AWSGuardDuty
Sentinel의 커넥터에서 수집된 Guard Duty Findings는 네트워크 내에서 검색된 잠재적인 보안 문제를 나타냅니다. GuardDuty는 AWS 환경에서 예기치 않은 악의적인 활동을 감지할 때마다 검색 결과를 생성합니다.
테이블 특성
attribute |
값 |
리소스 종류 |
- |
범주 |
보안 |
솔루션 |
SecurityInsights |
기본 로그 |
아니요 |
수집 시간 변환 |
예 |
샘플 쿼리 |
예 |
열
Column |
Type |
설명 |
AccountId |
string |
트래픽이 기록되는 원본 네트워크 인터페이스 소유자의 AWS 계정 ID입니다. 예를 들어 VPC 엔드포인트 또는 네트워크 부하 분산 장치를 만들 때 AWS 서비스에서 네트워크 인터페이스를 만든 경우 이 필드에 알 수 없는 레코드가 표시되어 있을 수 있습니다. |
ActivityType |
string |
검색을 트리거한 활동의 형식을 나타내는 형식이 지정된 문자열입니다. |
Arn |
string |
찾는 Amazon 리소스 이름입니다. |
_BilledSize |
real |
레코드 크기(바이트) |
설명 |
string |
발견과 관련된 위협 또는 공격의 주요 목적에 대한 설명입니다. |
ID |
string |
이 찾기 형식 및 매개 변수 집합에 대한 고유한 찾기 ID입니다. 이 패턴과 일치하는 새 활동 발생은 동일한 ID로 집계됩니다. |
_IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false 인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
파티션 |
string |
찾기가 생성된 AWS 파티션입니다. |
지역 |
string |
발견이 생성된 AWS 지역입니다. |
ResourceDetails |
dynamic |
트리거 작업의 대상이 된 AWS 리소스에 대한 세부 정보를 제공합니다. 사용 가능한 정보는 리소스 종류 및 작업 입력에 따라 달라집니다. |
SchemaVersion |
string |
가드 듀티 찾기 버전입니다. |
ServiceDetails |
dynamic |
작업, 행위자/대상, 증거, 비정상적인 동작 및 추가 정보를 포함하여 검색과 관련된 AWS 서비스에 대한 세부 정보를 제공합니다. |
심각도
|
int |
높음, 보통 또는 낮음의 결과 할당 심각도 수준입니다. |
SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager , 모든 Linux 에이전트의 경우 Linux , Azure Diagnostics의 경우 Azure |
TenantId |
string |
Log Analytics 작업 영역 ID |
TimeCreated |
날짜/시간 |
이 결과를 처음 만든 시간과 날짜입니다. 이 값이 업데이트 날짜(TimeGenerated)와 다른 경우 작업이 여러 번 발생했으며 진행 중인 문제임을 나타냅니다. |
TimeGenerated |
날짜/시간 |
이벤트가 생성된 시점의 타임스탬프(UTC)입니다. 마지막으로 이 찾기가 GuardDuty에서 이 결과를 생성하도록 유도한 패턴과 일치하는 새 활동으로 업데이트되었습니다. |
제목 |
string |
검색과 관련된 위협 또는 공격의 주요 목적에 대한 요약입니다. |
Type |
string |
테이블의 이름입니다. |