Ustalenia funkcji Guard Duty, które zostały pozyskane z łącznika usługi Sentinel, stanowią potencjalny problem z zabezpieczeniami wykryty w sieci. Funkcja GuardDuty generuje wyniki za każdym razem, gdy wykryje nieoczekiwane i potencjalnie złośliwe działanie w środowisku platformy AWS.
Identyfikator konta platformy AWS właściciela źródłowego interfejsu sieciowego, dla którego jest rejestrowany ruch. Jeśli interfejs sieciowy jest tworzony przez usługę AWS, na przykład podczas tworzenia punktu końcowego VPC lub modułu równoważenia obciążenia sieciowego, rekord może być wyświetlany jako nieznany dla tego pola.
ActivityType
string
Sformatowany ciąg reprezentujący typ działania, który wyzwolił wyszukiwanie.
Arn
string
Nazwa zasobu firmy Amazon dla znalezienia.
_BilledSize
rzeczywiste
Rozmiar rekordu w bajtach
opis
string
Opis podstawowego celu zagrożenia lub ataku związanego z odkryciem.
Id
string
Unikatowy identyfikator znajdowania dla tego typu wyszukiwania i zestawu parametrów. Nowe wystąpienia działania pasujące do tego wzorca zostaną zagregowane do tego samego identyfikatora.
_IsBillable
string
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure
Partycja
string
Partycja platformy AWS, w której wygenerowano wyniki.
Region (Region)
string
Region platformy AWS, w którym zostało wygenerowane odkrycie.
ResourceDetails
dynamiczna
Zawiera szczegółowe informacje na temat zasobu platformy AWS, który był objęty działaniem wyzwalacza. Dostępne informacje różnią się w zależności od typu zasobu i typu akcji.
Wersja schematu
string
Guard Duty znaleźć wersję.
ServiceDetails
dynamiczna
Zawiera szczegółowe informacje na temat usługi AWS, która była związana z odkryciem, w tym akcja, aktor/cel, dowody, nietypowe zachowanie i dodatkowe informacje.
Ważność
int
Przypisany poziom ważności ustalenia jest wysoki, średni lub niski.
SourceSystem
string
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure
TenantId
string
Identyfikator obszaru roboczego usługi Log Analytics
TimeCreated
datetime
Godzina i data utworzenia tego ustalenia. Jeśli ta wartość różni się od wartości Zaktualizowano (TimeGenerated), oznacza to, że działanie wystąpiło wiele razy i jest to bieżący problem.
TimeGenerated
datetime
Sygnatura czasowa (UTC) czasu wygenerowania zdarzenia. Ostatni raz to odkrycie zostało zaktualizowane o nowe działanie zgodne ze wzorcem, który skłonił GuardDuty do wygenerowania tego ustalenia.
Tytuł
string
Podsumowanie podstawowego celu zagrożenia lub ataku związanego z odkryciem.