Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gesammelte Laufzeit-Ereignistypen, die GuardDuty verwendet
Der GuardDuty Security Agent sammelt die folgenden Ereignistypen und sendet sie zur Erkennung und Analyse von Bedrohungen an das GuardDuty Backend. GuardDuty macht Ihnen diese Ereignisse nicht zugänglich. Wenn eine potenzielle Bedrohung GuardDuty erkannt und eine generiert wirdRuntime Monitoring findet Typen, können Sie die entsprechenden Ergebnisdetails einsehen.
Hinweise zur GuardDuty Verwendung der gesammelten Ereignistypen in Runtime Monitoring finden Sie unterAbmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung.
Ereignisse verarbeiten
Prozessereignisse stellen Informationen dar, die mit den Prozessen verknüpft sind, die auf EC2 Amazon-Instances und Container-Workloads ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozessereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Prozessname |
Name des beobachteten Prozesses. |
Prozesspfad |
Absoluter Pfad der ausführbaren Datei des Prozesses. |
Prozess-ID |
Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde. |
Namespace-PID |
Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird. |
Prozess-Benutzer-ID |
Die eindeutige ID des Benutzers, der den Prozess ausgeführt hat. |
Prozess-UUID |
Die eindeutige ID, die dem Prozess von zugewiesen wurde GuardDuty. |
Prozess-GID |
Prozess-ID der Prozessgruppe. |
Prozess-EGID |
Effektive Gruppen-ID der Prozessgruppe. |
Prozess-EUID |
Effektive Benutzer-ID des Prozesses. |
Prozess-Benutzername |
Der Benutzername, der den Prozess ausgeführt hat. |
Prozesses-Startzeit |
Die Zeit, zu der der Prozess erstellt wurde. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat ( |
Ausführbare Prozessdatei SHA-256 |
Der Hash |
Prozess-Skriptpfad |
Pfad der Skriptdatei, die ausgeführt wurde. |
Prozess-Umgebungsvariable |
Die Umgebungsvariable, die dem Prozess zur Verfügung gestellt wurde. Nur |
Aktuelles Arbeitsverzeichnis (PWD) des Prozesses |
Derzeitiges Arbeitsverzeichnis des Prozesses. |
Übergeordneter Prozess |
Prozessdetails des übergeordneten Prozesses. Ein übergeordneter Prozess ist ein Prozess, der den beobachteten Prozess erzeugt hat. |
|
Befehlszeilenargumente Derzeit ist dieses Feld auf bestimmte Agentenversionen beschränkt, die dem Ressourcentyp entsprechen:
Weitere Informationen finden Sie unter GuardDuty Release-Versionen des Security Agents. |
Befehlszeilenargumente, die zum Zeitpunkt der Prozessausführung bereitgestellt wurden. Dieses Feld kann vertrauliche Kundendaten enthalten. |
Container-Ereignisse
Container-Ereignisse stellen Informationen dar, die mit Aktivitäten der Container-Workloads verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Container-Workload-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Container-Name |
Name des Containers. Falls verfügbar, zeigt dieses Feld den Wert des Labels |
Container-UID |
Die eindeutige ID des Containers, die von der Container-Laufzeit zugewiesen wurde. |
Container-Laufzeit |
Die Container-Laufzeit (wie z. B. |
Container-Image-ID |
Die ID des Container-Images. |
Container-Image-Name |
Name des Container-Images. |
AWS Fargate (nur Amazon ECS) Aufgabenereignisse
Fargate-Amazon ECS-Aufgabenereignisse stellen Aktivitäten dar, die mit Amazon ECS-Aufgaben verknüpft sind, die auf Fargate-Computern ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Amazon ECS-Fargate-Task-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Amazon-Ressourcenname (ARN) der Aufgabe |
Der ARN der Aufgabe. |
Cluster-Name |
Der Name des Amazon ECS-Clusters. |
Familienname |
Der Familienname der Aufgabendefinition. Der |
Service-Name |
Der Name des Amazon ECS-Service, wenn die Aufgabe als Teil eines Services gestartet wurde. |
Starttyp |
Die Infrastruktur, auf der Ihre Aufgabe ausgeführt wird. Für Runtime Monitoring mit dem Ressourcentyp as |
CPU |
Die Anzahl der von der Aufgabe verwendeten CPU-Einheiten, wie in der Aufgabendefinition angegeben. |
Kubernetes-Pod-Ereignisse
Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Kubernetes-Pod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Pod-ID |
Die ID des Kubernetes-Pods. |
Pod-Name |
Name des Kubernetes-Pods. |
