AWSGuardDuty
Ustalenia funkcji Guard Duty, które zostały pozyskane z łącznika usługi Sentinel, stanowią potencjalny problem z zabezpieczeniami wykryty w sieci. Funkcja GuardDuty generuje odnajdywanie za każdym razem, gdy wykryje nieoczekiwane i potencjalnie złośliwe działanie w środowisku platformy AWS.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
AccountId | ciąg | Identyfikator konta platformy AWS właściciela źródłowego interfejsu sieciowego, dla którego jest rejestrowany ruch. Jeśli interfejs sieciowy jest tworzony przez usługę AWS, na przykład podczas tworzenia punktu końcowego VPC lub Load Balancer sieci, rekord może być wyświetlany jako nieznany dla tego pola. |
ActivityType | ciąg | Sformatowany ciąg reprezentujący typ działania, który wyzwolił wyszukiwanie. |
Arn | ciąg | Nazwa zasobu firmy Amazon dla znajdowania. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
Opis | ciąg | Opis podstawowego celu zagrożenia lub ataku związanego z odkryciem. |
Id | ciąg | Unikatowy identyfikator znajdowania dla tego typu wyszukiwania i zestawu parametrów. Nowe wystąpienia działań pasujących do tego wzorca zostaną zagregowane do tego samego identyfikatora. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
Partycja | ciąg | Partycja platformy AWS, w której wygenerowano wyniki. |
Region (Region) | ciąg | Region platformy AWS, w którym wygenerowano wyniki. |
ResourceDetails | dynamiczna | Zawiera szczegółowe informacje o zasobie platformy AWS, który był objęty działaniem wyzwalacza. Dostępne informacje różnią się w zależności od typu zasobu i typu akcji. |
SchemaVersion | ciąg | Wersja ustaleń Straży Służby. |
ServiceDetails | dynamiczna | Zawiera szczegółowe informacje na temat usługi AWS powiązanej ze znalezieniem, w tym akcji, aktora/celu, dowodów, nietypowego zachowania i dodatkowych informacji. |
Ważność | int | Przypisany poziom ważności dla wyników to Wysoki, Średni lub Niski. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
TimeCreated | datetime | Godzina i data utworzenia tego znalezienia. Jeśli ta wartość różni się od wartości Zaktualizowano o (TimeGenerated), oznacza to, że działanie wystąpiło wiele razy i jest to bieżący problem. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) daty wygenerowania zdarzenia. Ostatni raz to odkrycie zostało zaktualizowane o nowe działanie zgodne ze wzorcem, które skłoniło GuardDuty do wygenerowania tego ustalenia. |
Tytuł | ciąg | Podsumowanie podstawowego celu zagrożenia lub ataku związanego z odkryciem. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla