本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 分析 Amazon Detective 中的實體
實體是從來源資料中擷取的單個對象。範例包括特定 IP 地址、Amazon EC2執行個體或 AWS 帳戶。如需實體類型的清單,請參閱 [行為圖表資料結構中的實體類型](graph-data-structure-overview.md#entity-types)。
Amazon Detective 實體設定檔是單一頁面,提供實體及其活動的詳細資訊。您可以使用實體設定檔,以取得調查結果之調查的支援詳細資訊,或作為常規追捕可疑活動的一部分。
**Topics**
+ [使用實體設定檔](using-entity-profiles.md)
+ [檢視並與 Detective 設定檔面板互動](profile-panels.md)
+ [直接導覽至實體設定檔或調查結果概觀](navigate-to-profile.md)
+ [從設定檔面板錨定至另一主控台](profile-panel-console-links.md)
+ [在設定檔面板上探索活動詳細資訊](profile-panel-drilldown.md)
+ [管理範圍時間](scope-time-managing.md)
+ [在 Detective 中檢視相關調查結果的詳細資訊](entity-finding-list.md)
+ [在 Detective 中檢視大量實體的詳細資訊](high-volume-entities.md)
# 使用實體設定檔
當您執行以下其中一項動作時,系統會顯示實體設定檔會:
+ 在 Amazon GuardDuty 主控台中,選擇調查與已選取調查結果相關的實體的選項。
請參閱 [從 Amazon GuardDuty 或 樞紐至實體設定檔或調查結果概觀 AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)。
+ 前往實體設定檔的 Detective URL。
請參閱 [透過 URL 導覽至實體設定檔或調查結果概觀](navigate-to-profile.md#profile-navigate-url)。
+ 使用 Detective 主控台中的 Detective 搜尋來查詢實體。
+ 從另一個實體設定檔或調查結果概觀中選擇實體設定檔的連結。
## 實體設定檔的範圍時間
當您直接導覽至實體設定檔而不提供範圍時間時,範圍時間會設定為前 24 小時。
當您從其他實體設定檔導覽至實體設定檔時,目前已選取的範圍時間會保持不變。
當您從調查結果概觀導覽至實體設定檔時,範圍時間會設為調查結果時間範圍。
如需自訂範圍時間以限制實體設定檔上顯示的資料的資訊,請參閱[管理範圍時間](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html)。
## 實體識別符和類型
設定檔的頂端是實體識別符和實體類型。每個實體類型都有對應圖示,以提供設定檔類型的視覺指示器。
## 涉及的調查結果
每個設定檔都包含實體在範圍時間內的涉及的調查結果清單。
您可以查看每個調查結果的詳細資訊、變更範圍時間以反映調查結果時間範圍,並前往搜索結果概觀以尋找其他所涉資源。
請參閱 [在 Detective 中檢視相關調查結果的詳細資訊](entity-finding-list.md)。
## 與此實體相關的調查結果群組
每個設定檔都包含容納的調查結果群組清單。
調查結果群組由調查結果、實體和證據組成,Detective 會收集到一個群組中,以提供有關可能安全問題的更多內容。
如需調查結果群組的詳細資訊,請參閱 [分析調查結果群組](groups-about.md)。
## 包含實體詳細資訊和分析結果的設定檔
每個實體設定檔都包含一個或多個標籤。每個標籤都包含一個或多個設定檔面板。每個設定檔面板都包含通過行為圖表資料產生的文字和視覺化。特定標籤和設定檔面板會根據實體類型進行自定義。
對於大多數實體,第一個標籤頂端的面板會提供有關實體的高階摘要資訊。
其他設定檔面板會反白顯示不同類型的活動。對於與調查結果有關的實體,實體設定檔面板上的資訊可以提供其他支援證據,以協助完成調查。每個設定檔面板都可以存取有關如何使用資訊的指南。如需詳細資訊,請參閱 [在調查期間使用設定檔面板指引](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance)。
如需設定檔面板、設定檔面板所包含之資料類型以及與其進行互動之可用選項的詳細資訊,請參閱 [檢視並與 Detective 設定檔面板互動](profile-panels.md)。
## 在實體設定檔中導覽
實體設定檔包含一個或多個標籤。每個標籤都包含一個或多個設定檔面板。每個設定檔面板都包含通過行為圖表資料產生的文字和視覺化。
當您向下捲動設定檔標籤時,設定檔頂端仍會顯示以下資訊:
+ 實體類型
+ 實體識別符
+ 範圍名稱
![\[帶有可用標籤功能表的設定檔標題。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_header_tab_menu.png)
# 檢視並與 Detective 設定檔面板互動
Amazon Detective 主控台上的每個實體設定檔都包含一組設定檔面板。設定檔面板是可提供一般詳細資訊或反白顯示與實體相關聯特定活動的視覺化。設定檔面板使用不同類型的視覺化來呈現不同類型的資訊。他們還可以提供其他詳細資訊或其他設定檔的連結。
每個設定檔面板都旨在幫助分析師找到有關實體及其相關活動的特定問題的答案。此類問題的答案有助於得出有關活動是否代表真正威脅的結論。
設定檔面板使用不同類型的視覺化來呈現不同類型的資訊。
## 設定檔面板上的資訊類型
設定檔面板通常提供以下類型的資料。
| 面板資料類型 | 描述 |
| --- | --- |
| 有關調查結果或實體的高階資訊 | 最簡單的面板類型提供有關實體的部分基本資訊。 資訊面板中包含的資訊範例包括識別符、名稱、類型和建立日期。 ![\[包含有關實體之高階資訊的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_item_details.png) 大多數實體設定檔都包含該實體的資訊面板。 |
| 活動在一段時間內的一般摘要 | 顯示實體在一段時間內的活動摘要。 此類型面板提供了實體在範圍時間內行為的整體檢視。 ![\[設定檔面板範例,其中包含實體在一段時間內的活動概觀。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) 以下是在 Detective 設定檔面板上提供的部分摘要資料範例: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/profile-panels.html) |
| 依值分組的活動摘要 | 顯示實體的活動摘要,依特定值分組。 您可以在EC2執行個體的設定檔上看到這種類型的設定檔面板。設定檔面板會顯示與特定服務類型相關聯的常見連接埠,往返EC2執行個體的平均VPC流量日誌資料量。 ![\[顯示依特定值分組的活動摘要的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png) |
| 只在範圍時間內開始的活動 | 在調查期間,查看在特定時間範圍內才開始發生的活動非常有幫助。 例如,是否有以前未看到的API通話、地理位置或使用者代理? ![\[設定檔面板的範例,其反白顯示範圍時間之前未觀察到的活動。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) 如果行為圖表形仍處於訓練模式,則設定檔面板會顯示通知訊息。當行為圖表累積至少兩週的資料時,系統就會移除訊息。如需訓練模型的詳細資訊,請參閱 [新 Detective 行為圖表的訓練期間](detective-data-training-period.md)。 |
