本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 分析 Amazon Detective 中的实体
实体是从源数据中提取的单个对象。示例包括特定的 IP 地址、Amazon EC2 实例或 AWS 账户。有关实体类型的列表,请参阅[行为图数据结构中的实体类型](graph-data-structure-overview.md#entity-types)。
Amazon Detective 实体配置文件是一个单独页面,提供有关该实体及其活动的详细信息。您可能会使用实体配置文件来获取调查发现的支持详情,或作为一般可疑活动搜寻的一部分。
**Topics**
+ [使用实体配置文件](using-entity-profiles.md)
+ [查看 Detective 个人资料面板并与之互动](profile-panels.md)
+ [直接导航到实体配置文件或调查发现概述](navigate-to-profile.md)
+ [从配置文件面板转到另一个控制台](profile-panel-console-links.md)
+ [在配置文件面板上浏览活动详细信息](profile-panel-drilldown.md)
+ [管理范围时间](scope-time-managing.md)
+ [在 Detective 中查看相关发现的详细信息](entity-finding-list.md)
+ [在 Detective 中查看大量实体的详细信息](high-volume-entities.md)
# 使用实体配置文件
您执行以下操作之一时,就会显示实体配置文件:
+ 在 Amazon GuardDuty 控制台中,选择调查与所选调查结果相关的实体的选项。
请参阅[转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)。
+ 前往 Detective 网址查看实体配置文件。
请参阅[使用网址导航到实体配置文件或调查发现概述](navigate-to-profile.md#profile-navigate-url)。
+ 使用 Detective 控制台中的 Detective 搜索来查找实体。
+ 从其他实体配置文件或调查发现概述中选择指向实体配置文件的链接。
## 实体配置文件的范围时间
在不提供范围时间的情况下直接导航到实体配置文件时,范围时间将设置为前 24 小时。
从另一个实体配置文件导航到实体配置文件时,当前选择的范围时间保持不变。
从调查发现概述导航到实体配置文件时,范围时间会设置为调查发现时间窗口。
有关自定义范围时间以限制实体配置文件上显示的数据的信息,请参阅[管理范围时间](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html)。
## 实体的标识符和类型
配置文件的顶部是实体标识符和实体类型。每种实体类型都有一个对应的图标,以提供配置文件类型的可视指示。
## 涉及的调查发现
每个配置文件都包含该实体在范围时间期间涉及的调查发现的列表。
您可以查看每个调查发现的详细信息,更改范围时间以反映调查发现的时间窗口,并进入调查发现概述以查找其他相关资源。
请参阅[在 Detective 中查看相关发现的详细信息](entity-finding-list.md)。
## 涉及该实体的调查发现群组
每个配置文件都包含一个实体所属的调查发现群组列表。
调查发现群组由 Detective 收集到的调查发现、实体和证据组成,为可能存在的安全问题提供更多上下文信息。
有关调查发现群组的更多信息,请参阅[分析调查发现群组](groups-about.md)。
## 包含实体详细信息和分析结果的配置文件面板
每个实体配置文件都包含一组或多个选项卡。每个选项卡都包含一个或多个配置文件面板。每个配置文件面板都包含由行为图数据生成的文本和可视化内容。特定的选项卡和配置文件面板是根据实体类型量身定制的。
对于大多数实体,第一个选项卡顶部的面板会提供有关该实体的高级摘要信息。
其他配置文件面板则突出显示了不同类型的活动。对于涉及调查发现的实体,实体配置文件面板上的信息可提供更多支持证据,帮助完成调查。每个配置文件面板都提供有关如何使用信息的指导。有关更多信息,请参阅 [在调查期间使用配置文件面板指南](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance)。
有关配置文件面板、其中包含的数据类型以及与之交互的可用选项的更多详细信息,请参阅[查看 Detective 个人资料面板并与之互动](profile-panels.md)。
## 在实体配置文件中导航
一个实体配置文件都包含一组或多个选项卡。每个选项卡都包含一个或多个配置文件面板。每个配置文件面板都包含由行为图数据生成的文本和可视化内容。
当您向下滚动浏览配置文件选项卡时,以下信息仍显示在配置文件顶部:
+ 实体类型
+ 实体标识符
+ 范围时间
![\[带有可用选项卡菜单的配置文件标题。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_header_tab_menu.png)
# 查看 Detective 个人资料面板并与之互动
Amazon Detective 控制台上的每个实体配置文件都由一组配置文件面板组成。配置文件面板是一种可视化工具,可提供一般详细信息或突出显示与实体关联的特定活动。配置文件面板使用不同类型的可视化方式来呈现不同类型的信息。它们还可以提供指向其他详细信息或其他配置文件的链接。
每个配置文件面板都旨在帮助分析人员找到有关实体及其关联活动的特定问题的答案。这些问题的答案有助于得出关于该活动是否构成真正威胁的结论。
配置文件面板使用不同类型的可视化方式来呈现不同类型的信息。
## 配置文件面板上的信息类型
配置文件面板通常提供以下类型的数据。
| 面板数据类型 | 描述 |
| --- | --- |
| 有关调查发现或实体的高级信息 | 最简单的面板类型提供了有关实体的一些基本信息。 信息面板上包含的信息示例包括标识符、名称、类型和创建日期。 ![\[包含有关实体的高级信息的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_item_details.png) 大多数实体配置文件都包含该实体的信息面板。 |
| 一段时间内活动的总结概括 | 显示实体一段时间内活动的总结概括。 这种类型的面板可以全面了解实体在范围事件期间的行为。 ![\[包含实体一段时间内活动概述的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) 以下是 Detective 配置文件面板上提供的一些摘要数据示例: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/profile-panels.html) |
| 按值分组的活动摘要 | 显示按特定值分组的实体活动摘要。 您可以在EC2实例的配置文件上看到这种类型的配置文件面板。配置文件面板显示与特定服务类型关联的常用端口往返EC2实例的平均VPC流日志数据量。 ![\[显示按特定值分组的活动摘要的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png) |
| 仅在范围时间内开始的活动 | 在调查期间,了解哪些活动是在特定的时间范围内才开始发生的,这一点非常重要。 例如,是否有以前从未见过的API电话、地理位置或用户代理? ![\[突出显示范围时间之前未观察到的活动的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) 如果行为图仍处于训练模式,则配置文件面板会显示一条通知消息。当行为图积累了至少两周的数据后,该信息就会被删除。有关训练模式的更多信息,请参阅[新 Detective 行为图的培训期](detective-data-training-period.md)。 |
| 在范围时间期间发生显著变化的活动 | 与新的活动面板类似,配置文件面板也可以显示范围时间期间发生重大变化的活动。 例如,用户可能每周定期API拨打几次电话。如果同一用户突然在一天内多次发出相同的调用,这可能是发生恶意活动的证据。 ![\[显示在范围时间期间发生显著变化活动的配置文件面板的示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) 如果行为图仍处于训练模式,则配置文件面板会显示一条通知消息。当行为图积累了至少两周的数据后,该信息就会被删除。有关训练模式的更多信息,请参阅[新 Detective 行为图的培训期](detective-data-training-period.md)。 |
# 配置文件面板可视化的类型
配置文件面板内容可以采用以下形式之一。
| 可视化类型 | 描述 |
| --- | --- |
| 键值对 | 最简单的可视化类型是一组键值对。 调查发现或实体信息面板是键值对面板最常见的示例。 ![\[包含键值对的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_key_value.png) 键值对还可用于向其他类型的面板添加其他信息。 在键值对面板中,如果某个值是某个实体的标识符,则您可以转到其配置文件。 |
| 表 | 表格是一个简单的多栏项目列表。 ![\[包含简单表格的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_table.png) 您可以对表格进行排序、筛选和翻页。 您可以更改每页显示的条目数量。请参阅 [设置配置文件面板的首选项](profile-panel-preferences.md)。 如果表中的某个值是某个实体的标识符,则您可以转到其配置文件。 |
| 时间轴 | 时间轴可视化显示一段时间内定义的时间间隔的汇总值。 ![\[包含时间轴的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_timeline.png) 时间轴突出显示了当前的范围时间,并包括范围时间之前和之后的额外外围设备时间。外围设备时间为范围时间内的活动提供了上下文信息。 将鼠标悬停在某个时间间隔上可显示该时间间隔内的数据摘要。 |
| 可扩展表格 | 可扩展表格结合了表格和时间轴。 ![\[包含可扩展表格的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) 可视化开始时是一张表格。 您可以对表格进行排序、筛选和翻页。 您可以更改每页显示的条目数量。请参阅 [设置配置文件面板的首选项](profile-panel-preferences.md)。 然后您可以展开每一行,显示该行特定的时间轴可视化内容。 |
| 条形图 | 条形图根据分组显示数值。 您可以根据图表的不同选择一个条形图来显示相关活动的时间轴。 ![\[包含条形图的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_bar_chart.png) |
| 地理位置图 | 地理位置图显示的是一张标记为根据地理位置突出显示数据的地图。后面可能是一张包含各个地理位置详细信息的表格。 ![\[包含地理位置图的配置文件面板示例。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_geolocation.png) 请注意,在处理传入的地理数据时,Detective 会将经纬度值四舍五入到小数点后一位。 |
## 关于配置文件面板内容的注意事项
查看配置文件面板的内容时,需要注意以下事项:
****近似计数数据警告****
此警告表明,由于适用的数据量太大,计数极低的项目不会出现。
要确保计数完全准确,请减少数据量。要做到这一点,最简单的方法就是缩短范围时间。请参阅 [管理范围时间](scope-time-managing.md)。
****按地理位置进行四舍五入****
Detective 会将所有经纬度值四舍五入到小数点后一位。
**Detective 表示API电话的方式发生了变化**
从 2021 年 7 月 14 日开始,Detective 会追踪拨打每个API电话的服务。每当 Detective 显示API方法时,它还会显示关联的服务。在显示API呼叫信息的配置文件面板上,呼叫始终按服务分组。对于 Detective 在该日期之前采集的数据,服务名称列为**未知服务**。
同样从 2021 年 7 月 14 日起,对于账户和角色,“**总体API通话量**配置文件” 面板AKID的活动详细信息将不再显示发出通话的资源。对于账户,Detective 会显示发出调用的主体(用户或角色)的标识符。对于角色,Detective 会显示角色会话的标识符。对于 Detective 在 2021 年 7 月 14 日之前采集的数据,该标识符列为**未知资源**。
对于显示API呼叫列表的配置文件面板,相关的时间轴会突出显示此过渡发生的时间段。从 2021 年 7 月 14 日开始突出显示,直到更新在 Detective 中全面传播时结束。
# 设置配置文件面板的首选项
对于配置文件面板,您可以通过配置时间戳格式首选项来自定义配置文件面板上每个页面上显示的行数。
## 设置表格长度
对于包含表格或可扩展表格的配置文件面板,您可以配置要在每页上显示的行数。
设置您对每页条目数量的偏好。
1. 打开 Amazon Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在 Detective 导航窗格中的**设置**下,选择**首选项**。
1. 在**首选项**页面的**表格长度**下,单击**编辑**。
1. 选择您要在每页上显示的表格行数。
1. 选择**保存**。
## 设置时间戳格式
对于配置文件面板,您可以配置时间戳格式首选项,该首选项将应用于 Detective 中每个IAM用户或IAM角色的所有时间戳。
**注意**
时间戳格式首选项不适用于整个 AWS 账户。
设置时间戳的首选项。
1. 打开 Amazon Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在 Detective 导航窗格中的**设置**下,选择**首选项**。
1. 在**首选项**页面的**时间戳首选项**下,查看和更改所有时间戳的首选显示方式。
1. 默认情况下,时间戳格式设置为。UTC单击**编辑**,选择您的本地时区。
例如:
**Example**
UTC-09/20/22 16:39 UTC
本地-2022 年 9 月 20 日 9:39 (-07:00) UTC
1. 选择**保存**。
# 直接导航到实体配置文件或调查发现概述
使用以下选项之一可直接导航到 Amazon Detective 中的实体配置文件或调查发现概述。
+ 从 Amazon GuardDuty 或者 AWS Security Hub CSPM,你可以从 GuardDuty 调查结果转到相应的 Detective 发现档案。
+ 您可以汇编 Detective 网址,用于标识调查发现或实体,并设置要使用的范围时间。
## 转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub CSPM
在 Amazon GuardDuty 控制台中,您可以导航到与调查结果相关的实体的实体档案。
您还可以从 GuardDuty 和 AWS Security Hub CSPM 控制台导航到查找概览。这还提供了相关实体的实体配置文件链接。
这些链接有助于简化调查流程。您可以快速使用 Detective 查看关联的实体活动,并确定后续步骤。然后,如果调查发现是误报,则可以将其存档,也可以进一步深入了解,确定问题的范围。
### 如何转到 Amazon Detective 控制台
所有调查 GuardDuty 结果均有调查链接。 GuardDuty 还允许您选择是导航到实体配置文件还是导航到查找结果概览。