Pod-Namespace |
Name des Kubernetes-Namespace, zu dem der Kubernetes-Workload gehört. |
Kubernetes-Cluster-Name |
Name des Kubernetes-Clusters. |
DNS-Ereignisse (Domain Name System)
Die DNS-Ereignisse (Domain Name System) enthalten Details zu den DNS-Abfragen, die von Ihren Ressourcentypen gestellt wurden, und zu den entsprechenden Antworten. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der DNS-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Richtungs-ID |
Die ID der Verbindungsrichtung. |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP. |
DNS-Remote-Endpunkt-IP |
Die Remote-IP-Informationen der Verbindung. |
DNS-Remote-Endpunkt-Port |
Die Portnummer der Verbindung. |
Lokale DNS-Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler DNS-Endpunkt-Port |
Die Portnummer der Verbindung. |
DNS-Nutzlast |
Die Nutzlast von DNS-Paketen, die DNS-Abfragen und -Antworten enthalten. |
Offene Ereignisse
Offene Ereignisse stehen im Zusammenhang mit Dateizugriffen und Dateiänderungen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der offenen Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, die in diesem Ereignis geöffnet wird. |
Flags |
Beschreibt den Dateizugriffsmodus, z. B. Schreibgeschützt, Nur-Schreiben und Lesen-Schreiben. |
Lastmodul-Ereignis
Die folgende Tabelle enthält den Feldnamen und die Beschreibung des Lademodul-Ereignisses, das Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Modulname |
Name des in den Kernel geladenen Moduls. |
Mprotect-Ereignisse
Mprotect-Ereignisse liefern Informationen über Änderungen an den Speicherschutzeinstellungen der Prozesse, die auf den überwachten Systemen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mprotect-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adressbereiche |
Der Adressbereich, für den der Zugriffsschutz geändert wurde. |
Arbeitsspeicherregionen |
Gibt die Region des Adressraums eines Prozesses an, z. B. Stapel und Heap. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Mount-Ereignisse
Mount-Ereignisse liefern Informationen im Zusammenhang mit dem Mounten und Unmounten von Dateisystemen auf Ihrer überwachten Ressource. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mount-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Mount-Ziel |
Der Pfad, in dem die Mount-Quelle gemountet ist. |
Mount-Quelle |
Der Pfad auf dem Host, der am Mount-Ziel gemountet ist. |
Typ des Dateisystems |
Repräsentiert den Typ des bereitgestellten Dateisystems. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Verknüpfungs-Ereignisse
Link-Ereignisse bieten Einblick in die Link-Management-Aktivitäten im Dateisystem in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Link-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Verknüpfungs-Pfad |
Pfad, in dem der Hardlink erstellt wird. |
Zielpfad |
Pfad der Datei, auf die der Hardlink verweist. |
Symlink-Ereignisse
Symlink-Ereignisse bieten Einblick in die Aktivitäten zur Verwaltung symbolischer Links im Dateisystem in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Symlink-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Verknüpfungs-Pfad |
Pfad, in dem der symbolische Link erstellt wird. |
Zielpfad |
Pfad der Datei, auf die der symbolische Link verweist. |
Dup-Ereignisse
Dup-Ereignisse bieten Einblick in die Duplizierung von Dateideskriptoren durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Dup-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
Feldname |
Beschreibung |
|---|---|
Alter Dateideskriptor |
Ein Dateideskriptor, der ein geöffnetes Dateiobjekt darstellt. |
Neuer Dateideskriptor |
Ein neuer Dateideskriptor, der ein Duplikat des alten Dateideskriptors ist. Sowohl der alte als auch der neue Dateideskriptor stehen für dasselbe offene Dateiobjekt. |
DNS-Remote-Endpunkt-IP |
Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
DNS-Remote-Endpunkt-Port |
Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Lokale Dup-Endpunkt-IP |
Die lokale IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Lokaler Dup-Endpunkt-Port |
Der lokale Port des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Arbeitsspeicherzuordnungs-Ereignis
