AWSGuardDuty
Guard Duty Findings, qui a été ingéré à partir du connecteur de Sentinel, représente un problème de sécurité potentiel détecté au sein de votre réseau. GuardDuty génère une recherche chaque fois qu’il détecte une activité inattendue et potentiellement malveillante dans votre environnement AWS.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | - |
Catégories | Sécurité |
Solutions | SecurityInsights |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | Oui |
Colonnes
Colonne | Type | Description |
---|---|---|
AccountId | string | ID de compte AWS du propriétaire de l’interface réseau source pour laquelle le trafic est enregistré. Si l’interface réseau est créée par un service AWS, par exemple lors de la création d’un point de terminaison VPC ou d’un Load Balancer réseau, l’enregistrement peut s’afficher pour ce champ. |
ActivityType | string | Chaîne mise en forme représentant le type d’activité qui a déclenché la recherche. |
Arn | string | Nom de la ressource Amazon de la recherche. |
_BilledSize | real | Taille de l’enregistrement en octets |
Description | string | Description de l’objectif principal de la menace ou de l’attaque liée à la découverte. |
Id | string | ID de recherche unique pour ce type de recherche et cet ensemble de paramètres. Les nouvelles occurrences d’activité correspondant à ce modèle seront agrégées au même ID. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
Partition | string | Partition AWS dans laquelle la recherche a été générée. |
Région | string | Région AWS dans laquelle la recherche a été générée. |
ResourceDetails | dynamique | Fournit des détails sur la ressource AWS ciblée par l’activité de déclencheur. Les informations disponibles varient en fonction du type de ressource et de la frappe d’action. |
SchemaVersion | string | Version de recherche de Guard Duty. |
ServiceDetails | dynamique | Fournit des détails sur le service AWS lié à la découverte, notamment Action, Acteur/Cible, Preuve, Comportement anormal et Informations supplémentaires. |
Gravité | int | Le niveau de gravité attribué d’une découverte est Élevé, Moyen ou Faible. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
TenantId | string | ID de l’espace de travail Log Analytics |
TimeCreated | DATETIME | Heure et date de création de cette découverte. Si cette valeur diffère de Mise à jour à (TimeGenerated), elle indique que l’activité s’est produite plusieurs fois et qu’il s’agit d’un problème en cours. |
TimeGenerated | DATETIME | Timestamp (UTC) du moment où l’événement a été généré, La dernière fois que cette découverte a été mise à jour avec une nouvelle activité correspondant au modèle qui a demandé à GuardDuty de générer cette recherche. |
Intitulé | string | Résumé de l’objectif principal de la menace ou de l’attaque liée à la découverte. |
Type | string | Le nom de la table |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour