AWSGuardDuty
- [アーティクル]
-
-
Sentinel のコネクタから取り込まれた Guard Duty Findings は、ネットワーク内で検出された潜在的なセキュリティの問題を表します。 GuardDuty は、AWS 環境内で予期しない悪意のあるアクティビティが検出されるたびに、検出結果を生成します。
テーブル属性
属性 |
Value |
リソースの種類 |
- |
Categories (カテゴリ) |
セキュリティ |
ソリューション |
SecurityInsights |
基本的なログ |
いいえ |
インジェスト時間変換 |
はい |
サンプル クエリ |
はい |
列
列 |
タイプ |
説明 |
AccountId |
string |
トラフィックが記録されるソース ネットワーク インターフェイスの所有者の AWS アカウント ID。 ネットワークインターフェイスが AWS サービスによって作成された場合 (たとえば、VPC エンドポイントやネットワークロードバランサーを作成する場合)、レコードにこのフィールドの不明な情報が表示されることがあります。 |
ActivityType |
string |
結果をトリガーしたアクティビティの種類を表す書式設定された文字列。 |
Arn |
string |
結果の Amazon リソース名。 |
_BilledSize |
real |
レコード サイズ (バイト単位) |
説明 |
string |
検出に関連する脅威または攻撃の主な目的の説明。 |
Id |
string |
この検索の種類とパラメーターのセットの一意の検索 ID。 このパターンに一致するアクティビティの新しい出現は、同じ ID に集計されます。 |
_IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合 |
パーティション |
string |
結果が生成された AWS パーティション。 |
リージョン |
string |
結果が生成された AWS リージョン。 |
ResourceDetails |
動的 |
トリガー アクティビティの対象となった AWS リソースの詳細を示します。 使用可能な情報は、リソースの種類とアクションの種類によって異なります。 |
SchemaVersion |
string |
ガードデューティ検索バージョン。 |
ServiceDetails |
動的 |
アクション、アクター/ターゲット、証拠、異常な動作、追加情報など、検出に関連した AWS サービスの詳細を提供します。 |
重要度 |
int |
結果に割り当てられた重大度レベル (High、Medium、Low)。 |
SourceSystem |
string |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。 |
TenantId |
string |
Log Analytics ワークスペース ID |
TimeCreated |
datetime |
この結果が最初に作成された日時。 この値が Updated at (TimeGenerated) と異なる場合は、アクティビティが複数回発生しており、進行中の問題であることを示します。 |
TimeGenerated |
datetime |
イベントが生成されたときのタイムスタンプ (UTC) です。この結果が最後に更新され、この結果を生成するように GuardDuty に求められたパターンに一致する新しいアクティビティが表示されます。 |
Title |
string |
検出に関連する脅威または攻撃の主な目的の概要。 |
種類 |
string |
テーブルの名前 |