**从 GuardDuty 主机切换到 Detective**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 如有必要,选择左侧导航窗格中的**调查发现**。
1. 在 GuardDuty **调查结果**页面上,选择调查结果。
调查发现详细信息窗格显示在调查发现列表的右侧。
1. 在调查发现详细信息窗格上,选择**在 Detective 中进行调查**。
GuardDuty 显示 Detective 中可供调查的可用物品列表。
该列表既包含相关实体(例如 IP 地址或 EC2 实例),也包含调查发现。
1. 选择实体或调查发现。
Detective 控制台将打开新的选项卡。控制台将打开实体或调查发现配置文件。
如果尚未启用 Detective,则控制台会打开一个登陆页面,提供 Detective 的概述。您可在此选择启用 Detective。
**从 Security Hub CSPM 控制台转向 Detective**
1. 打开 AWS Security Hub CSPM 控制台,网址为[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)。
1. 如有必要,选择左侧导航窗格中的**调查发现**。
1. 在 Security Hub CSPM **调查结果**页面上,选择一个 GuardDuty 调查结果。
1. 在详细信息窗格中,选择**在 Detective 中进行调查**,然后选择**对调查发现进行调查**。
当您选择**对调查发现进行调查**时,在新的选项卡中将打开 Detective 控制台。打开控制台,显示调查发现概述。
即使从聚合区域进行转向,总是打开 Detective 控制台,显示调查发现来源的区域。有关调查发现聚合的更多信息,请参阅《AWS Security Hub 用户指南》**中的[跨区域聚合调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。
如果您未启用 Detective,则将打开控制台,显示 Detective 登录页面。您可在此启用 Detective。
### 对转向故障排除
要使用转向功能,必须满足以下条件之一:
+ 账户必须既是 Detective 的管理员账户,也是要转向的服务的管理员账户。
+ 已代入跨账户角色,该角色授予管理员账户访问行为图的权限。
有关调整管理员账户的建议的更多信息,请参阅与 [Amazon 保持一致的建议 GuardDuty 和 AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)。
如果转向功能不起作用,请检查以下内容。
+ **在行为图中,该调查发现是否属于已启用的成员账户?** 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。
如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。
+ **调查发现是否存档?** Detective 没有收到来自的存档调查结果 GuardDuty。
+ **这一调查发现是否发生在 Detective 开始将数据导入行为图之前?** 如果 Detective 采集的数据中不存在该调查发现,则行为图中就不包含相关数据。
+ **调查发现是否来自正确的区域?** 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。
## 使用网址导航到实体配置文件或调查发现概述
要导航到 Amazon Detective 中的实体配置文件或调查发现概述,您可以使用提供直接链接的网址。网址可标识调查发现或实体。它还可以指定在配置文件上使用的范围时间。Detective 最多可保存一年的历史事件数据。
### 配置文件网址的格式
**注意**
如果您使用的是旧网址格式,Detective 会自动重定向到新网址。网址的旧格式是:
https://console.aws.amazon.com/detective/家? region= *Region* \$1*type*/*namespace*/?*instanceID* *parameters*
配置文件网址的新格式如下:
+ 对于实体- https://console.aws.amazon.com/detective/ 主页? region= *Region* \$1*entities*/*namespace*/?*instanceID* *parameters*
+ 要了解调查结果—— https://console.aws.amazon.com/detective/ 回家? region= *Region* \$1*findings*/?*instanceID* *parameters*
网址需要以下值。
***Region***
您要使用的区域。
***type***
您要导航到的配置文件的项目类型。
+ `entities` - 表示您正在导航到实体配置文件
+ `findings` - 表示您正在导航到调查发现概述
***namespace***
对于实体,命名空间是实体类型的名称。
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
调查发现或实体的实例标识符。
+ 对于 GuardDuty 查找结果,为查找 GuardDuty 结果标识符。
+ 对于 AWS 账户,为账户 ID。
+ 对于 AWS 角色和用户,是角色或用户的委托人 ID。
+ 对于联合用户,即联合用户的主体 ID。主体 ID 为 `:` 或 `::`。
+ 对于 IP 地址,即 IP 地址。
+ 对于用户代理,即用户代理名称。
+ 对于 EC2 实例,即实例 ID。
+ 对于角色会话,即会话标识符。会话标识符使用格式` :`。
+ 对于 S3 存储桶,即存储桶名称。
+ 对于 FindingGroups,一个 UUID。例如,`ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ 对于 EKS 资源,请使用以下格式:
+ EKS 集群:*\$1\$1EKS*
+ Kubernetes Pod:*\$1\$1\$1EKS*
+ Kubernetes 主题:*\$1\$1*
+ 容器镜像:*/:@*
调查发现或实体必须与行为图中已启用的账户相关联。
网址还可以包含以下可选参数,用于设置范围时间。有关范围时间以及其如何在配置文件中使用的更多信息,请参阅[管理范围时间](scope-time-managing.md)。
**`scopeStart`**
在配置文件中使用的范围时间的开始时间。开始时间必须在过去 365 天内。
该值是事件时间戳。
如果您提供了开始时间,但没有提供结束时间,则范围时间将在当前时间结束。
**`scopeEnd`**
在配置文件中使用的范围时间的结束时间。
该值是事件时间戳。
如果您提供了结束时间,但没有提供开始时间,则范围时间包括结束时间之前的所有时间。
如果您未指定范围时间,则使用默认的范围时间。
+ 对于调查发现,默认范围时间使用观察到调查发现活动的第一次和最后一次时间。
+ 对于实体,默认范围时间是前 24 小时。
以下是 Detective 网址示例:
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
该示例网址提供了以下说明。
+ 显示 IP 地址 192.168.1 的实体配置文件。
+ 使用从 GMT 2019 年 3 月 18 日(星期一)上午 12:00:00 开始,到 GMT 2019 年 3 月 18 日(星期一)下午 12:00:00 结束的范围时间。
### 对网址故障排除
如果网址未显示预期配置文件,请首先检查网址是否使用了正确的格式,以及提供的值是否正确。
+ 是否使用了正确的网址(`findings` 或 `entities`)?
+ 是否指定了正确的命名空间?
+ 是否提供了正确的标识符?
