AWSGuardDuty
Результаты службы безопасности, которые были получены из соединителя Sentinel, представляют собой потенциальную проблему безопасности, обнаруженную в вашей сети. GuardDuty создает поиск всякий раз, когда обнаруживает непредвиденные и потенциально вредоносные действия в среде AWS.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AccountId | строка | Идентификатор учетной записи AWS владельца исходного сетевого интерфейса, для которого записывается трафик. Если сетевой интерфейс создается службой AWS, например при создании конечной точки VPC или сетевого Load Balancer, запись может отображаться неизвестно для этого поля. |
| ActivityType | строка | Отформатированная строка, представляющая тип действия, активировав поиск. |
| Arn | строка | Имя ресурса Amazon для поиска. |
| _BilledSize | real | Размер записи в байтах |
| Описание | строка | Описание основной цели угрозы или атаки, связанной с обнаружением. |
| Идентификатор | строка | Уникальный идентификатор поиска для этого типа поиска и набора параметров. Новые вхождения действий, соответствующих этому шаблону, будут агрегированы по одному и тому же идентификатору. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| Секция | строка | Раздел AWS, в котором был создан находка. |
| Регион | строка | Регион AWS, в котором был создан поиск. |
| ResourceDetails | Динамический | Предоставляет сведения о ресурсе AWS, на который было нацелено действие триггера. Доступные сведения зависят от типа ресурса и типа действия. |
| schemaVersion | строка | Версия поиска службы охраны. |
| ServiceDetails | Динамический | Предоставляет сведения о службе AWS, связанной с находкой, включая действие, субъект/целевой объект, доказательства, аномальное поведение и дополнительные сведения. |
| Статус | INT | Назначенный уровень серьезности обнаружения — Высокий, Средний или Низкий. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeCreated | DATETIME | Время и дата первого создания этого обнаружения. Если это значение отличается от значения Updated at (TimeGenerated), это означает, что действие выполнялось несколько раз и является текущей проблемой. |
| TimeGenerated | DATETIME | Метка времени (UTC) того, когда было создано событие. Время последнего обновления этого обнаружения с новым действием, соответствующим шаблону, которое побудило GuardDuty создать это обнаружение. |
| Title | строка | Сводка основной цели угрозы или атаки, связанной с обнаружением. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по