AWSGuardDuty
從 Sentinel 連接器擷取的 Guard 工作結果,代表網路內偵測到的潛在安全性問題。 當 GuardDuty 偵測到 AWS 環境中的非預期和潛在惡意活動時,就會產生結果。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AccountId | 字串 | 記錄流量的來源網路介面擁有者的 AWS 帳戶標識碼。 如果網路介面是由 AWS 服務所建立,例如,在建立 CSV 端點或網路 Load Balancer 時,此欄位可能會顯示未知的記錄。 |
ActivityType | 字串 | 格式化字串,表示觸發尋找的活動類型。 |
阿恩 | 字串 | 尋找的 Amazon 資源名稱。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
Description | 字串 | 與尋找相關的威脅或攻擊主要用途的描述。 |
識別碼 | 字串 | 這個尋找類型和一組參數的唯一尋找標識碼。 符合此模式的新活動出現次數會匯總為相同的標識碼。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
分割區 | 字串 | 產生結果的 AWS 分割區。 |
區域 | 字串 | 產生結果的 AWS 區域。 |
ResourceDetails | 動態 | 提供觸發程式活動目標 AWS 資源的詳細數據。 可用的資訊會根據資源類型和動作類型而有所不同。 |
schemaVersion | 字串 | Guard 工作尋找版本。 |
ServiceDetails | 動態 | 提供與尋找相關的 AWS 服務詳細數據,包括動作、動作者/目標、辨識項、異常行為和其他資訊。 |
嚴重性 | int | 結果指派的高、中或低嚴重性層級。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeCreated | datetime | 第一次建立此尋找的時間和日期。 如果這個值與 (TimeGenerated) 不同,則表示活動已多次發生,而且是進行中的問題。 |
TimeGenerated | Datetime | 當產生事件時,時間戳 (UTC) ,上次此結果更新時會與提示 GuardDuty 產生此結果的模式相符的新活動進行更新。 |
Title | 字串 | 與尋找相關的威脅或攻擊主要用途摘要。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應