如果数值正确,您还可以检查以下内容。
+ **在行为图中,该调查发现或实体是否属于已启用的成员账户?** 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。
如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。
+ **对于调查发现,该调查发现是否存档?** Detective 不会收到来自亚马逊的存档调查结果 GuardDuty。
+ **这一调查发现或实体是否发生在 Detective 开始将数据导入行为图之前?** 如果 Detective 采集的数据中不存在该调查发现或实体,则行为图中就不包含相关数据。
+ **调查发现或实体是否来自正确的区域?** 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。
## 在 Splun URLs k 中添加侦探调查结果
Splunk Trumpet 项目允许您将数据从 AWS 服务发送到 Splunk。
您可以将 Trumpet 项目配置为生成 Detective for Amazon URLs 的 GuardDuty 调查结果。然后,你可以使用它们直接从 Splunk 切换 URLs 到相应的 Detective 发现档案。
Trumpet 项目可从以下网址获得 GitHub 。[https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)
在 Trumpet 项目的配置页面上,从 “**AWS CloudWatch 事件**” 中选择 Detect **iv GuardDuty URLs** e。
# 从配置文件面板转到另一个控制台
对于 EC2 实例、IAM 用户和 IAM 角色,您可以直接从详细信息配置文件面板导航到相应的控制台。控制台提供的信息可以为您的安全调查提供更多输入。
在 **EC2 实例详细信息**配置文件面板上,EC2 实例标识符链接到 Amazon EC2 控制台。
在**用户详细信息**配置文件面板上,用户名链接到 IAM 控制台。
在**角色详细信息**配置文件面板上,角色名链接到 IAM 控制台。
## 从配置文件面板转到另一个实体配置文件
当配置文件面板包含不同实体的标识符时,它通常是指向该实体配置文件的链接。例外情况包括 EC2 实例、IAM 用户和 IAM 角色配置文件上的 Amazon EC2 和 IAM 控制台链接。请参阅[从配置文件面板转到另一个控制台](#profile-panel-console-links)。
例如,您可以从 IP 地址列表中显示特定 IP 地址的配置文件。这样您就可以了解是否有其他信息可以帮助您完成调查。
# 在配置文件面板上浏览活动详细信息
在调查期间,您可能需要进一步调查某个实体的活动模式。
在以下配置文件面板中,您可以显示活动详细信息摘要:
+ **API 调用总量**,但用户代理配置文件上的配置文件面板除外
+ **观察到新的地理位置**
+ **VPC 的总流量**
+ 对于与单个 IP 地址关联的调查发现,**进出调查发现 IP 地址的 VPC 流量**
+ **容器详细信息**
+ **集群的 VPC 流量**
+ **Kubernetes API 的总活动度**
活动详情可以回答以下类型的问题:
+ 使用了哪些 IP 地址?
+ 这些 IP 地址位于哪里?
+ 每个 IP 地址都调用了哪些 API,以及这些调用来自哪些服务?
+ 使用了哪些主体或访问密钥标识符 (AKIDs) 来拨打电话?
+ 使用了哪些资源来进行调用?
+ 进行了多少次调用? 成功和失败的调用各有多少次?
+ 发送到每个 IP 地址或从每个 IP 地址发送的 VPC 流量日志数据量是多少?
+ 在特定集群、映像或容器组(pod)中,哪些容器处于活动状态?
**Topics**
+ [API 调用总量的活动详细信息](profile-panel-drilldown-overall-api-volume.md)
+ [地理位置的活动详细信息](profile-panel-drilldown-new-geolocations.md)
+ [VPC 总流量的活动详细信息](profile-panel-drilldown-overall-vpc-volume.md)
+ [涉及 EKS 集群的 Kubernetes API 活动总量](profile-panel-drilldown-kubernetes-api-volume.md)
# API 调用总量的活动详细信息
**API 调用总量**的活动详细信息显示了在选定时间范围内发出的 API 调用。
要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。
要显示当前范围时间的活动详细信息,请选择**显示范围时间的详细信息**。
请注意,Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。该日期会在配置文件面板时间轴上突出显示。对于在该日期之前发生的活动,服务名称为**未知服务**。
## 活动详细信息的内容(用户、角色、账户、角色会话、EC2 实例、S3 存储桶)
对于 IAM 用户、IAM 角色、账户、角色会话、EC2 实例和 S3 存储桶,活动详细信息包含以下信息:
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。
对于 S3 存储桶,该信息反映了对 S3 存储桶进行的 API 调用。
API 调用按调用它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
+ 对于每个条目,活动详细信息显示成功和失败的调用次数。**观察到的 IP 地址**选项卡还显示每个 IP 地址的位置。
+ 每个条目都显示进行调用者的信息。对于账户,活动详细信息可用于确定用户或角色。对于角色而言,活动详细信息可用于确定角色会话。对于用户和角色会话,活动详细信息标识了访问密钥标识符 (AKIDs)。
请注意,自 2021 年 7 月 14 日起,对于账户资料,活动详情显示的是用户或角色,而不是 AKIDs。对于角色配置文件,活动详细信息显示的是角色会话,而不是 AKIDs。对于 2021 年 7 月 14 日之前发生的活动,调用者被列为**未知资源**。
活动详细信息包含以下选项卡:
**观察到的 IP 地址**
最初显示用于发出 API 调用的 IP 地址列表。
您可以展开每个 IP 地址,显示从该 IP 地址发出的 API 调用列表。API 调用按调用它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
然后,您可以展开每个 API 调用,显示来自该 IP 地址的调用者列表。根据不同的配置文件,调用者可能是用户、角色、角色会话或 AKID。
![\[“整体 API 调用量” 面板的 “观察到的 IP 地址” 选项卡的视图,条目展开后显示了 IP 地址、API 调用和的层次结构 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)
**按服务划分的 API 方法**
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
您可以扩展每个 API 方法,显示发出调用的 IP 地址列表。
然后,您可以展开每个 IP 地址以显示从该 IP 地址发出该 API 调用的列表。 AKIDs
![\[“整体 API 调用量” 面板的 “按服务划分的 API 方法” 选项卡的视图,其中一个条目展开后显示了 API 调用的层次结构、IP 地址和 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)
**资源或访问密钥 ID**
最初显示用户、角色、角色会话或用于发 AKIDs 出 API 调用的用户列表。
您可以展开每个调用者,显示调用者发出 API 调用的 IP 地址列表。
然后,您可以展开每个 IP 地址,显示该调用者从该 IP 地址发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
![\[“整体 API 调用量” 面板的 “资源” 选项卡视图,条目展开后显示按服务分组的 IP 地址和 API 调用的层次结构。 AKIDs\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 活动详细信息的内容(IP 地址)
对于 IP 地址,活动详细信息包含以下信息:
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
+ 对于每个条目,活动详细信息显示成功和失败的调用次数。
活动详细信息包含以下选项卡:
**资源**
最初显示从 IP 地址发出 API 调用的资源列表。
对于每种资源,列表都包括资源名称、类型和 AWS 账户。
您可以展开每种资源,显示该资源从 IP 地址发出的 API 调用列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的资源选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)
**按服务划分的 API 方法**
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
您可以展开每个 API 调用,显示在所选时间段内从 IP 地址发出 API 调用的资源列表。
![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的按服务划分的 API 方法选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)
## 对活动详细信息进行排序
您可以按列表中的任何一列对活动详细信息进行排序。
使用第一列进行排序时,只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。
## 筛选活动详细信息
您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。
在所有选项卡上都可以根据第一列中的任何值筛选列表。
**添加筛选器**
1. 选择筛选器框。
1. 从**属性**中,选择要用于筛选的属性。
1. 提供用于筛选的值。筛选器支持部分值。例如,按 API 方法进行筛选时,如果按 **Instance** 进行筛选,则结果就会包括名称中包含 `Instance` 的任何 API 操作。因此,`ListInstanceAssociations` 和 `UpdateInstanceInformation` 都能匹配。
对于服务名称、API 方法和 IP 地址,您可以指定一个值或选择一个内置筛选器。
对于**常用 API 子字符串**,请选择表示操作类型的子字符串,例如 `List`、`Create` 或 `Delete`。每个 API 方法名称都以操作类型开头。
对于 **CIDR 模式**,您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。
1. 选择布尔值选项*Resource*或 *Service***:包含**或**! ****: 不包含;或*API method*或 *IP address* **= 等于**或! : 不等于**设置过滤器。
![\[活动详情筛选器的可用筛选器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/api-volume-search.png)
要删除筛选器,请选择标签右上角的 **x** 标记。
要清除所有筛选器,请选择**清除筛选器**。
## 为活动详细信息选择时间范围
首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。
**要更改活动详细信息的时间范围**
1. 选择**编辑**。
1. 在**编辑时间窗口**上,选择要使用的开始和结束时间。
要将时间窗口设置为配置文件的默认范围时间,请选择**设置为默认范围时间**。
1. 选择**更新时间窗口**。
活动详细信息的时间范围在配置文件面板图表上突出显示。
![\[API 调用总量配置文件面板的突出显示时间窗口\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 查询原始日志
Amazon Detective 与 Amazon Security Lake 集成,这意味着您可以查询和检索 Security Lake 存储的原始日志数据。有关此集成的更多信息,请参阅[Amazon Detective 与亚马逊安全湖集成](securitylake-integration.md)。
使用此集成,您可以从 Security Lake 原生支持的以下来源收集和查询日志与事件。
+ AWS CloudTrail 管理事件版本 1.0 及更高版本
+ 亚马逊 Virtual Private Cloud(亚马逊 VPC)流日志 1.0 及更高版本
+ 亚马逊 Elastic Kubernetes Service(亚马逊 EKS)审核日志版本 2.0
**注意**
在 Detective 中查询原始数据日志不会产生额外费用。其他 AWS 服务(包括 Amazon Athena)的使用费仍按公布的费率收取。
**查询原始日志**
1. 选择**显示时间范围的详细信息**。
1. 在此处,您可以开始**查询原始日志**。
1. 在**原始日志预览**表中,您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息,您可以查看 Amazon Athena 中显示的数据。
在查询原始日志表中,您可以**取消查询请求**,**在 Amazon Athena 中查看结果**,并**下载结果** [下载为逗号分隔值(.csv)文件]。
如果您在 Detective 中看到日志,但查询未返回任何结果,则可能是由于以下原因而引起的。
+ 原始日志可能会先在 Detective 中可用,然后才显示在 Security Lake 日志表中。请稍后重试。
+ Security Lake 中可能缺少日志。如果您等待了很长时间,则表示 Security Lake 中缺少日志。要解决该问题,请联系您的 Security Lake 管理员。
# 地理位置的活动详细信息
**新观察到的地理位置**的活动详细信息显示了在范围时间内从地理位置发出的 API 调用。API 调用包括从地理位置发出的所有调用。它们不限于使用调查发现或配置文件实体的调用。对于 S3 存储桶,活动调用是对 S3 存储桶进行的 API 调用。
Detective 使用 MaxMind GeoIP 数据库确定请求的位置。 MaxMind 尽管准确性因国家和知识产权类型等因素而异,但它们在国家一级的数据的准确性非常高。有关的更多信息 MaxMind,请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何 GeoIP 数据不正确,可以通过 “更正地理数据” 向 Maxmind 提交更[MaxMind 正](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2
API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
要显示活动详细信息,请执行以下操作之一:
+ 在地图上选择一个地理位置。
+ 在列表中,选择地理位置的**详细信息**。
活动详细信息取代了地理位置列表。要返回到地理位置列表,请选择**返回到所有结果**。
请注意,Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。对于在该日期之前发生的活动,服务名称为**未知服务**。
## 活动详细信息的内容
每个选项卡都提供了范围时间内从地理位置发出的所有 API 调用的信息。
对于每个 IP 地址、资源和 API 方法,列表显示成功和失败的 API 调用次数。
活动详细信息包含以下选项卡:
**观察到的 IP 地址**
最初显示用于从所选地理位置发出 API 调用的 IP 地址列表。
您可以展开每个 IP 地址,显示从该 IP 地址发出 API 调用的资源。列表显示资源名称。要查看主体 ID,请将鼠标悬停在名称上。
然后,您可以展开每个资源,显示该资源从该 IP 地址发出的特定 API 调用。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
