Guard Duty Findings, qui est ingéré à partir du connecteur de Sentinel, représente un problème de sécurité potentiel détecté au sein de votre réseau. GuardDuty génère une recherche chaque fois qu’elle détecte des activités inattendues et potentiellement malveillantes dans votre environnement AWS.
ID de compte AWS du propriétaire de l’interface réseau source pour laquelle le trafic est enregistré. Si l’interface réseau est créée par un service AWS, par exemple lors de la création d’un point de terminaison VPC ou d’un équilibreur de charge réseau, l’enregistrement peut s’afficher inconnu pour ce champ.
ActivityType
string
Chaîne mise en forme représentant le type d’activité qui a déclenché la recherche.
Arn
string
Nom de la ressource Amazon de la recherche.
_BilledSize
real
Taille de l’enregistrement en octets
Description
string
Description de l’objectif principal de la menace ou de l’attaque liée à la recherche.
Id
string
ID de recherche unique pour ce type de recherche et ensemble de paramètres. De nouvelles occurrences d’activité correspondant à ce modèle sont agrégées au même ID.
_IsBillable
string
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
Partition
chaîne
Partition AWS dans laquelle la recherche a été générée.
Région
string
Région AWS dans laquelle la recherche a été générée.
ResourceDetails
dynamic
Fournit des détails sur la ressource AWS ciblée par l’activité du déclencheur. Les informations disponibles varient en fonction du type de ressource et de la frappe d’action.
SchemaVersion
string
Version de recherche de Guard Duty.
ServiceDetails
dynamic
Fournit des détails sur le service AWS lié à la recherche, notamment action, acteur/cible, preuve, comportement anormal et informations supplémentaires.
Niveau de gravité
int
Niveau de gravité attribué d’une recherche de niveau élevé, moyen ou faible.
SourceSystem
string
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
TenantId
string
ID de l’espace de travail Log Analytics
TimeCreated
DATETIME
Heure et date de création de cette recherche. Si cette valeur diffère de Mise à jour à (TimeGenerated), elle indique que l’activité s’est produite plusieurs fois et est un problème en cours.
TimeGenerated
DATETIME
Horodatage (UTC) du moment où l’événement a été généré, la dernière fois que cette recherche a été mise à jour avec une nouvelle activité correspondant au modèle qui a invité GuardDuty à générer cette recherche.
Titre
string
Résumé de l’objectif principal de la menace ou de l’attaque liée à la recherche.