Поделиться через


AWSGuardDuty

Результаты службы guard, которые были получены из соединителя Sentinel, представляют собой потенциальную проблему безопасности, обнаруженную в вашей сети. GuardDuty создает поиск всякий раз, когда обнаруживает непредвиденные и потенциально вредоносные действия в вашей среде AWS.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
accountId строка Идентификатор учетной записи AWS владельца исходного сетевого интерфейса, для которого записывается трафик. Если сетевой интерфейс создается службой AWS, например при создании конечной точки VPC или сетевой подсистемы балансировки нагрузки, запись может отображаться неизвестно для этого поля.
ActivityType строка Отформатированная строка, представляющая тип действия, активировав поиск.
Arn строка Имя ресурса Amazon для поиска.
_BilledSize real Размер записи в байтах
Description строка Описание основной цели угрозы или атаки, связанной с поиском.
Артикул строка Уникальный идентификатор поиска для этого типа поиска и набора параметров. Новые вхождения действий, соответствующих этому шаблону, будут агрегированы с тем же идентификатором.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
Секция строка Раздел AWS, в котором был создан поиск.
Область/регион строка Регион AWS, в котором был создан поиск.
ResourceDetails по строкам Предоставляет сведения о ресурсе AWS, который был предназначен для действия триггера. Доступные сведения зависят от типа ресурса и типа действия.
SchemaVersion строка Версия поиска службы Guard.
ServiceDetails по строкам Предоставляет сведения о службе AWS, связанной с поиском, включая действие, субъект или целевой объект, доказательства, аномальное поведение и дополнительные сведения.
Важность INT Уровень серьезности, назначаемый поиском, имеет значение "Высокий", "Средний" или "Низкий".
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
TenantId строка Идентификатор рабочей области Log Analytics
TimeCreated datetime Время и дата создания этого поиска. Если это значение отличается от обновления в (TimeGenerated), оно указывает, что действие произошло несколько раз и является текущей проблемой.
TimeGenerated datetime Метка времени (UTC) при создании события— при последнем обновлении этого поиска с новым действием, соответствующим шаблону, вызвавшем GuardDuty для создания этого поиска.
Заголовок string Сводка основной цели угрозы или атаки, связанной с поиском.
Тип строка Имя таблицы.