AWSGuardDuty
A Sentinel összekötőjéből beszúrt Guard Duty Findings egy potenciális biztonsági problémát jelez, amely a hálózaton belül észlelhető. A GuardDuty akkor hoz létre eredményt, ha váratlan és potenciálisan rosszindulatú tevékenységet észlel az AWS-környezetben.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | Igen |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AccountId | sztring | Annak a forrás hálózati adapternek az AWS-fiókazonosítója, amelyhez a forgalom rögzítve van. Ha a hálózati adaptert egy AWS-szolgáltatás hozza létre, például VPC-végpont vagy hálózati Load Balancer létrehozásakor, a rekord ismeretlen lehet ehhez a mezőhöz. |
| ActivityType | sztring | Egy formázott sztring, amely azt a tevékenységtípust jelöli, amely aktiválta a megállapítást. |
| Arn | sztring | A keresés Amazon-erőforrásneve. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| Description | sztring | A lelettel kapcsolatos fenyegetés vagy támadás elsődleges céljának leírása. |
| Id | sztring | Egyedi keresésazonosító ehhez a megállapítástípushoz és paraméterkészlethez. Az ennek a mintának megfelelő tevékenység új előfordulásai ugyanahhoz az azonosítóhoz lesznek összesítve. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| Partíció | sztring | Az AWS-partíció, amelyben a megállapítás létrejött. |
| Region | sztring | Az AWS-régió, amelyben a megállapítás létrejött. |
| ResourceDetails | dinamikus | Az eseményindító tevékenység által megcélzott AWS-erőforrás részleteit adja meg. A rendelkezésre álló információk erőforrástípustól és művelettípustól függően változnak. |
| SchemaVersion | sztring | A Guard Duty megtaláló verziója. |
| ServiceDetails | dinamikus | A megállapításhoz kapcsolódó AWS-szolgáltatás részleteit adja meg, beleértve a művelettel, az aktorsal/célponttal, a bizonyítékokkal, a rendellenes viselkedéssel és a további információkkal kapcsolatos információkat. |
| Súlyosság | int | A megállapítások súlyossági szintje magas, közepes vagy alacsony. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeCreated | dátum/idő | A megállapítás első létrehozásának időpontja és dátuma. Ha ez az érték eltér a Frissítés időpontja (TimeGenerated) értéktől, az azt jelzi, hogy a tevékenység többször is előfordult, és folyamatban lévő probléma. |
| TimeGenerated | dátum/idő | Az esemény létrehozásának időbélyege (UTC), Az utolsó alkalommal, amikor ezt a megállapítást frissítették az új tevékenységgel egyező mintával, amely a GuardDuty-t arra késztette, hogy hozza létre ezt az eredményt. |
| Cím | sztring | A megállapítással kapcsolatos fenyegetés vagy támadás elsődleges céljának összefoglalása. |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: