AWSGuardDuty
Guard Duty Findings, que se ingiere desde el conector de Sentinel, representa un posible problema de seguridad detectado en la red. GuardDuty genera una búsqueda cada vez que detecta actividades inesperadas y potencialmente malintencionadas en su entorno de AWS.
Atributos de tabla
Atributo | Valor |
---|---|
Tipos de recursos | - |
Categorías | Seguridad |
Soluciones | SecurityInsights |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | Sí |
Columnas
Columna | Tipo | Descripción |
---|---|---|
AccountId | string | Identificador de cuenta de AWS del propietario de la interfaz de red de origen para la que se registra el tráfico. Si un servicio de AWS crea la interfaz de red, por ejemplo, al crear un punto de conexión de VPC o network Load Balancer, el registro puede mostrar desconocido para este campo. |
ActivityType | string | Cadena con formato que representa el tipo de actividad que desencadenó la búsqueda. |
Arn | string | Nombre del recurso de Amazon de la búsqueda. |
_BilledSize | real | Tamaño del registro en bytes |
Descripción | string | Descripción del propósito principal de la amenaza o el ataque relacionados con la búsqueda. |
Identificador | string | Identificador de búsqueda único para este tipo de búsqueda y conjunto de parámetros. Las nuevas repeticiones de la actividad que coinciden con este patrón se agregarán al mismo identificador. |
_IsBillable | string | Especifica si la ingesta de los datos se puede facturar. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
Partition | string | Partición de AWS en la que se generó la búsqueda. |
Region | string | Región de AWS en la que se generó la búsqueda. |
ResourceDetails | dinámico | Proporciona detalles sobre el recurso de AWS dirigido por la actividad de desencadenador. La información disponible varía en función del tipo de recurso y del tipo de acción. |
SchemaVersion | string | Versión de búsqueda del servicio de guardia. |
ServiceDetails | dinámico | Proporciona detalles sobre el servicio de AWS relacionado con la búsqueda, incluida acción, actor/destino, evidencia, comportamiento anómalo e información adicional. |
severity | int | Un resultado tiene asignado el nivel de gravedad de alto, medio o bajo. |
SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
TenantId | string | Identificador del área de trabajo de Log Analytics |
TimeCreated | datetime | Hora y fecha en que se creó este hallazgo por primera vez. Si este valor difiere de Actualizado en (TimeGenerated), indica que la actividad se ha producido varias veces y es un problema continuo. |
TimeGenerated | datetime | Marca de tiempo (UTC) de la hora en que se generó el evento, la última vez que se actualizó esta búsqueda con la nueva actividad que coincide con el patrón que insificó a GuardDuty para generar esta búsqueda. |
Título | string | Resumen del propósito principal de la amenaza o el ataque relacionados con la búsqueda. |
Tipo | string | Nombre de la tabla. |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de