As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Análise de entidades no Amazon Detective
<a name="entity-profiles"></a>

Uma entidade é um único objeto extraído dos dados de origem. Os exemplos incluem um endereço IP específico, uma EC2 instância da Amazon ou AWS uma conta. Consulte [Tipos de entidades na estrutura de dados do gráfico de comportamento](graph-data-structure-overview.md#entity-types) para obter uma lista dos tipos de entidade.

Um perfil de entidade do Amazon Detective é uma página única que fornece informações detalhadas sobre a entidade e sua atividade. Você pode usar um perfil de entidade para obter detalhes de apoio a uma investigação sobre uma descoberta ou como parte de uma busca geral por atividades suspeitas.

**Topics**
+ [Usando perfis de entidade](using-entity-profiles.md)
+ [Visualizando e interagindo com painéis de perfil de Detective](profile-panels.md)
+ [Navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta](navigate-to-profile.md)
+ [Mudar de um painel de perfil para outro console](profile-panel-console-links.md)
+ [Explorar detalhes da atividade em um painel de perfil](profile-panel-drilldown.md)
+ [Gerenciar o escopo de tempo](scope-time-managing.md)
+ [Visualizando detalhes das descobertas associadas no Detective](entity-finding-list.md)
+ [Visualizando detalhes de entidades de alto volume no Detective](high-volume-entities.md)

# Usando perfis de entidade
<a name="using-entity-profiles"></a>

Um perfil de entidade aparece quando você executa uma das seguintes ações:
+ No GuardDuty console da Amazon, escolha a opção de investigar uma entidade relacionada a uma descoberta selecionada.

  Consulte [Navegando para um perfil de entidade ou encontrando uma visão geral da Amazon GuardDuty ou AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).
+ Acesse o URL do Detective para ver o perfil da entidade.

  Consulte [Navegar até o perfil de uma entidade ou até a visão geral de uma descoberta usando um URL](navigate-to-profile.md#profile-navigate-url).
+ Use a pesquisa do Detective no console para pesquisar uma entidade.
+ Escolha um link para o perfil da entidade a partir de outro perfil de entidade ou da visão geral de uma descoberta.

## Escopo de tempo de um perfil de entidade
<a name="entity-profile-scope-time"></a>

Quando você navega diretamente para um perfil de entidade sem fornecer o escopo de tempo, o escopo de tempo é definido para as 24 horas anteriores.

Quando você navega para um perfil de entidade a partir de outro perfil de entidade, o escopo de tempo atualmente selecionado permanece em vigor.

Quando você navega para um perfil de entidade a partir da visão geral de uma descoberta, o escopo de tempo é definido como a janela de tempo da descoberta.

Para obter informações sobre como personalizar o tempo do escopo para limitar os dados exibidos nos perfis da entidade, consulte [Gerenciando o tempo do escopo](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html).

## Identificador e tipo de entidade
<a name="entity-identifier-type"></a>

Na parte superior do perfil estão o identificador da entidade e o tipo de entidade. Cada tipo de entidade tem um ícone correspondente, para fornecer um indicador visual do tipo de perfil.

## Descobertas envolvidas
<a name="entity-profile-associated-findings"></a>

Cada perfil contém uma lista das descobertas nas quais a entidade esteve envolvida durante o escopo de tempo.

Você pode ver os detalhes de cada descoberta, alterar o escopo de tempo para refletir a janela de tempo da descoberta e acessar a visão geral da descoberta para procurar outros recursos envolvidos.

Consulte [Visualizando detalhes das descobertas associadas no Detective](entity-finding-list.md).

## Grupos de descobertas envolvendo essa entidade
<a name="entity-profile-associated-finding-group"></a>

Cada perfil contém uma lista de grupos de descobertas nos quais uma entidade está incluída.

O grupo de uma descoberta é composto de descobertas, entidades e evidências que o Detective coleta em um grupo para fornecer mais contexto sobre possíveis problemas de segurança.

Para obter mais informações sobre grupos de descobertas, consulte [Analisar grupos de descobertas](groups-about.md).

## Painéis de perfil contendo detalhes da entidade e resultados de análises
<a name="entity-profile-panels"></a>

O perfil de cada entidade contém um conjunto de uma ou mais guias. Cada guia contém um ou mais painéis de perfil. Cada painel de perfil contém texto e visualizações que são gerados a partir dos dados do gráfico de comportamento. As guias e painéis de perfil específicos são personalizados de acordo com o tipo de entidade.

Para a maioria das entidades, o painel na parte superior da primeira guia fornece informações resumidas de alto nível sobre a entidade.

Outros painéis de perfil destacam diferentes tipos de atividade. Para uma entidade envolvida em uma descoberta, as informações nos painéis de perfil da entidade podem fornecer evidências de apoio adicionais para ajudar a concluir uma investigação. Cada painel de perfil fornece acesso a orientações sobre como usar as informações. Para obter mais informações, consulte [Usar a orientação do painel de perfil durante uma investigação](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance). 

Para obter mais detalhes sobre os painéis de perfil, os tipos de dados que eles contêm e as opções disponíveis para interagir com eles, consulte [Visualizando e interagindo com painéis de perfil de Detective](profile-panels.md).

## Navegando em um perfil de entidade
<a name="profile-navigating"></a>

O perfil de uma entidade contém um conjunto de uma ou mais guias. Cada guia contém um ou mais painéis de perfil. Cada painel de perfil contém texto e visualizações que são gerados a partir dos dados do gráfico de comportamento.

Conforme você rola para baixo na guia do perfil, as seguintes informações permanecem visíveis na parte superior do perfil:
+ Tipo de entidade
+ Identificador da entidade
+ Escopo de tempo

![\[Cabeçalho do perfil com o menu de guias disponíveis.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_header_tab_menu.png)


# Visualizando e interagindo com painéis de perfil de Detective
<a name="profile-panels"></a>

Cada perfil de entidade no console do Amazon Detective consiste em um conjunto de painéis de perfil. Um painel de perfil é uma visualização que fornece detalhes gerais ou destaca atividades específicas associadas a uma entidade. Os painéis de perfil usam diferentes tipos de visualizações para apresentar diferentes tipos de informações. Também podem fornecer links para detalhes adicionais ou para outros perfis.

Cada painel de perfil tem como objetivo ajudar os analistas a encontrarem respostas para perguntas específicas sobre entidades e suas atividades associadas. As respostas para essas perguntas ajudam a concluir se a atividade representa uma ameaça genuína.

Os painéis de perfil usam diferentes tipos de visualizações para apresentar diferentes tipos de informações.

## Tipos de informações em um painel de perfil
<a name="profile-panel-data-types"></a>

Os painéis de perfil geralmente fornecem os seguintes tipos de dados.


|  Tipo de dados do painel  |  Descrição  | 
| --- | --- | 
|  Informações de alto nível sobre uma descoberta ou entidade  |  O tipo de painel mais simples fornece algumas informações básicas sobre uma entidade. Exemplos de informações incluídas em um painel de informações incluem o identificador, nome, tipo e data de criação. ![\[Exemplo de um painel de perfil contendo informações de alto nível sobre uma entidade.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_item_details.png) A maioria dos perfis de entidade contém um painel de informações para essa entidade.  | 
|  Resumo geral da atividade ao longo do tempo  |  Exibe um resumo da atividade de uma entidade ao longo do tempo. Esse tipo de painel fornece uma visão geral de como uma entidade está se comportando durante o escopo de tempo. ![\[Exemplo de um painel de perfil contendo uma visão geral da atividade de uma entidade ao longo do tempo.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) Veja a seguir alguns exemplos de dados de resumo fornecidos nos painéis de perfis do Detective: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/profile-panels.html)  | 
|  Resumo da atividade agrupado por valores  |  Exibe um resumo da atividade de uma entidade, agrupado por valores específicos. Você pode ver esse tipo de painel de perfil no perfil de uma EC2 instância. O painel de perfil mostra o volume médio de dados de log de VPC fluxo de e para uma EC2 instância para portas comuns associadas a tipos específicos de serviços. ![\[Exemplo de um painel de perfil mostrando um resumo da atividade agrupado por valores específicos.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png)  | 
|  Atividade que só começou durante o escopo de tempo  |  Durante uma investigação, é importante ver quais atividades só começaram a ocorrer durante um período específico. Por exemplo, há API chamadas, localizações geográficas ou agentes de usuário que não foram vistos antes? ![\[Exemplo de um painel de perfil que destaca atividades não observadas antes do escopo de tempo.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) Se o gráfico de comportamento ainda estiver no modo de treinamento, o painel de perfil exibirá uma mensagem de notificação. A mensagem é removida quando o gráfico de comportamento acumula pelo menos duas semanas de dados. Para mais informações sobre o modo de treinamento, consulte [Período de treinamento para novos gráficos de comportamento de Detectives](detective-data-training-period.md).  | 
|  Atividade que mudou significativamente durante o escopo de tempo  |  Semelhante aos novos painéis de atividades, os painéis de perfil também podem exibir atividades que mudaram significativamente durante o escopo de tempo. Por exemplo, um usuário pode emitir regularmente uma determinada API chamada algumas vezes por semana. Se o mesmo usuário fizer repentinamente a mesma chamada várias vezes em um único dia, isso pode ser evidência de atividade maliciosa. ![\[Exemplo de um painel de perfil mostrando atividades que mudaram significativamente durante o escopo de tempo.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) Se o gráfico de comportamento ainda estiver no modo de treinamento, o painel de perfil exibirá uma mensagem de notificação. A mensagem é removida quando o gráfico de comportamento acumula pelo menos duas semanas de dados. Para mais informações sobre o modo de treinamento, consulte [Período de treinamento para novos gráficos de comportamento de Detectives](detective-data-training-period.md).  | 

