AWS 安全中心发现(在 AWS S3 存储桶中收集)导入到 Microsoft Sentinel。 AWS Security Hub 发现是关于安全检查或与安全相关检测的详细记录,这些检测可能源自各种来源,例如已启用的控制措施、与其他 AWS 服务的集成、第三方产品或自定义集成。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| AwsAccountId |
字符串 |
与事件关联的 AWS 帐户 ID。 |
| AWS区域 |
字符串 |
发生事件的 AWS 区域。 |
| Aws安全发现创建时间 |
日期/时间 |
创建安全查找时的时间戳。 |
| AWS安全发现描述 |
字符串 |
AWS 安全发现的详细说明。 |
| Aws安全发现首次观察时间 |
日期/时间 |
首次观察到安全发现时的时间戳。 |
| AwsSecurityFindingGeneratorId (AWS 安全发现生成器 ID) |
字符串 |
创建安全检测结果的生成器的 ID。 |
| AwsSecurityFindingId |
字符串 |
AWS 安全发现的唯一标识符。 |
| AwsSecurityFindingLastObservedAt |
日期/时间 |
上次观察到安全发现时的时间戳。 |
| AWS安全查找处理时间 |
日期/时间 |
处理安全发现时的时间戳。 |
| AwsSecurityFindingProductArn |
字符串 |
生成查找的产品的 Amazon 资源名称(ARN)。 |
| AwsSecurityFindingProductFields |
动态的 |
由生成结果的产品提供的附加字段。 |
| AwsSecurityFindingProductName |
字符串 |
生成查找的产品的名称。 |
| AwsSecurityFindingSeverity |
动态的 |
安全发现的严重级别。 |
| AWS安全发现标题 |
字符串 |
AWS 安全发现的标题。 |
| AWS安全查找类型 |
动态的 |
AWS 安全查找的类型或类别。 |
| Aws安全发现更新于 |
日期/时间 |
上次更新安全发现时的时间戳。 |
| _BilledSize(账单大小) |
真正 |
记录大小(字节) |
| 合规相关标准 |
动态的 |
与资源关联的符合性标准。 |
| 合规相关要求 |
动态的 |
相关的符合性要求。 |
| 合规安全控制标识符 |
字符串 |
与合规性相关的安全控制标识符。 |
| 合规安全控制参数 |
动态的 |
与安全控件关联的参数。 |
| 合规状态 |
字符串 |
资源的符合性状态(例如,合规、不合规)。 |
| 合规状态原因 |
动态的 |
符合性状态的原因。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| RawData |
动态的 |
与发现相关的原始数据。 |
| RecordState |
字符串 |
记录的状态(例如 ACTIVE、ARCHIVED)。 |
| 补救措施 |
动态的 |
有关如何修正安全发现的详细信息。 |
| 资源 |
动态的 |
与安全问题发现相关的资源。 |
| SchemaVersion |
字符串 |
用于查找的架构的版本。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成事件的时间戳。 |
| 类型 |
字符串 |
表的名称 |
| WorkflowState |
字符串 |
检测结果的工作流状态(例如 NEW、RESOLVED)。 |