렬하고, 필터링하고, 페이지를 넘길 수 있습니다. 각 페이지에 표시할 엔터티 수를 변경할 수 있습니다. [프로필 패널의 기본 설정 지정](profile-panel-preferences.md)을 참조하세요. 그런 다음 각 행을 확장하여 해당 행과 관련된 타임라인 시각화를 표시할 수 있습니다. |
| 막대 차트 | 막대형 차트는 그룹화를 기반으로 값을 표시합니다. 차트에 따라 막대를 선택하여 관련 활동의 타임라인을 표시할 수 있습니다. ![\[막대형 차트가 포함된 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_bar_chart.png) |
| 지리적 위치 차트 | 지리적 위치 차트는 지리적 위치를 기반으로 데이터를 강조 표시하도록 표시된 지도를 표시합니다. 그 다음에는 개별 지리적 위치에 대한 세부 정보가 포함된 테이블이 표시될 수 있습니다. ![\[지리적 위치 차트가 포함된 프로필 패널의 예.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_geolocation.png) 참고로 Detective는 수신되는 지리 데이터를 처리할 때 위도 및 경도 값을 소수점 한 자리까지 반올림합니다. |
## 프로필 패널 콘텐츠에 대한 참고 사항
프로필 패널 내용을 볼 때 다음 사항에 유의하세요.
****대략적인 개수 데이터 경고****
이 경고는 적용 가능한 데이터의 양으로 인해 개수가 매우 적은 항목은 표시되지 않음을 나타냅니다.
완전히 정확하게 개수를 계산하려면 데이터 양을 줄입니다. 가장 간단한 방법은 범위 시간의 길이를 줄이는 것입니다. [범위 시간 관리](scope-time-managing.md)을 참조하세요.
****지리적 위치에 대한 반올림****
Detective는 모든 위도 및 경도 값을 소수점 한 자리까지 반올림합니다.
**Detective가 API 호출을 나타내는 방식에 대한 변경 사항**
2021년 7월 14일부터 Detective는 각 API 호출을 수행한 서비스를 추적합니다. Detective가 API 메서드를 표시할 때마다 연결된 서비스도 표시됩니다. API 호출에 대한 정보를 표시하는 프로필 패널에서 호출은 항상 서비스별로 그룹화됩니다. 해당 날짜 이전에 Detective에서 수집한 데이터의 경우 서비스 이름이 **알 수 없는 서비스**로 표시됩니다.
또한 2021년 7월 14일부터 계정 및 역할의 경우 **전체 API 통화 볼륨** 프로필 패널의 활동 세부 정보에는 더 이상 통화를 실행한 리소스AKID의 가 표시되지 않습니다. 계정의 경우 Detective는 호출을 실행한 보안 주체(사용자 또는 역할)의 식별자를 표시합니다. 역할의 경우 Detective는 역할 세션의 식별자를 표시합니다. Detective가 2021년 7월 14일 이전에 수집한 데이터의 경우 식별자는 **알 수 없는 리소스**로 표시됩니다.
API 호출 목록을 표시하는 프로파일 패널의 경우 관련 타임라인은 이 전환이 발생한 기간을 강조 표시합니다. 강조 표시는 2021년 7월 14일에 시작되며, 업데이트가 Detective에 완전히 전파되면 종료됩니다.
# 프로필 패널의 기본 설정 지정
프로파일 패널의 경우 프로파일 패널의 각 페이지에 표시되는 행 수를 로 사용자 지정하고 타임스탬프 형식 기본 설정을 구성할 수 있습니다.
## 테이블 길이 설정
테이블 또는 확장 가능한 테이블을 포함하는 프로필 패널의 경우 각 페이지에 표시할 행 수를 구성할 수 있습니다.
각 페이지의 엔터티 수에 대한 기본 설정을 지정합니다.
1. 에서 Amazon Detective 콘솔을 엽니다[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Detective 탐색 창의 **설정**에서 **기본 설정**을 선택합니다.
1. **기본 설정** 페이지의 **표 길이**에서 **편집**을 클릭합니다.
1. 각 페이지에 표시할 테이블 행 수를 선택합니다.
1. **저장(Save)**을 선택합니다.
## 타임스탬프 형식 설정
프로필 패널의 경우 Detective의 각 IAM 사용자 또는 IAM 역할에 대한 모든 타임스탬프에 적용될 타임스탬프 형식 기본 설정을 구성할 수 있습니다.
**참고**
타임스탬프 형식 기본 설정은 전체 AWS 계정에 적용되지 않습니다.
타임스탬프의 기본 설정 지정
1. 에서 Amazon Detective 콘솔을 엽니다[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).
1. Detective 탐색 창의 **설정**에서 **기본 설정**을 선택합니다.
1. **기본 설정** 페이지의 **타임스탬프 기본 설정**에서 모든 타임스탬프에 대해 선호하는 표시를 확인하고 변경할 수 있습니다.
1. 기본적으로 타임스탬프 형식은 로 설정됩니다UTC. **편집**을 클릭하여 현지 시간대를 선택합니다.
예시
**Example**
UTC - 09/20/22 16:39 UTC
로컬 - 09/20/2022 9:39(UTC-07:00)
1. **저장(Save)**을 선택합니다.
# 엔터티 프로필 또는 조사 결과 개요로 직접 이동
Amazon Detective에서 엔터티 프로필 또는 조사 결과 개요로 직접 이동하기 위해 다음 옵션 중 하나를 사용할 수 있습니다.
+ Amazon GuardDuty 또는에서 GuardDuty 결과에서 해당 Detective 결과 프로필로 피벗할 AWS Security Hub CSPM수 있습니다.
+ 조사 결과 또는 엔터티를 식별하고 사용할 범위 시간을 설정하는 Detective URL을 조합할 수 있습니다.
## Amazon GuardDuty 또는에서 개체 프로필 또는 결과 개요로 피벗 AWS Security Hub CSPM
Amazon GuardDuty 콘솔에서 조사 결과와 관련된 엔터티의 엔터티 프로필로 이동할 수 있습니다.
GuardDuty 및 AWS Security Hub CSPM 콘솔에서 결과 개요로 이동할 수도 있습니다. 여기에는 관련 엔터티의 엔터티 프로파일에 대한 링크도 제공됩니다.
이러한 링크는 조사 프로세스를 간소화하는 데 도움이 될 수 있습니다. Detective를 사용하여 관련 엔터티 활동을 빠르게 확인하고 다음 단계를 결정할 수 있습니다. 그런 다음 조사 결과가 거짓 긍정인지 여부를 보관하거나 더 자세히 탐색하여 문제의 범위를 파악할 수 있습니다.
### Amazon Detective 콘솔로 피벗하는 방법
조사 링크는 모든 GuardDuty 조사 결과에 사용할 수 있습니다. 또한 GuardDuty를 사용하면 엔터티 프로필로 이동할지 또는 조사 결과 개요로 이동할지 선택할 수 있습니다.
**GuardDuty 콘솔에서 Detective로 피벗**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 필요한 경우 왼쪽 탐색 창에서 **조사 결과**를 선택합니다.
1. GuardDuty **조사 결과** 페이지에서 조사 결과를 선택합니다.
조사 결과 세부 정보 창은 조사 결과 목록 오른쪽에 표시됩니다.
1. 조사 결과 세부 정보 창에서 **Detective에서 조사**를 선택합니다.
GuardDuty는 Detective에서 조사할 수 있는 항목 목록을 표시합니다.
목록에는 IP 주소 또는 EC2 인스턴스와 같은 관련 엔터티와 조사 결과가 모두 포함되어 있습니다.
1. 엔터티 또는 조사 결과를 선택합니다.
Detective 콘솔이 새 탭에서 열립니다. 콘솔이 열리고 엔터티 또는 조사 결과 프로필이 표시됩니다.
Detective를 활성화하지 않은 경우 콘솔에서 Detective에 대한 개요를 제공하는 랜딩 페이지가 열립니다. 여기에서 Detective를 활성화하도록 선택할 수 있습니다.
**Security Hub CSPM 콘솔에서 Detective로 피벗하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 필요한 경우 왼쪽 탐색 창에서 **조사 결과**를 선택합니다.
1. Security Hub CSPM **조사 결과** 페이지에서 GuardDuty 조사 결과를 선택합니다.
1. 세부 정보 창에서 **Detective에서 조사**를 선택한 다음 **조사 결과 조사**를 선택합니다.
**조사 결과 조사**를 선택하면 Detective 콘솔이 새 탭에서 열립니다. 콘솔이 열리고 조사 결과 개요가 표시됩니다.
집계 영역에서 피벗하더라도 Detective 콘솔은 조사 결과가 발생한 리전으로 항상 열립니다. 집계 조사에 대한 자세한 내용은 *AWS Security Hub 사용 설명서*의 [리전별 조사 결과 집계](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)를 참조하세요.
Detective를 활성화하지 않은 경우 콘솔에서 Detective 랜딩 페이지가 열립니다. 여기에서 Detective를 활성화할 수 있습니다.
### 피벗 문제 해결
피벗을 사용하려면 다음이 true여야 합니다.
+ 계정은 Detective 및 피벗 대상 서비스 모두의 관리자 계정이어야 합니다.
+ 관리자 계정에 동작 그래프에 대한 액세스 권한을 부여하는 크로스 계정 역할을 맡았습니다.
관리자 계정 정렬 권장 사항에 대한 자세한 내용은 [ Amazon GuardDuty 및 와의 권장 정렬을 AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations) 참조하세요.
피벗이 작동하지 않는 경우 다음을 확인합니다.
+ **조사 결과가 동작 그래프에서 활성화된 멤버 계정에 속합니까?** 관련 계정이 멤버 계정으로 동작 그래프에 초대되지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.
초대된 멤버 계정이 초대를 수락하지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.
+ **조사 결과가 보관되었습니까?** Detective는 GuardDuty로부터 보관된 조사 결과를 받지 않습니다.
+ **Detective가 동작 그래프에 데이터를 수집하기 시작하기 전에 조사 결과가 있었습니까?** Detective가 수집하는 데이터에 해당 조사 결과가 없으면 동작 그래프에 해당 데이터가 포함되지 않습니다.
+ **조사 결과가 정확한 리전에서 나온 결과입니까?** 각 동작 그래프는 리전별로 다릅니다. 동작 그래프에는 다른 리전의 데이터가 포함되지 않습니다.
## URL을 사용하여 엔터티 프로파일 또는 조사 결과 개요로 이동
Amazon Detective에서 엔터티 프로필 또는 조사 결과 개요로 이동하기 위해 직접 연결되는 링크를 제공하는 URL을 사용할 수 있습니다. URL은 조사 결과 또는 엔터티를 식별합니다. 또한 프로필에서 사용할 범위 시간을 지정할 수 있습니다. Detective는 최대 1년의 과거 이벤트 데이터를 유지 관리합니다.
### 프로필 URL 형식
**참고**
이전 URL 형식을 사용하는 경우 Detective는 자동으로 새 URL로 리디렉션합니다. 이전 URL 형식은 다음과 같습니다.
https://console.aws.amazon.com/detective/home?region=*Region*\$1*type*/*namespace*/*instanceID*?*parameters*
프로필 URL의 새 형식은 다음과 같습니다.
+ 엔터티의 경우 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*entities*/*namespace*/*instanceID*?*parameters*
+ 조사 결과의 경우 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*findings*/*instanceID*?*parameters*
URL에는 다음 값이 필요합니다.
***리전***
사용하려는 리전.
type******
이동하려는 프로필의 항목 유형.
+ `entities` - 엔터티 프로파일로 이동 중임을 나타냄
+ `findings` – 조사 결과 개요로 이동 중임을 나타냄
***네임스페이스***
엔터티의 경우 네임스페이스는 엔터티 유형의 이름입니다.
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
조사 결과 또는 엔터티의 인스턴스 식별자입니다.
+ GuardDuty 조사 결과의 경우 GuardDuty 조사 결과 식별자입니다.
+ AWS 계정의 경우 계정 ID입니다.
+ AWS 역할 및 사용자의 경우 역할 또는 사용자의 보안 주체 ID입니다.
+ 페더레이션 사용자의 경우 페더레이션 사용자의 보안 주체 ID입니다. 보안 주체 ID는 `:` 또는 `::`입니다.
+ IP 주소의 경우 IP 주소입니다.
+ 사용자 에이전트의 경우 사용자 에이전트 이름입니다.
+ EC2 인스턴스의 경우, 인스턴스 ID입니다.
+ 역할 세션의 경우 세션 식별자입니다. 세션 식별자는 ` :` 형식을 사용합니다.
+ S3 버킷의 경우 버킷 이름입니다.
+ FindingGroups의 경우 UUID(예: `ca6104bc-a315-4b15-bf88-1c1e60998f83`)입니다.
+ EKS 리소스의 경우 다음 형식을 사용합니다.
+ EKS클러스터: *\$1\$1EKS*
+ Kubernetes 포드: *\$1\$1\$1EKS*
+ Kubernetes 객체: *\$1\$1*
+ 컨테이너 이미지: */:@*
조사 결과 또는 엔터티는 동작 그래프에서 활성화된 계정과 연결되어야 합니다.
URL에는 범위 시간을 설정하는 데 사용되는 다음과 같은 선택적 파라미터도 포함될 수 있습니다. 범위 시간 및 프로필에서의 범위 시간 사용 방법에 대한 자세한 내용은 [범위 시간 관리](scope-time-managing.md) 섹션을 참조하세요.
**`scopeStart`**
프로필에서 사용할 범위 시간의 시작 시간. 시작 시간은 지난 365일 이내여야 합니다.
값은 에포크 타임스탬프입니다.
시작 시간은 제공하지만 종료 시간은 제공하지 않는 경우 범위 시간은 현재 시간에 종료됩니다.
**`scopeEnd`**
프로필에서 사용할 범위 시간의 종료 시간.
값은 에포크 타임스탬프입니다.
종료 시간은 제공하지만 시작 시간은 제공하지 않는 경우 범위 시간에는 종료 시간 이전의 모든 시간이 포함됩니다.
범위 시간을 지정하지 않으면 기본 범위 시간이 사용됩니다.
+ 조사 결과의 경우 기본 범위 시간은 조사 결과 활동이 관찰된 첫 번째 시간과 마지막 시간을 사용합니다.
+ 엔터티의 경우 기본 범위 시간은 이전 24시간입니다.
다음은 Detective URL의 예입니다.
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
이 예제 URL은 다음 지침을 따릅니다.
+ IP 주소 192.168.1의 엔터티 프로필을 표시합니다.
+ 범위 시간은 2019년 3월 18일 월요일 오전 12:00:00 GMT로 시작하여 2019년 3월 18일 월요일 오후 12:00:00 GMT로 종료되는 시간을 사용합니다.
### URL 문제 해결
URL에 예상 프로필이 표시되지 않는 경우 먼저 URL이 올바른 형식을 사용하고 올바른 값을 입력했는지 확인합니다.
+ 올바른 URL(`findings`또는`entities`)로 시작했습니까?
+ 올바른 네임스페이스를 지정했습니까?
+ 올바른 식별자를 입력했습니까?
값이 정확하면 다음 사항도 확인할 수 있습니다.
+ **조사 결과 또는 엔터티가 동작 그래프에서 활성화된 멤버 계정에 속합니까?** 관련 계정이 멤버 계정으로 동작 그래프에 초대되지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.
초대된 멤버 계정이 초대를 수락하지 않은 경우 동작 그래프에는 해당 계정에 대한 데이터가 포함되지 않습니다.
+ **조사 결과의 경우, 조사 결과가 보관되었습니까?** Detective는Amazon GuardDuty로부터 보관된 조사 결과를 받지 않습니다.
+ **Detective가 동작 그래프에 데이터를 수집하기 시작하기 전에 조사 결과 또는 엔터티가 있었습니까?** Detective가 수집하는 데이터에 해당 조사 결과 또는 엔터티가 없으면 동작 그래프에 해당 데이터가 포함되지 않습니다.
+ **조사 결과 또는 엔터티가 정확한 리전에서 나온 것입니까?** 각 동작 그래프는 리전별로 다릅니다. 동작 그래프에는 다른 리전의 데이터가 포함되지 않습니다.
## Splunk에 조사 결과용 Detective URL 추가
Splunk Trumpet 프로젝트를 사용하면 AWS 서비스에서 Splunk로 데이터를 전송할 수 있습니다.