# Tipos de visualizações do painel de perfil
<a name="profile-panel-display-types"></a>

O conteúdo do painel do perfil pode assumir uma das formas a seguir.


|  Tipo de visualização  |  Descrição  | 
| --- | --- | 
|  Pares de chave-valor  |  O tipo de visualização mais simples é um conjunto de pares de chave-valor. Um painel de informações de descobertas ou entidades é o exemplo mais comum de um painel de par de chave-valor. ![\[Exemplo de painel de perfil contendo pares de chave-valor.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_key_value.png) Os pares de chave-valor também podem ser usados para adicionar informações adicionais a outros tipos de painéis. Em um painel de pares de chave-valor, se um valor for um identificador de uma entidade, você poderá ir até o perfil dela.  | 
|  Tabela  |  Uma tabela é uma lista simples de itens com várias colunas. ![\[Exemplo de um painel de perfil contendo uma tabela simples.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_table.png) Você pode classificar, filtrar e percorrer a tabela. Você pode alterar o número de entradas a serem exibidas em cada página. Consulte [Configurar as preferências de um painel de perfil](profile-panel-preferences.md). Se um valor na tabela for um identificador de uma entidade, você poderá ir até o perfil dela.  | 
|  Linha do tempo  |  Uma visualização do cronograma mostra um valor agregado para intervalos definidos ao longo do tempo. ![\[Exemplo de um painel de perfil contendo cronogramas.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_timeline.png) O cronograma destaca o escopo de tempo atual e inclui um tempo periférico adicional antes e depois do escopo de tempo. O tempo periférico fornece contexto para a atividade no escopo de tempo. Passe o mouse sobre um intervalo de tempo para exibir um resumo dos dados desse intervalo de tempo.  | 
|  Tabela expansível  |  Uma tabela expansível combina tabelas e cronogramas. ![\[Exemplo de um painel de perfil contendo uma tabela expansível.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) A visualização começa como uma tabela. Você pode classificar, filtrar e percorrer a tabela. Você pode alterar o número de entradas a serem exibidas em cada página. Consulte [Configurar as preferências de um painel de perfil](profile-panel-preferences.md). Em seguida, você pode expandir cada linha para mostrar uma visualização específica do cronograma dessa linha.  | 
|  Gráfico de barras  |  Um gráfico de barras mostra valores com base em agrupamentos. Dependendo do gráfico, você pode escolher uma barra para exibir um cronograma de atividades relacionadas. ![\[Exemplo de um painel de perfil contendo um gráfico de barras.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_bar_chart.png)  | 
|  Gráfico de geolocalização  |  Um gráfico de geolocalização exibe um mapa marcado para destacar dados com base na localização geográfica. Pode ser seguido por uma tabela contendo detalhes sobre geolocalizações individuais. ![\[Exemplo de um painel de perfil contendo um gráfico de geolocalização.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_geolocation.png) Observe que, ao processar dados geográficos recebidos, o Detective arredonda os valores de latitude e longitude para um único ponto decimal.  | 

## Notas sobre o conteúdo do painel de perfil
<a name="profile-panel-other-notes"></a>

Ao visualizar o conteúdo de um painel de perfil, esteja ciente dos seguintes itens:

****Aviso de dados de contagem aproximada****  
Esse aviso indica que itens com contagens extremamente baixas não aparecem devido ao volume de dados aplicáveis.  
Para garantir uma contagem totalmente precisa, reduza a quantidade de dados. A maneira mais simples de fazer isso é reduzir a duração do escopo de tempo. Consulte [Gerenciar o escopo de tempo](scope-time-managing.md).

****Arredondamento para localizações geográficas****  
O Detective arredonda todos os valores de latitude e longitude para um único ponto decimal.

**Mudanças na forma como o Detective representa as chamadas API**  
A partir de 14 de julho de 2021, o Detective rastreia o serviço que fez cada API ligação. Sempre que o Detective exibe um API método, ele também exibe o serviço associado. Nos painéis de perfil que exibem informações sobre API chamadas, as chamadas são sempre agrupadas pelo serviço. Para dados que o Detective ingeriu antes dessa data, o nome do serviço é listado como **Serviço desconhecido**.  
Também a partir de 14 de julho de 2021, para contas e funções, os detalhes da atividade no painel de perfil de **volume geral AKID de API chamadas** não mostram mais o recurso que emitiu a chamada. Para contas, o Detective exibe o identificador da entidade principal (usuário ou função) que emitiu a chamada. Para funções, o Detective exibe o identificador da sessão de função. Para dados que o Detective ingeriu antes de 14 de julho de 2021, o identificador é listado como **Recurso desconhecido**.  
Para painéis de perfil que exibem uma lista de API chamadas, a linha do tempo associada destaca o período de tempo durante o qual essa transição ocorreu. O destaque começa em 14 de julho de 2021 e termina quando a atualização foi totalmente propagada no Detective.

# Configurar as preferências de um painel de perfil
<a name="profile-panel-preferences"></a>

Para painéis de perfil, você pode personalizar o número de linhas que aparecem em cada página nos painéis de perfil e configurar a preferência de formato de carimbo de data/hora.

## Definir o tamanho da tabela
<a name="profile-panel-preferences-table"></a>

Para painéis de perfil que contêm tabelas ou tabelas expansíveis, você pode configurar o número de linhas a serem exibidas em cada página. 

Defina sua preferência para o número de entradas em cada página.

1. Abra o console do Amazon Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 

1. No painel de navegação do Detective, em **Configurações**, selecione **Preferências**.

1. Na página **Preferências**, em **Tamanho da tabela**, clique em **Editar**. 

1. Escolha o número de linhas da tabela que você deseja exibir em cada página.

1. Escolha **Salvar**.

## Definir o formato do carimbo de data/hora
<a name="profile-panel-preferences-timestamp"></a>

Para painéis de perfil, você pode configurar a preferência de formato de carimbo de data/hora que será aplicada a todos os carimbos de data e hora de cada usuário IAM ou função no Detective. IAM 
**nota**  
A preferência de formato de carimbo de data/hora não é aplicada em toda AWS a conta. 

Defina a preferência do carimbo de data/hora.

1. Abra o console do Amazon Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 

1. No painel de navegação do Detective, em **Configurações**, selecione **Preferências**.

1. Na página **Preferências**, em **Preferências do carimbo de data/hora**, visualize e altere a exibição preferida para todos os carimbos de data/hora. 

1. Por padrão, o formato do carimbo de data/hora é definido como. UTC Clique em **Editar** para escolher seu fuso horário local.

   Exemplo:  
**Example**  

   UTC- 20/09/22 16:39 UTC

   Local - 20/09/2022 9:39 (- 07:00) UTC

1. Escolha **Salvar**.

# Navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta
<a name="navigate-to-profile"></a>

Para navegar diretamente até o perfil de uma entidade ou até a visão geral de uma descoberta no Amazon Detective, você pode usar uma das seguintes opções.
+ Da Amazon GuardDuty ou AWS Security Hub CSPM, você pode passar de uma GuardDuty descoberta para o perfil de descoberta correspondente do Detective.
+ Você pode montar um URL do Detective que identifique uma descoberta ou entidade e defina o escopo de tempo a ser usado.

## Navegando para um perfil de entidade ou encontrando uma visão geral da Amazon GuardDuty ou AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

No GuardDuty console da Amazon, você pode navegar até o perfil da entidade relacionada a uma descoberta.

Nos AWS Security Hub CSPM consoles GuardDuty e, você também pode navegar até uma visão geral das descobertas. Isso também fornece links para os perfis das entidades envolvidas.

Esses links podem ajudar a agilizar o processo de investigação. Você pode usar rapidamente o Detective para ver a atividade da entidade associada e determinar as próximas etapas. Você também pode arquivar uma descoberta se for um falso positivo ou explorar mais para determinar o escopo do problema.

### Como migrar para o console do Amazon Detective
<a name="profile-pivot-how-to"></a>

Os links da investigação estão disponíveis para todas as GuardDuty descobertas. GuardDuty também permite que você escolha se deseja navegar até um perfil de entidade ou até a visão geral da descoberta.

**Para passar para Detective a partir do console GuardDuty**

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Se necessário, escolha **Descobertas** no painel de navegação esquerdo.

