Gesammelte Laufzeit-Ereignistypen, die GuardDuty verwendet - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gesammelte Laufzeit-Ereignistypen, die GuardDuty verwendet

Der GuardDuty Security Agent sammelt die folgenden Ereignistypen und sendet sie zur Erkennung und Analyse von Bedrohungen an das GuardDuty Backend. GuardDuty macht Ihnen diese Ereignisse nicht zugänglich. Wenn eine potenzielle Bedrohung GuardDuty erkannt und eine generiert wirdRuntime Monitoring findet Typen, können Sie die entsprechenden Ergebnisdetails einsehen.

Hinweise zur GuardDuty Verwendung der gesammelten Ereignistypen in Runtime Monitoring finden Sie unterAbmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung.

Ereignisse verarbeiten

Prozessereignisse stellen Informationen dar, die mit den Prozessen verknüpft sind, die auf EC2 Amazon-Instances und Container-Workloads ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozessereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Prozessname

Name des beobachteten Prozesses.

Prozesspfad

Absoluter Pfad der ausführbaren Datei des Prozesses.

Prozess-ID

Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.

Namespace-PID

Die Prozess-ID des Prozesses in einem sekundären PID-Namespace, bei dem es sich nicht um den PID-Namespace auf Host-Ebene handelt. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.

Prozess-Benutzer-ID

Die eindeutige ID des Benutzers, der den Prozess ausgeführt hat.

Prozess-UUID

Die eindeutige ID, die dem Prozess von zugewiesen wurde GuardDuty.

Prozess-GID

Prozess-ID der Prozessgruppe.

Prozess-EGID

Effektive Gruppen-ID der Prozessgruppe.

Prozess-EUID

Effektive Benutzer-ID des Prozesses.

Prozess-Benutzername

Der Benutzername, der den Prozess ausgeführt hat.

Prozesses-Startzeit

Die Zeit, zu der der Prozess erstellt wurde. Dieses Feld hat das UTC-Datums-Zeichenfolgenformat (2023-03-22T19:37:20.168Z).

Ausführbare Prozessdatei SHA-256

Der Hash SHA256 der ausführbaren Prozessesdatei.

Prozess-Skriptpfad

Pfad der Skriptdatei, die ausgeführt wurde.

Prozess-Umgebungsvariable

Die Umgebungsvariable, die dem Prozess zur Verfügung gestellt wurde. Nur LD_PRELOAD und LD_LIBRARY_PATH werden gesammelt.

Aktuelles Arbeitsverzeichnis (PWD) des Prozesses

Derzeitiges Arbeitsverzeichnis des Prozesses.

Übergeordneter Prozess

Prozessdetails des übergeordneten Prozesses. Ein übergeordneter Prozess ist ein Prozess, der den beobachteten Prozess erzeugt hat.

Befehlszeilenargumente

Derzeit ist dieses Feld auf bestimmte Agentenversionen beschränkt, die dem Ressourcentyp entsprechen:

  • Fargate (nur Amazon ECS) mit GuardDuty Security Agent v1.0.0 und höher.

  • EC2 Amazon-Instances mit GuardDuty Security Agent v1.0.0 und höher.

  • Amazon EKS-Cluster mit Security Agent v1.4.0 und höher.

Weitere Informationen finden Sie unter GuardDuty Release-Versionen des Security Agents.

Befehlszeilenargumente, die zum Zeitpunkt der Prozessausführung bereitgestellt wurden. Dieses Feld kann vertrauliche Kundendaten enthalten.

Container-Ereignisse

Container-Ereignisse stellen Informationen dar, die mit Aktivitäten der Container-Workloads verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Container-Workload-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Container-Name

Name des Containers.

Falls verfügbar, zeigt dieses Feld den Wert des Labels io.kubenetes.container.name an.

Container-UID

Die eindeutige ID des Containers, die von der Container-Laufzeit zugewiesen wurde.

Container-Laufzeit

Die Container-Laufzeit (wie z. B. docker oder containerd), die zum Ausführen des Containers verwendet wurde.

Container-Image-ID

Die ID des Container-Images.

Container-Image-Name

Name des Container-Images.

AWS Fargate (nur Amazon ECS) Aufgabenereignisse

Fargate-Amazon ECS-Aufgabenereignisse stellen Aktivitäten dar, die mit Amazon ECS-Aufgaben verknüpft sind, die auf Fargate-Computern ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Amazon ECS-Fargate-Task-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Amazon-Ressourcenname (ARN) der Aufgabe

Der ARN der Aufgabe.

Cluster-Name

Der Name des Amazon ECS-Clusters.

Familienname

Der Familienname der Aufgabendefinition. Der family wird als Name für die Aufgabendefinition verwendet, mit der die Aufgabe gestartet wird.

Service-Name

Der Name des Amazon ECS-Service, wenn die Aufgabe als Teil eines Services gestartet wurde.

Starttyp

Die Infrastruktur, auf der Ihre Aufgabe ausgeführt wird. Für Runtime Monitoring mit dem Ressourcentyp as ECSCluster kann der Starttyp entweder EC2 oder seinFARGATE.