Amazon GuardDuty 조사 결과용 Detective URL을 생성하도록 Trumpet 프로젝트를 구성할 수 있습니다. 그런 다음 이러한 URL을 사용하여 Splunk에서 해당 Detective 조사 결과 프로필로 직접 피벗할 수 있습니다.
Trumpet 프로젝트는 GitHub의 [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)에서 이용할 수 있습니다.
Trumpet 프로젝트의 구성 페이지에 있는 **AWS CloudWatch Events**에서 **Detective GuardDuty URL**을 선택합니다.
# 프로필 패널에서 다른 콘솔로 피벗
EC2 인스턴스, IAM 사용자, IAM 역할의 경우 세부 정보 프로필 패널에서 해당 콘솔로 직접 이동할 수 있습니다. 콘솔에서 사용할 수 있는 정보는 보안 조사를 위한 추가 입력을 제공할 수 있습니다.
**EC2 인스턴스 세부 정보** 프로필 패널에서 EC2 인스턴스 식별자는 Amazon EC2 콘솔에 연결되어 있습니다.
**사용자 세부 정보** 프로필 패널에서 사용자 이름은 IAM 콘솔에 연결되어 있습니다.
**역할 세부 정보** 프로필 패널에서 역할 이름은 IAM 콘솔에 연결되어 있습니다.
## 프로필 패널에서 다른 엔터티 프로필로 피벗
프로필 패널에 다른 엔터티의 식별자가 포함된 경우 이는 일반적으로 해당 엔터티 프로필로 연결되는 링크입니다. EC2 인스턴스의 Amazon EC2 및 IAM 콘솔, IAM 사용자, IAM 역할 프로필에 대한 링크는 예외입니다. [프로필 패널에서 다른 콘솔로 피벗](#profile-panel-console-links)을(를) 참조하세요.
예를 들어 IP 주소 목록에서 특정 IP 주소의 프로필을 표시할 수 있습니다. 이를 통해 조사를 완료하는 데 도움이 되는 다른 정보가 있는지 확인할 수 있습니다.
# 프로필 패널에서 활동 세부 정보 탐색
조사 중에 엔터티의 활동 패턴을 더 자세히 조사해 보는 것이 좋습니다.
다음 프로필 패널에는 활동 세부 정보의 요약을 표시할 수 있습니다.
+ **전체 API 직접 호출량**(사용자 에이전트 프로필의 프로필 패널 제외)
+ **새로 관찰된 지리적 위치**
+ **전체 VPC 흐름 볼륨**
+ 단일 IP 주소와 관련된 조사 결과의 경우, **조사 결과 IP 주소로 들어오고 나가는 VPC 흐름 볼륨**
+ **컨테이너 세부 정보:**
+ 클러스터의 **VPC 흐름 볼륨**
+ **전체 Kubernetes API 활동**
활동 세부 정보는 다음과 같은 유형의 질문에 답할 수 있습니다.
+ 어떤 IP 주소가 사용되었습니까?
+ 해당 IP 주소는 어디에 있었습니까?
+ 각 IP 주소는 어떤 API 직접 호출을 했고, 어떤 서비스에서 해당 호출을 했습니까?
+ 호출할 때 사용된 보안 주체 또는 액세스 키 식별자(AKID)는 무엇입니까?
+ 호출하는 데 사용된 리소스는 무엇입니까?
+ 몇 번 호출했습니까? 성공 횟수와 실패 횟수는 얼마입니까?
+ 각 IP 주소로 또는 각 IP 주소에서 전송된 VPC 흐름 로그 데이터의 양은 얼마입니까?
+ 특정 클러스터, 이미지 또는 포드에서 어떤 컨테이너가 활성 상태였습니까?
**Topics**
+ [전체 API 직접 호출량에 대한 활동 세부 정보](profile-panel-drilldown-overall-api-volume.md)
+ [지리적 위치에 대한 활동 세부 정보](profile-panel-drilldown-new-geolocations.md)
+ [전체 VPC 흐름량에 대한 활동 세부 정보](profile-panel-drilldown-overall-vpc-volume.md)
+ [EKS 클러스터와 관련된 전체 Kubernetes API 활동](profile-panel-drilldown-kubernetes-api-volume.md)
# 전체 API 직접 호출량에 대한 활동 세부 정보
**전체 API 직접 호출량**의 활동 세부 정보에는 선택한 시간 범위 동안 실행된 API 직접 호출이 표시됩니다.
단일 시간 간격의 활동 세부 정보를 표시하려면 차트에서 시간 간격을 선택합니다.
현재 범위 시간에 대한 활동 세부 정보를 표시하려면 **범위 시간 세부 정보 표시**를 선택합니다.
참고로 Detective는 2021년 7월 14일부터 API 직접 호출에 대한 서비스 이름을 저장하고 표시하기 시작했습니다. 해당 날짜는 프로필 패널 타임라인에 강조 표시되어 있습니다. 해당 날짜 이전에 발생한 활동의 경우 서비스 이름은 **알 수 없는 서비스**로 표시됩니다.
## 활동 세부 정보의 내용(사용자, 역할, 계정, 역할 세션, EC2 인스턴스, S3 버킷)
IAM 사용자, IAM 역할, 계정, 역할 세션, EC2 인스턴스 및 S3 버킷의 경우 활동 세부 정보에는 다음 정보가 포함됩니다.
+ 각 탭은 선택한 시간 범위 동안 실행된 API 직접 호출 세트에 대한 정보를 제공합니다.
S3 버킷의 경우 정보는 S3 버킷에 대한 API 직접 호출을 반영합니다.
API 직접 호출은 호출한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
+ 각 항목에 대한 활동 세부 정보에는 성공한 호출 및 실패한 호출 수가 표시됩니다. **관찰된 IP 주소** 탭에는 각 IP 주소의 위치도 표시됩니다.
+ 각 항목에는 호출한 대상에 대한 정보가 표시됩니다. 계정의 경우 활동 세부 정보는 사용자 또는 역할을 식별합니다. 역할의 경우, 활동 세부 정보는 역할 세션을 식별합니다. 사용자 및 역할 세션의 경우 활동 세부 정보는 액세스 키 식별자(AKID)를 식별합니다.
2021년 7월 14일부터 계정 프로필의 경우 활동 세부 정보에는 AKID 대신 사용자 또는 역할이 표시됩니다. 역할 프로필의 경우 활동 세부 정보에는 AKID 대신 역할 세션이 표시됩니다. 2021년 7월 14일 이전에 발생한 활동의 경우 호출자는 **알 수 없는 리소스**로 표시됩니다.
활동 세부 정보에는 다음과 같은 탭이 있습니다.
**관찰된 IP 주소**
처음에는 API 직접 호출을 실행하는 데 사용된 IP 주소 목록을 표시합니다.
각 IP 주소를 확장하여 해당 IP 주소에서 실행된 API 직접 호출 목록을 표시할 수 있습니다. API 직접 호출은 호출한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
그런 다음 각 API 직접 호출을 확장하여 해당 IP 주소의 호출자 목록을 표시할 수 있습니다. 프로필에 따라 호출자는 사용자, 역할, 역할 세션 또는 AKID일 수 있습니다.
![\[IP 주소, API 직접 호출 및 AKID의 계층 구조를 표시하도록 항목이 확장된 전체 API 직접 호출량 패널의 관찰된 IP 주소 탭 보기 API 직접 호출은 서비스별로 그룹화됩니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)
**서비스별 API 메서드**
처음에는 실행된 API 직접 호출 목록을 표시합니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
각 API 메서드를 확장하여 호출이 실행된 IP 주소 목록을 표시할 수 있습니다.
그런 다음 각 IP 주소를 확장하여 해당 IP 주소에서 API 직접 호출을 실행한 AKID 목록을 표시할 수 있습니다.
![\[API 직접 호출, IP 주소 및 AKID의 계층 구조를 표시하도록 항목이 확장된 전체 API 직접 호출량 패널의 서비스별 API 메서드 탭 보기 API 직접 호출은 서비스별로 그룹화됩니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)
**리소스 또는 액세스 키 ID**
처음에는 API 직접 호출을 실행하는 데 사용된 사용자, 역할, 역할 세션 또는 AKID 목록을 표시합니다.
각 호출자를 확장하여 API 직접 호출을 실행한 호출자의 IP 주소 목록을 표시할 수 있습니다.
각 IP 주소를 확장하여 해당 IP 주소에서 실행된 API 직접 호출 목록을 표시할 수 있습니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
![\[서비스별로 그룹화된 AKID, IP 주소 및 API 직접 호출의 계층 구조를 표시하도록 항목이 확장된 전체 API 직접 호출량 패널의 리소스 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 활동 세부 정보 내용(IP 주소)
IP 주소의 경우 활동 세부 정보에는 다음 정보가 포함됩니다.
+ 각 탭은 선택한 시간 범위 동안 실행된 API 직접 호출 세트에 대한 정보를 제공합니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
+ 각 항목에 대한 활동 세부 정보에는 성공한 호출 및 실패한 호출 수가 표시됩니다.
활동 세부 정보에는 다음과 같은 탭이 있습니다.
**Resource**
처음에는 IP 주소에서 API 직접 호출을 실행한 리소스 목록을 표시합니다.
각 리소스의 목록에는 리소스 이름, 유형 및 AWS 계정이 포함됩니다.
각 리소스를 확장하여 해당 리소스가 IP 주소에서 실행한 API 직접 호출 목록을 표시할 수 있습니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
![\[IP 주소에 대한 전체 API 직접 호출량 프로필 패널의 활동 세부 정보 리소스 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)
**서비스별 API 메서드**
처음에는 실행된 API 직접 호출 목록을 표시합니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
각 API 직접 호출을 확장하여 선택한 기간 동안 IP 주소에서 API 직접 호출을 실행한 리소스 목록을 표시할 수 있습니다.
![\[IP 주소에 대한 전체 API 직접 호출량 프로필 패널의 활동 세부 정보 서비스 탭별 API 메서드 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)
## 활동 세부 정보 정렬
목록 열을 기준으로 활동 세부 정보를 정렬할 수 있습니다.
첫 번째 열을 사용하여 정렬하면 최상위 목록만 정렬됩니다. 하위 수준 목록은 항상 성공한 API 직접 호출 수를 기준으로 정렬됩니다.
## 활동 세부 정보 필터링
필터링 옵션을 사용하여 활동 세부 정보에 표시된 활동의 특정 서브넷 또는 측면에 초점을 맞출 수 있습니다.
모든 탭에서 첫 번째 열의 값을 기준으로 목록을 필터링할 수 있습니다.
**필터 추가**
1. 필터 상자를 선택합니다.
1. **속성**에서 필터링에 사용할 속성을 선택합니다.
1. 필터링에 사용할 값을 입력합니다. 필터는 부분 값을 지원합니다. 예를 들어 API 메서드별로 필터링할 때 **Instance** 기준으로 필터링하면 이름에 `Instance`가 있는 모든 API 작업이 결과에 포함됩니다. 따라서 `ListInstanceAssociations` 및 `UpdateInstanceInformation` 모두 일치합니다.
서비스 이름, API 메서드, IP 주소의 경우 값을 지정하거나 내장된 필터를 선택할 수 있습니다.
**일반 API 하위 문자열**의 경우 작업 유형을 나타내는 하위 문자열(예: `List`, `Create`, `Delete`)을 선택합니다. 각 API 메서드 이름은 작업 유형으로 시작합니다.
**CIDR 패턴**의 경우 퍼블릭 IP 주소, 프라이빗 IP 주소 또는 특정 CIDR 패턴과 일치하는 IP 주소만 포함하도록 선택할 수 있습니다.
1. 부울 옵션 *리소스* 또는 *서비스***: 포함 또는 ****\$1: 포함하지 않음**, *API 메*서드 또는 *IP 주소*** = 같음** 또는 **\$1: 필터 설정과 같지 않음**을 선택합니다.
![\[활동 세부 정보 필터에 사용할 수 있는 필터 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/api-volume-search.png)
필터를 제거하려면 태그의 오른쪽 상단에 있는 **x** 아이콘을 선택합니다.
모든 필터를 지우려면 **필터 지우기**를 선택합니다.
## 활동 세부 정보의 시간 범위 선택
활동 세부 정보를 처음 표시할 때 시간 범위는 범위 시간 또는 선택한 시간 간격입니다. 활동 세부 정보의 시간 범위를 변경할 수 있습니다.
**활동 세부 정보의 시간 범위 변경**
1. **편집**을 선택합니다.
1. **시간 편집 창**에서 사용할 시작 및 종료 시간을 선택합니다.
기간을 프로필의 기본 범위 시간으로 설정하려면 **기본 범위 시간으로 설정**을 선택합니다.
1. **기간 업데이트**를 선택합니다.
활동 세부 정보의 시간 범위는 프로필 패널 차트에 강조 표시됩니다.
![\[전체 API 직접 호출량 프로필 패널의 강조 표시된 기간\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 원시 로그 쿼리
Amazon Detective는 Security Lake와 통합되어 Security Lake에 저장된 원시 로그 데이터를 쿼리하고 검색할 수 있습니다. 이 통합에 대한 자세한 내용은 [Amazon Security Lake와 Amazon Detective 통합](securitylake-integration.md) 단원을 참조하세요.
이 통합을 사용하면 Security Lake에서 기본적으로 지원하는 다음 소스에서 로그와 이벤트를 수집하고 쿼리할 수 있습니다.
+ AWS CloudTrail 관리 이벤트 버전 1.0 이상
+ Amazon Virtual Private Cloud(Amazon VPC) 흐름 로그 버전 1.0 이상
+ Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 버전 2.0
**참고**
Detective에서 원시 데이터 로그를 쿼리하는 데 대한 추가 비용은 없습니다. Amazon Athena를 포함한 다른 AWS 서비스에 대한 사용 요금은 여전히 게시된 요금으로 적용됩니다.
**원시 로그를 쿼리하려면**
1. **범위 시간에 대한 세부 정보 표시**를 선택합니다.
1. 여기에서 **원시 로그 쿼리**를 시작할 수 있습니다.
1. **원시 로그 미리 보기** 테이블을 통해 Security Lake에서 데이터를 쿼리하여 검색한 로그 및 이벤트를 볼 수 있습니다. 원시 이벤트 로그에 대한 자세한 내용은 Amazon Athena에 표시된 데이터를 참조하세요.
원시 로그 쿼리 테이블에서 **쿼리 요청을 취소**하고, **Amazon Athena에서 결과를 확인**하고, 결과를 쉼표로 구분된 값(.csv) 파일로 **다운로드**할 수 있습니다.
Detective에 로그가 표시되지만 쿼리 결과가 반환되지 않는 경우 다음과 같은 이유 때문일 수 있습니다.
+ 원시 로그는 Security Lake 로그 테이블에 표시되기 전에 Detective에 제공될 수 있습니다. 나중에 다시 시도해 주세요.
+ Security Lake에서 로그가 누락되었을 수 있습니다. 오랜 시간 기다린 경우 Security Lake에서 로그가 누락된 것으로 표시됩니다. Security Lake 관리자에게 문의하여 이 문제를 해결하세요.
# 지리적 위치에 대한 활동 세부 정보
**새로 관찰된 지리적 위치**의 활동 세부 정보에는 범위 기간 동안 지리적 위치에서 실행된 API 직접 호출이 표시됩니다. API 직접 호출에는 지리적 위치에서 실행된 모든 호출이 포함됩니다. 이는 조사 결과 또는 프로필 엔터티를 사용한 호출에만 국한되지 않습니다. S3 버킷의 경우 활동 호출은 S3 버킷에 대한 API 직접 호출입니다.
Detective는 MaxMind GeoIP 데이터베이스를 사용하여 요청 위치를 결정합니다. MaxMind는 국가 수준에서 매우 높은 데이터 정확도를 보고하지만, 정확도는 국가 및 IP 유형과 같은 요인에 따라 다릅니다. MaxMind에 대한 자세한 내용은 [MaxMind IP 지리적 위치](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)를 참조하세요. GeoIP 데이터가 잘못되었다고 생각되면 Maxmind([MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction))에 정정 요청을 제출할 수 있습니다.
API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
활동 세부 정보를 표시하려면 다음 중 하나를 수행합니다.
+ 맵에서 지리적 위치를 선택합니다.
+ 목록에서 지리적 위치의 **세부 정보**를 선택합니다.