1. Na página GuardDuty **Descobertas**, escolha a descoberta.

   O painel de detalhes da descoberta é exibido à direita da lista de descobertas.

1. Escolha **Investigar no Detective** no painel de detalhes da descoberta.

   GuardDuty exibe uma lista de itens disponíveis para investigar em Detective.

   A lista contém as entidades relacionadas, tais como endereços IP ou instâncias do EC2, e a descoberta.

1. Escolha uma entidade ou a descoberta.

   O console do Detective é aberto em uma nova guia. O console é aberto no perfil da entidade ou da descoberta.

   Se você não habilitou o Detective, o console abrirá em uma página inicial que fornece uma visão geral do Detective. A partir daí, você pode optar por habilitar o Detective.

**Para passar para Detective a partir do console CSPM do Security Hub**

1. Abra o AWS Security Hub CSPM console em [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/).

1. Se necessário, escolha **Descobertas** no painel de navegação esquerdo.

1. Na página **Descobertas do CSPM do Security Hub, escolha uma GuardDuty descoberta**.

1. No painel de detalhes, escolha **Investigar no Detective** e, em seguida, escolha **Investigar descoberta**.

   Quando você escolhe **Investigar descoberta**, o console do Detective é aberto em uma nova guia. O console abre na visão geral da descoberta.

   O console do Detective sempre abre na região de origem da descoberta, mesmo que você saia da região de agregação. Para obter mais informações sobre agregação de descobertas, consulte [Agregar descobertas entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) no *Guia do usuário do AWS Security Hub *.

   Se você não habilitou o Detective, o console abrirá na página inicial do Detective. A partir daí, você pode habilitar o Detective.

### Solução de problemas de migração
<a name="profile-pivot-troubleshooting"></a>

Para usar a migração, uma das opções a seguir deve ser verdadeira:
+ Sua conta deve ser uma conta de administrador do Detective e do serviço do qual você estiver migrando.
+ Você assumiu uma função entre contas que concede à sua conta de administrador acesso ao gráfico de comportamento.

Para obter mais informações sobre a recomendação de alinhar contas de administrador, consulte [Alinhamento recomendado com a Amazon e. GuardDuty AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)

Se a migração não funcionar, verifique o seguinte.
+ **A descoberta pertence a uma conta-membro habilitada em seu gráfico de comportamento?** Se a conta associada não tiver sido convidada para o gráfico de comportamento como uma conta-membro, o gráfico de comportamento não conterá dados dessa conta.

  Se uma conta-membro convidada não tiver aceitado o convite, o gráfico de comportamento não conterá dados dessa conta.
+ **A descoberta está arquivada?** Detective não recebe descobertas arquivadas de. GuardDuty
+ **A descoberta ocorreu antes de o Detective iniciar a ingestão de dados em seu gráfico de comportamento?** Se a descoberta não estiver presente nos dados que o Detective ingeriu, o gráfico de comportamento não conterá os dados dela.
+ **A descoberta é da região correta?** Cada gráfico de comportamento é específico de uma região. Um gráfico de comportamento não contém dados de outras regiões.

## Navegar até o perfil de uma entidade ou até a visão geral de uma descoberta usando um URL
<a name="profile-navigate-url"></a>

Para navegar até o perfil de uma entidade ou até a visão geral de uma descoberta no Amazon Detective, você pode usar um URL que fornece um link direto a eles. O URL identifica a descoberta ou a entidade. Ele também pode especificar o escopo de tempo a ser usado no perfil. O Detective mantém até um ano do histórico de dados de eventos.

### Formato do URL de um perfil
<a name="profile-url-format"></a>

**nota**  
Se você estiver usando o formato de URL antigo, o Detective redirecionará automaticamente para o novo URL. O formato de URL antigo era:  
https://console.aws.amazon.com/detective/casa? região = *Region* \$1*type*//*namespace*? *instanceID* *parameters*

O novo formato do URL do perfil é o seguinte: 
+ Para entidades - https://console.aws.amazon.com/detective/ em casa? região = *Region* \$1*entities*//*namespace*? *instanceID* *parameters*
+ Para descobertas, https://console.aws.amazon.com/detective/ em casa? região = *Region* \$1*findings*/? *instanceID* *parameters*

O URL exige os seguintes valores.

***Region***  
A região que você deseja usar.

***type***  
O tipo de item do perfil para o qual você está navegando.  
+ `entities`: indica que você está navegando até o perfil de uma entidade
+ `findings`: indica que você está navegando para a visão geral de uma descoberta

***namespace***  
Para entidades, o namespace é o nome do tipo de entidade.  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
O identificador da instância da descoberta ou da entidade.  
+ Para uma GuardDuty descoberta, o identificador da GuardDuty descoberta.
+ Para uma AWS conta, o ID da conta.
+ Para AWS funções e usuários, a ID principal da função ou do usuário.
+ Para usuários federados, a ID principal do usuário federado. A ID principal é `<identityProvider>:<username>` ou `<identityProvider>:<audience>:<username>`.
+ Para endereços IP, o endereço IP.
+ Para agentes de usuário, o nome do agente de usuário.
+ Para instâncias do EC2, a ID da instância.
+ Para sessões de função, o identificador da sessão. O identificador da sessão usa o formato ` <rolePrincipalID>:<sessionName>`.
+ Para buckets do S3, o nome do bucket.
+ Para FindingGroups, um UUID. por exemplo, `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ Para recursos do EKS, use os seguintes formatos:
  + Cluster EKS: *<clusterName>\$1<accountId>\$1EKS*
  + Pod Kubernetes: *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Assunto do Kubernetes: *<subjectName>\$1<clusterName>\$1<accountId>*
  + Imagem do contêiner: *<registry>/<repository>:<tag>@<digest>*
A descoberta ou entidade deve estar associada a uma conta habilitada em seu gráfico de comportamento.

O URL também pode incluir os seguintes parâmetros opcionais, que são usados para definir o escopo de tempo. Para obter mais informações sobre o escopo de tempo e como ele é usado nos perfis, consulte [Gerenciar o escopo de tempo](scope-time-managing.md).

**`scopeStart`**  
Hora de início do escopo de tempo a ser usado no perfil. A hora de início deve estar nos últimos 365 dias.  
O valor é o epoch timestamp.  
Se você fornecer uma hora de início, mas não uma hora de término, o escopo de tempo terminará na hora atual.

**`scopeEnd`**  
Hora de término do escopo de tempo a ser usado no perfil.  
O valor é o epoch timestamp.  
Se você fornecer uma hora de término, mas não uma hora de início, o escopo de tempo incluirá todo o tempo antes da hora de término.

Se você não especificar o escopo de tempo, o escopo de tempo padrão será usado.
+ Para descobertas, o escopo de tempo padrão usa a primeira e a última vez em que a atividade da descoberta foi observada.
+ Para entidades, o escopo de tempo padrão são as 24 horas anteriores.

A seguir, o exemplo de um URL do Detective:

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

Esse exemplo de URL fornece as instruções a seguir.
+ Exiba o perfil da entidade para o endereço IP 192.168.1.
+ Use um escopo de tempo que comece na segunda-feira, 18 de março de 2019, às 00:00:00 GMT, e que termine na segunda-feira, 18 de março de 2019, às 12:00:00 GMT.

### Solução de problemas de URL
<a name="profile-url-troubleshooting"></a>

Se o URL não exibir o perfil esperado, primeiro verifique se o URL usa o formato correto e se você forneceu os valores corretos.
+ Você começou com o URL correto (`findings` ou `entities`)? 
+ Você especificou o namespace correto?
+ Você forneceu o identificador correto?

Se os valores estiverem corretos, você também poderá verificar o seguinte.
+ **A descoberta ou a entidade pertence a uma conta-membro habilitada em seu gráfico de comportamento?** Se a conta associada não tiver sido convidada para o gráfico de comportamento como uma conta-membro, o gráfico de comportamento não conterá dados dessa conta.

  Se uma conta-membro convidada não tiver aceitado o convite, o gráfico de comportamento não conterá dados dessa conta.
+ **Para uma descoberta, a descoberta está arquivada?** Detective não recebe descobertas arquivadas da Amazon. GuardDuty
+ **A descoberta ou a entidade ocorreu antes de o Detective iniciar a ingestão de dados em seu gráfico de comportamento?** Se a descoberta ou entidade não estiver presente nos dados que o Detective ingeriu, o gráfico de comportamento não conterá os dados dela.
+ **A descoberta ou a entidade é da região correta?** Cada gráfico de comportamento é específico de uma região. Um gráfico de comportamento não contém dados de outras regiões.

## Adicionando Detective URLs para descobertas ao Splunk
<a name="profile-splunk-integration-url"></a>

O projeto Splunk Trumpet permite que você envie dados de AWS serviços para a Splunk.

Você pode configurar o projeto Trumpet para gerar descobertas do Detective URLs for Amazon. GuardDuty Em seguida, você pode usá-los URLs para ir diretamente do Splunk para os perfis de localização de Detectives correspondentes.