CPU

Die Anzahl der von der Aufgabe verwendeten CPU-Einheiten, wie in der Aufgabendefinition angegeben.

Kubernetes-Pod-Ereignisse

Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Kubernetes-Pod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Pod-ID

Die ID des Kubernetes-Pods.

Pod-Name

Name des Kubernetes-Pods.

Pod-Namespace

Name des Kubernetes-Namespace, zu dem der Kubernetes-Workload gehört.

Kubernetes-Cluster-Name

Name des Kubernetes-Clusters.

DNS-Ereignisse (Domain Name System)

Die DNS-Ereignisse (Domain Name System) enthalten Details zu den DNS-Abfragen, die von Ihren Ressourcentypen gestellt wurden, und zu den entsprechenden Antworten. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der DNS-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Socket-Typ

Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, SOCK_RAW.

Adress-Familie

Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie AF_INET wird beispielsweise für das IP-v4-Protokoll verwendet.

Richtungs-ID

Die ID der Verbindungsrichtung.

Protokollnummer

Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP.

DNS-Remote-Endpunkt-IP

Die Remote-IP-Informationen der Verbindung.

DNS-Remote-Endpunkt-Port

Die Portnummer der Verbindung.

Lokale DNS-Endpunkt-IP

Die lokale IP der Verbindung.

Lokaler DNS-Endpunkt-Port

Die Portnummer der Verbindung.

DNS-Nutzlast

Die Nutzlast von DNS-Paketen, die DNS-Abfragen und -Antworten enthalten.

Offene Ereignisse

Offene Ereignisse stehen im Zusammenhang mit Dateizugriffen und Dateiänderungen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der offenen Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Dateipfad

Pfad der Datei, die in diesem Ereignis geöffnet wird.

Flags

Beschreibt den Dateizugriffsmodus, z. B. Schreibgeschützt, Nur-Schreiben und Lesen-Schreiben.

Lastmodul-Ereignis

Die folgende Tabelle enthält den Feldnamen und die Beschreibung des Lademodul-Ereignisses, das Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Modulname

Name des in den Kernel geladenen Moduls.

Mprotect-Ereignisse

Mprotect-Ereignisse liefern Informationen über Änderungen an den Speicherschutzeinstellungen der Prozesse, die auf den überwachten Systemen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mprotect-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Adressbereiche

Der Adressbereich, für den der Zugriffsschutz geändert wurde.

Arbeitsspeicherregionen

Gibt die Region des Adressraums eines Prozesses an, z. B. Stapel und Heap.

Flags

Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern.

Mount-Ereignisse

Mount-Ereignisse liefern Informationen im Zusammenhang mit dem Mounten und Unmounten von Dateisystemen auf Ihrer überwachten Ressource. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mount-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Mount-Ziel

Der Pfad, in dem die Mount-Quelle gemountet ist.

Mount-Quelle

Der Pfad auf dem Host, der am Mount-Ziel gemountet ist.

Typ des Dateisystems

Repräsentiert den Typ des bereitgestellten Dateisystems.

Flags

Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern.

Link-Ereignisse bieten Einblick in die Link-Management-Aktivitäten im Dateisystem in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Link-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Verknüpfungs-Pfad

Pfad, in dem der Hardlink erstellt wird.

Zielpfad

Pfad der Datei, auf die der Hardlink verweist.

Symlink-Ereignisse bieten Einblick in die Aktivitäten zur Verwaltung symbolischer Links im Dateisystem in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Symlink-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Verknüpfungs-Pfad

Pfad, in dem der symbolische Link erstellt wird.

Zielpfad

Pfad der Datei, auf die der symbolische Link verweist.

Dup-Ereignisse

Dup-Ereignisse bieten Einblick in die Duplizierung von Dateideskriptoren durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Dup-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname

Beschreibung

Alter Dateideskriptor

Ein Dateideskriptor, der ein geöffnetes Dateiobjekt darstellt.

Neuer Dateideskriptor

Ein neuer Dateideskriptor, der ein Duplikat des alten Dateideskriptors ist. Sowohl der alte als auch der neue Dateideskriptor stehen für dasselbe offene Dateiobjekt.

DNS-Remote-Endpunkt-IP

Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt.

DNS-Remote-Endpunkt-Port

Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt.

Lokale Dup-Endpunkt-IP

Die lokale IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt.

Lokaler Dup-Endpunkt-Port

Der lokale Port des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt.

Arbeitsspeicherzuordnungs-Ereignis

Die folgende Tabelle enthält den Feldnamen und eine Beschreibung der Speicherzuordnungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Dateipfad

Pfad der Datei, der der Arbeitsspeicher zugeordnet ist.

Socket-Ereignisse

Socket-Ereignisse liefern Informationen über die Netzwerk-Socket-Verbindungen, die für die Aktivitäten der überwachten Ressourcen verwendet werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Socket-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Adress-Familie

Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie AF_INET wird beispielsweise für das IP-v4-Protokoll verwendet.