| 範圍時間内顯著變更的活動 | 與新活動面板類似,設定檔面板也可以顯示範圍時間内顯著變更的活動。 例如,使用者可能會每週定期發出特定API呼叫數次。如果同一位使用者在單日內突然發出多次相同呼叫,則可能是惡意活動的證據。 ![\[設定檔面板範例,顯示範圍時間内顯著變更的活動。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) 如果行為圖表形仍處於訓練模式,則設定檔面板會顯示通知訊息。當行為圖表累積至少兩週的資料時,系統就會移除訊息。如需訓練模型的詳細資訊,請參閱 [新 Detective 行為圖表的訓練期間](detective-data-training-period.md)。 |
# 設定檔面板視覺化類型
設定檔面板內容可以採用以下形式之一。
| 視覺化類型 | 描述 |
| --- | --- |
| 鍵值對 | 最簡單的視覺化類型是一組鍵值對。 調查結果或實體資訊面板是最常見鍵值對面板範例。 ![\[包含鍵值對的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_key_value.png) 鍵值對也可用於將其他資訊新增至其他類型的面板。 從鍵值對面板中,如果值是某一實體的識別符,則可以錨定至其設定檔。 |
| 資料表 | 資料表是項目的簡單多欄位清單。 ![\[包含簡單資料表的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_table.png) 您可以排序、篩選和逐頁瀏覽資料表。 您可以變更要在每個頁面上顯示的項目數目。請參閱 [設定檔面板的偏好設定](profile-panel-preferences.md)。 如果資料表中的值為實體的識別符,則您可以錨定至其設定檔。 |
| 時間表 | 時間軸視覺化會顯示定義時間間隔的彙總值。 ![\[包含時間軸的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_timeline.png) 時間軸會反白顯示目前的範圍時間,並包含範圍時間之前和之後的額外周邊時間。周邊時間為範圍時間內的活動提供内容。 將滑鼠暫留在某個時間間隔上,即可顯示該時間間隔的資料摘要。 |
| 可擴展資料表 | 可擴展資料表結合了資料表和時間軸。 ![\[包含可擴展資料表的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) 視覺化以資料表開始。 您可以排序、篩選和逐頁瀏覽資料表。 您可以變更要在每個頁面上顯示的項目數目。請參閱 [設定檔面板的偏好設定](profile-panel-preferences.md)。 然後,您可以展開每一列,以顯示該列特定的時間軸視覺化。 |
| 長條圖 | 長條圖會根據群組顯示值。 根據圖表,您可以選擇長條,以顯示相關活動的時間軸。 ![\[包含長條圖的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_bar_chart.png) |
| 地理位置圖表 | 地理位置圖表會顯示標記為根據地理位置反白顯示資料的地圖。它可以附加在包含有關單個地理位置詳細資訊的資料表之後。 ![\[包含地理位置圖表的設定檔面板範例。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_geolocation.png) 請注意,在處理傳入的地理資料時,Detective 會將緯度和經度值四捨五入為一位小數點。 |
## 設定檔面板內容的備註
檢視設定檔面板的內容時,請注意以下項目:
****近似計數資料警告****
此警告表示因相關資料量而導致無法顯示計數極低的項目。
若要確保計數完全準確,請減少資料量。最簡單的方法是減少範圍時間的長度。請參閱 [管理範圍時間](scope-time-managing.md)。
****地理位置的四捨五入****
Detective 會將所有緯度和經度值四捨五入為一位小數點。
**Detective 如何代表API呼叫的變更**
自 2021 年 7 月 14 日起, Detective 會追蹤每次API呼叫的服務。每當 Detective 顯示API方法時,它也會顯示相關聯的服務。在顯示API通話相關資訊的設定檔面板上,通話一律會依 服務分組。針對 Detective 在該日期之前擷取的資料,服務名稱會列為**未知服務**。
此外,從 2021 年 7 月 14 日開始,對於帳戶和角色,**整體API通話量**設定檔面板的活動詳細資訊將不再顯示發出通話AKID的資源的 。針對帳戶,Detective 會顯示發出呼叫之主體 (使用者或角色) 的識別符。針對角色,Detective 會顯示角色工作階段的識別符。針對 Detective 在 2021 年 7 月 14 日之前擷取的資料,識別符會列為**未知資源**。
對於顯示API通話清單的設定檔面板,相關聯的時間軸會反白顯示發生此轉換的時段。反白顯示將於 2021 年 7 月 14 日開始,並在 Detective 中完全傳播更新時結束。
# 設定檔面板的偏好設定
對於設定檔面板,您可以自訂設定檔面板上每個頁面上顯示的列數,並設定時間戳記格式偏好設定。
## 設定資料表長度
針對包含資料表或可擴展資料表的設定檔面板,您可以設定要在每個頁面上顯示的列數。
設定每個頁面上項目數的偏好設定。
1. 在 開啟 Amazon Detective 主控台[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在 Detective 導覽窗格的**設定**下,選擇**偏好設定**。
1. 在**偏好設定**頁面的**資料表長度**下,按一下**編輯**。
1. 選擇要在每個頁面上顯示的資料表列數。
1. 選擇 **Save** (儲存)。
## 設定時間戳記格式
對於設定檔面板,您可以設定時間戳記格式偏好設定,其將套用至 Detective 中每個IAM使用者或IAM角色的所有時間戳記。
**注意**
時間戳記格式偏好設定不會套用至整個 AWS 帳戶。
設定時間戳記的偏好設定。
1. 在 開啟 Amazon Detective 主控台[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在 Detective 導覽窗格的**設定**下,選擇**偏好設定**。
1. 在**偏好設定**頁面的**時間戳記偏好設定**下,檢視並變更所有時間戳記的偏好顯示。
1. 根據預設,時間戳記格式會設定為 UTC。按一下**編輯**以選擇您的當地時區。
範例:
**Example**
UTC - 09/20/22 16:39 UTC
Local - 09/20/2022 9:39 (UTC-07:00)
1. 選擇 **Save** (儲存)。
# 直接導覽至實體設定檔或調查結果概觀
若要直接導覽至實體設定檔或 Amazon Detective 中的調查結果概觀,您可以使用以下其中一個選項。
+ 從 Amazon GuardDuty 或 中 AWS Security Hub CSPM,您可以從 GuardDuty 調查結果轉向對應的 Detective 調查結果設定檔。
+ 您可以組合識別調查結果或實體的 Detective URL,並設定要使用的範圍時間。
## 從 Amazon GuardDuty 或 樞紐至實體設定檔或調查結果概觀 AWS Security Hub CSPM
您可以從 Amazon GuardDuty 主控台導覽至與調查結果相關實體的實體設定檔。
從 GuardDuty 和 AWS Security Hub CSPM 主控台,您也可以導覽至調查結果概觀。這也提供了相關實體的實體設定檔連結。
此類連結有助於簡化調查程序。您可以快速使用 Detective 來查看關聯的實體活動並決定後續步驟。然後,您可以將調查結果封存為誤判,或進一步探索以判斷問題範圍。
### 如何錨定至 Amazon Detective 主控台
所有 GuardDuty 調查結果均可使用調查連結。透過 GuardDuty,您可以選擇是否導覽至實體設定檔或調查結果概觀。