O projeto Trumpet está disponível em. GitHub [https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)

**Na página de configuração do projeto Trumpet, em **AWS CloudWatch Eventos**, escolha Detective. GuardDuty URLs**

# Mudar de um painel de perfil para outro console
<a name="profile-panel-console-links"></a>

Para instâncias do EC2, usuários do IAM e perfis do IAM, você pode navegar diretamente do painel de perfil de detalhes até o console correspondente. As informações disponíveis no console podem fornecer informações adicionais para sua investigação de segurança.

No painel de perfil **Detalhes da instância do EC2**, o identificador da instância do EC2 está vinculado ao console do Amazon EC2.

No painel de perfil **Detalhes do usuário**, o nome do usuário está vinculado ao console do IAM.

No painel de perfil **Detalhes da função**, o nome da função está vinculado ao console do IAM.

## Mudar de um painel de perfil para outro perfil de entidade
<a name="profile-panel-pivot"></a>

Quando um painel de perfil contém um identificador de uma entidade diferente, geralmente é um link para o perfil dessa entidade. As exceções são os links para os consoles do Amazon EC2 e do IAM nos perfis de instâncias do EC2, usuários do IAM e perfis do IAM. Consulte [Mudar de um painel de perfil para outro console](#profile-panel-console-links).

Por exemplo, em uma lista de endereços IP, você pode exibir o perfil de um endereço IP específico. Dessa forma, você pode ver se há alguma outra informação disponível para ajudar a concluir sua investigação.

# Explorar detalhes da atividade em um painel de perfil
<a name="profile-panel-drilldown"></a>

Durante uma investigação, você pode investigar com mais detalhes o padrão de atividade de uma entidade.

Nos painéis de perfil a seguir, você pode exibir um resumo dos detalhes da atividade:
+ **Volume geral de chamadas de API**, exceto para o painel de perfil no perfil do agente de usuário
+ **Geolocalizações recém-observadas**
+ **Volume geral de fluxo do VPC**
+ **Volume de fluxo do VPC do e para o endereço IP da descoberta**, para descobertas associadas a um único endereço IP
+ **Detalhes do contêiner**
+ **Volume de fluxo do VPC** para clusters
+ **Atividade geral da API do Kubernetes**

Os detalhes da atividade podem responder a estes tipos de perguntas:
+ Quais endereços IP foram usados?
+ Onde esses endereços IP estavam localizados?
+ Quais chamadas de API cada endereço IP fez e de quais serviços eles fizeram essas chamadas?
+ Quais principais ou identificadores de chave de acesso (AKIDs) foram usados para fazer as chamadas?
+ Quais recursos foram usados para fazer essas chamadas?
+ Quantas chamadas foram feitas? Quantas tiveram sucesso e quantas falharam?
+ Qual volume de dados de log de fluxo do VPC foi enviado para ou de cada endereço IP?
+ Quais contêineres estavam ativos para um determinado cluster, imagem ou pod?

**Topics**
+ [Detalhes da atividade para o volume geral de chamadas de API](profile-panel-drilldown-overall-api-volume.md)
+ [Detalhes da atividade para uma geolocalização](profile-panel-drilldown-new-geolocations.md)
+ [Detalhes da atividade para o volume geral de fluxo do VPC](profile-panel-drilldown-overall-vpc-volume.md)
+ [Atividade geral da API do Kubernetes envolvendo o cluster do EKS](profile-panel-drilldown-kubernetes-api-volume.md)

# Detalhes da atividade para o volume geral de chamadas de API
<a name="profile-panel-drilldown-overall-api-volume"></a>

Os detalhes da atividade do **Volume geral de chamadas de API** mostram as chamadas de API que foram emitidas durante um intervalo de tempo selecionado.

Para exibir os detalhes da atividade para um único intervalo de tempo, escolha o intervalo de tempo no gráfico.

Para exibir os detalhes da atividade para o escopo de tempo atual, escolha **Exibir detalhes do escopo de tempo**.

Observe que o Detective começou a armazenar e exibir o nome do serviço para chamadas de API a partir de 14 de julho de 2021. Essa data é destacada no cronograma do painel de perfil. Para atividades que ocorreram antes dessa data, o nome do serviço é **Serviço desconhecido**.

## Conteúdo dos detalhes da atividade (usuários, funções, contas, sessões de função, instâncias do EC2, buckets do S3)
<a name="drilldown-api-volume-content"></a>

Para usuários do IAM, perfis do IAM, contas, sessões de função, instâncias do EC2 e buckets do S3, os detalhes da atividade contêm as seguintes informações:
+ Cada guia fornece informações sobre o conjunto de chamadas de API que foram emitidas durante o intervalo de tempo selecionado.

  Para buckets do S3, as informações refletem as chamadas de API que foram feitas para o bucket do S3.

  As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.
+ Para cada entrada, os detalhes da atividade mostram o número de chamadas bem-sucedidas e malsucedidas. A guia **Endereços IP observados** também mostra a localização de cada endereço IP.
+ Cada entrada mostra informações sobre quem fez as chamadas. Para contas, os detalhes da atividade identificam os usuários ou as funções. Para funções, os detalhes da atividade identificam as sessões de função. Para usuários e sessões de funções, os detalhes da atividade identificam os identificadores da chave de acesso (AKIDs).

  Observe que, a partir de 14 de julho de 2021, para perfis de conta, os detalhes da atividade mostram usuários ou funções em vez de AKIDs. Para perfis de função, os detalhes da atividade mostram sessões de função em vez de AKIDs. Para atividades que ocorreram antes de 14 de julho de 2021, o chamador é listado como **Recurso desconhecido**.

Os detalhes da atividade contêm as seguintes guias:

**Endereços IP observados**  
Inicialmente, exibe a lista de endereços IP usados para emitir chamadas de API.  
Você pode expandir cada endereço IP para exibir a lista de chamadas de API emitidas a partir desse endereço IP. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  
Em seguida, você pode expandir cada chamada de API para exibir a lista de chamadores desse endereço IP. Dependendo do perfil, o chamador pode ser um usuário, função, sessão de função ou AKID.  

![\[Visualização da guia Endereços IP observados do painel Volume geral de chamadas da API, com uma entrada expandida para mostrar a hierarquia de endereços IP, chamadas de API e. AKIDs As chamadas de API são agrupadas por serviço.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**Método de API por serviço**  
Inicialmente, exibe a lista de chamadas de API que foram emitidas. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  
Você pode expandir cada método de API para exibir a lista de endereços IP dos quais as chamadas foram emitidas.  
Em seguida, você pode expandir cada endereço IP para exibir a lista das AKIDs chamadas de API emitidas a partir desse endereço IP.  

![\[Visualização do método de API por guia de serviço do painel Volume geral de chamadas de API, com uma entrada expandida para mostrar a hierarquia de chamadas de API, endereços IP e. AKIDs As chamadas de API são agrupadas por serviço.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**Recurso ou ID da chave de acesso**  
Inicialmente, exibe a lista de usuários, funções, sessões de função ou AKIDs que foram usados para emitir chamadas de API.  
Você pode expandir cada chamador para exibir a lista de endereços IP dos quais as chamadas de API foram emitidas.  
Em seguida, você pode expandir cada endereço IP para exibir a lista de chamadas de API emitidas a partir desse endereço IP por esse chamador. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  

![\[Visualização da guia Recursos do painel Volume geral de chamadas da API, com uma entrada expandida para mostrar a hierarquia de AKIDs endereços IP e chamadas de API agrupados por serviço.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Conteúdo dos detalhes da atividade (endereços IP)
<a name="drilldown-api-volume-content-ip"></a>

Para endereços IP, os detalhes da atividade contêm as seguintes informações:
+ Cada guia fornece informações sobre o conjunto de chamadas de API que foram emitidas durante o intervalo de tempo selecionado. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.
+ Para cada entrada, os detalhes da atividade mostram o número de chamadas bem-sucedidas e malsucedidas.

Os detalhes da atividade contêm as seguintes guias:

**Recurso**  
Inicialmente, exibe a lista de recursos que emitiram chamadas de API a partir do endereço IP.  
Para cada recurso, a lista inclui o nome, o tipo e a conta da AWS do recurso.  
Você pode expandir cada recurso para exibir a lista de chamadas de API emitidas pelo recurso a partir desse endereço IP. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  

![\[Visualização da guia Recurso dos detalhes da atividade no painel de perfil Volume geral de chamadas de API para um endereço IP.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**Método de API por serviço**  
Inicialmente, exibe a lista de chamadas de API que foram emitidas. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  
Você pode expandir cada chamada de API para exibir a lista de recursos que emitiram a chamada de API a partir do endereço IP durante o período selecionado.  

![\[Visualização da guia Método de API por serviço dos detalhes da atividade no painel de perfil Volume geral de chamadas de API para um endereço IP.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Classificar os detalhes da atividade
<a name="drilldown-api-volume-sort"></a>

Você pode classificar os detalhes da atividade por qualquer uma das colunas da lista.

Ao classificar usando a primeira coluna, somente a lista de nível superior é classificada. As listas de nível inferior são sempre classificadas pela contagem de chamadas de API bem-sucedidas.