활동 세부 정보가 지리적 위치 목록을 대체합니다. 지리적 위치 목록으로 돌아가려면 **모든 결과로 돌아가기**를 선택합니다.
참고로 Detective는 2021년 7월 14일부터 API 직접 호출에 대한 서비스 이름을 저장하고 표시하기 시작했습니다. 해당 날짜 이전에 발생한 활동의 경우 서비스 이름은 **알 수 없는 서비스**로 표시됩니다.
## 활동 세부 정보 내용
각 탭은 범위 시간 동안 지리적 위치에서 실행된 모든 API 직접 호출에 대한 정보를 제공합니다.
각 IP 주소, 리소스, API 메서드의 경우 목록에는 성공한 API 직접 호출과 실패한 API 직접 호출 수가 표시됩니다.
활동 세부 정보에는 다음과 같은 탭이 있습니다.
**관찰된 IP 주소**
처음에는 선택한 지리적 위치에서 API 직접 호출을 실행하는 데 사용된 IP 주소 목록을 표시합니다.
각 IP 주소를 확장하여 해당 IP 주소에서 API 직접 호출을 실행한 리소스를 표시할 수 있습니다. 목록에는 리소스 이름이 표시됩니다. 보안 주체 ID를 보려면 이름 위에 마우스를 갖다 댑니다.
그런 다음 각 리소스를 확장하여 해당 리소스가 해당 IP 주소에서 실행한 특정 API 직접 호출을 표시할 수 있습니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
![\[IP 주소, 리소스, API 메서드의 계층 구조를 표시하도록 항목이 확장된 새로 관찰된 지리적 위치 패널의 관찰된 IP 주소 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)
**리소스**
처음에는 선택한 지리적 위치에서 API 직접 호출을 실행한 리소스 목록이 표시됩니다. 목록에는 리소스 이름이 표시됩니다. 보안 주체 ID를 확인하려면 이름에서 일시 정지합니다. 각 리소스의 경우 **리소스** 탭에는 AWS 계정와 관련된 리소스도 표시됩니다.
각 사용자 또는 역할을 확장하여 해당 리소스에서 실행한 API 직접 호출 목록을 표시할 수 있습니다. API 직접 호출은 호출을 실행한 서비스별로 그룹화됩니다. S3 버킷의 경우 서비스는 항상 Amazon S3입니다. Detective에서 호출한 서비스를 확인할 수 없는 경우 해당 호출은 **알 수 없는 서비스** 아래에 나열됩니다.
그런 다음 각 API 직접 호출을 확장하여 리소스가 API 직접 호출을 실행한 IP 주소 목록을 표시할 수 있습니다.
![\[사용자 또는 역할, API 메서드, IP 주소의 계층 구조를 표시하도록 항목이 확장된 새로 관찰된 지리적 위치 패널의 리소스 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)
## 활동 세부 정보 정렬
목록 열을 기준으로 활동 세부 정보를 정렬할 수 있습니다.
첫 번째 열을 사용하여 정렬하면 최상위 목록만 정렬됩니다. 하위 수준 목록은 항상 성공한 API 직접 호출 수를 기준으로 정렬됩니다.
## 활동 세부 정보 필터링
필터링 옵션을 사용하여 활동 세부 정보에 표시된 활동의 특정 서브넷 또는 측면에 초점을 맞출 수 있습니다.
모든 탭에서 첫 번째 열의 값을 기준으로 목록을 필터링할 수 있습니다.
**필터 추가**
1. 필터 상자를 선택합니다.
1. **속성**에서 필터링에 사용할 속성을 선택합니다.
1. 필터링에 사용할 값을 입력합니다. 필터는 부분 값을 지원합니다. 예를 들어 API 메서드별로 필터링할 때 **Instance** 기준으로 필터링하면 이름에 `Instance`가 있는 모든 API 작업이 결과에 포함됩니다. 따라서 `ListInstanceAssociations` 및 `UpdateInstanceInformation` 모두 일치합니다.
서비스 이름, API 메서드, IP 주소의 경우 값을 지정하거나 내장된 필터를 선택할 수 있습니다.
**일반 API 하위 문자열**의 경우 작업 유형을 나타내는 하위 문자열(예: `List`, `Create`, `Delete`)을 선택합니다. 각 API 메서드 이름은 작업 유형으로 시작합니다.
**CIDR 패턴**의 경우 퍼블릭 IP 주소, 프라이빗 IP 주소 또는 특정 CIDR 패턴과 일치하는 IP 주소만 포함하도록 선택할 수 있습니다.
1. 필터가 여러 개 있는 경우 부울 옵션을 선택하여 해당 필터의 연결 방식을 설정합니다.
![\[활동 세부 정보 필터의 개별 필터 간에 사용할 수 있는 커넥터 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)
1. 필터를 제거하려면 태그의 오른쪽 상단에 있는 **x** 아이콘을 선택합니다.
1. 모든 필터를 지우려면 **필터 지우기**를 선택합니다.
# 전체 VPC 흐름량에 대한 활동 세부 정보
EC2 인스턴스의 경우 **전체 VPC 흐름량**의 활동 세부 정보에는 선택한 시간 범위 동안의 EC2 인스턴스와 IP 주소 간의 상호 작용이 표시됩니다.
Kubernetes 포드의 경우 **전체 VPC 흐름량**은 모든 대상 IP 주소에 대해 Kubernetes 포드에 할당된 IP 주소로 들어오고 나가는 전체 바이트 볼륨을 표시합니다. Kubernetes 포드의 IP 주소는 `hostNetwork:true`의 경우 고유하지 않습니다. 이 경우 패널에는 동일한 구성을 가진 다른 포드와 이를 호스팅하는 노드에 대한 트래픽이 표시됩니다.
IP 주소의 경우 **전체 VPC 흐름량**의 활동 세부 정보에는 선택한 시간 범위 동안의 IP 주소 및 EC2 인스턴스 간의 상호 작용이 표시됩니다.
단일 시간 간격의 활동 세부 정보를 표시하려면 차트에서 시간 간격을 선택합니다.
현재 범위 시간에 대한 활동 세부 정보를 표시하려면 **범위 시간 세부 정보 표시**를 선택합니다.
## 활동 세부 정보 내용
내용은 선택한 시간 범위 동안의 활동을 반영합니다.
EC2 인스턴스의 경우 활동 세부 정보에는 IP 주소, 로컬 포트, 원격 포트, 프로토콜 및 방향의 고유한 각 조합에 대한 항목이 포함됩니다.
IP 주소의 경우 활동 세부 정보에는 EC2 인스턴스, 로컬 포트, 원격 포트, 프로토콜 및 방향의 고유한 각 조합에 대한 항목이 포함됩니다.
각 항목에는 인바운드 트래픽의 양, 아웃바운드 트래픽의 양, 액세스 요청의 수락 또는 거부 여부가 표시됩니다. 조사 결과 프로필에서 **주석** 열에는 IP 주소가 현재 조사 결과와 관련이 있는 경우가 표시됩니다.
![\[전체 VPC 흐름량 프로필 패널에 대한 활동 세부 정보.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)
## 활동 세부 정보 정렬
목록 열을 기준으로 활동 세부 정보를 정렬할 수 있습니다.
기본적으로 활동 세부 정보는 먼저 주석을 기준으로 정렬된 다음 인바운드 트래픽을 기준으로 정렬됩니다.
## 활동 세부 정보 필터링
특정 활동에 집중하기 위해 다음 값을 기준으로 활동 세부 정보를 필터링할 수 있습니다.
+ IP 주소 또는 EC2 인스턴스
+ 로컬 또는 원격 포트
+ Direction
+ 프로토콜
+ 요청 수락 또는 거부 여부
**필터 추가 및 제거**
1. 필터 상자를 선택합니다.
1. **속성**에서 필터링에 사용할 속성을 선택합니다.
1. 필터링에 사용할 값을 입력합니다. 필터는 부분 값을 지원합니다.
IP 주소를 기준으로 필터링하려면 값을 지정하거나 내장 필터를 선택할 수 있습니다.
**CIDR 패턴**의 경우 퍼블릭 IP 주소, 프라이빗 IP 주소 또는 특정 CIDR 패턴과 일치하는 IP 주소만 포함하도록 선택할 수 있습니다.
1. 필터가 여러 개 있는 경우 부울 옵션을 선택하여 해당 필터의 연결 방식을 설정합니다.
![\[활동 세부 정보 필터의 개별 필터 간에 사용할 수 있는 커넥터 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)
1. 필터를 제거하려면 태그의 오른쪽 상단에 있는 **x** 아이콘을 선택합니다.
1. 모든 필터를 지우려면 **필터 지우기**를 선택합니다.
## 활동 세부 정보의 시간 범위 선택
활동 세부 정보를 처음 표시할 때 시간 범위는 범위 시간 또는 선택한 시간 간격입니다. 활동 세부 정보의 시간 범위를 변경할 수 있습니다.
**활동 세부 정보의 시간 범위 변경**
1. **편집**을 선택합니다.
1. **시간 편집 창**에서 사용할 시작 및 종료 시간을 선택합니다.
기간을 프로필의 기본 범위 시간으로 설정하려면 **기본 범위 시간으로 설정**을 선택합니다.
1. **기간 업데이트**를 선택합니다.
활동 세부 정보의 시간 범위는 프로필 패널 차트에 강조 표시됩니다.
![\[전체 VPC 흐름량 프로필 패널에서 활동 세부 정보를 볼 수 있는 기간을 강조 표시했습니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)
## 선택한 행의 트래픽 볼륨 표시
관심 있는 행을 식별하면 해당 행의 시간 경과에 따른 트래픽 양을 기본 차트에 표시할 수 있습니다.
차트에 추가할 각 행에 대해 확인란을 선택합니다. 선택한 각 행의 볼륨은 인바운드 또는 아웃바운드 차트에 선으로 표시됩니다.
![\[선택한 활동 세부 정보 행의 트래픽이 전체 VPC 흐름량 프로필 패널의 기본 차트에 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)
선택한 항목의 트래픽 볼륨에 집중하기 위해 전체 볼륨을 숨길 수 있습니다. 전체 트래픽을 표시하거나 숨기려면 **전체 트래픽**픽을 전환합니다.
![\[선택한 활동 세부 정보 행의 트래픽이 전체 VPC 흐름량 프로필 패널의 기본 차트에 표시됩니다. 전체 트래픽이 숨겨집니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)
## EKS 클러스터의 VPC 흐름 트래픽 표시
Detective는 Amazon Virtual Private Cloud(VPC) 흐름 로그를 파악할 수 있으며, 이 흐름 로그는 Amazon Elastic Kubernetes Service(Amazon EKS)(Amazon EKS) 클러스터를 통과하는 트래픽을 나타냅니다. Kubernetes 리소스의 경우 VPC 흐름 로그의 내용은 EKS 클러스터에 배포된 Container Network Interface(CNI)에 따라 달라집니다.
기본 구성을 사용한 EKS 클러스터는 Amazon VPC CNI 플러그 인을 사용합니다. 자세한 내용은 **Amazon EKS 사용 설명서**의 [VPC CNI 관리](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)를 참조하세요. Amazon VPC CNI 플러그인은 포드의 IP 주소로 내부 트래픽을 전송하고 외부 통신을 위해 소스 IP 주소를 노드의 IP 주소로 변환합니다. Detective는 내부 트래픽을 캡처하고 올바른 포드와 상호 연결할 수 있지만 외부 트래픽에 대해서는 동일한 작업을 수행할 수 없습니다.
Detective에서 포드의 외부 트래픽을 파악할 수 있게 하려면 외부 소스 네트워크 주소 변환(SNAT)을 활성화합니다. SNAT를 활성화하는 데에는 한계와 단점이 있습니다. 자세한 내용은 **Amazon EKS 사용 설명서**의 [포드용 SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)를 참조하세요.
다른 CNI 플러그인을 사용하는 경우 Detective는 `hostNetwork:true`를 사용하는 포드에 대한 가시성이 제한됩니다. 이러한 포드의 경우 **VPC 흐름** 패널에는 포드의 IP 주소로 향하는 모든 트래픽이 표시됩니다. 여기에는 호스트 노드 및 `hostNetwork:true` 구성이 있는 노드의 모든 포드로 향하는 트래픽이 포함됩니다.
Detective는 다음 EKS 클러스터 구성에 대해 EKS 포드의 **VPC 흐름** 패널에 트래픽을 표시합니다.
+ Amazon VPC CNI 플러그인이 있는 클러스터에서 `hostNetwork:false` 구성이 있는 모든 포드는 클러스터의 VPC 내부로 트래픽을 전송합니다.
+ Amazon VPC CNI 플러그인 및 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` 구성이 있는 클러스터에서 `hostNetwork:false` 구성이 있는 모든 포드는 클러스터의 VPC 외부로 트래픽을 전송합니다.
+ `hostNetwork:true` 구성이 있는 모든 포드. 노드의 트래픽은 `hostNetwork:true` 구성이 있는 다른 포드의 트래픽과 혼합됩니다.
Detective는 다음과 같은 경우 **VPC 흐름** 패널에 트래픽을 표시하지 않습 니다.
+ Amazon VPC CNI 플러그인 및 `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 구성이 있는 클러스터에서 `hostNetwork:false` 구성이 있는 모든 포드는 클러스터의 VPC 외부로 트래픽을 전송합니다.
+ Kubernetes용 Amazon VPC CNI 플러그인이 없는 클러스터에서 `hostNetwork:false` 구성이 있는 모든 포드.
+ 동일한 노드에 호스팅된 다른 포드로 트래픽을 전송하는 모든 포드.
## 공유된 Amazon VPC에 대한 VPC 흐름 트래픽 표시
Detective는 공유 VPC의 Amazon Virtual Private Cloud(VPC) 흐름 로그에 대한 가시성을 제공합니다.
+ Detective 멤버 계정에 공유 Amazon VPC가 있고 이 공유 VPC를 사용하는 다른 비 Detective 계정이 있는 경우 Detective는 해당 VPC에서 들어오는 모든 트래픽을 모니터링하고, VPC 내 모든 트래픽 흐름에 대한 시각화를 제공합니다.
+ 공유 Amazon VPC 내에 Amazon EC2 인스턴스가 있고 공유 VPC 소유자가 Detective 멤버가 아닌 경우, Detective는 VPC에서 들어오는 트래픽을 모니터링하지 않습니다. VPC 내의 트래픽 흐름을 보려면 Amazon VPC 소유자를 Detective 그래프의 멤버로 추가해야 합니다.
# EKS 클러스터와 관련된 전체 Kubernetes API 활동
**EKS 클러스터와 관련된 전체 Kubernetes API 활동**의 활동 세부 정보에는 선택한 시간 범위 동안 실행된 성공 및 실패한 Kubernetes API 직접 호출 수가 표시됩니다.
단일 시간 간격의 활동 세부 정보를 표시하려면 차트에서 시간 간격을 선택합니다.
현재 범위 시간에 대한 활동 세부 정보를 표시하려면 **범위 시간 세부 정보 표시**를 선택합니다.
## 활동 세부 정보 내용(클러스터, 포드, 사용자, 역할, 역할 세션)
클러스터, 포드, 사용자, 역할 또는 역할 세션의 경우 활동 세부 정보에는 다음 정보가 포함됩니다.
+ 각 탭은 선택한 시간 범위 동안 실행된 API 직접 호출 세트에 대한 정보를 제공합니다.
클러스터의 경우 API 직접 호출은 클러스터 내에서 발생했습니다.
포드의 경우 API 직접 호출은 포드를 대상으로 했습니다.
사용자, 역할 및 역할 세션의 경우 해당 사용자, 역할 또는 역할 세션으로 인증된 Kubernetes 사용자가 API 직접 호출을 실행했습니다.
+ 각 항목에 대한 활동 세부 정보에는 성공, 실패, 무단, 금지된 호출 수가 표시됩니다.
+ 이 정보에는 IP 주소, Kubernetes 호출 유형, 호출의 영향을 받은 엔터티, 호출한 객체(서비스 계정 또는 사용자)가 포함됩니다. 활동 세부 정보에서 IP 주소, 객체 및 영향을 받는 엔터티의 프로필로 피벗할 수 있습니다.
활동 세부 정보에는 다음과 같은 탭이 있습니다.
**Subject**
처음에는 API 직접 호출에 사용된 서비스 계정 및 사용자 목록이 표시됩니다.
각 서비스 계정 및 사용자를 확장하여 계정 또는 사용자가 API 직접 호출을 수행한 IP 주소 목록을 표시할 수 있습니다.
그런 다음 각 IP 주소를 확장하여 해당 계정 또는 사용자가 해당 IP 주소에서 수행한 Kubernetes API 직접 호출을 표시할 수 있습니다.
Kubernetes API 직접 호출을 확장하여 `requestURI `를 확인하고 수행된 작업을 식별합니다.
![\[IP 주소, API 직접 호출의 계층 구조를 표시하도록 항목이 확장된 전체 Kubernetes API 직접 호출량 패널의 객체 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/kube-subject-drilldown.png)
**IP 주소**
처음에는 API 직접 호출이 이루어진 IP 주소 목록을 표시합니다.
각 호출을 확장하여 호출한 Kubernetes 객체(서비스 계정 및 사용자)의 목록을 표시할 수 있습니다.
그런 다음 각 객체를 확장하여 범위 시간 동안 객체가 만든 API 직접 호출 유형 목록으로 확장할 수 있습니다.
API 직접 호출 유형을 확장하여 requestURI를 확인하고 수행된 작업을 식별합니다.
![\[API 직접 호출, IP 주소 및 AKID의 계층 구조를 표시하도록 항목이 확장된 전체 Kubernetes API 직접 호출량 패널의 IP 주소 탭 보기. API 직접 호출은 서비스별로 그룹화됩니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/kube-ip-drilldown.png)
**Kubernetes API 직접 호출**
처음에는 Kubernetes API 직접 호출 동사 목록을 표시합니다.
각 API 동사를 확장하여 해당 작업과 관련된 requestURI를 표시할 수 있습니다.
그런 다음 각 requestURI를 확장하여 API 직접 호출을 수행한 Kubernetes 객체(서비스 계정 및 사용자)를 볼 수 있습니다.
객체를 확장하여 해당 객체가 API 직접 호출을 수행하는 데 사용한 IP를 확인합니다.
![\[서비스별로 그룹화된 AKID, IP 주소 및 API 직접 호출의 계층 구조를 표시하도록 항목이 확장된 전체 API 직접 호출량 패널의 리소스 탭 보기.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 활동 세부 정보 정렬
목록 열을 기준으로 활동 세부 정보를 정렬할 수 있습니다.
첫 번째 열을 사용하여 정렬하면 최상위 목록만 정렬됩니다. 하위 수준 목록은 항상 성공한 API 직접 호출 수를 기준으로 정렬됩니다.
## 활동 세부 정보 필터링
필터링 옵션을 사용하여 활동 세부 정보에 표시된 활동의 특정 서브넷 또는 측면에 초점을 맞출 수 있습니다.
모든 탭에서 첫 번째 열의 값을 기준으로 목록을 필터링할 수 있습니다.
## 활동 세부 정보의 시간 범위 선택
활동 세부 정보를 처음 표시할 때 시간 범위는 범위 시간 또는 선택한 시간 간격입니다. 활동 세부 정보의 시간 범위를 변경할 수 있습니다.
**활동 세부 정보의 시간 범위 변경**
1. **편집**을 선택합니다.
1. **시간 편집 창**에서 사용할 시작 및 종료 시간을 선택합니다.
기간을 프로필의 기본 범위 시간으로 설정하려면 **기본 범위 시간으로 설정**을 선택합니다.
1. **기간 업데이트**를 선택합니다.
활동 세부 정보의 시간 범위는 프로필 패널 차트에 강조 표시됩니다.
![\[전체 API 직접 호출량 프로필 패널의 강조 표시된 기간\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 조사 중 프로필 패널 지침 사용
각 프로필 패널은 조사를 수행하고 관련 엔터티의 활동을 분석할 때 발생하는 특정 질문에 대한 답변을 제공하도록 설계되었습니다.
각 프로필 패널에 제공된 지침은 이러한 답변을 찾는 데 도움이 됩니다.
프로필 패널 지침은 패널 자체에 대한 한 문장으로 시작됩니다. 이 지침은 패널에 표시된 데이터에 대한 간략한 설명을 제공합니다.
패널에 대한 자세한 지침을 표시하려면 패널 제목에서 **추가 정보**를 선택합니다. 이 확장 지침은 도움말 창에 표시됩니다.
이 지침에서는 다음과 같은 유형의 정보를 제공할 수 있습니다.
+ 패널 내용 개요
+ 패널을 사용하여 관련 질문에 답변하는 방법
+ 답변을 기반으로 제안된 다음 단계
# 범위 시간 관리
엔터티 프로필에 표시되는 데이터를 제한하는 데 사용되는 범위 시간을 사용자 지정합니다.
엔터티 프로필에 표시되는 차트, 타임라인 및 기타 데이터는 모두 현재 범위 시간을 기반으로 합니다. 범위 시간은 시간 경과에 따른 엔터티 활동의 요약입니다. 이는 Amazon Detective 콘솔의 각 프로필 오른쪽 상단에 표시됩니다. 해당 차트, 타임라인 및 기타 시각화에 표시되는 데이터는 범위 시간을 기반으로 합니다. 일부 프로필 패널의 경우 범위 시간 전후에 컨텍스트를 제공하기 위해 추가 시간이 추가됩니다. Detective에서는 기본적으로 모든 타임스탬프가 UTC로 표시됩니다. **타임스탬프 기본 설정**을 변경하여 현지 시간대를 선택할 수 있습니다. **타임스탬프 기본 설정**을 업데이트하려면 [타임스탬프 형식 설정](profile-panel-preferences.md#profile-panel-preferences-timestamp) 섹션을 참조하세요.
Detective 분석은 범위 시간을 사용하여 비정상적인 활동을 확인합니다. 분석 프로세스는 범위 시간 동안의 활동을 가져온 다음, 범위 시간 전 45일 동안의 활동과 비교합니다. 또한 이 45일의 기간을 사용하여 활동 기준선을 생성합니다.
조사 결과 개요에서 범위 시간은 조사 결과가 처음으로 관찰된 시간과 마지막으로 관찰된 시간을 반영합니다. 조사 결과 개요에 대한 자세한 내용은 [Detective에서 결과 개요 분석](finding-overview.md) 섹션을 참조하세요.
조사를 진행하면서 범위 시간을 조정할 수 있습니다. 예를 들어, 원래 분석이 하루의 활동을 기반으로 한 것이라면 이를 일주일 또는 한 달로 확장하는 것이 좋습니다. 기간을 확장하면 활동이 정상 패턴에 맞는지 아니면 비정상적인지 더 잘 파악할 수 있습니다.
또한 현재 엔터티에 대한 관련 조사 결과와 일치하도록 범위 시간을 설정할 수 있습니다.
범위 시간을 변경하면 Detective는 분석을 반복하고 새 범위 시간을 기준으로 표시된 데이터를 업데이트합니다.
범위 시간은 1시간 이상이며 1년을 초과할 수 없습니다. 시작 시간과 종료 시간은 1시간이어야 합니다.
## 특정 시작 및 종료 날짜 및 시간 설정
Detective 콘솔에서 범위 시간 시작 및 종료 날짜를 설정할 수 있습니다.
**새 범위 시간의 특정 시작 및 종료 시간 설정**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. 엔터티 프로필에서 범위 시간을 선택합니다.
1. **범위 시간 편집** 패널의 **시작**에서 범위 시간의 새 시작 날짜 및 시간을 선택합니다. 새 시작 시간에는 시간만 선택합니다.
1. **종료**에서 범위 시간의 새 종료 날짜 및 시간을 선택합니다. 새 종료 시간에는 시간만 선택합니다. 종료 시간은 시작 시간에서 최소 1시간 내여야 합니다.
1. 편집을 마친 경우 변경 내용을 저장하고 표시된 데이터를 업데이트하려면 **범위 시간 업데이트**를 선택합니다.
## 범위 시간의 시간 길이 편집
범위 시간 길이를 설정하면 Detective는 범위 시간을 현재 시간으로부터 해당 시간으로 설정합니다.
**범위 시간의 시간 길이 편집**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. 엔터티 프로필에서 범위 시간을 선택합니다.
1. **범위 시간 편집** 패널의 **기록** 옆에서 범위 시간의 길이를 선택합니다.
