Guard Duty Findings, que se ingiere desde el conector de Sentinel, representa un posible problema de seguridad detectado en la red. GuardDuty genera una búsqueda cada vez que detecta actividades inesperadas y potencialmente malintencionadas en su entorno de AWS.
Identificador de cuenta de AWS del propietario de la interfaz de red de origen para la que se registra el tráfico. Si un servicio de AWS crea la interfaz de red, por ejemplo, al crear un punto de conexión de VPC o Network Load Balancer, el registro puede mostrarse desconocido para este campo.
ActivityType
string
Cadena con formato que representa el tipo de actividad que desencadenó la búsqueda.
Arn
string
Nombre del recurso de Amazon de la búsqueda.
_BilledSize
real
Tamaño del registro en bytes
Descripción
string
Descripción del propósito principal de la amenaza o ataque relacionado con la búsqueda.
Id
string
Identificador de búsqueda único para este tipo de búsqueda y conjunto de parámetros. Las nuevas apariciones de la actividad que coinciden con este patrón se agregarán al mismo identificador.
_IsBillable
string
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure
Partición
string
Partición de AWS en la que se generó la búsqueda.
Region
string
Región de AWS en la que se generó la búsqueda.
ResourceDetails
dinámico
Proporciona detalles sobre el recurso de AWS dirigido por la actividad del desencadenador. La información disponible varía según el tipo de recurso y el tipo de acción.
SchemaVersion
string
La versión de búsqueda de Guard Duty.
ServiceDetails
dinámico
Proporciona detalles sobre el servicio de AWS que estaba relacionado con la búsqueda, como acción, actor/destino, evidencia, comportamiento anómalo e información adicional.
Gravedad
int
El nivel de gravedad asignado de un resultado es Alto, Medio o Bajo.
SourceSystem
string
Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure
TenantId
string
Id. del área de trabajo de Log Analytics
TimeCreated
datetime
La hora y la fecha en que se creó esta búsqueda por primera vez. Si este valor difiere de Actualizado en (TimeGenerated), indica que la actividad se ha producido varias veces y es un problema en curso.
TimeGenerated
datetime
La marca de tiempo (UTC) de cuándo se generó el evento, la última vez que se actualizó esta búsqueda con una nueva actividad que coincide con el patrón que le pide a GuardDuty que genere esta búsqueda.
Título
string
Resumen del propósito principal de la amenaza o ataque relacionados con la búsqueda.