AWSGuardDuty
I risultati di Guard Duty, inseriti dal connettore di Sentinel, rappresentano un potenziale problema di sicurezza rilevato all'interno della rete. GuardDuty genera una ricerca ogni volta che rileva attività impreviste e potenzialmente dannose nell'ambiente AWS.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AccountId | string | ID account AWS del proprietario dell'interfaccia di rete di origine per cui viene registrato il traffico. Se l'interfaccia di rete viene creata da un servizio AWS, ad esempio quando si crea un endpoint VPC o un Load Balancer di rete, il record potrebbe visualizzare sconosciuto per questo campo. |
| ActivityType | string | Stringa formattata che rappresenta il tipo di attività che ha attivato la ricerca. |
| Arn | string | Nome risorsa Amazon della ricerca. |
| _BilledSize | real | Dimensioni del record in byte |
| Descrizione | string | Descrizione dello scopo principale della minaccia o dell'attacco correlato alla ricerca. |
| ID | string | ID di ricerca univoco per questo tipo di ricerca e set di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| Partition | string | Partizione AWS in cui è stata generata la ricerca. |
| Region | string | Area AWS in cui è stata generata la ricerca. |
| ResourceDetails | dinamico | Fornisce dettagli sulla risorsa AWS destinata all'attività trigger. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di azione. |
| schemaVersion | string | La versione di ricerca di Guard Duty. |
| ServiceDetails | dinamico | Fornisce dettagli sul servizio AWS correlato alla ricerca, tra cui Azione, Attore/Target, Evidenza, Comportamento anomalo e Informazioni aggiuntive. |
| Gravità | INT | Livello di gravità assegnato da una ricerca di alto, medio o basso. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeCreated | Datetime | Ora e data di creazione di questa ricerca. Se questo valore è diverso da Aggiornato in (TimeGenerated), indica che l'attività si è verificata più volte ed è un problema in corso. |
| TimeGenerated | Datetime | Timestamp (UTC) di quando è stato generato l'evento, l'ultima volta che questa ricerca è stata aggiornata con la nuova attività corrispondente al modello che ha richiesto a GuardDuty di generare questa ricerca. |
| Titolo | string | Riepilogo dello scopo principale della minaccia o dell'attacco correlato alla ricerca. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per