## Filtrar os detalhes da atividade
<a name="drilldown-api-volume-filter"></a>

Você pode usar as opções de filtragem para se concentrar em subconjuntos ou aspectos específicos da atividade representados nos detalhes da atividade.

Em todas as guias, você pode filtrar a lista por qualquer um dos valores na primeira coluna.

**Para adicionar um filtro**

1. Escolha a caixa de filtro.

1. Em **Propriedades**, escolha a propriedade a ser usada para a filtragem.

1. Forneça o valor a ser usado para a filtragem. O filtro comporta valores parciais. Por exemplo, ao filtrar por método de API, se você filtrar por **Instance**, os resultados incluem qualquer operação de API que tenha `Instance` em seu nome. Então, ambos `ListInstanceAssociations` e `UpdateInstanceInformation` corresponderiam.

   Para nomes de serviços, métodos de API e endereços IP, você pode especificar um valor ou escolher um filtro incorporado.

   Para **Substrings comuns de API**, escolha a substring que representa o tipo de operação, tal como `List`, `Create` ou `Delete`. Cada nome de método de API começa com o tipo de operação.

   Para **Padrões CIDR**, você pode optar por incluir somente endereços IP públicos, endereços IP privados ou endereços IP que correspondam a um padrão CIDR específico.

1. **Escolha uma opção booleana *Resource* ou *Service***: Contém** ou\$1 ****: Não contém; *API method* ou *IP address* **= É igual** a ou\$1 : Não é igual** a definir filtros.  
![\[Lista de filtros disponíveis para o filtro de detalhes da atividade.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/api-volume-search.png)

Para remover um filtro, escolha o ícone **x** no canto superior direito.

Para limpar todos os filtros, escolha **Limpar filtro**.

## Selecionar o intervalo de tempo dos detalhes da atividade
<a name="drilldown-api-volume-time-range"></a>

 Ao exibir pela primeira vez os detalhes da atividade, o intervalo de tempo é o escopo de tempo ou um intervalo de tempo selecionado. Você pode alterar o intervalo de tempo dos detalhes da atividade.

**Para alterar o intervalo de tempo dos detalhes da atividade**

1. Escolha **Editar**.

1. Em **Editar janela de tempo**, escolha o horário de início e de término a ser usado.

   Para definir a janela de tempo como o escopo de tempo padrão do perfil, escolha **Definir como o escopo de tempo padrão**.

1. Escolha a **Atualizar janela de tempo**.

O intervalo de tempo dos detalhes da atividade é destacado nos gráficos do painel de perfil.

![\[Janela de tempo destacada para o painel de perfil Volume geral de chamadas de API\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Consultar logs brutos
<a name="query-raw-logs"></a>

O Amazon Detective se integra ao Amazon Security Lake, o que significa que você pode consultar e recuperar os dados de log bruto armazenados pelo Security Lake. Para obter mais detalhes sobre essa interação, consulte [Integração do Amazon Detective com o Amazon Security Lake](securitylake-integration.md).

Usando essa integração, você pode coletar logs e eventos das fontes a seguir, às quais o Security Lake oferece suporte nativo.
+ AWS CloudTrail eventos de gerenciamento versão 1.0 e posteriores
+ Logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC) versão 1.0 e posterior
+ Log de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) versão 2.0

**nota**  
Não há cobranças adicionais pela consulta de logs de dados brutos no Detective. As taxas de uso de outros AWS Serviços, incluindo o Amazon Athena, ainda se aplicam às tarifas publicadas.

**Como consultar logs brutos**

1. Selecione **exibir detalhes do tempo do escopo**. 

1. Neste ponto, você pode começar a **Consultar logs brutos**. 

1. Na tabela de **Visualização do log bruto**, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena. 

   Na tabela Consultar logs brutos, você pode **Cancelar solicitação de consulta**, **Ver resultados no Amazon Athena** e **Baixar resultados** como um arquivo de valores separados por vírgula (.csv). 

Se você ver logs no Detective, mas a consulta não retornou nenhum resultado, existem alguns motivos pelos quais isso pode ter acontecido.
+ Os logs brutos podem ficar disponíveis no Detective antes de aparecerem nas tabelas de log do Security Lake. Tente novamente mais tarde.
+ Os logs podem estar ausentes do Security Lake. Se você esperou por um longo período, isso indica que faltam logs do Security Lake. Entre em contato com o administrador do Security Lake para resolver o problema.

# Detalhes da atividade para uma geolocalização
<a name="profile-panel-drilldown-new-geolocations"></a>

Os detalhes da atividade de **Geolocalizações recém-observadas** mostram as chamadas de API emitidas de uma geolocalização durante o escopo de tempo. As chamadas de API incluem todas as chamadas emitidas a partir da geolocalização. Não estão limitadas às chamadas que usaram a entidade da descoberta ou do perfil. Para buckets do S3, as chamadas da atividade são chamadas de API feitas para o bucket do S3.

Detective determina a localização das solicitações usando bancos de dados GeoIP MaxMind . MaxMind relata uma precisão muito alta de seus dados em nível de país, embora a precisão varie de acordo com fatores como país e tipo de IP. Para obter mais informações sobre MaxMind, consulte [Geolocalização MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). [Se você achar que algum dado do GeoIP está incorreto, você pode enviar uma solicitação de correção para a Maxmind em MaxMind Correct Geo Data. IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)

As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.

Para exibir os detalhes da atividade, realize uma destas ações:
+ No mapa, escolha uma geolocalização.
+ Na lista, escolha **Detalhes** de uma geolocalização.

Os detalhes da atividade substituem a lista de geolocalizações. Para retornar à lista de geolocalizações, escolha **Retornar para todos os resultados**.

Observe que o Detective começou a armazenar e exibir o nome do serviço para chamadas de API a partir de 14 de julho de 2021. Para atividades que ocorreram antes dessa data, o nome do serviço é **Serviço desconhecido**.

## Conteúdo dos detalhes da atividade
<a name="profile-panel-drilldown-geolocation-content"></a>

Cada guia fornece informações sobre todas as chamadas de API emitidas a partir da geolocalização durante o escopo de tempo.

Para cada endereço IP, recurso e método de API, a lista mostra o número de chamadas de API bem-sucedidas e malsucedidas.

Os detalhes da atividade contêm as seguintes guias:

**Endereços IP observados**  
Inicialmente, exibe a lista de endereços IP que foram usados para emitir chamadas de API a partir da geolocalização selecionada.  
Você pode expandir cada endereço IP para exibir os recursos que emitiram chamadas de API a partir desse endereço IP. A lista exibe o nome do recurso. Para ver o ID da entidade principal, passe o mouse sobre o nome.  
Em seguida, você pode expandir cada recurso para exibir as chamadas de API específicas emitidas a partir desse endereço IP por esse recurso. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  

![\[Visualização da guia Endereços IP observados do painel Geolocalizações recém-observadas, com uma entrada expandida para mostrar a hierarquia de endereços IP, recursos e métodos de API.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Recurso**  
Inicialmente, exibe a lista de recursos que emitiram chamadas de API a partir da geolocalização selecionada. A lista exibe o nome do recurso. Para ver a ID da entidade principal, pause no nome. Para cada recurso, a guia **Recurso** também exibe a Conta da AWS associada.  
Você pode expandir cada usuário ou função para exibir a lista de chamadas de API emitidas por esse recurso. As chamadas de API são agrupadas pelos serviços que fizeram as chamadas. Para buckets do S3, o serviço é sempre o Amazon S3. Se o Detective não conseguir determinar o serviço que emitiu uma chamada, a chamada será listada em **Serviço desconhecido**.  
Em seguida, você pode expandir cada chamada de API para exibir a lista de endereços IP dos quais o recurso emitiu a chamada de API.  

![\[Visualização da guia Recurso do painel Geolocalizações recém-observadas, com uma entrada expandida para mostrar a hierarquia de usuário ou função, métodos de API e endereços IP.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Classificar os detalhes da atividade
<a name="drilldown-geolocation-sort"></a>

Você pode classificar os detalhes da atividade por qualquer uma das colunas da lista.

Ao classificar usando a primeira coluna, somente a lista de nível superior é classificada. As listas de nível inferior são sempre classificadas pela contagem de chamadas de API bem-sucedidas.

## Filtrar os detalhes da atividade
<a name="drilldown-geolocation-filter"></a>

Você pode usar as opções de filtragem para se concentrar em subconjuntos ou aspectos específicos da atividade representados nos detalhes da atividade.

Em todas as guias, você pode filtrar a lista por qualquer um dos valores na primeira coluna.

**Para adicionar um filtro**

1. Escolha a caixa de filtro.

1. Em **Propriedades**, escolha a propriedade a ser usada para a filtragem.

1. Forneça o valor a ser usado para a filtragem. O filtro comporta valores parciais. Por exemplo, ao filtrar por método de API, se você filtrar por **Instance**, os resultados incluem qualquer operação de API que tenha `Instance` em seu nome. Então, ambos `ListInstanceAssociations` e `UpdateInstanceInformation` corresponderiam.

   Para nomes de serviços, métodos de API e endereços IP, você pode especificar um valor ou escolher um filtro incorporado.

   Para **Substrings comuns de API**, escolha a substring que representa o tipo de operação, tal como `List`, `Create` ou `Delete`. Cada nome de método de API começa com o tipo de operação.

   Para **Padrões CIDR**, você pode optar por incluir somente endereços IP públicos, endereços IP privados ou endereços IP que correspondam a um padrão CIDR específico.

1. Se você tiver vários filtros, escolha uma opção booliana para definir como esses filtros são conectados.  
![\[Lista de conectores disponíveis entre filtros individuais para o filtro de detalhes da atividade.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Para remover um filtro, escolha o ícone **x** no canto superior direito.

1. Para limpar todos os filtros, escolha **Limpar filtro**.

# Detalhes da atividade para o volume geral de fluxo do VPC
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Para uma instância do EC2, os detalhes da atividade em **Volume geral de fluxo do VPC** mostram as interações entre a instância do EC2 e os endereços IP durante um intervalo de tempo selecionado.

Para um pod do Kubernetes, **Volume geral de fluxo do VPC** exibe o volume geral de bytes que entram e saem do endereço IP atribuído ao pod do Kubernetes para todos os endereços IP de destino. O endereço IP do pod do Kubernetes não é exclusivo quando `hostNetwork:true`. Nesse caso, o painel mostra o tráfego para outros pods com a mesma configuração e o nó que os hospeda.

Para um endereço IP, os detalhes da atividade em **Volume geral de fluxo do VPC** mostram as interações entre o endereço IP e as instâncias do EC2 durante um intervalo de tempo selecionado.

Para exibir os detalhes da atividade para um único intervalo de tempo, escolha o intervalo de tempo no gráfico.

Para exibir os detalhes da atividade do escopo de tempo atual, escolha **Exibir detalhes do escopo de tempo**.

## Conteúdo dos detalhes da atividade
<a name="drilldown-vpc-volume-content"></a>

O conteúdo reflete a atividade durante o intervalo de tempo selecionado.

Para uma instância do EC2, os detalhes da atividade contêm uma entrada para cada combinação exclusiva de endereço IP, porta local, porta remota, protocolo e direção.

Para um endereço IP, os detalhes da atividade contêm uma entrada para cada combinação exclusiva de instância do EC2, porta local, porta remota, protocolo e direção.

Cada entrada exibe o volume do tráfego de entrada, o volume do tráfego de saída e se a solicitação de acesso foi aceita ou rejeitada. Nos perfis de descobertas, a coluna **Anotações** indica quando um endereço IP está relacionado à descoberta atual.

![\[Detalhes da atividade do painel de perfil Volume geral de fluxo do VPC.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Classificar os detalhes da atividade
<a name="drilldown-vpc-volume-sort"></a>

Você pode classificar os detalhes da atividade por qualquer uma das colunas na tabela.

Por padrão, os detalhes da atividade são classificados primeiro pelas anotações e depois pelo tráfego de entrada.

## Filtrar os detalhes da atividade
<a name="drilldown-vpc-volume-filter"></a>

Para se concentrar em uma atividade específica, você pode filtrar os detalhes da atividade pelos seguintes valores:
+ Endereço IP ou instância do EC2
+ Porta local ou remota
+ Direction
+ Protocolo
+ Se a solicitação foi aceita ou rejeitada

**Para adicionar e remover filtros**

1. Escolha a caixa de filtro.

1. Em **Propriedades**, escolha a propriedade a ser usada para a filtragem.

1. Forneça o valor a ser usado para a filtragem. O filtro comporta valores parciais.

   Para filtrar por endereço IP, você pode especificar um valor ou escolher um filtro incorporado.

   Para **Padrões CIDR**, você pode optar por incluir somente endereços IP públicos, endereços IP privados ou endereços IP que correspondam a um padrão CIDR específico.

1. Se você tiver vários filtros, escolha uma opção booliana para definir como esses filtros são conectados.  
![\[Lista de conectores disponíveis entre filtros individuais para o filtro de detalhes da atividade.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Para remover um filtro, escolha o ícone **x** no canto superior direito.

1. Para limpar todos os filtros, escolha **Limpar filtro**.

## Selecionar o intervalo de tempo dos detalhes da atividade
<a name="drilldown-vpc-volume-time-range"></a>

 Ao exibir pela primeira vez os detalhes da atividade, o intervalo de tempo é o escopo de tempo ou um intervalo de tempo selecionado. Você pode alterar o intervalo de tempo dos detalhes da atividade.

**Para alterar o intervalo de tempo dos detalhes da atividade**

1. Escolha **Editar**.

1. Em **Editar janela de tempo**, escolha o horário de início e de término a ser usado.

   Para definir a janela de tempo como o escopo de tempo padrão do perfil, escolha **Definir como o escopo de tempo padrão**.

1. Escolha a **Atualizar janela de tempo**.

O intervalo de tempo dos detalhes da atividade é destacado nos gráficos do painel de perfil.

![\[Janela de tempo destacada para os detalhes da atividade no painel de perfil Volume geral de fluxo do VPC.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Exibir o volume de tráfego das linhas selecionadas
<a name="drilldown-vpc-volume-chart-details"></a>

Ao identificar as linhas de interesse, você pode exibir nos gráficos principais o volume de tráfego dessas linhas ao longo do tempo.

Para cada linha a ser adicionada aos gráficos, marque a caixa de seleção. Para cada linha selecionada, o volume é exibido como uma linha nos gráficos de entrada ou saída.

![\[Tráfego das linhas de detalhes da atividade selecionadas exibidas nos gráficos principais do painel de perfil Volume geral de fluxo do VPC.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Para se concentrar no volume de tráfego das entradas selecionadas, você pode ocultar o volume geral. Para mostrar ou ocultar o volume geral de tráfego, ative **Tráfego geral**.

![\[Tráfego das linhas de detalhes da atividade selecionadas exibidas nos gráficos principais do painel de perfil Volume geral de fluxo do VPC. O tráfego geral está oculto.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Exibir o tráfego de fluxo do VPC para clusters do EKS
<a name="display-traffic-for-eks-clusters"></a>

O Detective tem visibilidade dos seus logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC), que representam o tráfego que atravessa seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS). Para recursos do Kubernetes, o conteúdo dos logs de fluxo do VPC depende do CNI (Container Network Interface) implantado no cluster do EKS.

Um cluster do EKS com uma configuração padrão usa o plugin Amazon VPC CNI. Para obter mais detalhes, consulte [Gerenciar o VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) no **Guia do usuário do Amazon EKS**. O plugin Amazon VPC CNI envia tráfego interno com o endereço IP do pod e traduz o endereço IP de origem para o endereço IP do nó para comunicação externa. O Detective pode capturar e correlacionar o tráfego interno ao pod correto, mas não pode fazer o mesmo com o tráfego externo.

Se você quiser que o Detective tenha visibilidade do tráfego externo de seus pods, habilite a Tradução de endereços de rede de fonte externa (SNAT). A habilitação da SNAT traz limitações e desvantagens. Para obter mais detalhes, consulte [SNAT para pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) no **Guia do usuário do Amazon EKS**.

Se você usa um plugin do CNI diferente, o Detective tem visibilidade limitada aos pods com `hostNetwork:true`. Para esses pods, o painel **Fluxo do VPC** exibe todo o tráfego para o endereço IP do pod. Isso inclui o tráfego para o nó do host e qualquer pod no nó com a configuração `hostNetwork:true`.

O Detective exibe o tráfego no painel **Fluxo do VPC** de um pod do KS para as seguintes configurações de cluster do EKS:
+ Em um cluster com o plugin Amazon VPC CNI, qualquer pod com a configuração `hostNetwork:false` que envia tráfego dentro do VPC do cluster.
+ Em um cluster com o plugin Amazon VPC CNI e a configuração `AWS_VPC_K8S_CNI_EXTERNALSNAT=true`, qualquer pod com `hostNetwork:false` que envia tráfego fora do VPC do cluster.
+ Qualquer pod com a configuração `hostNetwork:true`. O tráfego do nó é misturado com o tráfego de outros pods que têm a configuração `hostNetwork:true`.

O Detective não exibe o tráfego no painel **Fluxo do VPC** para:
+ Em um cluster com o plugin Amazon VPC CNI e a configuração `AWS_VPC_K8S_CNI_EXTERNALSNAT=false`, qualquer pod com a configuração `hostNetwork:false` que envia tráfego fora do VPC do cluster.
+ Em um cluster sem o plugin Amazon VPC CNI para o Kubernetes, qualquer pod com a configuração `hostNetwork:false`.
+ Qualquer pod que envia tráfego para outro pod hospedado no mesmo nó.

