次の方法で共有


AWSGuardDuty

Sentinel のコネクタから取り込まれた Guard Duty Findings は、ネットワーク内で検出された潜在的なセキュリティの問題を表します。 GuardDuty は、AWS 環境内で予期しない悪意のあるアクティビティが検出されるたびに、検出結果を生成します。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
AccountId string トラフィックが記録されるソース ネットワーク インターフェイスの所有者の AWS アカウント ID。 ネットワークインターフェイスが AWS サービスによって作成された場合 (たとえば、VPC エンドポイントやネットワークロードバランサーを作成する場合)、レコードにこのフィールドの不明な情報が表示されることがあります。
ActivityType string 結果をトリガーしたアクティビティの種類を表す書式設定された文字列。
Arn string 結果の Amazon リソース名。
_BilledSize real レコード サイズ (バイト単位)
説明 string 検出に関連する脅威または攻撃の主な目的の説明。
Id string この検索の種類とパラメーターのセットの一意の検索 ID。 このパターンに一致するアクティビティの新しい出現は、同じ ID に集計されます。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合
パーティション string 結果が生成された AWS パーティション。
リージョン string 結果が生成された AWS リージョン。
ResourceDetails 動的 トリガー アクティビティの対象となった AWS リソースの詳細を示します。 使用可能な情報は、リソースの種類とアクションの種類によって異なります。
SchemaVersion string ガードデューティ検索バージョン。
ServiceDetails 動的 アクション、アクター/ターゲット、証拠、異常な動作、追加情報など、検出に関連した AWS サービスの詳細を提供します。
重要度 int 結果に割り当てられた重大度レベル (High、Medium、Low)。
SourceSystem string イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。
TenantId string Log Analytics ワークスペース ID
TimeCreated datetime この結果が最初に作成された日時。 この値が Updated at (TimeGenerated) と異なる場合は、アクティビティが複数回発生しており、進行中の問題であることを示します。
TimeGenerated datetime イベントが生成されたときのタイムスタンプ (UTC) です。この結果が最後に更新され、この結果を生成するように GuardDuty に求められたパターンに一致する新しいアクティビティが表示されます。
Title string 検出に関連する脅威または攻撃の主な目的の概要。
種類 string テーブルの名前