A Sentinel összekötőjéből beszúrt Guard Duty Findings egy lehetséges biztonsági problémát jelent, amely a hálózaton belül észlelhető. A GuardDuty akkor hoz létre találatot, ha váratlan és potenciálisan rosszindulatú tevékenységet észlel az AWS-környezetben.
Annak a forrás hálózati adapternek az AWS-fiókazonosítója, amelyhez a forgalmat rögzítik. Ha a hálózati adaptert egy AWS-szolgáltatás hozza létre, például VPC-végpont vagy hálózati terheléselosztó létrehozásakor, a rekord ismeretlen lehet ehhez a mezőhöz.
ActivityType
húr
A találatot kiváltó tevékenység típusát jelző formázott sztring.
Arn
húr
A találat Amazon-erőforrásának neve.
_BilledSize
valós szám
A rekord mérete bájtban
Leírás
húr
A megállapítással kapcsolatos fenyegetés vagy támadás elsődleges céljának leírása.
Azonosító
húr
Egyedi keresésazonosító ehhez a kereséstípushoz és paraméterkészlethez. Az ennek a mintának megfelelő tevékenység új előfordulásai ugyanahhoz az azonosítóhoz lesznek összesítve.
_IsBillable
húr
Megadja, hogy az adatok betöltése számlázható-e. Ha a _IsBillable betölti, false a számlázás nem történik meg az Azure-fiókjában
Partíció
húr
Az AWS-partíció, amelyben a megállapítás létrejött.
Régió
húr
Az AWS-régió, amelyben a megállapítás létrejött.
ResourceDetails
dinamikus
Az eseményindító tevékenység által megcélzott AWS-erőforrás részleteit adja meg. A rendelkezésre álló információk erőforrástípustól és művelettípustól függően változnak.
SchemaVersion
húr
A Guard Duty megtaláló verziója.
ServiceDetails
dinamikus
A megállapítással kapcsolatos AWS-szolgáltatás részleteit tartalmazza, beleértve a művelet, az aktor/cél, a bizonyítékok, a rendellenes viselkedés és a további információkat.
Súlyosság
egész
A találatok súlyossági szintje magas, közepes vagy alacsony.
SourceSystem
húr
Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure az Azure Diagnostics esetében
TenantId
húr
A Log Analytics-munkaterület azonosítója
TimeCreated
dátum/idő
A megállapítás első létrehozásának időpontja és dátuma. Ha ez az érték eltér a Frissített időponttól (TimeGenerated), az azt jelzi, hogy a tevékenység többször is előfordult, és folyamatban lévő probléma.
TimeGenerated
dátum/idő
Az esemény létrejöttének időbélyege (UTC), amikor ezt a megállapítást legutóbb frissítették az új tevékenységgel, amely a GuardDuty-t arra ösztönözte, hogy hozza létre ezt a megállapítást.
Cím
húr
A megállapítással kapcsolatos fenyegetés vagy támadás elsődleges céljának összefoglalása.