![\[查看新观察到的地理位置面板中的观察到的 IP 地址选项卡,其中一个条目已展开,显示 IP 地址、资源和 API 方法的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)
**资源**
最初显示从所选地理位置发出 API 调用的资源列表。列表显示资源名称。要查看主体 ID,请在名称上暂停一下。对于每种资源,**资源**选项卡还会显示关联的 AWS 账户。
您可以展开每个用户或角色,显示该资源发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在**未知服务**下。
然后,您可以展开每个 API 调用,显示资源发出 API 调用的 IP 地址列表。
![\[查看新观察到的地理位置面板中的资源选项卡,其中一个条目已展开,显示用户或角色、API 方法和 IP 地址的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)
## 对活动详细信息进行排序
您可以按列表中的任何一列对活动详细信息进行排序。
使用第一列进行排序时,只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。
## 筛选活动详细信息
您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。
在所有选项卡上都可以根据第一列中的任何值筛选列表。
**添加筛选器**
1. 选择筛选器框。
1. 从**属性**中,选择要用于筛选的属性。
1. 提供用于筛选的值。筛选器支持部分值。例如,按 API 方法进行筛选时,如果按 **Instance** 进行筛选,则结果就会包括名称中包含 `Instance` 的任何 API 操作。因此,`ListInstanceAssociations` 和 `UpdateInstanceInformation` 都能匹配。
对于服务名称、API 方法和 IP 地址,您可以指定一个值或选择一个内置筛选器。
对于**常用 API 子字符串**,请选择表示操作类型的子字符串,例如 `List`、`Create` 或 `Delete`。每个 API 方法名称都以操作类型开头。
对于 **CIDR 模式**,您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。
1. 如果您有多个筛选器,请选择 Boolean 选项来设置这些筛选器的连接方式。
![\[活动详细信息筛选器的各个筛选器之间的可用连接器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)
1. 要删除筛选器,请选择标签右上角的 **x** 标记。
1. 要清除所有筛选器,请选择**清除筛选器**。
# VPC 总流量的活动详细信息
对于 EC2 实例,**VPC 的总流量**的活动详细信息显示了选定时间范围内该 EC2 实例与 IP 地址之间的交互情况。
对于 Kubernetes 容器组,**VPC 的总流量**显示所有目标 IP 地址的 Kubernetes 容器组(pod)分配的 IP 地址的进出字节总量。在 `hostNetwork:true` 时,Kubernetes 容器组(pod)的 IP 地址不是唯一的。在这种情况下,面板会显示到具有相同配置的其他容器组(pod)的流量以及托管它们的节点。
对于 IP 地址,**VPC 的总流量**的活动详细信息显示了选定时间范围内该 IP 地址与 EC2 实例之间的交互情况。
要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。
要显示当前范围时间的活动详细信息,请选择**显示范围时间的详细信息**。
## 活动详细信息的内容
内容反映所选时间范围内的活动。
对于 EC2 实例,活动详细信息包含 IP 地址、本地端口、远程端口、协议和方向的每个唯一组合的条目。
对于 IP 地址,活动详细信息包含 EC2 实例、本地端口、远程端口、协议和方向的每个唯一组合的条目。
每个条目都显示入站流量、出站流量以及访问请求是被接受还是被拒绝。在调查发现配置文件上,**注释**列会指示 IP 地址何时与当前调查发现相关。
![\[VPC 的总流量配置文件面板的活动详细信息。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)
## 对活动详细信息进行排序
您可以按表中的任何一列对活动详细信息进行排序。
默认情况下,活动详细信息首先按照注释排序,然后按照入站流量排序。
## 筛选活动详细信息
要关注特定活动,您可以按以下值筛选活动详细信息:
+ IP 地址或 EC2 实例
+ 本地或远程端口
+ 方向
+ 协议
+ 请求是被接受还是被拒绝
**要添加和删除筛选器**
1. 选择筛选器框。
1. 从**属性**中,选择要用于筛选的属性。
1. 提供用于筛选的值。筛选器支持部分值。
要按 IP 地址进行筛选,您可以指定一个值或选择一个内置筛选器。
对于 **CIDR 模式**,您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。
1. 如果您有多个筛选器,请选择 Boolean 选项来设置这些筛选器的连接方式。
![\[活动详细信息筛选器的各个筛选器之间的可用连接器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)
1. 要删除筛选器,请选择标签右上角的 **x** 标记。
1. 要清除所有筛选器,请选择**清除筛选器**。
## 为活动详细信息选择时间范围
首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。
**要更改活动详细信息的时间范围**
1. 选择**编辑**。
1. 在**编辑时间窗口**上,选择要使用的开始和结束时间。
要将时间窗口设置为配置文件的默认范围时间,请选择**设置为默认范围时间**。
1. 选择**更新时间窗口**。
活动详细信息的时间范围在配置文件面板图表上突出显示。
![\[在 VPC 的总流量配置文件面板上突出显示活动详细信息的时间窗口。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)
## 显示选定行的流量
当您确定了感兴趣的行,就可以在主图表上显示这些行在一段时间内的流量。
对于要添加到图表中的每行,请选中该复选框。对于选定的每行,容量在入站或出站图表上显示为一条线。
![\[选定活动详细信息行的流量显示在 VPC 的总流量配置文件面板的主图表上。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)
要关注所选条目的流量,您可以隐藏总流量。要显示或隐藏总流量,请切换**总流量**。
![\[选定活动详细信息行的流量显示在 VPC 总流量配置文件面板的主图表上。总流量是隐藏的。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)
## 显示 EKS 集群的 VPC 流量
Detective 可以查看 Amazon Virtual Private Cloud (Amazon VPC) 流量日志,这些日志代表了穿越 Amazon Elastic Kubernetes Service (Amazon EKS)集群的流量。对于 Kubernetes 资源,VPC 流日志的内容取决于 EKS 集群中部署的容器网络接口(CNI)。
默认配置的 EKS 集群使用 Amazon VPC CNI 插件。有关更多详细信息,请参阅《Amazon EKS 用户指南》中的[管理 VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)****。Amazon VPC CNI 插件使用容器组(pod)的 IP 地址发送内部流量,并将源 IP 地址转换为节点的 IP 地址以进行外部通信。Detective 可以捕获内部流量并将其关联到正确的容器组(pod),但却无法捕获外部流量。
如果您要 Detective 能够发现容器组(pod)的外部流量,请启用外部源网络地址转换 (SNAT)。启用 SNAT 有其局限性和缺点。有关更多详细信息,请参阅《Amazon EKS 用户指南》中的[容器组(pod)SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)****。
