AWSGuardDuty
Guard Duty-resultat, som matades in från Sentinels anslutningsapp, representerar ett potentiellt säkerhetsproblem som identifierats i nätverket. GuardDuty genererar en sökning när den identifierar oväntade och potentiellt skadliga aktiviteter i AWS-miljön.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccountId | sträng | AWS-konto-ID:t för ägaren av det källnätverksgränssnitt för vilket trafik registreras. Om nätverksgränssnittet skapas av en AWS-tjänst, till exempel när du skapar en VPC-slutpunkt eller en Load Balancer, kan posten visa okänd för det här fältet. |
| ActivityType | sträng | En formaterad sträng som representerar den typ av aktivitet som utlöste sökningen. |
| Arn | sträng | Amazon-resursnamnet för sökningen. |
| _BilledSize | real | Poststorleken i byte |
| Description | sträng | Beskrivning av det primära syftet med hotet eller attacken som är relaterat till fyndet. |
| Id | sträng | Ett unikt sök-ID för den här söktypen och uppsättningen parametrar. Nya förekomster av aktivitet som matchar det här mönstret aggregeras till samma ID. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| Partition | sträng | Den AWS-partition där sökningen genererades. |
| Region | sträng | Den AWS-region där sökningen genererades. |
| ResourceDetails | dynamisk | Innehåller information om den AWS-resurs som var mål för utlösaraktiviteten. Den tillgängliga informationen varierar beroende på resurstyp och åtgärdstyp. |
| SchemaVersion | sträng | Guard Duty-sökningsversionen. |
| ServiceDetails | dynamisk | Innehåller information om AWS-tjänsten som var relaterad till fyndet, inklusive Åtgärd, Aktör/Mål, Bevis, Avvikande beteende och Ytterligare information. |
| Allvarlighetsgrad | int | En söknings tilldelade allvarlighetsgrad på antingen Hög, Medel eller Låg. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| Tidskapad | datetime | Tid och datum då den här sökningen först skapades. Om det här värdet skiljer sig från Uppdaterad vid (TimeGenerated) anger det att aktiviteten har inträffat flera gånger och är ett pågående problem. |
| TimeGenerated | datetime | Tidsstämpeln (UTC) för när händelsen genererades, Den senaste gången den här sökningen uppdaterades med ny aktivitet som matchar mönstret som uppmanade GuardDuty att generera den här sökningen. |
| Rubrik | sträng | Sammanfattning av det primära syftet med hotet eller attacken som är relaterat till fyndet. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för