Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Guard Duty-Ergebnisse, die über den Sentinel-Connector erfasst wurden, stellen ein in Ihrem Netzwerk erkanntes potenzielles Sicherheitsproblem dar. GuardDuty generiert ein Ergebnis, wenn es unerwartete und potenziell böswillige Aktivitäten in Ihrer AWS-Umgebung erkennt.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | Beschreibung |
|---|---|---|
| Konto-ID | Zeichenfolge | Die AWS-Konto-ID des Besitzers der Quellnetzwerkschnittstelle, für die Datenverkehr aufgezeichnet wird. Wenn die Netzwerkschnittstelle von einem AWS-Dienst erstellt wird (z. B. beim Erstellen eines VPC-Endpunkts oder eines Netzwerklastenausgleichs), wird der Datensatz in diesem Feld möglicherweise als unbekannt angezeigt. |
| Aktivitätstyp | Zeichenfolge | Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, die die Suche ausgelöst hat. |
| Arn | Zeichenfolge | Amazon-Ressourcenname des Ergebnisses. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Beschreibung | Zeichenfolge | Beschreibung des Hauptzwecks der Bedrohung oder des Angriffs im Zusammenhang mit der Feststellung. |
| Id | Zeichenfolge | Eine eindeutige Such-ID für diesen Suchtyp und parametersatz. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden mit derselben ID aggregiert. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob das Erfassen der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Partitionierung | Zeichenfolge | Die AWS-Partition, in der die Suche generiert wurde. |
| Region | Zeichenfolge | Die AWS-Region, in der die Suche generiert wurde. |
| Ressourcendetails | dynamisch | Gibt Details zu der AWS-Ressource an, die von der Triggeraktivität angesteuert wurde. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp. |
| SchemaVersion | Zeichenfolge | Die Guard Duty-Ergebnisversion. |
| ServiceDetails | dynamisch | Enthält Details zum AWS-Dienst, der mit der Feststellung in Zusammenhang stand, einschließlich Aktion, Akteur/Ziel, Beweis, anomalem Verhalten und Zusätzlicher Informationen. |
| Schwere | Integer | Der Schweregrad eines Befundes ist entweder "Hoch", "Mittel" oder "Niedrig". |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| TimeCreated | Datum/Uhrzeit | Die Uhrzeit und das Datum, zu dem dieser Befund zum ersten Mal erstellt wurde. Wenn dieser Wert von "Aktualisiert bei" (TimeGenerated) abweicht, gibt er an, dass die Aktivität mehrmals aufgetreten ist und ein fortlaufendes Problem darstellt. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis erstellt wurde. Das letzte Mal, als dieses Ergebnis mit neuer Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty veranlasste, dieses Ergebnis zu generieren. |
| Titel | Zeichenfolge | Zusammenfassung des Hauptzwecks der Bedrohung oder des Angriffs in Bezug auf die Erkenntnis. |
| Typ | Zeichenfolge | Der Name der Tabelle. |