如果您使用不同的 CNI 插件,Detective 对具有 `hostNetwork:true` 的容器组(pod)的可见性就会受到限制。对于这些容器组(pod),**VPC 流量**面板会显示发往容器组(pod)的 IP 地址的所有流量。这包括到主机节点的流量,以及任何具有 `hostNetwork:true` 配置的节点上容器组(pod)的流量。
Detective 在 EKS 容器组(pod)的 **VPC 流量**面板中显示以下 EKS 集群配置的流量:
+ 在具有 Amazon VPC CNI 插件的集群中,任何向群集 VPC 内发送流量的具有配置 `hostNetwork:false` 的容器组(pod)。
+ 在具有 Amazon VPC CNI 插件和配置 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` 的集群中,任何向群集 VPC 外发送流量的具有 `hostNetwork:false` 的容器组(pod)。
+ 任何具有配置 `hostNetwork:true` 的容器组(pod)。来自该节点的流量会与来自其他具有配置 `hostNetwork:true` 的容器组(pod)的流量混合在一起。
Detective 不会在 **VPC 流量**面板中显示以下各项的流量:
+ 在具有 Amazon VPC CNI 插件和配置 `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 的集群中,任何向集群 VPC 外发送流量的具有配置 `hostNetwork:false` 的容器组(pod)。
+ 在没有针对 Kubernetes 的 Amazon VPC CNI 插件的集群中,任何具有配置 `hostNetwork:false` 的容器组(pod)。
+ 任何向托管在同一节点中的另一个容器组发送流量的容器组(pod)。
## 显示共享的 Amazon 的 VPC 流量 VPCs
Detective 可以查看您共享的亚马逊虚拟私有云(亚马逊 VPC)流日志 VPCs:
+ 如果 Detective 成员账户拥有共享 Amazon VPC,且还有其他非 Detective 账户使用共享 VPC,则 Detective 将监控来自该 VPC 的所有流量,并提供有关该 VPC 内所有流量的可视化。
+ 如果您在共享 Amazon VPC 内有一个 Amazon EC2 实例,且共享 VPC 所有者不是 Detective 成员,则 Detective 将不会监控来自该 VPC 的任何流量。如果您想查看 VPC 内的流量,则必须将 Amazon VPC 所有者添加为 Detective 图的成员。
# 涉及 EKS 集群的 Kubernetes API 活动总量
**涉及 EKS 集群的 Kubernetes API 总体活动**的活动详细信息显示了在选定时间范围内发出的成功和失败的 Kubernetes API 调用次数。
要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。
要显示当前范围时间的活动详细信息,请选择**显示范围时间的详细信息**。
## 活动详细信息的内容(集群、容器组(pod)、用户、角色、角色会话)
对于集群、容器组(pod)、用户、角色或角色会话,活动详细信息包含以下信息:
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。
对于集群,API 调用发生在集群内部。
对于容器组(pod),API 调用以容器组(pod)为目标。
对于用户、角色和角色会话,API 调用是由经过身份验证为该用户、角色或角色会话的 Kubernetes 用户发出的。
+ 对于每个条目,活动详细信息都显示成功、失败、未经授权和禁止的调用次数。
+ 这些信息包括 IP 地址、Kubernetes 调用类型、受调用影响的实体以及进行调用的主体(服务账户或用户)。从活动详细信息中,您可以转到 IP 地址、主题和受影响实体的配置文件。
活动详细信息包含以下选项卡:
**主题**
最初显示用于进行 API 调用的服务账户和用户列表。
您可以展开每个服务账户和用户,显示该账户或用户进行 API 调用的 IP 地址列表。
然后,您可以展开每个 IP 地址,显示该账户或用户从该 IP 地址发出的 Kubernetes API 调用。
展开 Kubernetes API 调用,查看 `requestURI ` 以确定已完成的操作。
![\[查看 Kubernetes API 调用总量面板的主题选项卡,其中一个条目已展开,显示 IP 地址和 API 调用的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/kube-subject-drilldown.png)
**IP 地址**
最初显示发出 API 调用的 IP 地址列表。
您可以展开每个调用,显示发出该调用的 Kubernetes 主题(服务账号和用户)列表。
然后,您可以将每个主题扩展为该主题在范围时间内进行的 API 调用类型列表。
展开 API 调用类型,查看 requestURI 以确定已完成的操作。
![\[整体 Kubernetes API 调用量面板的 IP 地址选项卡视图,其中一个条目展开后显示了 API 调用的层次结构、IP 地址和。 AKIDsAPI 调用按服务进行分组\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/kube-ip-drilldown.png)
**Kubernetes API 调用**
最初显示 Kubernetes API 调用动词列表。
您可以展开每个 API 动词以显示与该操作URIs 关联的请求。
然后,您可以展开每个 requestURI,查看进行 API 调用的 Kubernetes 主题(服务账号和用户)。
展开主题以查看 IPs 该主题使用哪个主体进行了 API 调用。
![\[“整体 API 调用量” 面板的 “资源” 选项卡视图,条目展开后显示按服务分组的 IP 地址和 API 调用的层次结构。 AKIDs\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 对活动详细信息进行排序
您可以按列表中的任何一列对活动详细信息进行排序。
使用第一列进行排序时,只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。
## 筛选活动详细信息
您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。
在所有选项卡上都可以根据第一列中的任何值筛选列表。
## 为活动详细信息选择时间范围
首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。
**要更改活动详细信息的时间范围**
1. 选择**编辑**。
1. 在**编辑时间窗口**上,选择要使用的开始和结束时间。
要将时间窗口设置为配置文件的默认范围时间,请选择**设置为默认范围时间**。
1. 选择**更新时间窗口**。
活动详细信息的时间范围在配置文件面板图表上突出显示。
![\[API 调用总量配置文件面板的突出显示时间窗口\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 在调查期间使用配置文件面板指南
每个配置文件面板都旨在为在进行调查和分析相关实体的活动时出现的特定问题提供答案。
为每个配置文件面板提供的指南有助于您找到这些答案。
配置文件面板指南以面板本身的一句话开头。本指南简要说明了面板上显示的数据。
要显示面板的更详细指南,请从面板标题中选择**更多信息**。此扩展指南显示在帮助窗格中。
该指南可以提供以下类型的信息:
+ 面板内容概述
+ 如何使用面板回答相关问题
+ 根据答案建议的后续步骤
# 管理范围时间
自定义用于限制实体配置文件上显示的数据的范围时间。