**從 GuardDuty 主控台錨定至 Detective**
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 如有必要,請在左側導覽窗格中選擇**調查結果**。
1. 在 GuardDuty **調查結果**頁面上,選擇調查結果。
調查結果詳細資訊窗格會顯示在調查結果清單的右側。
1. 從調查結果詳細資訊窗格中,選擇**在 Detective 中調查**。
GuardDuty 會顯示 Detective 中可用待調查項目清單。
此清單包含相關實體,例如 IP 地址或 EC2 執行個體以及調查結果。
1. 選擇實體或調查結果。
Detective 主控台會在新標籤中開啟。主控台會向實體或調查結果設定檔開啟。
如果您尚未啟用 Detective,則主控台會開啟提供 Detective 概觀的登陸頁面。您可以在此選擇啟用 Detective。
**從 Security Hub CSPM 主控台轉向 Detective**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 如有必要,請在左側導覽窗格中選擇**調查結果**。
1. 在 Security Hub CSPM **調查結果**頁面上,選擇 GuardDuty 調查結果。
1. 在詳細資訊窗格中,選擇**在 Detective 中調查**,然後選擇**調查結果**。
當您選擇**對調查結果進行調查**時,Detective 主控台會在新標籤中開啟。主控台會開啟並顯示調查結果概觀。
Detective 主控台一律會開啟至調查結果來源的區域,即使您從彙總區域進行錨定。如需調查結果彙總的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的[跨區域彙總調查結果](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。**
如果您尚未啟用 Detective,則主控台會開啟 Detective 登陸頁面。您可以在此啟用 Detective。
### 對錨定進行疑難排解。
若要使用錨定,必須符合以下條件:
+ 您的帳戶必須是 Detective 和您要從中錨定的服務的管理員帳戶。
+ 您已擔任跨帳戶角色,可授予您管理員帳戶對行為圖表的存取權。
如需有關建議對齊管理員帳戶的詳細資訊,請參閱[與 Amazon GuardDuty 和 的建議對齊 AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)。
如果錨定不起作用,請檢查以下內容。
+ **調查結果是否屬於行為圖表中已啟用的成員帳戶?** 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表,則行為圖表不會包含該帳戶的資料。
如果受邀成員帳戶不接受邀請,則行為圖表不會包含該帳戶的資料。
+ **調查結果是否已封存?** Detective 未收到來自 GuardDuty 的封存調查結果。
+ **在 Detective 開始將資料擷取至行為圖表之前,該調查結果是否已出现?** 如果 Detective 所擷取的資料中無調查結果,則行為圖表不會包含該調查結果的資料。
+ **調查結果是否來自正確區域?** 每個行為圖表都針對一個區域。行為圖表不包含來自其他區域的資料。
## 透過 URL 導覽至實體設定檔或調查結果概觀
若要導覽至實體設定檔或在 Amazon Detective 中的調查結果概觀,您可以使用提供直接連結的 URL。URL 可識別調查結果或實體。它也可以指定要在設定檔上使用的範圍時間。Detective 可保存長達一年的歷史事件資料。
### 設定檔 URL 的格式
**注意**
如果您使用舊版 URL 格式,Detective 會自動重新導向至新 URL。舊版 URL 格式為:
https://console.aws.amazon.com/detective/home?region=*Region*\$1*type*/*namespace*/*instanceID*?*parameters*
設定檔 URL 的新版格式如下:
+ 針對實體:https://console.aws.amazon.com/detective/home?region=*Region*\$1*entities*/*namespace*/*instanceID*?*parameters*
+ 針對調查結果:https://console.aws.amazon.com/detective/home?region=*Region*\$1*findings*/*instanceID*?*parameters*
URL 需要以下值。
***區域***
您希望使用的區域。
***type***
您要導覽設定檔的項目類型。
+ `entities`:表示您正在瀏覽至實體設定檔
+ `findings`:表示您正在瀏覽至調查結果概觀
***命名空間***
針對實體,命名空間是實體類型的名稱。
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
調查結果或實體的執行個體識別符。
+ 針對 GuardDuty 調查結果,則為 GuardDuty 調查結果識別符。
+ 若為 AWS 帳戶,則為 帳戶 ID。
+ 對於 AWS 角色和使用者,則為角色或使用者的主要 ID。
+ 若為聯合身分使用者,則為聯合身分使用者的主體 ID。主體 ID 為 `:` 或 `::`。
+ 針對 IP 地址,則為 IP 地址。
+ 針對使用者代理程式,則為使用者代理程式名稱。
+ 針對 EC2 執行個體,則為執行個體 ID。
+ 針對角色工作階段,則為角色工作階段識別符。工作階段識別符使用格式 ` :`。
+ 針對 S3 儲存貯體,則為儲存貯體名稱。
+ 針對調查項目群組,則為 UUID。例如:`ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ 針對 EKS 資源,使用以下格式:
+ EKS 叢集:*\$1\$1EKS*
+ Kubernetes Pod:*\$1\$1\$1EKS*
+ Kubernetes 主體:*\$1\$1*
+ 容器映像:*/:@*
調查結果或實體必須與行為圖表中已啟用的帳戶相關聯。
URL 也可以包含以下選用參數,用於設定範圍時間。如需範圍時間及其在設定檔上使用方式的詳細資訊,請參閱 [管理範圍時間](scope-time-managing.md)。
**`scopeStart`**
在設定檔上使用的範圍時間的開始時間。開始時間必須在過去 365 天內。
該值是紀元時間戳記。
如果您提供了開始時間,但未提供結束時間,則範圍時間會在目前時間結束。
**`scopeEnd`**
在設定檔上使用的範圍時間的結束時間。
該值是紀元時間戳記。
如果您提供了結束時間,但未提供開始時間,則範圍時間會包含結束時間之前的所有時間。
如果您未指定範圍時間,則系統會使用預設的範圍時間。
+ 針對調查結果,預設範圍時間會使用觀察到調查結果活動的首次和末次時間。
+ 針對實體,預設範圍時間為前 24 小時。
以下是 Detective URL 的範例:
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
該範例 URL 提供以下指示。
+ 顯示 IP 地址 192.168.1 的實體設定檔。
+ 使用 2019 年 3 月 18 日星期一上午 12:00:00 GMT 開始至 2019 年 3 月 18 日星期一下午 12:00:00 GMT 結束的範圍時間。
### URL 疑難排解
如果 URL 未顯示預期的設定檔,請先檢查 URL 是否使用了正確的格式,以及您是否提供了正確的值。
+ 您是否使用了正確的 URL (`findings` 或 `entities`)?
+ 您是否指定了正確的命名空間?
+ 您是否提供了正確的識別符?
