Sentinel のコネクタから取り込まれた Guard Duty Findings は、ネットワーク内で検出された潜在的なセキュリティの問題を表します。 GuardDuty は、AWS 環境内で予期しない悪意のあるアクティビティが検出されるたびに、検出結果を生成します。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
はい |
| インジェスト時の変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AccountId |
ひも |
トラフィックが記録されるソース ネットワーク インターフェイスの所有者の AWS アカウント ID。 ネットワークインターフェイスが AWS サービスによって作成された場合 (たとえば、VPC エンドポイントやネットワークロードバランサーを作成する場合)、レコードにこのフィールドの不明な情報が表示されることがあります。 |
| アクティビティタイプ |
ひも |
結果をトリガーしたアクティビティの種類を表す書式設定された文字列。 |
| Arn |
ひも |
結果の Amazon リソース名。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| 説明 |
ひも |
検出に関連する脅威または攻撃の主な目的の説明。 |
| ID (アイディー) |
ひも |
この検索の種類とパラメーターのセットの一意の検索 ID。 このパターンに一致するアクティビティの新しい出現は、同じ ID に集計されます。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データのインジェストを課金対象にするかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| 分割 |
ひも |
結果が生成された AWS パーティション。 |
| リージョン |
ひも |
結果が生成された AWS リージョン。 |
| リソースの詳細 |
ダイナミック |
トリガー アクティビティの対象となった AWS リソースの詳細を示します。 使用可能な情報は、リソースの種類とアクションの種類によって異なります。 |
| SchemaVersion |
ひも |
Guard Duty 検索バージョン。 |
| サービスの詳細 |
ダイナミック |
アクション、アクター/ターゲット、証拠、異常な動作、追加情報など、検出に関連した AWS サービスの詳細を提供します。 |
| 深刻さ |
整数 (int) |
割り当てられた所見の重大度レベル(高、中、低)。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナントID |
ひも |
ログアナリティクス ワークスペース ID |
| TimeCreated |
DATETIME |
この結果が最初に作成された日時。 この値が Updated at (TimeGenerated) と異なる場合は、アクティビティが複数回発生しており、進行中の問題であることを示します。 |
| タイムジェネレイテッド |
datetime |
イベントが生成されたときのタイムスタンプ (UTC) です。この結果が最後に更新され、この結果を生成するように GuardDuty に求められたパターンに一致する新しいアクティビティが表示されます。 |
| タイトル |
ひも |
検出に関連する脅威または攻撃の主な目的の概要。 |
| タイプ |
ひも |
テーブルの名前 |