实体配置文件上显示的图表、时间轴和其他数据均基于当前的范围时间。范围时间是实体在一段时间内的活动摘要。它显示在 Amazon Detective 控制台中每个配置文件的右上角。这些图表、时间轴和其他可视化内容上显示的数据基于范围时间。对于某些配置文件面板,在范围时间之前和之后会增加额外时间以提供上下文情况。在 Detective 中,所有时间戳默认都以 UTC 显示。您可以通过更改**时间戳首选项**来选择本地时区。要更新**时间戳首选项**,请参阅[设置时间戳格式](profile-panel-preferences.md#profile-panel-preferences-timestamp)。
Detective 分析在检查异常活动时使用范围时间。分析流程获取范围时间内的活动,然后将其与范围时间之前 45 天内的活动进行比较。它还利用这 45 天的时间框架来生成活动基线。
在调查发现概述中,范围时间反映了第一次和最后一次观察到该调查发现的时间。有关调查发现概述的更多信息,请参阅[在 Detective 中分析发现概述](finding-overview.md)。
您可以在进行调查时调整范围时间。例如,如果最初的分析基于某一天的活动,则您可能需要将其延长到一周或一个月。延长的时间有助于您更好地了解活动是符合正常模式还是异常。
您还可以设置范围时间,使其与当前实体的关联调查发现相匹配。
当您要更改范围时间时,Detective 会根据新的范围时间重复分析并更新显示的数据。
范围时间不能短于一小时,也不能长于一年。开始时间和结束时间必须以小时为单位。
## 设置具体的开始和结束日期和时间
您可以从 Detective 控制台设置范围时间的开始和结束日期。
**要为新的范围时间设置具体的开始和结束时间**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在实体配置文件上,选择范围时间。
1. 在**编辑范围时间**面板的**开始**下,为范围时间选择新的开始日期和时间。对于新的开始时间,您只需选择小时。
1. 在**结束**下,为范围时间选择新的结束日期和时间。对于新的结束时间,您只需选择小时。结束时间必须比开始时间晚至少一个小时。
1. 编辑完成后,要保存更改并更新显示的数据,请选择**更新范围时间**。
## 编辑范围时间的时间长度
设置范围时间长度时,Detective 会将范围时间设置为从当前时间算起的时间量。
**要编辑范围时间的时间长度**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在实体配置文件上,选择范围时间。
1. 在**编辑范围时间**面板的**历史**旁边,选择范围时间的时间长度。
指定时间范围会更新**开始**和**结束**设置。
1. 编辑完成后,要保存更改并更新显示的数据,请选择**更新范围时间**。
## 将范围时间设置为调查发现时间窗口
每个调查发现都有一个关联的时间窗口,它反映了第一次和最后一次观察到该调查发现的时间。查看调查发现概述时,范围时间会更改为调查发现时间窗口。
在实体配置文件中,您可以将范围时间与关联调查发现的时间窗口保持一致。这样您就可以调查这段时间内发生的活动。
要将范围时间与调查发现时间窗口保持一致,请在**关联调查发现**面板上选择您要使用的调查发现。
Detective 会填充搜索调查发现详细信息,并将范围时间设置为调查发现时间窗口。
## 在摘要页面设置范围时间
查看**摘要**页面时,您可以调整范围时间,以查看过去 365 天内任意 24 小时时间段的活动。
要在“摘要”页面上设置范围时间
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在 Detective 导航窗格中,选择**摘要**。
1. 在**范围时间**面板的**摘要**旁边,您可以更改**开始日期和时间**。开始时间必须在过去 365 天内。
更改**开始日期和时间**后,**结束日期和时间**会自动更新为所选开始时间后的 24 小时。
**注意**
使用 Detective,您最多可以访问一年的历史事件数据。有关 Detective 中源数据的更多信息,请参见[行为图中使用的源数据](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)。
1. 编辑完成后,要保存更改并更新显示的数据,请选择**更新范围时间**。
# 在 Detective 中查看相关发现的详细信息
每个实体配置文件都包含一个关联调查发现的面板,其中列出了在当前范围时间内涉及该实体的调查发现。一个实体遭到入侵的一个迹象是它涉及了多项调查发现。调查发现的类型还可以让人们深入了解需要关注的活动类型。
关联调查发现的面板显示在实体详细信息配置面板的正下方。
对于每个调查发现,该表包含以下信息:
+ 调查发现标题,也是指向调查发现概述的链接。
+ 与调查结果关联的 AWS 账户,也是指向账户资料的链接
+ 调查发现类型。
+ 最早观察到这一调查发现的时间
+ 最近一次观察到这一调查发现的时间
+ 调查发现的严重性
要显示调查发现的调查发现详细信息,请选择该调查发现的单选按钮。Detective 填充页面右侧的调查发现详细信息面板。Detective 还将范围时间更改为调查发现时间窗口。这样就可以专注于这段时间内发生的活动。
如果您从调查发现概述导航到实体配置文件,则会自动选择该调查发现并显示调查发现的详细信息。
在调查发现详细信息中,要导航返回调查发现概述,请选择**查看所有相关实体**。
您也可以将调查发现存档。如需了解更多详情,请参阅[存档 Amazon GuardDuty 调查结果](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)。
# 在 Detective 中查看大量实体的详细信息
在[行为图](behavior-graph-data-about.md)中,Amazon Detective 跟踪实体之间的关系。例如,每个行为图都会跟踪 AWS 用户何时创建 AWS 角色以及 EC2 实例何时连接到 IP 地址。
当一个实体在一段时间内有太多关系时,Detective 无法存储所有关系。如果在当前范围时间内发生这种情况,Detective 会通知您。Detective 还提供了大量实体出现的列表。
## 什么是大量实体?
在给定的时间间隔内,实体可能是大量连接的起点或目的地。例如,一个 EC2 实例可能有来自数百万个 IP 地址的连接。
Detective 对在每个时间间隔内可以容纳的连接数量设有限制。如果实体超过该限制,则 Detective 将丢弃该时间间隔内的连接。
例如,假设每个时间间隔的限制为 1 亿个连接。如果 EC2 实例在一段时间间隔内被超过 1 亿个 IP 地址连接,则 Detective 会丢弃该时间间隔内的连接。
但是,您也许可以根据关系另一端的实体来分析该活动。继续举例来说,虽然一个 EC2 实例可能连接到数百万个 IP 地址,但单个 IP 地址连接到的 EC2 实例数量要少得多。每个 IP 地址配置文件都提供有关该 IP 地址所连接的 EC2 实例的详细信息。
## 在配置文件上查看大量实体通知
如果调查发现或实体配置文件的范围时间包含实体的超长时间间隔,则 Detective 会在调查发现或实体配置文件的顶部显示一条通知。为了调查发现配置文件,该通知是针对相关实体的。
该通知中包括具有超长时间间隔的关系列表。每个列表条目都包含对关系的描述以及超长时间间隔的起始时间。
超长时间间隔可能表明存在可疑活动。要了解同时发生了哪些其他活动,您可以将调查重点放在超长时间间隔上。大量实体通知包括将范围时间设置为该时间间隔的选项。
**要将范围时间设置为超长时间间隔**
1. 在大量实体通知中,选择时间间隔。
1. 在弹出式菜单上,选择**应用范围时间**。
## 查看当前范围时间内的大量实体列表
**大量实体**页面包含当前范围时间内的超长时间间隔和实体的列表。
**要显示大量实体页面**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在 Detective 导航窗格中,选择**大量实体**。
列表中的每个条目都包含以下信息:
+ 超长时间间隔的起始时间
+ 实体的标识符和类型
+ 关系的描述,例如“从 IP 地址连接的 EC2 实例”
您可以按任何一列对列表进行筛选和排序。您也可以导航到相关实体的实体配置文件。
**要导航到实体的配置文件**
1. 在**大量实体**列表中,选择要从中导航的行。
1. 选择**使用超长范围时间查看配置文件**。
当您要使用此选项导航到实体配置文件时,范围时间设置如下:
+ 范围时间从超长时间间隔前 30 天开始。
+ 范围时间在超长时间间隔结束时结束。