从 Sentinel 连接器引入的 Guard Duty 调查结果,表示在网络中检测到的潜在安全问题。 每当 GuardDuty 在 AWS 环境中检测到意外和潜在的恶意活动时,它就会生成一项调查结果。
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
是 |
|
示例查询 |
是 |
| 列 |
类型 |
描述 |
| AccountId |
字符串 |
记录流量的源网络接口所有者的 AWS 帐户 ID。 如果网络接口是由 AWS 服务创建的,例如在创建 VPC 终结点或网络负载均衡器时,则此字段的记录可能显示为未知。 |
| 活动类型 |
字符串 |
一个格式化的字符串,表示触发调查结果的活动类型。 |
| 阿恩 |
字符串 |
调查结果的 Amazon 资源名称。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 描述 |
字符串 |
与调查结果有关的威胁或攻击的主要目的的说明。 |
| Id |
字符串 |
此调查结果类型和参数集的唯一调查结果 ID。 符合此模式的新活动将被汇总到同一 ID 中。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 分区 |
字符串 |
在其中生成了调查结果的 AWS 分区。 |
| 区域 |
字符串 |
在其中生成了调查结果的 AWS 区域。 |
| 资源详情 |
动态 |
提供有关触发器活动所针对的 AWS 资源的详细信息。 可用信息因资源类型和操作类型而异。 |
| 架构版本 |
字符串 |
Guard Duty 调查结果版本。 |
| 服务详情 |
动态 |
提供与调查结果相关的 AWS 服务的详细信息,包括操作、参与者/目标、证据、异常行为和其他信息。 |
| 严重程度 |
整数 (int) |
一项调查结果的严重性级别分为 High、Medium 或 Low。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeCreated |
日期时间 |
首次创建此调查结果的时间和日期。 如果此值与更新时间 (TimeGenerated) 不同,则表明该活动已发生多次,并且是一个持续性问题。 |
| TimeGenerated |
日期时间 |
生成事件时的时间戳 (UTC)。此调查结果的最后一次更新是由于出现了与促使 GuardDuty 生成该调查结果的模式相匹配的新活动。 |
| 标题 |
字符串 |
与调查结果有关的威胁或攻击的主要目的概述。 |
| 类型 |
字符串 |
表的名称 |