## Exibindo o tráfego de fluxo de VPC para Amazon compartilhada VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective tem visibilidade de seus registros de fluxo da Amazon Virtual Private Cloud (Amazon VPC) para compartilhar: VPCs
+ Se uma conta-membro do Detective tiver um Amazon VPC compartilhado e houver outras contas que não são do Detective usando a VPC compartilhada, o Detective monitora todo o tráfego dessa VPC e fornece visualização sobre todo o fluxo de tráfego dentro da VPC. 
+ Se você tiver uma instância do Amazon EC2 dentro de um Amazon VPC compartilhado e o proprietário compartilhado da VPC não for membro do Detective, o Detective não monitorará nenhum tráfego da VPC. Se você quiser visualizar o fluxo de tráfego dentro da VPC, deverá adicionar o proprietário do Amazon VPC como membro do seu gráfico do Detective.

# Atividade geral da API do Kubernetes envolvendo o cluster do EKS
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Os detalhes da atividade em **Atividade geral da API do Kubernetes envolvendo o cluster do EKS** mostram o número de chamadas de API do Kubernetes bem-sucedidas e malsucedidas emitidas durante um intervalo de tempo selecionado.

Para exibir os detalhes da atividade para um único intervalo de tempo, escolha o intervalo de tempo no gráfico.

Para exibir os detalhes da atividade para o escopo de tempo atual, escolha **Exibir detalhes do escopo de tempo**.

## Conteúdo dos detalhes da atividade (cluster, pod, usuário, função, sessão de função)
<a name="drilldown-kubernetes-api-volume-content"></a>

Para um cluster, pod, usuário, função ou sessão de função, os detalhes da atividade contêm as seguintes informações:
+ Cada guia fornece informações sobre o conjunto de chamadas de API que foram emitidas durante o intervalo de tempo selecionado.

  Para clusters, as chamadas de API ocorreram dentro do cluster.

  Para pods, as chamadas de API foram direcionadas ao pod.

  Para usuários, funções e sessões de função, as chamadas de API foram emitidas por usuários do Kubernetes que se autenticaram como esse usuário, função ou sessão de função.
+ Para cada entrada, os detalhes da atividade mostram o número de chamadas bem-sucedidas, malsucedidas, não autorizadas e proibidas.
+ As informações incluem o endereço IP, o tipo de chamada do Kubernetes, a entidade afetada pela chamada e o sujeito (conta de serviço ou usuário) que fez a chamada. A partir dos detalhes da atividade, você pode acessar os perfis do endereço IP, do sujeito e da entidade afetada.

Os detalhes da atividade contêm as seguintes guias:

**Sujeito**  
Inicialmente, exibe a lista de contas de serviço e usuários que foram usados para fazer chamadas de API.  
Você pode expandir cada conta de serviço e usuário para exibir a lista de endereços IP a partir dos quais a conta ou o usuário fez chamadas de API.  
Em seguida, você pode expandir cada endereço IP para mostrar as chamadas de API do Kubernetes que foram feitas por essa conta ou usuário a partir desse endereço IP.   
Expanda a chamada de API do Kubernetes para ver a `requestURI ` e identificar a ação realizada.  

![\[Visualização da guia Sujeitos do painel Volume geral de chamadas de API do Kubernetes, com uma entrada expandida para mostrar a hierarquia de endereços IP e chamadas de API.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/kube-subject-drilldown.png)


**Endereço IP**  
Inicialmente, exibe a lista de endereços IP a partir dos quais as chamadas de API foram emitidas.  
Você pode expandir cada chamada para exibir a lista de sujeitos do Kubernetes (contas de serviço e usuários) que fizeram a chamada.  
Em seguida, você pode expandir cada sujeito para exibir a lista de tipos de chamadas de API feitas pelo sujeito durante o escopo de tempo.  
Expanda o tipo de chamada de API para ver a requestURI e identificar a ação realizada.  

![\[Visualização da guia Endereço IP do painel de volume geral de chamadas da API Kubernetes, com uma entrada expandida para mostrar a hierarquia de chamadas de API, endereços IP e. AKIDs As chamadas de API são agrupadas por serviço.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/kube-ip-drilldown.png)


**Chamada de API do Kubernetes**  
Inicialmente, exibe a lista de verbos de chamadas de API do Kubernetes.  
Você pode expandir cada verbo da API para exibir a solicitação URIs associada a essa ação.  
Em seguida, você pode expandir cada requestURI para ver os sujeitos do Kubernetes (contas de serviço e usuários) que fizeram a chamada.  
Expanda o assunto para ver IPs qual assunto foi usado para fazer a chamada à API.  

![\[Visualização da guia Recursos do painel Volume geral de chamadas da API, com uma entrada expandida para mostrar a hierarquia de AKIDs endereços IP e chamadas de API agrupados por serviço.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Classificar os detalhes da atividade
<a name="drilldown-kubernetes-api-volume-sort"></a>

Você pode classificar os detalhes da atividade por qualquer uma das colunas da lista.

Ao classificar usando a primeira coluna, somente a lista de nível superior é classificada. As listas de nível inferior são sempre classificadas pela contagem de chamadas de API bem-sucedidas.

## Filtrar os detalhes da atividade
<a name="drilldown-kubernetes-api-volume-filter"></a>

Você pode usar as opções de filtragem para se concentrar em subconjuntos ou aspectos específicos da atividade representados nos detalhes da atividade.

Em todas as guias, você pode filtrar a lista por qualquer um dos valores na primeira coluna.

## Selecionar o intervalo de tempo dos detalhes da atividade
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Ao exibir pela primeira vez os detalhes da atividade, o intervalo de tempo é o escopo de tempo ou um intervalo de tempo selecionado. Você pode alterar o intervalo de tempo dos detalhes da atividade.

**Para alterar o intervalo de tempo dos detalhes da atividade**

1. Escolha **Editar**.

1. Em **Editar janela de tempo**, escolha o horário de início e de término a ser usado.

   Para definir a janela de tempo como o escopo de tempo padrão do perfil, escolha **Definir como o escopo de tempo padrão**.

1. Escolha a **Atualizar janela de tempo**.

O intervalo de tempo dos detalhes da atividade é destacado nos gráficos do painel de perfil.

![\[Janela de tempo destacada para o painel de perfil Volume geral de chamadas de API\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Usar a orientação do painel de perfil durante uma investigação
<a name="profile-panel-guidance"></a>

Cada painel de perfil é projetado para fornecer respostas a perguntas específicas que surgem à medida que você conduz uma investigação e analisa a atividade das entidades relacionadas.

A orientação fornecida para cada painel de perfil ajuda você a encontrar essas respostas.

A orientação do painel de perfil começa com uma única frase no próprio painel. Essa orientação fornece uma breve explicação dos dados apresentados no painel.

Para exibir orientações mais detalhadas em um painel, escolha **Mais informações** no cabeçalho do painel. Essa orientação estendida aparece no painel de ajuda.

A orientação pode fornecer estes tipos de informações:
+ Uma visão geral do conteúdo do painel
+ Como usar o painel para responder às perguntas relevantes
+ Próximas etapas sugeridas com base nas respostas

# Gerenciar o escopo de tempo
<a name="scope-time-managing"></a>

Personalize o escopo de tempo usado para limitar os dados exibidos nos perfis de entidades.

Os gráficos, cronogramas e outros dados exibidos nos perfis de entidades são todos baseados no escopo de tempo atual. O escopo de tempo é o resumo da atividade de uma entidade ao longo do tempo. Essa informação aparece no canto superior direito de cada perfil no console do Amazon Detective. Os dados exibidos nesses gráficos, cronogramas e outras visualizações são baseados no escopo de tempo. Para alguns painéis de perfil, um tempo adicional é adicionado antes e depois do escopo de tempo para fornecer contexto. No Detective, todos os carimbos de data/hora são exibidos em UTC por padrão. Você pode selecionar seu fuso horário local alterando as **Preferências do carimbo de data/hora**. Para atualizar a **Preferência de carimbo de data/hora**, consulte [Definir o formato do carimbo de data/hora](profile-panel-preferences.md#profile-panel-preferences-timestamp).

As análises do Detective usam o escopo de tempo ao verificar atividades incomuns. O processo de análise obtém a atividade durante o escopo de tempo e a compara à atividade durante os 45 dias anteriores ao escopo de tempo. Também usa esse período de 45 dias para gerar linhas de base de atividade. 

Na visão geral de uma descoberta, o escopo de tempo reflete a primeira e a última vez em que a descoberta foi observada. Para obter mais informações sobre a visão geral de uma descoberta, consulte [Analisando uma visão geral da descoberta em Detective](finding-overview.md).

Ao realizar uma investigação, você pode ajustar o escopo de tempo. Por exemplo, se a análise original se baseou na atividade de um único dia, você pode expandi-la para uma semana ou um mês. O período expandido pode ajudá-lo a ter uma ideia melhor sobre se a atividade se encaixa em um padrão normal ou é incomum.

Você também pode definir o escopo de tempo para corresponder uma descoberta associada à entidade atual.

Ao alterar o escopo de tempo, o Detective repete sua análise e atualiza os dados exibidos com base no novo escopo de tempo.

O escopo de tempo não pode ser menor do que uma hora nem maior do que um ano. O horário de início e o horário de término devem ser em uma hora.

## Definir datas e horários de início e de término específicos
<a name="scope-time-select-date"></a>

Você pode definir as datas de início e término do escopo de tempo no console do Detective.

**Para definir horários de início e término específicos do novo escopo de tempo**

1. Abra o console do Amazon Detective em [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. No perfil de uma entidade, escolha o escopo de tempo.

1. No painel **Editar escopo de tempo**, em **Início**, escolha a nova data e hora de início do escopo de tempo. Para o novo horário de início, você escolhe somente a hora.

1. Em **Término**, escolha a nova data e hora de término do escopo de tempo. Para o novo horário de término, você escolhe somente a hora. O horário de término deve ser pelo menos uma hora depois do horário de início.

1. Ao terminar de editar, para salvar as alterações e atualizar os dados exibidos, escolha **Atualizar escopo de tempo**.

## Editar a duração do escopo de tempo
<a name="scope-time-select-length"></a>

Ao definir a duração do escopo de tempo, o Detective define o escopo de tempo para essa quantidade de tempo a partir da hora atual.

**Para editar a duração do escopo de tempo**

1. Abra o console do Amazon Detective em [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. No perfil de uma entidade, escolha o escopo de tempo.

1. No painel **Editar escopo de tempo**, ao lado de **Histórico**, escolha a duração do escopo de tempo.

   A especificação de um intervalo de tempo atualiza as configurações de **Início** e **Término**.

1. Ao terminar de editar, para salvar as alterações e atualizar os dados exibidos, escolha **Atualizar escopo de tempo**.

## Definir o escopo de tempo para a janela de tempo de uma descoberta
<a name="scope-time-align-to-finding"></a>

Cada descoberta tem uma janela de tempo associada, que reflete a primeira e a última vez em que a descoberta foi observada. Ao visualizar a visão geral de uma descoberta, o escopo de tempo muda para a janela de tempo da descoberta.

No perfil de uma entidade, você pode alinhar o escopo de tempo à janela de tempo de uma descoberta associada. Isso permite que você investigue a atividade que ocorreu durante esse período.

Para alinhar o escopo de tempo à janela de tempo de uma descoberta, no painel **Descobertas associadas**, escolha a descoberta que você deseja usar.

O Detective preenche os detalhes da descoberta e define o escopo de tempo para a janela de tempo da descoberta.

## Definir o escopo de tempo na página Resumo
<a name="scope-time-summary-page"></a>

Ao revisar a página **Resumo**, você pode ajustar o escopo de tempo para visualizar a atividade em qualquer período de 24 horas nos últimos 365 dias.

Para definir o escopo de tempo na página Resumo

1. Abra o console do Amazon Detective em [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. No painel de navegação do Detective, escolha **Resumo**. 

1. No painel **Escopo de tempo**, ao lado de **Resumo**, você pode alterar a **Data e hora de início**. A hora de início deve estar nos últimos 365 dias.

   Ao alterar a **Data e hora de início**, a **Data e hora de término** é atualizada automaticamente para 24 horas após a hora de início escolhida.
**nota**  
Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Para obter mais informações sobre os dados de origem no Detective, consulte [Dados de origem usados em um gráfico de comportamento](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

1. Ao terminar de editar, para salvar as alterações e atualizar os dados exibidos, escolha **Atualizar escopo de tempo**.

# Visualizando detalhes das descobertas associadas no Detective
<a name="entity-finding-list"></a>

Cada perfil de entidade contém um painel de descobertas associadas que lista as descobertas que envolveram a entidade durante o escopo de tempo atual. Uma indicação de que uma entidade foi comprometida é seu envolvimento em várias descobertas. Os tipos de descobertas também podem fornecer informações sobre o tipo de atividade com a qual se preocupar.

O painel de descobertas associadas é exibido imediatamente abaixo do painel de perfil de detalhes da entidade.

Para cada descoberta, a tabela inclui as seguintes informações:
+ O título da descoberta, que também é um link para a visão geral da descoberta.
+ A AWS conta associada à descoberta, que também é um link para o perfil da conta
+ O tipo da descoberta.
+ A primeira vez em que a descoberta foi observada.
+ A última vez em que a descoberta foi observada.
+ A severidade da descoberta.

Para exibir os detalhes da descoberta, escolha o botão de opção da descoberta. O Detective preenche o painel de detalhes da descoberta à direita da página. Também altera o escopo de tempo para ser a janela de tempo da descoberta. Isso permite que você se concentre nas atividades que ocorreram durante esse período.

Se você navegou até o perfil da entidade a partir da visão geral de uma descoberta, essa descoberta será selecionada automaticamente e seus detalhes serão exibidos.

Nos detalhes da descoberta, para voltar à visão geral, escolha **Ver todas as entidades relacionadas**.

Você também pode arquivar a descoberta. Para obter mais detalhes, consulte [Arquivando uma GuardDuty descoberta da Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).

# Visualizando detalhes de entidades de alto volume no Detective
<a name="high-volume-entities"></a>

No [gráfico de comportamento](behavior-graph-data-about.md), o Amazon Detective rastreia os relacionamentos entre entidades. Por exemplo, cada gráfico de comportamento rastreia quando um AWS usuário cria uma AWS função e quando uma instância do EC2 se conecta a um endereço IP.

Quando uma entidade tem muitos relacionamentos durante um período de tempo, o Detective não pode armazenar todos os relacionamentos. Quando isso ocorre durante o escopo de tempo atual, o Detective notifica você. O Detective também fornece uma lista de ocorrências de entidades de alto volume.

## O que é uma entidade de alto volume?
<a name="high-volume-entity-about"></a>

Durante um determinado intervalo de tempo, uma entidade pode ser a origem ou o destino de um número extremamente grande de conexões. Por exemplo, uma instância do EC2 pode ter conexões a partir de milhões de endereços IP.

O Detective mantém um limite no número de conexões que ele pode acomodar durante cada intervalo de tempo. Se uma entidade exceder esse limite, o Detective descarta as conexões desse intervalo de tempo.

Por exemplo, suponha que o limite seja de 100.000.000 de conexões por intervalo de tempo. Se uma instância do EC2 for conectada a mais de 100.000.000 de endereços IP durante um intervalo de tempo, o Detective descartará as conexões desse intervalo de tempo.

No entanto, talvez você consiga analisar essa atividade com base na entidade do outro lado do relacionamento. Para continuar o exemplo, embora uma instância do EC2 possa estar conectada a partir de milhões de endereços IP, um único endereço IP se conecta a muito menos instâncias do EC2. Cada perfil de endereço IP fornece detalhes sobre as instâncias do EC2 às quais o endereço IP está conectado.

## Visualizar a notificação de entidade de alto volume em um perfil
<a name="high-volume-entity-profile-notification"></a>

O Detective exibe um aviso na parte superior de uma descoberta ou de um perfil de entidade se o escopo de tempo incluir um intervalo de tempo em que a entidade tiver alto volume. Para os perfis de descobertas, o aviso é para a entidade envolvida.

O aviso inclui a lista de relacionamentos com intervalos de tempo de alto volume. Cada entrada da lista contém uma descrição do relacionamento e o início do intervalo de tempo de alto volume.

Um intervalo de tempo de alto volume pode ser um indicador de atividade suspeita. Para entender quais outras atividades ocorreram ao mesmo tempo, você pode concentrar sua investigação em um intervalo de tempo de alto volume. O aviso de entidade de alto volume inclui uma opção para definir o escopo de tempo para esse intervalo de tempo.

**Para definir o escopo de tempo para um intervalo de tempo de alto volume**

1. No aviso de entidade de alto volume, escolha o intervalo de tempo.

1. No menu pop-up, escolha **Aplicar escopo de tempo**.

## Visualizar a lista de entidades de alto volume para o escopo de tempo atual
<a name="high-volume-entity-list"></a>

A página **Entidades de alto volume** contém uma lista de intervalos de tempo e entidades de alto volume durante o escopo de tempo atual.

**Para exibir a página de entidades de alto volume**

1. Abra o console do Amazon Detective em [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. No painel de navegação do Detective, escolha **Entidades de alto volume**.

Cada item da lista contém as seguintes informações:
+ O início do intervalo de tempo de alto volume
+ O identificador e o tipo de entidade
+ A descrição do relacionamento, tal como “instância do EC2 conectada a partir do endereço IP”

É possível filtrar e ordenar a lista por qualquer uma das colunas. Você também pode navegar até o perfil da entidade envolvida.

**Para navegar até o perfil de uma entidade**

1. Na lista de **Entidades de alto volume**, escolha a linha a partir da qual navegar.

1. Escolha **Visualizar perfil com escopo de tempo de alto volume**.

Quando você usa essa opção para navegar até o perfil de uma entidade, o escopo de tempo é definido da seguinte forma:
+ O escopo de tempo começa 30 dias antes do intervalo de tempo de alto volume.
+ O escopo de tempo termina no final do intervalo de tempo de alto volume.