Socket-Typ

Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, SOCK_RAW.

Protokollnummer

Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie AF_INET nur das IP-Protokoll.

Verbindungs-Ereignisse

Connect-Ereignisse bieten Einblick in die Netzwerkverbindungen, die durch die Prozesse auf Ihren überwachten Ressourcen hergestellt wurden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Verbindungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Adress-Familie

Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie AF_INET wird beispielsweise für das IP-v4-Protokoll verwendet.

Socket-Typ

Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, SOCK_RAW.

Protokollnummer

Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie AF_INET nur das IP-Protokoll.

Dateipfad

Pfad der Socket-Datei, falls die Adressfamilie AF_UNIX ist.

Remote-Endpunkt-IP

Die Remote-IP-Informationen der Verbindung.

Remote-Endpunkt-Port

Die Portnummer der Verbindung.

Lokale Endpunkt-IP

Die lokale IP der Verbindung.

Lokaler Endpunkt-Port

Die Portnummer der Verbindung.

Prozess-VM-Readv-Ereignisse

Readv-Ereignisse von Process VM bieten Einblick in die Lesevorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Readv-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Flags

Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern.

Ziel-PID

Prozess-ID des Prozesses, aus dessen Arbeitsspeicher gelesen wird.

UUID des Zielprozesses

Die eindeutige ID des Zielprozesses.

Pfad der ausführbaren Zieldatei

Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

Prozess-VM-Writev-Ereignisse

Process VM-Writev-Ereignisse bieten Einblick in die Schreibvorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Writev-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Flags

Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern.

Ziel-PID

Prozess-ID des Prozesses, in den Arbeitsspeicher geschrieben wird.

UUID des Zielprozesses

Die eindeutige ID des Zielprozesses.

Pfad der ausführbaren Zieldatei

Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

Prozessablaufverfolgungsereignisse (Ptrace)

Der Systemaufruf Process Trace (Ptrace) ist ein Debugging- und Ablaufverfolgungsmechanismus, der es einem Prozess (Tracer) ermöglicht, die Ausführung eines anderen Prozesses (Tracee) zu beobachten und zu kontrollieren. Dadurch kann der Tracer den Speicher, die Register und den Ausführungsablauf des Zielprozesses überprüfen und ändern.

Ptrace-Ereignisse bieten Einblick in die Verwendung des Ptrace-Systemaufrufs durch Prozesse, die auf den überwachten Ressourcen laufen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Ptrace-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Ziel-PID

Prozess-ID des Zielprozesses.

UUID des Zielprozesses

Die eindeutige ID des Zielprozesses.

Pfad der ausführbaren Zieldatei

Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

Flags

Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern.

Ereignisse binden

Bindungsereignisse bieten Einblick in die Bindung von Netzwerk-Sockets durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Bind-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Adress-Familie

Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie AF_INET wird beispielsweise für das IP-v4-Protokoll verwendet.

Socket-Typ

Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, SOCK_RAW.

Protokollnummer

Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP.

Lokale Endpunkt-IP

Die lokale IP der Verbindung.

Lokaler Endpunkt-Port

Die Portnummer der Verbindung.

Ereignisse abhören

Listen-Ereignisse geben Aufschluss über den Empfangsstatus von Netzwerk-Sockets und geben an, ob ein Netzwerk-Socket bereit ist, eingehende Verbindungen anzunehmen. Ein Prozess, der auf Ihrer überwachten Ressource ausgeführt wird, versetzt den Netzwerk-Socket in einen Listening-Status. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Listen-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Adress-Familie

Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie AF_INET wird beispielsweise für das IP-v4-Protokoll verwendet.

Socket-Typ

Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, SOCK_RAW.

Protokollnummer

Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 für TCP.

Lokale Endpunkt-IP

Die lokale IP der Verbindung.

Lokaler Endpunkt-Port

Die Portnummer der Verbindung.

Ereignisse umbenennen

Umbenennungsereignisse liefern Informationen über das Umbenennen von Dateien und Verzeichnissen durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Umbenennungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Dateipfad

Pfad, in dem die Datei umbenannt wurde.

Ziel

Der neue Pfad der Datei.

Legen Sie Benutzer-ID-Ereignisse (UID) fest

Ereignisse mit festgelegter Benutzer-ID (UID) bieten Einblick in die Änderungen, die an der Benutzer-ID (UID) vorgenommen wurden, die mit den laufenden Prozessen auf Ihren überwachten Ressourcen verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der festgelegten UID-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Neue EUID

Die neue effektive Benutzer-ID des Prozesses.

Neue UID

Die neue Benutzer-ID des Prozesses.

Chmod-Ereignisse

Chmod-Ereignisse bieten Einblick in die Änderungen der Berechtigungen (Modus) von Dateien und Verzeichnissen auf den überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Chmod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.

Feldname Beschreibung

Dateipfad

Pfad der Datei, die dieses Ereignis auslöst.

Dateimodus

Die aktualisierten Zugriffsberechtigungen für die zugehörige Datei.