Die folgende Tabelle enthält den Feldnamen und eine Beschreibung der Speicherzuordnungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, der der Arbeitsspeicher zugeordnet ist. |
Socket-Ereignisse
Socket-Ereignisse liefern Informationen über die Netzwerk-Socket-Verbindungen, die für die Aktivitäten der überwachten Ressourcen verwendet werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Socket-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie |
Verbindungs-Ereignisse
Connect-Ereignisse bieten Einblick in die Netzwerkverbindungen, die durch die Prozesse auf Ihren überwachten Ressourcen hergestellt wurden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Verbindungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie |
Dateipfad |
Pfad der Socket-Datei, falls die Adressfamilie |
Remote-Endpunkt-IP |
Die Remote-IP-Informationen der Verbindung. |
Remote-Endpunkt-Port |
Die Portnummer der Verbindung. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Prozess-VM-Readv-Ereignisse
Readv-Ereignisse von Process VM bieten Einblick in die Lesevorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Readv-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ziel-PID |
Prozess-ID des Prozesses, aus dessen Arbeitsspeicher gelesen wird. |
UUID des Zielprozesses |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Prozess-VM-Writev-Ereignisse
Process VM-Writev-Ereignisse bieten Einblick in die Schreibvorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Writev-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ziel-PID |
Prozess-ID des Prozesses, in den Arbeitsspeicher geschrieben wird. |
UUID des Zielprozesses |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Prozessablaufverfolgungsereignisse (Ptrace)
Der Systemaufruf Process Trace (Ptrace) ist ein Debugging- und Ablaufverfolgungsmechanismus, der es einem Prozess (Tracer) ermöglicht, die Ausführung eines anderen Prozesses (Tracee) zu beobachten und zu kontrollieren. Dadurch kann der Tracer den Speicher, die Register und den Ausführungsablauf des Zielprozesses überprüfen und ändern.
Ptrace-Ereignisse bieten Einblick in die Verwendung des Ptrace-Systemaufrufs durch Prozesse, die auf den überwachten Ressourcen laufen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Ptrace-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Ziel-PID |
Prozess-ID des Zielprozesses. |
UUID des Zielprozesses |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ereignisse binden
Bindungsereignisse bieten Einblick in die Bindung von Netzwerk-Sockets durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Bind-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Ereignisse abhören
Listen-Ereignisse geben Aufschluss über den Empfangsstatus von Netzwerk-Sockets und geben an, ob ein Netzwerk-Socket bereit ist, eingehende Verbindungen anzunehmen. Ein Prozess, der auf Ihrer überwachten Ressource ausgeführt wird, versetzt den Netzwerk-Socket in einen Listening-Status. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Listen-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Ereignisse umbenennen
Umbenennungsereignisse liefern Informationen über das Umbenennen von Dateien und Verzeichnissen durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Umbenennungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad, in dem die Datei umbenannt wurde. |
Ziel |
Der neue Pfad der Datei. |
Legen Sie Benutzer-ID-Ereignisse (UID) fest
Ereignisse mit festgelegter Benutzer-ID (UID) bieten Einblick in die Änderungen, die an der Benutzer-ID (UID) vorgenommen wurden, die mit den laufenden Prozessen auf Ihren überwachten Ressourcen verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der festgelegten UID-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Neue EUID |
Die neue effektive Benutzer-ID des Prozesses. |
Neue UID |
Die neue Benutzer-ID des Prozesses. |
Chmod-Ereignisse
Chmod-Ereignisse bieten Einblick in die Änderungen der Berechtigungen (Modus) von Dateien und Verzeichnissen auf den überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Chmod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, die dieses Ereignis auslöst. |
Dateimodus |
Die aktualisierten Zugriffsberechtigungen für die zugehörige Datei. |