如果值正確,則還可以檢查以下內容。
+ **調查結果或實體是否屬於行為圖表中已啟用的成員帳戶?** 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表,則行為圖表不會包含該帳戶的資料。
如果受邀成員帳戶不接受邀請,則行為圖表不會包含該帳戶的資料。
+ **針對某一調查結果,是否對其封存?** Detective 未收到來自 Amazon GuardDuty 的封存調查結果。
+ **在 Detective 開始將資料擷取至行為圖表之前,該调查結果或實體是否已出现?** 如果 Detective 所擷取的資料中無調查結果或實體,則行為圖表不會包含該調查結果的資料。
+ **調查結果或實體是否來自正確區域?** 每個行為圖表都針對一個區域。行為圖表不包含來自其他區域的資料。
## 向 Splunk 新增 Detective 調查結果的 URL
Splunk Trumpet 專案可讓您將資料從 AWS 服務傳送至 Splunk。
您可以設定 Trumpet 專案,以產生 Amazon GuardDuty 調查結果的 Detective URL。然後,您可以使用此類 URL 直接從 Splunk 轉換到相應的 Detective 調查結果設定檔。
Trumpet 專案可以從 GitHub 上透過以下網址找到:[https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)。
在 Trumpet 專案的設定頁面上,從 **AWS CloudWatch 事件**中,選擇 **Detective GuardDuty URL**。
# 從設定檔面板錨定至另一主控台
針對 EC2 執行個體、IAM 使用者和 IAM 角色,您可以直接從詳細資訊設定檔面板導覽至對應的主控台。主控台提供的資訊可以為您的安全調查提供額外的輸入。
在 **EC2 執行個體詳細資訊**設定檔面板上,EC2 執行個體識別符會連結至 Amazon EC2 主控台。
在**使用者詳細資訊**設定檔面板上,使用者名稱會連結至 IAM 主控台。
在**角色詳細資訊**設定檔面板上,角色名稱會連結至 IAM 主控台。
## 從設定檔面板錨定至另一實體設定檔
當設定檔面板包含不同實體的識別符時,其通常是該實體設定檔的連結。例外情況指針對 EC2 執行個體上 Amazon EC2 和 IAM 主控台、IAM 使用者和 IAM 角色設定檔的連結。請參閱 [從設定檔面板錨定至另一主控台](#profile-panel-console-links)。
例如,從 IP 地址清單中,您可能會針對特定 IP 地址顯示設定檔。如此一來,您就可以查看是否有其他資訊可協助您完成調查。
# 在設定檔面板上探索活動詳細資訊
在調查期間,您可能想要進一步調查實體的活動模式。
在以下設定檔面板上,您可以顯示活動詳細資訊的摘要:
+ **整體 API 呼叫量**,使用者代理程式設定檔上的設定檔面板除外
+ **新觀察到的地理位置**
+ **VPC 整體流量**
+ 針對與單一 IP 地址相關聯的調查結果,**往來于調查結果 IP 地址的 VPC 流量**
+ **容器詳細資訊**
+ 叢集的 **VPC 流量**
+ **Kubernetes 整體 API 活動**
活動詳細資訊可回答以下類型的問題:
+ 使用了哪些 IP 地址?
+ 此類 IP 地址位於何處?
+ 每個 IP 地址進行了哪些 API 呼叫,以及他們透過哪些服務進行呼叫?
+ 使用哪些主體或存取金鑰識別符 (AKID) 用於呼叫?
+ 使用哪些資源用於呼叫?
+ 呼叫次數? 成功和失敗次數?
+ 每個 IP 地址傳入或傳出多少 VPC 流程日誌資料?
+ 指定叢集、映像或 Pod 的哪些容器處於作用中狀態?
**Topics**
+ [整體 API 呼叫量的活動詳細資訊](profile-panel-drilldown-overall-api-volume.md)
+ [地理位置的活動詳細資訊](profile-panel-drilldown-new-geolocations.md)
+ [整體 VPC 流量的活動詳細資訊](profile-panel-drilldown-overall-vpc-volume.md)
+ [涉及 EKS 叢集的整體 Kubernetes API 活動](profile-panel-drilldown-kubernetes-api-volume.md)
# 整體 API 呼叫量的活動詳細資訊
**整體 API 呼叫量**的活動詳細資訊,顯示在所選時間範圍內的 API 呼叫資料。
若要顯示單一時間間隔的活動詳細資訊,請在圖表上選擇時間間隔。
若要顯示目前範圍時間的活動詳細資訊,請選擇**顯示範圍時間的詳細資訊**。
請注意,自 2021 年 7 月 14 日起,Detective 開始儲存並顯示 API 呼叫的服務名稱。該日期會在設定檔面板的時間軸上反白顯示。針對在該日期之前發生的活動,服務名稱為**未知服務**。
## 活動詳細資訊的內容 (使用者、角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體)
針對 IAM 使用者、IAM 角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體,活動詳細資訊包含以下資訊:
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。
針對 S3 儲存貯體,資訊會反映對 S3 儲存貯體進行的 API 呼叫。
API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
+ 針對每個項目,活動詳細資訊都會顯示成功和失敗的呼叫次數。**觀察到的 IP 地址**標籤也會顯示每個 IP 地址的位置。
+ 每個項目均顯示呼叫方的訊息。活動詳細資訊會針對帳戶識別使用者或角色。活動詳細資訊會針對角色識別角色工作階段。針對使用者和角色工作階段,活動詳細資訊會識別存取金鑰識別符 (AKID)。
請注意,從 2021 年 7 月 14 日起,針對帳戶設定檔,活動詳細資訊會顯示使用者或角色,而非 AKID。針對角色設定檔,活動詳細資訊會顯示角色工作階段,而非 AKID。針對在 2021 年 7 月 14 日之前發生的活動,呼叫者會列為**未知資源**。
活動詳細資訊包含以下標籤:
**觀察到的 IP 地址**
初始顯示用於發出 API 呼叫的 IP 地址清單。
您可以展開每個 IP 地址,以顯示從該 IP 地址發出的 API 呼叫清單。API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
然後,您可以展開每個 API 呼叫,以顯示來自該 IP 地址的呼叫者清單。根據設定檔而定,呼叫者可能是使用者、角色、角色工作階段或 AKID。
![\[檢視整體 API 呼叫量面板的觀察到的 IP 地址標籤,並展開一個項目以顯示 IP 地址、API 呼叫和 AKID 的階層。API 呼叫會依服務分組。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)
**依服務分類的 API 方法**
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
您可以展開每個 API 方法,以顯示從中發出呼叫的 IP 地址清單。
然後,您可以展開每個 IP 地址,以顯示從該 IP 地址發出該 API 呼叫的 AKID 清單。
![\[檢視整體 API 呼叫量面板中依服務分類的 API 方法標籤,並展開項目以顯示 API 呼叫、IP 地址和 AKID 的階層。API 呼叫會依服務分組。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)
**資源或存取金鑰 ID**
初始顯示用來發出 API 呼叫的使用者、角色、角色工作階段或 AKID 的清單。
您可以展開每個呼叫者,以顯示呼叫者從 IP 地址發出 API 呼叫的清單。
然後,您可以展開每個 IP 地址,以顯示該呼叫者從該 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
![\[檢視整體 API 呼叫量面板的資源標籤,展開項目以顯示 AKID、IP 地址和依服務分組的 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 活動詳細資訊的內容 (IP 地址)
