AWSGuardDuty
Sentinel のコネクタから取り込まれた Guard Duty Findings は、ネットワーク内で検出された潜在的なセキュリティ問題を表します。 GuardDuty は、AWS 環境で予期しない悪意のあるアクティビティが検出されるたびに、結果を生成します。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | はい |
列
Column | Type | 説明 |
---|---|---|
AccountId | string | トラフィックが記録されるソース ネットワーク インターフェイスの所有者の AWS アカウント ID。 VPC エンドポイントやネットワーク Load Balancerの作成時など、AWS サービスによってネットワーク インターフェイスが作成された場合、このフィールドに対してレコードが不明と表示されることがあります。 |
ActivityType | string | 結果をトリガーしたアクティビティの種類を表す書式設定された文字列。 |
Arn | string | 結果の Amazon リソース名。 |
_BilledSize | real | レコード サイズ (バイト単位) |
説明 | string | 検出に関連する脅威または攻撃の主な目的の説明。 |
Id | string | この検索の種類とパラメーターのセットの一意の検索 ID。 このパターンに一致するアクティビティの新しい出現箇所は、同じ ID に集計されます。 |
_IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
Partition | string | 結果が生成された AWS パーティション。 |
リージョン | string | 結果が生成された AWS リージョン。 |
ResourceDetails | 動的 | トリガー アクティビティの対象となった AWS リソースの詳細を示します。 使用可能な情報は、リソースの種類とアクションの種類によって異なります。 |
SchemaVersion | string | Guard Duty の検索バージョン。 |
ServiceDetails | 動的 | アクション、アクター/ターゲット、証拠、異常な動作、追加情報など、検索に関連した AWS サービスの詳細を提供します。 |
重大度 | INT | 結果に割り当てられた重大度レベルは、高、中、または低のいずれかです。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
TenantId | string | Log Analytics ワークスペース ID |
TimeCreated | DATETIME | この結果が最初に作成された日時。 この値が Update at (TimeGenerated) と異なる場合は、アクティビティが複数回発生しており、進行中の問題であることを示します。 |
TimeGenerated | DATETIME | イベントが生成されたときのタイムスタンプ (UTC) です。この結果が最後に更新され、GuardDuty にこの結果の生成を求めたパターンに一致する新しいアクティビティが表示されます。 |
タイトル | string | 検出に関連する脅威または攻撃の主な目的の概要。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示