AWSGuardDuty
Guard Duty Findings, die vom Sentinel-Connector erfasst werden, stellen ein potenzielles Sicherheitsproblem dar, das in Ihrem Netzwerk erkannt wurde. GuardDuty generiert immer dann einen Fund, wenn unerwartete und potenziell böswillige Aktivitäten in Ihrer AWS-Umgebung erkannt werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountId | Zeichenfolge | Die AWS-Konto-ID des Besitzers der Quellnetzwerkschnittstelle, für die Datenverkehr aufgezeichnet wird. Wenn die Netzwerkschnittstelle von einem AWS-Dienst erstellt wird, z. B. beim Erstellen eines VPC-Endpunkts oder eines Netzwerk-Load Balancer, wird der Datensatz möglicherweise unbekannt für dieses Feld angezeigt. |
| ActivityType | Zeichenfolge | Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, die die Suche ausgelöst hat. |
| Arn | Zeichenfolge | Amazon-Ressourcenname des Ergebnisses. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| BESCHREIBUNG | Zeichenfolge | Beschreibung des primären Zwecks der Bedrohung oder des Angriffs im Zusammenhang mit der Entdeckung. |
| Id | string | Eine eindeutige Such-ID für diesen Suchtyp und satz von Parametern. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden mit derselben ID aggregiert. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Partition | Zeichenfolge | Die AWS-Partition, in der der Fund generiert wurde. |
| Region | Zeichenfolge | Die AWS-Region, in der der Befund generiert wurde. |
| ResourceDetails | dynamisch | Enthält Details zur AWS-Ressource, die von der Triggeraktivität als Ziel verwendet wurde. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp. |
| SchemaVersion | string | Die Version der Guard Duty-Suche. |
| ServiceDetails | dynamisch | Enthält Details zum AWS-Dienst, der sich auf die Ermittlung bezieht, einschließlich Aktion, Akteur/Ziel, Nachweis, anomales Verhalten und Zusätzliche Informationen. |
| severity | INT | Der zugewiesene Schweregrad eines Ergebnisses lautet "Hoch", "Mittel" oder "Niedrig". |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeCreated | datetime | Die Uhrzeit und das Datum, zu dem dieser Fund zum ersten Mal erstellt wurde. Wenn dieser Wert von Updated at (TimeGenerated) abweicht, gibt dies an, dass die Aktivität mehrmals aufgetreten ist und ein fortlaufendes Problem darstellt. |
| TimeGenerated | datetime | Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis generiert wurde. Das letzte Mal, als dieser Fund mit einer neuen Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty zum Generieren dieses Ergebnisses aufforderte. |
| Titel | Zeichenfolge | Zusammenfassung des Hauptzwecks der Bedrohung oder des Angriffs im Zusammenhang mit der Entdeckung. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für