針對 IP 地址,活動詳細資訊包含以下資訊:
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
+ 針對每個項目,活動詳細資訊都會顯示成功和失敗的呼叫次數。
活動詳細資訊包含以下標籤:
**資源**
初始顯示從 IP 地址發出 API 呼叫的資源清單。
針對每個資源,清單包括資源名稱、類型和 AWS 帳戶。
您可以展開每個資源,以顯示資源從 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
![\[在 IP 地址的整體 API 呼叫量設定檔面板上,檢視活動詳細資訊的資源標籤。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)
**依服務分類的 API 方法**
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
您可以展開每個 API 呼叫,以顯示所選期間內從 IP 地址發出的 API 呼叫的資源清單。
![\[在 IP 地址的整體 API 呼叫量設定檔面板上,檢視活動詳細資訊的依服務分類的 API 方法標籤。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)
## 排序活動詳細資訊
您可以依任何清單欄排序活動詳細資訊。
當您使用第一欄位排序時,系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。
## 篩選活動詳細資訊
您可以使用篩選選項,來專注於活動詳細資訊中所表示的特定子集或活動方面。
在所有標籤上,您可以依第一欄位中的任何值篩選清單。
**若要新增篩選條件**
1. 選擇篩選條件方塊。
1. 從**屬性**中,選擇要用於篩選的內容。
1. 提供用於篩選的值。篩選條件支援部分值。例如,當您依 API 方法進行篩選時,如果篩選依據為 **Instance**,則結果會在其名稱內包含帶有 `Instance` 的任何 API 操作。所以 `ListInstanceAssociations` 和 `UpdateInstanceInformation` 兩者將匹配。
針對服務名稱、API 方法和 IP 地址,您可以指定值或選擇內建篩選條件。
針對**通用 API 子字串**,請選擇代表操作類型的子字串,例如 `List`、`Create` 或 `Delete`。每個 API 方法名稱都以操作類型開頭。
針對 **CIDR 模式**,您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。
1. 選擇布林值選項*資源**或服務***:包含** 或 **!:不包含**;或 *API 方法*或 *IP 地址*** = 等於** 或 **!:不等於**設定篩選條件。
![\[活動詳細資訊篩選條件的可用篩選條件清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/api-volume-search.png)
若要移除篩選條件,請選擇右上角的 **x** 圖示。
若要清除所有篩選條件,請選擇**清除篩選條件**。
## 選取活動詳細資訊的時間範圍
當您首次顯示活動詳細資訊時,時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。
**若要變更活動詳細資訊的時間範圍**
1. 選擇**編輯**。
1. 在**編輯時間範圍**上,選擇要使用的開始和結束時間。
若要將時間範圍設定為設定檔的預設範圍時間,請選擇**設定為預設範圍時間**。
1. 選擇**更新時間範圍**。
活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。
![\[針對整體 API 呼叫量設定檔面板反白顯示的時間範圍\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 查詢原始日誌
Amazon Detective 與 Amazon Security Lake 集成,這意味著您可以查詢和擷取 Security Lake 存儲的原始日誌資料。如需此整合的詳細資訊,請參閱 [Amazon Detective 與 Amazon Security Lake 整合](securitylake-integration.md)。
使用此整合,您可以從 Security Lake 原生支援的以下來源收集和查詢日誌和事件。
+ AWS CloudTrail 管理事件 1.0 版及更新版本
+ Amazon Virtual Private Cloud (Amazon VPC) 流程日誌 1.0 版及更新版本
+ Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌 2.0 版
**注意**
在 Detective 內查詢原始資料日誌無須額外收費。其他 AWS 服務的使用費,包括 Amazon Athena,仍以公告費率計費。
**若要查詢原始日誌**
1. 選擇**顯示範圍時間的詳細資訊**。
1. 您可以在此開始**查詢原始日誌**。
1. 在**原始日誌預覽**資料表中,您可以檢視透過從 Security Lake 查詢資料擷取的日誌和事件。如需有關原始事件日誌的詳細資訊,您可以檢視 Amazon Athena 中顯示的資料。
您可以在查詢原始日誌資料表中**取消查詢請求**、**在 Amazon Athena 中查看結果**以及**下載結果**為逗號分隔值 (.csv) 設定檔。
如果您在 Detective 中查看日誌,但查詢未傳回任何結果,這可能因以下原因造成。
+ 原始日誌可能會先在 Detective 中變成可用,然後才在 Security Lake 日誌表中顯示。請稍後再試。
+ Security Lake 可能會缺少日誌。如果您等待了很久的時間,則表示 Security Lake 缺少日誌。請與您的 Security Lake 管理員聯絡以解決問題。
# 地理位置的活動詳細資訊
**新觀察到的地理位置**活動詳細資訊顯示了在範圍時間內從地理位置發出的 API 呼叫。API 呼叫包括從地理位置發出的所有呼叫。它們不限於使用調查結果或設定檔實體的呼叫。針對 S3 儲存貯體,活動呼叫指對 S3 儲存貯體進行的 API 呼叫。
Detective 會使用 MaxMind GeoIP 資料庫來決定請求的位置。MaxMind 在國家/地區層級報告非常高的資料準確性,但準確性會根據國家/地區和 IP 類型等因素而有所不同。如需 MaxMind 的詳細資訊,請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確,您可以在 [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) 向 Maxmind 提交更正請求。
API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
若要顯示活動詳細資訊,請執行以下其中一項動作:
+ 在地圖上,選擇一個地理位置。
+ 在清單中,選擇地理位置的**詳細資訊**。
活動詳細資訊會取代地理位置清單。若要傳回地理位置清單,請選擇**返回至所有結果**。
請注意,自 2021 年 7 月 14 日起,Detective 開始儲存並顯示 API 呼叫的服務名稱。針對在該日期之前發生的活動,服務名稱為**未知服務**。
## 活動內容詳細資訊
每個標籤都會提供範圍時間内從地理位置發出的所有 API 呼叫的相關資訊。
針對每個 IP 地址、資源和 API 方法,清單會顯示成功和失敗的 API 呼叫次數。
活動詳細資訊包含以下標籤:
**觀察到的 IP 地址**
初始顯示用於從所選地理位置發出 API 呼叫的 IP 地址清單。
您可以展開每個 IP 地址,以顯示從該 IP 地址發出 API 呼叫的資源。清單會顯示資源名稱。若要查看主體 ID,請將滑鼠游標移至名稱上。
然後,您可以展開每個資源,以顯示該資源從該 IP 地址發出的特定 API 呼叫。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
![\[檢視新觀察到的地理位置面板中觀察到的 IP 地址標籤,並展開項目以顯示 IP 地址、資源和 API 方法的階層架構。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)
**Resource**
初始顯示從選取的地理位置發出 API 呼叫的資源清單。清單會顯示資源名稱。若要查看主體 ID,請將滑鼠游標停放在名稱上。針對每個資源,**資源**標籤也會顯示相關 AWS 帳戶。
您可以展開每個使用者或角色,以顯示該資源發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在**未知服務**下。
然後,您可以展開每個 API 呼叫,以顯示資源發出 API 呼叫的來源 IP 地址清單。
![\[檢視新觀察到的地理位置面板中資源標籤,並展開項目以顯示使用者、API 方法和 IP 地址的階層架構。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)
## 排序活動詳細資訊
您可以依任何清單欄排序活動詳細資訊。
當您使用第一欄位排序時,系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。
## 篩選活動詳細資訊
您可以使用篩選選項,來專注於活動詳細資訊中所表示的特定子集或活動方面。
在所有標籤上,您可以依第一欄位中的任何值篩選清單。
**若要新增篩選條件**
1. 選擇篩選條件方塊。
1. 從**屬性**中,選擇要用於篩選的內容。
1. 提供用於篩選的值。篩選條件支援部分值。例如,當您依 API 方法進行篩選時,如果篩選依據為 **Instance**,則結果會在其名稱內包含帶有 `Instance` 的任何 API 操作。所以 `ListInstanceAssociations` 和 `UpdateInstanceInformation` 兩者將匹配。
針對服務名稱、API 方法和 IP 地址,您可以指定值或選擇內建篩選條件。
針對**通用 API 子字串**,請選擇代表操作類型的子字串,例如 `List`、`Create` 或 `Delete`。每個 API 方法名稱都以操作類型開頭。
針對 **CIDR 模式**,您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。
1. 如果您有多個篩選條件,請選擇布林值選項來設定此類篩選條件的連線方式。
![\[活動詳細資訊篩選條件之個別篩選條件之間的可用連接器清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)
1. 若要移除篩選條件,請選擇右上角的 **x** 圖示。
1. 若要清除所有篩選條件,請選擇**清除篩選條件**。
# 整體 VPC 流量的活動詳細資訊
針對 EC2 執行個體,**整體 VPC 流量**的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。
針對 Kubernetes Pod,**整體 VPC 流量**會針對所有目的地 IP 地址,顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。在這一情況下 (`hostNetwork:true`),Kubernetes Pod 的 IP 地址并非唯一地址。在此情況下,面板會顯示具有傳送至相同組態的其他 Pod 的流量,以及託管 Pod 的節點。
針對 IP 地址,**整體 VPC 流量**的活動詳細資訊會顯示 IP 地址與 EC2 執行個體在所選時間範圍內的互動。
若要顯示單一時間間隔的活動詳細資訊,請在圖表上選擇時間間隔。
若要顯示目前範圍時間的活動詳細資訊,請選擇**顯示範圍時間的詳細資訊**。
## 活動內容詳細資訊
內容反映在所選時間範圍內的活動。
針對 EC2 執行個體,活動詳細資訊包含 IP 地址、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。
針對 IP 地址,活動詳細資訊包含 EC2 執行個體、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。
每個項目都會顯示傳入流量、傳入流量以及存取要求是否已接受或拒絕。在調查結果設定檔上,**注釋**欄位會指出 IP 地址何時與目前調查結果相關。
![\[整體 VPC 流量設定檔面板的活動詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)
## 排序活動詳細資訊
您可以依據資料表中的任何欄位來排序活動詳細資訊。
根據預設,活動詳細資訊會先依註釋排序,然後依傳入流量排序。
## 篩選活動詳細資訊
若要專注於特定活動,您可以依以下值篩選活動詳細資訊:
+ IP 地址或 EC2 執行個體
+ 本機或遠端連接埠
+ Direction
+ 通訊協定
+ 請求是否被接受或拒絕
**若要新增和移除篩選條件**
1. 選擇篩選條件方塊。
1. 從**屬性**中,選擇要用於篩選的內容。
1. 提供用於篩選的值。篩選條件支援部分值。
若要依 IP 地址進行篩選,您可以指定值或選擇內建篩選條件。
針對 **CIDR 模式**,您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。
1. 如果您有多個篩選條件,請選擇布林值選項來設定此類篩選條件的連線方式。
![\[活動詳細資訊篩選條件之個別篩選條件之間的可用連接器清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)
1. 若要移除篩選條件,請選擇右上角的 **x** 圖示。
1. 若要清除所有篩選條件,請選擇**清除篩選條件**。
## 選取活動詳細資訊的時間範圍
當您首次顯示活動詳細資訊時,時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。
**若要變更活動詳細資訊的時間範圍**
1. 選擇**編輯**。
1. 在**編輯時間範圍**上,選擇要使用的開始和結束時間。
若要將時間範圍設定為設定檔的預設範圍時間,請選擇**設定為預設範圍時間**。
1. 選擇**更新時間範圍**。
活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。
![\[在整體 VPC 流量設定檔面板上反白顯示活動詳細資訊的時間範圍。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)
## 顯示所選列的流量
當您識別感興趣的資料列時,可以在主圖表上顯示此類資料列隨時間變化的流量。
針對每個要新增至圖表的資料列,勾選核取方塊。針對每個已選取的資料列,流量會在傳入或傳出圖表上顯示為一條線。
![\[所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)
若要專注於所選項目的流量,您可以隱藏整體流量。若要顯示或隱藏整體流量,請切換**整體流量**。
![\[所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。整體流量處於隱藏狀態。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)
## 顯示 EKS 叢集的 VPC 流量
Detective 可以為 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌提供可見度,此類日誌代表周遊 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的流量。針對 Kubernetes 資源,VPC 流程日誌的內容取決於 EKS 叢集中部署的容器網路介面 (CNI)。
使用預設組態的 EKS 叢集會使用 Amazon VPC CNI 外掛程式。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[管理 VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)。****Amazon VPC CNI 外掛程式會使用 Pod 的 IP 地址傳送內部流量,並將來源 IP 地址翻譯為節點的 IP 地址以進行外部通訊。Detective 可以擷取內部流量並將其關聯到正確的 Pod,但無法對外部流量執行相同動作。
