Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gesammelte Laufzeit-Ereignistypen, die GuardDuty verwendet
Der GuardDuty Security Agent sammelt die folgenden Ereignistypen und sendet sie zur Erkennung und Analyse von Bedrohungen an das GuardDuty Backend. GuardDuty macht Ihnen diese Ereignisse nicht zugänglich. Wenn eine potenzielle Bedrohung GuardDuty erkannt und eine generiert wirdRuntime Monitoring findet Typen, können Sie die entsprechenden Ergebnisdetails einsehen.
Hinweise zur GuardDuty Verwendung der gesammelten Ereignistypen in Runtime Monitoring finden Sie unterAbmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung.
Ereignisse verarbeiten
Prozessereignisse stellen Informationen dar, die mit den Prozessen verknüpft sind, die auf EC2 Amazon-Instances und Container-Workloads ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozessereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Prozessname |
Name des beobachteten Prozesses. |
Prozesspfad |
Absoluter Pfad der ausführbaren Datei des Prozesses. |
Prozess-ID |
Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde. |
Namespace PID |
Die Prozess-ID des Prozesses in einem anderen sekundären PID Namespace als dem Namespace auf HostebenePID. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird. |
Prozess-Benutzer-ID |
Die eindeutige ID des Benutzers, der den Prozess ausgeführt hat. |
Prozess UUID |
Die eindeutige ID, die dem Prozess von zugewiesen wurde GuardDuty. |
Prozess GID |
Prozess-ID der Prozessgruppe. |
Prozess EGID |
Effektive Gruppen-ID der Prozessgruppe. |
Prozess EUID |
Effektive Benutzer-ID des Prozesses. |
Prozess-Benutzername |
Der Benutzername, der den Prozess ausgeführt hat. |
Prozesses-Startzeit |
Die Zeit, zu der der Prozess erstellt wurde. Dieses Feld hat das UTC Datumszeichenfolgenformat ( |
Ausführbarer Prozess SHA -256 |
Der Hash |
Prozess-Skriptpfad |
Pfad der Skriptdatei, die ausgeführt wurde. |
Prozess-Umgebungsvariable |
Die Umgebungsvariable, die dem Prozess zur Verfügung gestellt wurde. Nur |
Verarbeiten Sie das aktuelle Arbeitsverzeichnis () PWD |
Derzeitiges Arbeitsverzeichnis des Prozesses. |
Übergeordneter Prozess |
Prozessdetails des übergeordneten Prozesses. Ein übergeordneter Prozess ist ein Prozess, der den beobachteten Prozess erzeugt hat. |
|
Befehlszeilenargumente Derzeit ist dieses Feld auf bestimmte Agentenversionen beschränkt, die dem Ressourcentyp entsprechen:
Weitere Informationen finden Sie unter GuardDuty Release-Versionen des Security Agents. |
Befehlszeilenargumente, die zum Zeitpunkt der Prozessausführung bereitgestellt wurden. Dieses Feld kann vertrauliche Kundendaten enthalten. |
Container-Ereignisse
Container-Ereignisse stellen Informationen dar, die mit Aktivitäten der Container-Workloads verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Container-Workload-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Container-Name |
Name des Containers. Falls verfügbar, zeigt dieses Feld den Wert des Labels |
Container UID |
Die eindeutige ID des Containers, die von der Container-Laufzeit zugewiesen wurde. |
Container-Laufzeit |
Die Container-Laufzeit (wie z. B. |
Container-Image-ID |
Die ID des Container-Images. |
Container-Image-Name |
Name des Container-Images. |
AWS Fargate (ECSnur Amazon) Aufgabenereignisse
ECSFargate-Amazon-Aufgabenereignisse stellen Aktivitäten dar, die mit ECS Amazon-Aufgaben verknüpft sind, die auf Fargate-Computern ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Amazon ECS -Fargate-Task-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Amazon-Ressourcenname der Aufgabe (ARN) |
Die ARN der Aufgabe. |
Cluster-Name |
Der Name des ECS Amazon-Clusters. |
Familienname |
Der Familienname der Aufgabendefinition. Der |
Service-Name |
Der Name des ECS Amazon-Dienstes, wenn die Aufgabe als Teil eines Dienstes gestartet wurde. |
Starttyp |
Die Infrastruktur, auf der Ihre Aufgabe ausgeführt wird. Für Runtime Monitoring mit dem Ressourcentyp as |
CPU |
Die Anzahl der von der Aufgabe verwendeten CPU Einheiten, wie in der Aufgabendefinition angegeben. |
Kubernetes-Pod-Ereignisse
Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Kubernetes-Pod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Pod-ID |
Die ID des Kubernetes-Pods. |
Pod-Name |
Name des Kubernetes-Pods. |
Pod-Namespace |
Name des Kubernetes-Namespace, zu dem der Kubernetes-Workload gehört. |
Kubernetes-Cluster-Name |
Name des Kubernetes-Clusters. |
Ereignisse im Domain Name System () DNS
Die Domain Name System (DNS) -Ereignisse enthalten Details zu den DNS Abfragen, die von Ihren Ressourcentypen gestellt wurden, und zu den entsprechenden Antworten. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der DNS Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Richtungs-ID |
Die ID der Verbindungsrichtung. |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 fürTCP. |
DNSRemote-Endpunkt-IP |
Die Remote-IP-Informationen der Verbindung. |
DNSPort für Remote-Endgeräte |
Die Portnummer der Verbindung. |
DNSLokale Endpunkt-IP |
Die lokale IP der Verbindung. |
DNSLokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
DNSNutzlast |
Die Nutzlast von DNS Paketen, die DNS Abfragen und Antworten enthält. |
Offene Ereignisse
Offene Ereignisse stehen im Zusammenhang mit dem Zugriff auf und der Änderung von Dateien. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der offenen Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, die in diesem Ereignis geöffnet wird. |
Flags |
Beschreibt den Dateizugriffsmodus, z. B. Schreibgeschützt, Nur-Schreiben und Lesen-Schreiben. |
Lastmodul-Ereignis
Die folgende Tabelle enthält den Feldnamen und die Beschreibung des Lademodul-Ereignisses, das Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Modulname |
Name des in den Kernel geladenen Moduls. |
Mprotect-Ereignisse
Mprotect-Ereignisse liefern Informationen über Änderungen an den Speicherschutzeinstellungen der Prozesse, die auf den überwachten Systemen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mprotect-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adressbereiche |
Der Adressbereich, für den der Zugriffsschutz geändert wurde. |
Arbeitsspeicherregionen |
Gibt die Region des Adressraums eines Prozesses an, z. B. Stapel und Heap. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Mount-Ereignisse
Mount-Ereignisse liefern Informationen im Zusammenhang mit dem Mounten und Unmounten von Dateisystemen auf Ihrer überwachten Ressource. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Mount-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Mount-Ziel |
Der Pfad, in dem die Mount-Quelle gemountet ist. |
Mount-Quelle |
Der Pfad auf dem Host, der am Mount-Ziel gemountet ist. |
Typ des Dateisystems |
Stellt den Typ der eingehängten Datei darfileSystem. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Verknüpfungs-Ereignisse
Link-Ereignisse bieten Einblick in die Link-Management-Aktivitäten des Dateisystems in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Link-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Verknüpfungs-Pfad |
Pfad, in dem der Hardlink erstellt wird. |
Zielpfad |
Pfad der Datei, auf die der Hardlink verweist. |
Symlink-Ereignisse
Symlink-Ereignisse bieten Einblick in die Aktivitäten zur Verwaltung symbolischer Links im Dateisystem in Ihren überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Symlink-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Verknüpfungs-Pfad |
Pfad, in dem der symbolische Link erstellt wird. |
Zielpfad |
Pfad der Datei, auf die der symbolische Link verweist. |
Dup-Ereignisse
Dup-Ereignisse bieten Einblick in die Duplizierung von Dateideskriptoren durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Dup-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
Feldname |
Beschreibung |
|---|---|
Alter Dateideskriptor |
Ein Dateideskriptor, der ein geöffnetes Dateiobjekt darstellt. |
Neuer Dateideskriptor |
Ein neuer Dateideskriptor, der ein Duplikat des alten Dateideskriptors ist. Sowohl der alte als auch der neue Dateideskriptor stehen für dasselbe offene Dateiobjekt. |
DNS-Remote-Endpunkt-IP |
Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
DNS-Remote-Endpunkt-Port |
Die Remote-IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Lokale Dup-Endpunkt-IP |
Die lokale IP-Adresse des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Lokaler Dup-Endpunkt-Port |
Der lokale Port des Netzwerk-Sockets, dargestellt durch den alten Dateideskriptor. Gilt nur, wenn der alte Dateideskriptor einen Netzwerk-Socket darstellt. |
Arbeitsspeicherzuordnungs-Ereignis
Die folgende Tabelle enthält den Feldnamen und eine Beschreibung der Speicherzuordnungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, der der Arbeitsspeicher zugeordnet ist. |
Socket-Ereignisse
Socket-Ereignisse liefern Informationen über die Netzwerk-Socket-Verbindungen, die für die Aktivitäten der überwachten Ressourcen verwendet werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Socket-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie |
Verbindungs-Ereignisse
