Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les résultats de Guard Duty, ingérés à partir du connecteur Sentinel, représentent un problème de sécurité potentiel détecté au sein de votre réseau. GuardDuty génère une recherche chaque fois qu’elle détecte des activités inattendues et potentiellement malveillantes dans votre environnement AWS.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| AccountId | chaîne | ID de compte AWS du propriétaire de l’interface réseau source pour laquelle le trafic est enregistré. Si l’interface réseau est créée par un service AWS, par exemple lors de la création d’un point de terminaison VPC ou d’un équilibreur de charge réseau, l’enregistrement peut s’afficher inconnu pour ce champ. |
| Type d'activité | chaîne | Chaîne mise en forme représentant le type d’activité qui a déclenché la recherche. |
| Arn | chaîne | Nom de la ressource Amazon de la recherche. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| Descriptif | chaîne | Description de l’objectif principal de la menace ou de l’attaque liée à la recherche. |
| Id | chaîne | ID de recherche unique pour ce type de recherche et ensemble de paramètres. De nouvelles occurrences d’activité correspondant à ce modèle sont agrégées au même ID. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Séparation | chaîne | Partition AWS dans laquelle la recherche a été générée. |
| Région | chaîne | Région AWS dans laquelle la recherche a été générée. |
| Détails des ressources | dynamique | Fournit des détails sur la ressource AWS ciblée par l’activité du déclencheur. Les informations disponibles varient en fonction du type de ressource et du type d'action. |
| SchemaVersion | chaîne | La version de recherche de Guard Duty. |
| Détails du Service | dynamique | Fournit des détails sur le service AWS lié à la recherche, notamment action, acteur/cible, preuve, comportement anormal et informations supplémentaires. |
| Niveau de gravité | Int | Niveau de gravité attribué à une constatation : élevé, moyen ou faible. |
| SourceSystem | chaîne | Le type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Identifiant du locataire | chaîne | ID de l’espace de travail Log Analytics |
| TimeCreated | date et heure | Heure et date de création de cette recherche. Si cette valeur diffère de Mis à jour à (TimeGenerated), cela indique que l'activité s'est produite plusieurs fois et qu'il s'agit d'un problème en cours. |
| TimeGenerated | date et heure | Horodatage (UTC) du moment où l’événement a été généré, la dernière fois que cette recherche a été mise à jour avec une nouvelle activité correspondant au modèle qui a invité GuardDuty à générer cette recherche. |
| Titre | chaîne | Résumé de l’objectif principal de la menace ou de l’attaque liée à la recherche. |
| Catégorie | chaîne | Le nom de la table |