如果您希望 Detective 能夠對 Pod 的外部流量具有可見度,請啟用外部來源網路地址轉譯 (SNAT)。啟用 SNAT 具有限制和缺點。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[適用於 Pod 的 SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)。****
如果您使用不同的 CNI 外掛程式,Detective 針對使用 `hostNetwork:true` 的 Pod 有限可見度。針對此類 Pod,**VPC 流程**面板會顯示傳入 Pod IP 地址的所有流量。這包括傳入託管節點的流量以及傳入具有 `hostNetwork:true` 組態之節點上任何 Pod 的流量。
Detective 會針對以下 EKS 叢集組態,在 EKS Pod 的 **VPC 流程**面板中顯示流量:
+ 在具有 Amazon VPC CNI 外掛程式的叢集中,任何在叢集的 VPC 內傳送流量的 Pod (具有組態 `hostNetwork:false`)。
+ 在具有 Amazon VPC CNI 外掛程式和組態 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` 的叢集中,任何在叢集 VPC 外部傳送流量的 Pod (具有 `hostNetwork:false`)。
+ 任何具有組態 `hostNetwork:true` 的 Pod。來自節點的流量會與來自具有組態 `hostNetwork:true` 之其他 Pod 的流量混合在一起。
Detective 不會在 **VPC 流程**面板中顯示以下項目的流量:
+ 在具有 Amazon VPC CNI 外掛程式和組態 `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 的叢集中,任何在叢集 VPC 外部傳送流量的 Pod (具有組態 `hostNetwork:false`)。
+ 在無需針對 Kubernetes 使用 Amazon VPC CNI 外掛程式的叢集內,任何具有組態 `hostNetwork:false` 的 Pod。
+ 傳送流量至相同節點中託管的另一個 Pod 的任何 Pod。
## 顯示共用 Amazon VPC 的 VPC 流程流量
Detective 可以深入查看共用 VPC 的 Amazon Virtual Private Cloud (Amazon VPC) Flow Logs:
+ 如果 Detective 成員帳戶擁有共用 Amazon VPC,而且還有其他非 Detective 帳戶使用共用 VPC,則 Detective 會監控來自該 VPC 的所有流量,並且對 VPC 內的所有流量流程提供視覺效果。
+ 如果您的共用 Amazon VPC 內有 Amazon EC2 執行個體,而共用 VPC 擁有者不是 Detective 成員,則 Detective 不會監控來自 VPC 的任何流量。如果您想要檢視 VPC 內的流量流程,則必須將 Amazon VPC 擁有者新增為 Detective 圖形的成員。
# 涉及 EKS 叢集的整體 Kubernetes API 活動
**涉及 EKS 叢集的整體 Kubernetes API 活動**的活動詳細資訊,顯示所選時間範圍内成功和失敗的 Kubernetes API 呼叫次數。
若要顯示單一時間間隔的活動詳細資訊,請在圖表上選擇時間間隔。
若要顯示目前範圍時間的活動詳細資訊,請選擇**顯示範圍時間的詳細資訊**。
## 活動詳細資訊的內容 (叢集、Pod、使用者、角色和角色工作階段)
針對叢集、Pod、使用者、角色或角色工作階段,活動詳細資訊包含以下資訊:
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。
針對叢集,API 呼叫發生在叢集內部。
針對 Pod,API 呼叫會以 Pod 為目標。
針對使用者、角色和角色工作階段,API 呼叫是由認證為該使用者、角色或角色工作階段的 Kubernetes 使用者發出。
+ 針對每個項目,活動詳細資訊會顯示成功、失敗、未經授權和禁止的呼叫次數。
+ 資訊包括 IP 地址、Kubernetes 呼叫類型、受呼叫影響的實體,以及進行呼叫的主體 (服務帳戶或使用者)。從活動詳細資訊中,您可以錨定至 IP 地址、主體和受影響實體的設定檔。
活動詳細資訊包含以下標籤:
**Subject**
初始顯示用於進行 API 呼叫的服務帳戶和使用者清單。
您可以展開每個服務帳戶和使用者,以顯示帳戶或使用者從 IP 地址中 API 呼叫的清單。
然後,您可以展開每個 IP 地址,以顯示該帳戶或使用者從該 IP 地址進行的 Kubernetes API 呼叫。
展開 Kubernetes API 呼叫,查看 `requestURI `以識別已完成的動作。
![\[檢視整體 Kubernetes API 呼叫量面板的主體標籤,展開項目以顯示 IP 地址和 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/kube-subject-drilldown.png)
**IP Address** (IP 地址)
初始顯示從 IP 地址中進行 API 呼叫的清單。
您可以展開每個呼叫,以顯示進行呼叫 Kubernetes 主體 (服務帳戶和使用者) 清單。
然後,您可以將每個主體展開到範圍時間内由主體發出的 API 呼叫類型清單。
展開 API 呼叫類型,查看 requestURI 以識別已完成的動作。
![\[檢視整體 Kubernetes API 呼叫量面板的 IP 地址標籤,展開項目以顯示 API 呼叫、IP 地址和 AKID 的階層。API 呼叫依服務分組\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/kube-ip-drilldown.png)
**Kubernetes API 呼叫**
初始顯示 Kubernetes API 呼叫動詞清單。
您可以展開每個 API 動詞以顯示與該動作相關聯的 requestURI。
然後,您可以展開每個 requestURI,以查看進行 API 呼叫的 Kubernetes 主體 (服務帳戶和使用者)。
展開主體以查看主體用來進行 API 呼叫的 IP。
![\[檢視整體 API 呼叫量面板的資源標籤,展開項目以顯示 AKID、IP 地址和依服務分組的 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## 排序活動詳細資訊
您可以依任何清單欄排序活動詳細資訊。
當您使用第一欄位排序時,系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。
## 篩選活動詳細資訊
您可以使用篩選選項,來專注於活動詳細資訊中所表示的特定子集或活動方面。
在所有標籤上,您可以依第一欄位中的任何值篩選清單。
## 選取活動詳細資訊的時間範圍
當您首次顯示活動詳細資訊時,時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。
**若要變更活動詳細資訊的時間範圍**
1. 選擇**編輯**。
1. 在**編輯時間範圍**上,選擇要使用的開始和結束時間。
若要將時間範圍設定為設定檔的預設範圍時間,請選擇**設定為預設範圍時間**。
1. 選擇**更新時間範圍**。
活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。
![\[針對整體 API 呼叫量設定檔面板反白顯示的時間範圍\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 在調查期間使用設定檔面板指引
每個設定檔面板都旨在提供您進行調查和分析相關實體活動時出現的特定問題的答案。
為每個設定檔面板提供的指引可協助您找到答案。
設定檔面板指引以面板自身的單一句子開頭。本指引提供了面板上顯示的資料的簡要說明。
若要顯示面板的更多詳細指引,請從面板標題中選擇**更多資訊**。此擴充指引會在說明窗格中顯示。
該指引可以提供以下類型的資訊:
+ 面板內容概觀
+ 如何使用面板回答相關問題
+ 根據答案建議的後續步驟
# 管理範圍時間
自訂用於限制實體設定檔上顯示資料的範圍時間。
