As descobertas do Guard Duty, que foram ingeridas do conector do Sentinel, representam um possível problema de segurança detectado em sua rede. O GuardDuty gera uma descoberta sempre que detecta atividades inesperadas e potencialmente maliciosas em seu ambiente da AWS.
O ID da conta da AWS do proprietário da interface de rede de origem para a qual o tráfego é registrado. Se a interface de rede for criada por um serviço da AWS, por exemplo, ao criar um endpoint da VPC ou um Network Load Balancer, o registro poderá ser exibido como desconhecido para esse campo.
ActivityType
string
Uma cadeia de caracteres formatada que representa o tipo de atividade que disparou a descoberta.
Arn
string
Nome do recurso da Amazon da descoberta.
_BilledSize
real
O tamanho do registro em bytes
Descrição
string
Descrição do objetivo principal da ameaça ou ataque relacionado à descoberta.
ID
string
Uma ID de descoberta exclusiva para esse tipo de descoberta e conjunto de parâmetros. Novas ocorrências de atividade que correspondem a esse padrão serão agregadas à mesma ID.
_IsBillable
string
Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure
Partição
string
A partição da AWS na qual a descoberta foi gerada.
Region
string
A região da AWS na qual a descoberta foi gerada.
ResourceDetails
dinâmico
Fornece detalhes sobre o recurso da AWS que foi direcionado pela atividade do gatilho. As informações disponíveis variam de acordo com o tipo de recurso e o tipo de ação.
schemaVersion
string
A versão de descoberta do Guard Duty.
Detalhes do serviço
dinâmico
Fornece detalhes sobre o serviço da AWS relacionado à descoberta, incluindo Ação, Ator/Alvo, Evidência, Comportamento anômalo e Informações adicionais.
Severidade
int
O nível de gravidade atribuído a uma descoberta é Alto, Médio ou Baixo.
SourceSystem
string
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
TenantId
string
A ID do workspace do Log Analytics
TimeCreated
datetime
A hora e a data em que essa descoberta foi criada pela primeira vez. Se esse valor for diferente de Updated at (TimeGenerated), isso indicará que a atividade ocorreu várias vezes e é um problema contínuo.
TimeGenerated
datetime
O carimbo de data/hora (UTC) de quando o evento foi gerado, a última vez que essa descoberta foi atualizada com uma nova atividade correspondente ao padrão que solicitou que o GuardDuty gerasse essa descoberta.
Título
string
Resumo do objetivo principal da ameaça ou ataque relacionado à descoberta.