Connect-Ereignisse bieten Einblick in die Netzwerkverbindungen, die durch die Prozesse auf Ihren überwachten Ressourcen hergestellt wurden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Verbindungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Spezifiziert ein bestimmtes Protokoll innerhalb der Adressfamilie. Normalerweise gibt es ein einziges Protokoll in Adressfamilien. Beispielsweise hat die Adressfamilie |
Dateipfad |
Pfad der Socket-Datei, falls die Adressfamilie |
Remote-Endpunkt-IP |
Die Remote-IP-Informationen der Verbindung. |
Remote-Endpunkt-Port |
Die Portnummer der Verbindung. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Prozess-VM-Readv-Ereignisse
Readv-Ereignisse von Process VM bieten Einblick in die Lesevorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Readv-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ziel PID |
Prozess-ID des Prozesses, aus dessen Arbeitsspeicher gelesen wird. |
Zielprozess UUID |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Prozess-VM-Writev-Ereignisse
Writev-Ereignisse für Prozess-VM bieten Einblick in die Schreibvorgänge, die von den Prozessen in ihren eigenen virtuellen Speicherbereichen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Prozess-VM-Writev-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ziel PID |
Prozess-ID des Prozesses, in den Arbeitsspeicher geschrieben wird. |
Zielprozess UUID |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Ablaufverfolgungsereignisse (Ptrace) verarbeiten
Der Systemaufruf Process Trace (Ptrace) ist ein Debugging- und Ablaufverfolgungsmechanismus, der es einem Prozess (Tracer) ermöglicht, die Ausführung eines anderen Prozesses (Tracee) zu beobachten und zu kontrollieren. Dies gibt dem Tracer die Möglichkeit, den Speicher, die Register und den Ausführungsablauf des Zielprozesses zu überprüfen und zu ändern.
Ptrace-Ereignisse bieten Einblick in die Verwendung des Ptrace-Systemaufrufs durch Prozesse, die auf den überwachten Ressourcen laufen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Ptrace-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Ziel PID |
Prozess-ID des Zielprozesses. |
Zielprozess UUID |
Die eindeutige ID des Zielprozesses. |
Pfad der ausführbaren Zieldatei |
Absoluter Pfad der ausführbaren Zieldatei des Prozesses. |
Flags |
Stellt Optionen dar, die das Verhalten dieses Ereignisses steuern. |
Ereignisse binden
Bindungsereignisse bieten Einblick in die Bindung von Netzwerk-Sockets durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Bind-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 fürTCP. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Ereignisse abhören
Listen-Ereignisse geben Aufschluss über den Empfangsstatus von Netzwerk-Sockets und geben an, ob ein Netzwerk-Socket bereit ist, eingehende Verbindungen anzunehmen. Ein Prozess, der auf Ihrer überwachten Ressource ausgeführt wird, versetzt den Netzwerk-Socket in einen Listening-Status. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Listen-Ereignisse, die Runtime Monitoring sammelt, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Adress-Familie |
Stellt das der Adresse zugeordnete Kommunikationsprotokoll dar. Die Adressfamilie |
Socket-Typ |
Socket-Typ zur Angabe der Kommunikationssemantik. Beispiel, |
Protokollnummer |
Die Layer-4-Protokollnummer, z. B. 17 für UDP und 6 fürTCP. |
Lokale Endpunkt-IP |
Die lokale IP der Verbindung. |
Lokaler Endpunkt-Port |
Die Portnummer der Verbindung. |
Ereignisse umbenennen
Umbenennungsereignisse liefern Informationen über das Umbenennen von Dateien und Verzeichnissen durch Prozesse, die auf den überwachten Ressourcen ausgeführt werden. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Umbenennungsereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad, in dem die Datei umbenannt wurde. |
Ziel |
Der neue Pfad der Datei. |
Legen Sie Benutzer-ID (UID) -Ereignisse fest
Set-Benutzer-ID (UID) -Ereignisse bieten Einblick in die Änderungen, die an der Benutzer-ID (UID) vorgenommen wurden, die mit den laufenden Prozessen auf Ihren überwachten Ressourcen verknüpft sind. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der festgelegten UID Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Neu EUID |
Die neue effektive Benutzer-ID des Prozesses. |
Neu UID |
Die neue Benutzer-ID des Prozesses. |
Chmod-Ereignisse
Chmod-Ereignisse bieten Einblick in die Änderungen der Berechtigungen (Modus) von Dateien und Verzeichnissen auf den überwachten Ressourcen. Die folgende Tabelle enthält die Feldnamen und Beschreibungen der Chmod-Ereignisse, die Runtime Monitoring erfasst, um potenzielle Bedrohungen zu erkennen.
| Feldname | Beschreibung |
|---|---|
Dateipfad |
Pfad der Datei, die dieses Ereignis auslöst. |
Dateimodus |
Die aktualisierten Zugriffsberechtigungen für die zugehörige Datei. |
