Eventos
Compilación de Intelligent Apps
17 mar, 21 - 21 mar, 10
Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.
Regístrese ahoraAWSGuardDuty
Guard Duty Findings, que se ingiere desde el conector de Sentinel, representa un posible problema de seguridad detectado en la red. GuardDuty genera una búsqueda cada vez que detecta actividades inesperadas y potencialmente malintencionadas en su entorno de AWS.
| Attribute | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
| Columna | Type | Descripción |
|---|---|---|
| AccountId | string | Identificador de cuenta de AWS del propietario de la interfaz de red de origen para la que se registra el tráfico. Si un servicio de AWS crea la interfaz de red, por ejemplo, al crear un punto de conexión de VPC o Network Load Balancer, el registro puede mostrarse desconocido para este campo. |
| ActivityType | string | Cadena con formato que representa el tipo de actividad que desencadenó la búsqueda. |
| Arn | string | Nombre del recurso de Amazon de la búsqueda. |
| _BilledSize | real | Tamaño del registro en bytes |
| Descripción | string | Descripción del propósito principal de la amenaza o ataque relacionado con la búsqueda. |
| Id | string | Identificador de búsqueda único para este tipo de búsqueda y conjunto de parámetros. Las nuevas apariciones de la actividad que coinciden con este patrón se agregarán al mismo identificador. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| Partición | string | Partición de AWS en la que se generó la búsqueda. |
| Region | string | Región de AWS en la que se generó la búsqueda. |
| ResourceDetails | dinámico | Proporciona detalles sobre el recurso de AWS dirigido por la actividad del desencadenador. La información disponible varía según el tipo de recurso y el tipo de acción. |
| SchemaVersion | string | La versión de búsqueda de Guard Duty. |
| ServiceDetails | dinámico | Proporciona detalles sobre el servicio de AWS que estaba relacionado con la búsqueda, como acción, actor/destino, evidencia, comportamiento anómalo e información adicional. |
| Gravedad | int | El nivel de gravedad asignado de un resultado es Alto, Medio o Bajo. |
| SourceSystem | string | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Id. del área de trabajo de Log Analytics |
| TimeCreated | datetime | La hora y la fecha en que se creó esta búsqueda por primera vez. Si este valor difiere de Actualizado en (TimeGenerated), indica que la actividad se ha producido varias veces y es un problema en curso. |
| TimeGenerated | datetime | La marca de tiempo (UTC) de cuándo se generó el evento, la última vez que se actualizó esta búsqueda con una nueva actividad que coincide con el patrón que le pide a GuardDuty que genere esta búsqueda. |
| Título | string | Resumen del propósito principal de la amenaza o ataque relacionados con la búsqueda. |
| Tipo | string | Nombre de la tabla. |
Recursos adicionales
Cursos
Módulo
Registros de consulta en Microsoft Sentinel - Training
Registros de consulta en Microsoft Sentinel
Documentación
-
Referencia de registros de Azure Monitor: AWSCloudTrail - Azure Monitor
Referencia de la tabla AWSCloudTrail en los registros de Azure Monitor.
-
Referencia de registros de Azure Monitor: AWSWAF - Azure Monitor
Referencia de la tabla AWSWAF en los registros de Azure Monitor.
-
Referencia de registros de Azure Monitor: AWSVPCFlow - Azure Monitor
Referencia de la tabla AWSVPCFlow en los registros de Azure Monitor.