實體設定檔上顯示的圖表、時間軸和其他資料都基於目前的範圍時間。範圍時間指一段時間內實體的活動摘要。這會出現在 Amazon Detective 主控台中每個設定檔的右上角。此類圖表、時間軸和其他視覺化上顯示的資料以範圍時間為基礎。針對某些設定檔面板,系統會在範圍時間之前和之後都會增加額外時間,以提供内容。在 Detective 中,預設會以 UTC 顯示所有時間戳記。您可以透過變更時間**戳記偏好設定**來選取當地時區。若要更新**時間戳記偏好設定**,請參閱 [設定時間戳記格式](profile-panel-preferences.md#profile-panel-preferences-timestamp)。
Detective 分析會在檢查異常活動時使用範圍時間。分析程序會在範圍時間內取得活動,然後將其與範圍時間前 45 天的活動進行比較。它還使用 45 天的時間範圍來產生活動的基準線。
在調查結果概觀中,範圍時間會反映調查結果的首次和末次觀察時間。如需調查結果概觀的詳細資訊,請參閲 [分析 Detective 中的調查結果概觀](finding-overview.md)。
當您進行調查時,您可以調整範圍時間。例如,如果原始分析基於一天的活動,您可能需要將其展開為一週或一個月。擴大的時間段可以幫助您更好地了解活動是否屬於正常模式或異常模式。
您也可以設定範圍時間,以符合目前實體的關聯調查結果。
當您變更範圍時間時,Detective 會重複其分析,並根據新範圍時間更新顯示的資料。
範圍時間不能短於一小時,不得超過一年。開始和結束時間必須相隔一小時。
## 設定特定開始和結束日期及時間
您可以從 Detective 主控台設定範圍時間的開始和結束日期。
**若要設定新範圍時間的特定開始和結束時間**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在實體設定檔上,選擇範圍時間。
1. 在**編輯範圍時間**面板的**開始**下,選擇範圍時間的新開始日期和時間。針對新開始時間,您只選擇小時。
1. 在**結束**下,選擇範圍時間的新結束日期和時間。針對新結束時間,您只選擇小時。結束時間至少必須比開始時間晚一小時。
1. 完成編輯後,若要儲存變更並更新顯示的資料,請選擇**更新範圍時間**。
## 編輯範圍時間的時間長度
當您設定範圍時間長度時,Detective 會將範圍時間設定為從目前時間算起的時間長度。
**若要編輯範圍時間的時間長度**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在實體設定檔上,選擇範圍時間。
1. 在**編輯範圍時間**面板的**歷史**旁邊,選擇範圍時間的時間長度。
指定時間範圍會更新**開始**和**結束**設定。
1. 完成編輯後,若要儲存變更並更新顯示的資料,請選擇**更新範圍時間**。
## 將範圍時間設定為調查結果時間範圍
每個調查結果都有相關的時間範圍,其將反映首次和末次觀察調查結果的時間。當您檢視調查結果概觀時,範圍時間會變更為調查結果時間範圍。
從實體設定檔中,您可以將範圍時間與關聯調查結果的時間範圍對齊。此舉可讓您可以調查在此期間發生的活動。
若要將範圍時間與調查結果時間範圍對齊,請在**相關的調查結果**面板上,選擇您要使用的調查結果。
Detective 會填入調查結果詳細資訊,並將範圍時間設定為調查結果時間範圍。
## 在摘要頁面上設定範圍時間
檢閱**摘要**頁面時,您可以調整範圍時間,以檢視過去 365 天內任何 24 小時時間範圍的活動。
若要在摘要頁面上設定範圍時間
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**摘要**。
1. 在**範圍時間**面板的**摘要**旁邊,您可以變更**開始日期和時間**。開始時間必須在過去 365 天內。
當您變更**開始日期和時間**時,**結束日期和時間**會自動更新為您選擇的開始時間之後的 24 小時。
**注意**
使用 Detective,您可以訪問長達一年的歷史事件資料。如需 Detective 中來源資料的詳細資訊,請參閱[行為圖表中使用的來源資料](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)。
1. 完成編輯後,若要儲存變更並更新顯示的資料,請選擇**更新範圍時間**。
# 在 Detective 中檢視相關調查結果的詳細資訊
每個實體設定檔都包含一個相關的調查結果面板,其中列出目前範圍時間内涉及的實體的調查結果。表明某個一實體已遭入侵的跡象即為其參與了多項調查結果。調查結果的類型還可以提供有關要關注的活動類型的洞察。
關聯的調查結果面板會立即顯示在實體詳細資訊設定檔面板下方。
對於每項調查結果,資料表包含以下資訊:
+ 調查結果標題,也是調查結果概觀的連結。
+ 與調查結果相關聯的 AWS 帳戶,這也是帳戶設定檔的連結
+ 調查結果類型
+ 最早觀察到調查結果的時間
+ 最近觀察到調查結果的時間
+ 調查結果的嚴重性
若要顯示調查結果的調查結果詳細資訊,請選擇調查結果的按鈕。Detective 將填入頁面右側的調查結果詳細資訊面板。Detective 也會將範圍時間變更為調查結果時間範圍。此舉可讓您可以專注於在此期間發生的活動。
如果您從搜尋結果概觀導覽至實體設定檔,則系統會自動選取該調查結果,並顯示調查結果的詳細資訊。
若要從調查結果詳細資訊導覽回調查結果概觀,請選擇**查看所有相關實體**。
您也可以封存調查結果。如需詳細資訊,請參閱[封存 Amazon GuardDuty 調查結果](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)。
# 在 Detective 中檢視大量實體的詳細資訊
在[行為圖表](behavior-graph-data-about.md)中,Amazon Detective 會追蹤實體之間的關係。例如,每個行為圖表都會追蹤 AWS 使用者何時建立 AWS 角色,以及 EC2 執行個體何時連線到 IP 地址。
當實體在一段時間內發生太多關係時,Detective 將無法儲存所有關係。如果在目前的範圍時間內發生此類情況,Detective 會通知您。Detective 還提供了大量實體的出現的清單。
## 什麼是大量實體?
在指定的時間間隔內,實體可能是極大數目連線的起點或目的地。例如,EC2 執行個體可能具有來自數百萬個 IP 地址的連線。
在每個時間間隔內,Detective 將保持其可以承載的連線數目的限制。如果某一實體超過該限制,則 Detective 會捨棄該時間間隔內的連線。
例如,假設每個時間間隔的限制為 100,000,000 個連線。如果 EC2 執行個體在一段時間間隔內連線到超過 100,000,000 個 IP 地址,則 Detective 會捨棄該時間間隔中的連線。
不過,您可能可以根據關係另一端的實體來分析該活動。為了繼續該範例,當 EC2 執行個體可能從數百萬個 IP 地址進行連線時,單一 IP 地址將連線到極少的 EC2 執行個體。每個 IP 地址設定檔都提供 IP 地址所連線的 EC2 執行個體的詳細資訊。
## 檢視設定檔上的大量實體通知
如果範圍時間包含大量實體的時間間隔,則 Detective 會在調查結果或實體設定檔的頂端顯示通知。針對調查結果設定檔,通知則針對涉及的實體。
該通知包括具有大量時間間隔的關係清單。每個清單項目都包含關係的說明和大量時間間隔的開始。
大量時間間隔可能是可疑活動的指標。若要了解同時發生了哪些其他活動,您可以將調查集中在大量時間間隔上。大量實體通知包括用於將範圍時間設置為該時間間隔的選項。
**將範圍時間設定為大量時間間隔**
1. 在大量實體通知中,選擇時間間隔。
1. 在快顯功能表上,選擇**套用範圍時間**。
## 檢視當前範圍時間的大量實體清單
**大量實體**頁面包含目前範圍時間內的大量時間間隔和實體清單。
**若要顯示大量實體頁面**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在 Detective 導覽窗格中,選擇**大量實體**。
每個清單項目包含以下資訊:
+ 大量時間間隔的開始
+ 實體類型的識別符
+ 關係的說明,例如「從 IP 地址連線的 EC2 執行個體」
您可以透過任何欄篩選和排序清單。您也可以導覽至涉及的實體的實體設定檔。
**若要導覽至某一實體設定檔**
1. 在**大量實體**清單中,選擇要從何列進行導覽。
1. 選擇**檢視具有大量範圍時間的設定檔**。
當您使用此選項導覽至實體設定檔時,範圍時間設定如下:
+ 範圍時間在大量時間間隔之前的 30 天開始。
+ 範圍時間在大量時間間隔結束時結束。