시간 범위를 지정하면 **시작** 및 **종료** 설정이 업데이트됩니다.
1. 편집을 마친 경우 변경 내용을 저장하고 표시된 데이터를 업데이트하려면 **범위 시간 업데이트**를 선택합니다.
## 범위 시간을 조사 결과 기간으로 설정
각 조사 결과에는 해당 조사 결과가 처음 관찰된 시간과 마지막으로 관찰된 시간을 반영하는 관련 기간이 있습니다. 조사 결과 개요를 볼 때 범위 시간은 조사 결과 기간으로 변경됩니다.
엔터티 프로필에서 범위 시간을 관련 조사 결과에 대한 기간에 맞출 수 있습니다. 이를 통해 해당 기간 동안 발생한 활동을 조사할 수 있습니다.
범위 시간을 조사 결과 기간에 맞추려면 **관련 조사 결과** 패널에서 사용하려는 조사 결과를 선택합니다.
Detective는 조사 결과 세부 정보를 채우고 범위 시간을 조사 결과 기간으로 설정합니다.
## 요약 페이지에서 범위 시간 설정
**요약** 페이지를 검토하면서 범위 시간을 조정하여 이전 365일 중 24시간 동안의 활동을 볼 수 있습니다.
요약 페이지에서 범위 시간 설정
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **요약**을 선택합니다.
1. **범위 시간** 패널의 **요약** 옆에서 **시작 날짜 및 시간**을 변경할 수 있습니다. 시작 시간은 지난 365일 이내여야 합니다.
**시작 날짜 및 시간**을 변경하면 **종료 날짜 및 시간**이 선택한 시작 시간으로부터 24시간 후로 자동 업데이트됩니다.
**참고**
Detective를 사용하면 최대 1년 분량의 과거 이벤트 데이터에 액세스할 수 있습니다. Detective의 소스 데이터에 대한 자세한 내용은 [동작 그래프에 사용된 소스 데이터를 참조하세요](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).
1. 편집을 마친 경우 변경 내용을 저장하고 표시된 데이터를 업데이트하려면 **범위 시간 업데이트**를 선택합니다.
# Detective에서 관련 조사 결과에 대한 세부 정보 보기
각 엔터티 프로필에는 현재 범위 시간 기간 동안 해당 엔터티와 관련된 조사 결과를 나열하는 관련 조사 결과 패널이 포함되어 있습니다. 엔터티가 침해되었음을 나타내는 한 가지 징후는 여러 조사 결과에 관여했다는 것입니다. 조사 결과 유형을 통해 우려해야 할 활동 유형에 대한 인사이트를 얻을 수도 있습니다.
관련 조사 결과 패널은 엔터티 세부 정보 프로필 패널 바로 아래에 표시됩니다.
각 조사 결과의 경우 테이블에는 다음에 대한 정보가 포함되어 있습니다.
+ 조사 결과 개요로 연결되는 링크이기도 한 조사 결과 제목.
+ 조사 결과와 연결된 AWS 계정으로, 계정 프로필에 대한 링크이기도 합니다.
+ 조사 결과 유형
+ 조사 결과가 관찰된 가장 빠른 시간
+ 조사 결과가 관찰된 가장 최근 시간
+ 조사 결과 심각도
조사 결과에 대한 세부 정보를 표시하려면 조사 결과에 대한 라디오 버튼을 선택합니다. Detective는 페이지 오른쪽에 있는 조사 결과 세부 정보 패널을 채웁니다. 또한 Detective는 범위 시간을 조사 결과 기간으로 변경합니다. 이를 통해 해당 기간 동안 발생한 활동에 초점을 맞출 수 있습니다.
조사 결과 개요에서 엔터티 프로필로 이동한 경우 해당 조사 결과가 자동으로 선택되고 조사 결과에 대한 세부 정보가 표시됩니다.
조사 결과 세부 정보에서 조사 결과 개요로 돌아가려면 **관련 엔터티 모두 보기**를 선택합니다.
조사 결과를 보관할 수도 있습니다. 자세한 내용은 [ Amazon GuardDuty 결과 보관을 참조하세요](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).
# Detective에서 대용량 엔터티에 대한 세부 정보 보기
[동작 그래프](behavior-graph-data-about.md)에서 Amazon Detective는 엔터티 간의 관계를 추적합니다. 예를 들어 각 동작 그래프는 AWS 사용자가 AWS 역할을 생성할 때와 EC2 인스턴스가 IP 주소에 연결할 때를 추적합니다.
일정 기간 동안 엔터티에 너무 많은 관계가 있는 경우 Detective는 모든 관계를 저장할 수 없습니다. 현재 범위 시간 중에 이런 일이 발생하면 Detective에서 알려줍니다. Detective는 대용량 엔터티 발생 목록도 제공합니다.
## 대용량 엔터티란 무엇입니까?
주어진 시간 간격 동안 엔터티는 매우 많은 연결의 출발지 또는 목적지일 수 있습니다. 예를 들어, EC2 인스턴스에는 수백만 개의 IP 주소에서의 연결이 있을 수 있습니다.
Detective는 각 시간 간격 동안 수용할 수 있는 연결 수를 제한합니다. 엔터티가 이 제한을 초과하면 Detective는 해당 시간 간격 동안 연결을 삭제합니다.
예를 들어 시간 간격당 연결 수가 100,000,000이라고 가정해 보겠습니다. 일정 기간 동안 EC2 인스턴스가 100,000,000개 이상의 IP 주소로 연결된 경우 Detective는 해당 시간 간격의 연결을 삭제합니다.
하지만 관계의 반대편에 있는 엔터티를 기반으로 해당 활동을 분석할 수 있을 수도 있습니다. 예제를 계속하자면, EC2 인스턴스가 수백만 개의 IP 주소에서 연결될 수도 있지만 단일 IP 주소는 훨씬 적은 수의 EC2 인스턴스에 연결됩니다. 각 IP 주소 프로필은 해당 IP 주소가 연결된 EC2 인스턴스에 대한 세부 정보를 제공합니다.
## 프로필에서 대용량 엔터티 알림 보기
Detective는 범위 시간에 엔터티의 연결이 많은 시간 간격이 포함된 경우 조사 결과 또는 엔터티 프로필 상단에 알림을 표시합니다. 조사 결과 프로필은 관련 엔터티를 위한 알림입니다.
이 알림에는 대용량 시간 간격의 관계 목록이 포함되어 있습니다. 각 목록 항목에는 관계에 대한 설명과 대용량 시간 간격의 시작이 포함됩니다.
대용량 시간 간격은 의심스러운 활동을 나타내는 지표일 수 있습니다. 동시에 어떤 다른 활동이 발생했는지 파악하려면 대용량 시간 간격에 대한 조사에 집중할 수 있습니다. 대용량 엔터티 알림에는 범위 시간을 해당 시간 간격으로 설정하는 옵션이 포함되어 있습니다.
**범위 시간을 대용량 시간 간격으로 설정**
1. 대용량 엔터티 알림에서 시간 간격을 선택합니다.
1. 팝업 메뉴에서 **범위 시간 적용**을 선택합니다.
## 현재 범위 시간의 대용량 엔터티 목록 보기
**대용량 엔터티** 페이지에는 현재 범위 시간 동안의 대용량 시간 간격 및 엔터티 목록이 포함되어 있습니다.
**대용량 엔터티 페이지 표시**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **대용량 엔터티**를 선택합니다.
로그 스트림의 항목에는 다음 정보가 있습니다.
+ 대용량 시간 간격의 시작
+ 엔터티의 식별자 및 유형
+ 관계에 대한 설명(예: “IP 주소에서 연결된 EC2 인스턴스”)
원하는 열을 기준으로 목록을 필터링하고 정렬할 수 있습니다. 관련 엔터티의 엔터티 프로필로 이동할 수도 있습니다.
**엔터티의 프로필로 이동**
1. **대용량 엔터티** 목록에서 탐색할 행을 선택합니다.
1. **대용량 범위 시간이 포함된 프로필 보기**를 선택합니다.
이 옵션을 사용하여 엔터티 프로필로 이동하면 범위 시간이 다음과 같이 설정됩니다.
+ 범위 시간은 대용량 시간 간격 30일 전에 시작됩니다.
+ 범위 시간은 대용량 시간 간격이 끝날 때 종료됩니다.