Guard Duty Findings, che è stato inserito dal connettore di Sentinel, rappresenta un potenziale problema di sicurezza rilevato all'interno della rete. GuardDuty genera una ricerca ogni volta che rileva attività impreviste e potenzialmente dannose nell'ambiente AWS.
ID dell'account AWS del proprietario dell'interfaccia di rete di origine per cui viene registrato il traffico. Se l'interfaccia di rete viene creata da un servizio AWS, ad esempio durante la creazione di un endpoint VPC o di Network Load Balancer, il record potrebbe visualizzare sconosciuto per questo campo.
ActivityType
string
Stringa formattata che rappresenta il tipo di attività che ha attivato la ricerca.
Arn
string
Nome della risorsa Amazon per la ricerca.
_BilledSize
real
Dimensioni del record in byte
Descrizione
stringa
Descrizione dello scopo principale della minaccia o dell'attacco correlato alla ricerca.
ID.
string
ID di ricerca univoco per questo tipo di ricerca e set di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID.
_IsBillable
string
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure
Partizione
string
Partizione AWS in cui è stata generata la ricerca.
Paese
string
Area AWS in cui è stata generata la ricerca.
ResourceDetails
dynamic
Fornisce informazioni dettagliate sulla risorsa AWS di destinazione dell'attività trigger. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di azione.
SchemaVersion
string
La versione del servizio di guardia.
ServiceDetails
dynamic
Fornisce informazioni dettagliate sul servizio AWS correlato alla ricerca, tra cui Azione, Attore/Destinazione, Evidenza, Comportamento anomalo e Informazioni aggiuntive.
Gravità
int
Livello di gravità assegnato di una ricerca di alto, medio o basso.
SourceSystem
string
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure
TenantId
string
L'ID dell'area di lavoro Log Analytics
TimeCreated
datetime
Data e ora di creazione di questa ricerca. Se questo valore è diverso da Aggiornato in (TimeGenerated), indica che l'attività si è verificata più volte ed è un problema in corso.
TimeGenerated
datetime
Timestamp (UTC) di quando è stato generato l'evento, L'ultima volta che questa ricerca è stata aggiornata con una nuova attività corrispondente al modello che ha richiesto a GuardDuty di generare questa ricerca.
Title
string
Riepilogo dello scopo principale della minaccia o dell'attacco correlato alla ricerca.