本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Detective 行为图中使用的源数据
<a name="detective-source-data-about"></a>

要填充行为图，Amazon Detective 会使用来自行为图管理员账户和成员账户的源数据。

使用 Detective，您最多可以访问一年的历史事件数据。这些数据可通过一组可视化图表显示，在选定的时间窗口内，活动的类型和数量发生了变化。Detective 将这些变化与 GuardDuty 调查结果联系起来。

![\[该图显示了行为图如何使用管理员账户和成员账户的数据，以及如何使用行为图数据结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/diagram_graph_structure_overview.png)


有关行为图数据结构的详细信息，请参阅《Detective 用户指南》中的[行为图数据结构概述](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html)**。

## Detective 中的核心数据来源类型
<a name="source-data-types"></a>

Detective 从以下类型的 AWS 日志中提取数据：
+ AWS CloudTrail 日志 
+ Amazon Virtual Private Cloud (Amazon VPC) 流日志 
  + 同时摄取 IPv4 和 IPv6 记录，但不采集由 Elastic Fabric Adapters 生成的 MAC 记录。
  + 当`log-status`字段的值处于`OK`状态时提取日志记录。有关更多信息，请参阅 Amazon VPC 用户指南中的[流日志记录](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)。
  +  VPCs 仅提取在这些实例中运行的 Amazon Elastic Compute Cloud 实例生成的流日志。不使用其他资源，例如 NAT 网关、RDS 实例或 Fargate 集群。
  + 提取已接受和已拒绝的流量。
+ 对于注册的账户，Detective 还会摄取 GuardDuty 调查结果。 GuardDuty

Detective 使用独立 CloudTrail 和重复的流和 VPC 流日志和 VPC 流日志来消耗和 CloudTrail VPC 流日志事件。这些流程不会影响或使用您的现有 CloudTrail 和 VPC 流日志配置。它们也不会影响这些服务的性能或增加费用。

## Detective 中可选数据来源的类型
<a name="source-data-types-optional"></a>

除了 Detective 核心包中提供的三个数据源（核心包包括 AWS CloudTrail 日志、VPC 流日志和 GuardDuty调查结果）外，Detective 还提供可选的源包。可随时启动或停止行为图的可选数据来源包。

Detective 为每个区域的所有核心和可选源包提供 30 天的免费试用。

**注意**  
Detective 会保留从每个数据来源包收到的所有数据，最多保留 1 年。

目前提供以下可选源包：
+ **EKS 审计日志**

  该可选的数据来源包允许 Detective 摄取环境中 EKS 集群的详细信息，并将这些数据添加到行为图中。Detective 将用户活动与 AWS CloudTrail 管理事件关联起来，将网络活动与 Amazon VPC 流日志关联起来，而无需您手动启用或存储这些日志。有关详细信息，请参阅 [亚马逊 EKS 审核日志](source-data-types-EKS.md)。
+ **AWS 安全调查结果**

  这个可选的数据源包允许 Detective 从 Security Hub CSPM 提取数据，并将这些数据添加到你的行为图中。有关详细信息，请参阅 [**AWS 安全调查结果**](source-data-types-asff.md)。

****启动或停止可选数据来源：****

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 从**设置**下的导航面板选择**常规**。

1. 在**可选源包**下，选择**更新**。然后选择要启用的数据来源，或取消选择已启用数据来源的复选框，并选择**更新**来更改已启用的数据来源包。

**注意**  
如果停止并重新启动可选数据来源，某些实体配置文件上显示的数据会出现空白。控制台显示屏上将显示这一空白，代表数据来源停止的时间段。重新启动数据来源时，Detective 不会追溯摄取数据。

# 亚马逊 EKS 审核日志
<a name="source-data-types-EKS"></a>

Amazon EKS 审计日志是一个可选的数据来源包，可以添加到 Detective 行为图中。可以通过控制台的**设置**页面或 Detective API 查看可用的可选源包及其在账户中的状态。

该数据来源提供 30 天免费试用。要了解更多信息，请参阅[可选数据来源的免费试用](free-trial-overview.md#free-trial-datasource)。

启用 Amazon EKS 审计日志后，Detective 就可以在行为图中添加有关使用 Amazon EKS 创建的资源的深入信息。该数据来源增强了所提供的有关以下实体类型的信息：EKS 集群、Kubernetes 容器组（pod）、容器映像和 Kubernetes 主题。

此外，如果您已在 Amazon 中启用 EKS 审计日志作为数据源， GuardDuty 则可以从中查看 Kubernetes 调查结果的详细信息。 GuardDuty有关启用此数据源的更多信息， GuardDuty 请参阅亚马逊中的 [Kubernetes 保护。 GuardDuty](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html)

