AWSGuardDuty
從 Sentinel 連接器擷取的 Guard 值值,代表在您的網路中偵測到的潛在安全性問題。 每當 GuardDuty 偵測到 AWS 環境中的非預期和潛在惡意活動時,都會產生結果。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| AccountId |
字串 |
記錄流量的來源網路介面擁有者的 AWS 帳戶標識碼。 如果網路介面是由 AWS 服務所建立,例如在建立網點或網路負載平衡器時,此欄位可能會顯示未知的記錄。 |
| 活動類型 |
字串 |
格式化字串,表示觸發結果的活動類型。 |
| 阿恩 |
字串 |
尋找的 Amazon 資源名稱。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| 描述 |
字串 |
與尋找相關的威脅或攻擊主要用途的描述。 |
| Id |
字串 |
這個尋找類型和一組參數的唯一尋找標識碼。 符合此模式的新活動專案將會匯總為相同的標識碼。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| 資料分割 |
字串 |
產生結果的 AWS 分割區。 |
| 區域 |
字串 |
產生結果的 AWS 區域。 |
| ResourceDetails |
dynamic |
提供觸發程式活動目標 AWS 資源的詳細數據。 可用的資訊會根據資源類型和動作類型而有所不同。 |
| schemaVersion |
字串 |
Guard Duty 尋找版本。 |
| ServiceDetails |
dynamic |
提供與尋找相關的 AWS 服務詳細數據,包括動作、動作專案/目標、辨識項、異常行為和其他資訊。 |
| 嚴重性 |
int |
結果指派的嚴重性層級為高、中或低。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeCreated |
Datetime |
第一次建立此尋找的時間和日期。 如果此值與 Updated at (TimeGenerated) 不同,表示活動已多次發生,而且是進行中的問題。 |
| TimeGenerated |
Datetime |
事件產生時的時間戳(UTC),上次此結果更新時會以符合提示 GuardDuty 產生此結果的模式的新活動更新。 |
| 標題 |
字串 |
與尋找相關的威脅或攻擊主要用途摘要。 |
| 型別 |
string |
資料表的名稱 |