AWSGuardDuty

  • Artikel

Guard Duty-resultat, som matades in från Sentinels anslutningsapp, representerar ett potentiellt säkerhetsproblem som identifierats i nätverket. GuardDuty genererar en sökning när den identifierar oväntade och potentiellt skadliga aktiviteter i din AWS-miljö.

Tabellattribut

Attribut Värde
Resurstyper -
Kategorier Säkerhet
Lösningar SecurityInsights
Grundläggande logg Nej
Inmatningstidstransformering Ja
Exempelfrågor Ja

Kolumner

Column Type Beskrivning
AccountId sträng AWS-konto-ID:t för ägaren av källnätverksgränssnittet för vilket trafik registreras. Om nätverksgränssnittet skapas av en AWS-tjänst, till exempel när du skapar en VPC-slutpunkt eller en nätverksbelastningsbalanserare, kan posten visas okänd för det här fältet.
ActivityType sträng En formaterad sträng som representerar den typ av aktivitet som utlöste sökningen.
Arn sträng Amazon-resursnamnet för sökningen.
_BilledSize real Poststorleken i byte
beskrivning sträng Beskrivning av det primära syftet med hotet eller attacken som är relaterat till sökningen.
Id sträng Ett unikt sök-ID för den här söktypen och uppsättningen parametrar. Nya förekomster av aktiviteter som matchar det här mönstret aggregeras till samma ID.
_IsBillable sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
Partition sträng Den AWS-partition där sökningen genererades.
Region sträng Den AWS-region där sökningen genererades.
ResourceDetails dynamisk Ger information om den AWS-resurs som var mål för utlösaraktiviteten. Den tillgängliga informationen varierar beroende på resurstyp och åtgärdstyp.
SchemaVersion sträng Guard Duty-sökningsversionen.
ServiceDetails dynamisk Ger information om AWS-tjänsten som var relaterad till sökningen, inklusive Åtgärd, Aktör/Mål, Bevis, Avvikande beteende och Ytterligare information.
Allvarlighet heltal En söknings tilldelade allvarlighetsgrad på antingen Hög, Medel eller Låg.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
TenantId sträng Log Analytics-arbetsytans ID
TimeCreated datetime Den tid och det datum då den här sökningen först skapades. Om det här värdet skiljer sig från Uppdaterad vid (TimeGenerated) anger det att aktiviteten har inträffat flera gånger och är ett pågående problem.
TimeGenerated datetime Tidsstämpeln (UTC) för när händelsen genererades, Den senaste gången den här sökningen uppdaterades med ny aktivitet som matchar mönstret som fick GuardDuty att generera den här sökningen.
Rubrik sträng Sammanfattning av det primära syftet med hotet eller attacken som är relaterat till sökningen.
Typ sträng Namnet på tabellen