**注意**  
2022 年 7 月 26 日之后创建的新行为图默认启用此数据来源。对于 2022 年 7 月 26 日之前创建的行为图，必须手动启用。

****添加或删除作为可选数据来源的 Amazon EKS 审计日志：****

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 从**设置**下的导航面板选择**常规**。

1. 在**源包**下，选择 **EKS 审计日志**以启用此数据来源。如果已启用，请再次选择，停止将 **EKS 审计日志**摄取到行为图中。

# **AWS 安全调查结果**
<a name="source-data-types-asff"></a>

**AWS 安全调查结果**是一个可选的数据源包，可以添加到你的 Detective 行为图中。

可以通过控制台的设置页面或 Detective API 查看可用的可选源包及其在账户中的状态。

该数据来源提供 30 天免费试用。要了解更多信息，请参阅[可选数据来源的免费试用](free-trial-overview.md#free-trial-datasource)。

启用**AWS 安全调查结果**允许 Detective 使用由 Security Hub 从上游服务中汇总的 Security Hub CSPM 中发现的结果，采用一种名为 AWS 安全格式 (ASFF) 的标准调查结果格式，从而无需进行耗时的数据转换工作。然后，它将从各个产品摄取的调查发现进行关联，以确定最重要问题的优先级。

****添加或删除 AWS 安全发现作为可选数据源：****
**注意**  
2023 年 5 月 16 日之后创建的新行为图默认启用 AWS 安全发现数据源。对于 2023 年 5 月 16 日之前创建的行为图，必须手动启用。

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 从**设置**下的导航面板选择**常规**。

1. 在 “**源包**” 下，选择 AWS 安全发现以启用此数据源。如果已启用，请再次选择，停止将 AWS 安全调查发现格式 (ASFF) 调查发现摄取到行为图中。

## 目前支持的调查发现
<a name="currently-supported-findings"></a>

Detective 从亚马逊拥有的服务中提取了 Security Hub CSPM 中的所有 ASFF 调查结果，或者。 AWS
+ 要查看支持的服务集成列表，请参阅 AWS Security Hub 用户指南中的[可用的 AWS 服务集成。](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html)
+ 有关支持的资源列表，请参阅《 AWS Security Hub 用户指南》中的[资源](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html)。
+ AWS 未将合规状态设置为`FAILED`且跨区域汇总结果的服务调查结果不会被采集。

## Detective 如何摄取和存储源数据
<a name="source-data-storage"></a>

启用 Detective 后，Detective 会开始从行为图管理员账户摄取源数据。当成员账户被添加到行为图中时，Detective 也开始使用来自这些成员账户的数据。

Detective 源数据由结构化和经过处理的原始信息源版本组成。为了支持 Detective 分析，Detective 会存储 Detective 源数据的副本。

Detective 将流程信息源数据摄取到 Detective 源数据存储中的 Amazon Simple Storage Service (Amazon S3) 存储桶中。当新的源数据到达时，其他 Detective 组件会接收数据并开始提取和分析流程。有关更多信息，请参阅《Detective 用户指南》中的 [Detective 如何使用源数据填充行为图](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html)**。

## Detective 如何执行行为图的数据量配额
<a name="data-volume-enforcement"></a>

Detective 对每个行为图的数据量都有严格的配额限制。数据量是指每天流入 Detective 行为图的数据量。

当管理员账户启用 Detective 和成员账户接受邀请加入行为图时，Detective 就会执行这些配额。
+ 如果管理员账户每天的数据量超过 10 TB，则管理员账户无法启用 Detective。
+ 如果成员账户增加的数据量会导致行为图每天超过 10 TB，则无法启用该成员账户。

行为图的数据量也可以随着时间的推移而自然增长。Detective 每天都会检查行为图的数据量，确保其不超过配额。

如果行为图数据量接近配额，Detective 会在控制台显示一条警告消息。为避免超出配额，可以删除成员账户。

如果行为图数据量每天超过 10 TB，则无法在行为图中添加新的成员账户。

如果行为图数据量每天超过 15 TB，则 Detective 就会停止向行为图中摄取数据。每天 15 TB 的配额既反映了正常的数据量，也反映了数据量的峰值。达到此配额后，不会向行为图摄取任何新数据，但不会删除现有数据。仍可以使用这些历史数据进行调查。控制台会显示一条消息，说明行为图的数据摄取已暂停。

如果数据采集已暂停，则必须与合作 支持 才能将其重新启用。如果可能，在联系之前 支持，请尝试删除成员帐户，以使数据量低于配额。这样就能更轻松地重新启用行为图的数据摄取。