Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tipos de eventos de tiempo de ejecución recopilados que utilizan GuardDuty
El agente GuardDuty de seguridad recopila los siguientes tipos de eventos y los envía al GuardDuty backend para detectar y analizar las amenazas. GuardDuty no hace que estos eventos sean accesibles para usted. Si GuardDuty detecta una amenaza potencial y genera un resultado de Runtime Monitoring, puede ver los detalles del hallazgo correspondiente. Para obtener más información sobre cómo se GuardDuty utilizan los tipos de eventos recopilados, consulteOptar por no utilizar sus datos para mejorar el servicio.
Eventos de procesos
| Nombre del campo | Descripción |
|---|---|
Process name (Nombre del proceso) |
Nombre del proceso observado. |
Ruta de proceso |
Ruta absoluta del ejecutable del proceso. |
ID de proceso |
ID asignado al proceso por el sistema operativo. |
Espacio de nombres PID |
El identificador del proceso en un espacio de PID nombres secundario distinto del espacio de nombres de nivel de host. PID En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor. |
ID de usuario del proceso |
ID único del usuario que ha ejecutado el proceso. |
Proceso UUID |
El identificador único asignado al proceso por GuardDuty. |
Proceso GID |
ID del proceso del grupo de procesos. |
Proceso EGID |
ID del grupo efectivo del grupo de procesos. |
Proceso EUID |
ID del usuario efectivo del proceso. |
Nombre de usuario de proceso |
Nombre del usuario que ha ejecutado el proceso. |
Hora de inicio de proceso |
Hora de creación del proceso. Este campo tiene el formato de cadena de UTC fecha ( |
Proceso ejecutable SHA -256 |
Hash |
Ruta de script de proceso |
Ruta del archivo del script que se ha ejecutado. |
Variable de entorno de proceso |
Variable de entorno puesta a disposición del proceso. Solo se recopilan |
Directorio de trabajo actual del proceso () PWD |
Directorio de trabajo actual del proceso. |
Proceso principal |
Detalles del proceso principal. Un proceso principal es un proceso que creó el proceso observado. |
|
Argumentos de línea de comandos Actualmente, este campo está limitado a versiones de agentes específicas correspondientes al tipo de recurso:
Para obtener más información, consulte GuardDuty historial de lanzamientos de agentes. |
Argumentos de línea de comandos proporcionados en el momento de la ejecución del proceso. Este campo puede contener datos confidenciales de los clientes. |
Eventos de contenedores
Nombre del campo |
Descripción |
|---|---|
Nombre de contenedor |
Nombre del contenedor. Cuando está disponible, este campo muestra el valor de la etiqueta |
Contenedor UID |
ID único del contenedor asignado por el tiempo de ejecución del contenedor. |
Tiempo de ejecución de contenedor |
Tiempo de ejecución del contenedor (por ejemplo, |
ID de imagen de contenedor |
ID de la imagen del contenedor. |
Nombre de imagen de contenedor |
Nombre de la imagen del contenedor. |
AWS Fargate Eventos de tareas (ECSsolo en Amazon)
Nombre del campo |
Descripción |
|---|---|
Nombre del recurso de Amazon de la tarea (ARN) |
El ARN de la tarea. |
Nombre del clúster |
El nombre del ECS clúster de Amazon. |
Apellido |
Apellido de la definición de la tarea. Se |
Nombre del servicio |
El nombre del ECS servicio de Amazon, si la tarea se lanzó como parte de un servicio. |
Tipo de lanzamiento |
La infraestructura en la que se ejecuta la tarea. En el caso de la supervisión del tiempo de ejecución con el tipo de recurso como |
CPU |
El número de CPU unidades utilizadas por la tarea, tal como se expresa en la definición de la tarea. |
Eventos de pod de Kubernetes
Nombre del campo |
Descripción |
|---|---|
ID de pod |
ID del pod de Kubernetes. |
Nombre de pod |
Nombre del pod de Kubernetes. |
Espacio de nombres de pod |
Nombre del espacio de nombres de Kubernetes al que pertenece la carga de trabajo de Kubernetes. |
Nombre de clúster de Kubernetes |
Nombre del clúster de Kubernetes. |
DNSeventos
Nombre del campo |
Descripción |
|---|---|
Tipo de socket |
Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, |
Familia de direcciones |
Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones |
ID de dirección |
ID de la dirección de conexión. |
Número de protocolo |
El número de protocolo de capa 4, como 17 para UDP y 6 paraTCP. |
DNSIP del punto final remoto |
IP remota de la conexión. |
DNSPuerto de punto final remoto |
Número del puerto de la conexión. |
DNSIP del punto final local |
IP local de la conexión. |
DNSPuerto de punto final local |
Número del puerto de la conexión. |
DNSCarga útil |
La carga útil de DNS paquetes que contiene DNS consultas y respuestas. |
Eventos abiertos
Nombre del campo |
Descripción |
|---|---|
Ruta de archivo |
Ruta del archivo que se abre en este evento. |
Indicadores |
Describe el modo de acceso a archivos, como solo lectura, solo escritura y lectura-escritura. |
Evento de carga de módulo
Nombre del campo |
Descripción |
|---|---|
Nombre de módulo |
Nombre del módulo cargado en el kernel. |
Eventos de Mprotect
Nombre del campo |
Descripción |
|---|---|
Rango de direcciones |
Rango de direcciones para el que se modificaron las protecciones de acceso. |
Regiones de memoria |
Especifica la región del espacio de direcciones de un proceso, como la pila y el montón. |
Indicadores |
Representa las opciones que controlan el comportamiento de este evento. |
Eventos de montaje
Nombre del campo |
Descripción |
|---|---|
Destino de montaje |
Ruta en la que se monta el origen del montaje. |
Origen de montaje |
Ruta del host que se monta en el destino de montaje. |
Tipo de sistema de archivos |
Representa el tipo de montajefileSystem. |
Indicadores |
Representa las opciones que controlan el comportamiento de este evento. |
Eventos de enlace
Nombre del campo |
Descripción |
|---|---|
Ruta de enlace |
Ruta en la que se crea el enlace físico. |
Ruta de destino |
Ruta del archivo al que apunta el enlace físico. |
Eventos de enlace simbólico
Nombre del campo |
Descripción |
|---|---|
Ruta de enlace |
Ruta en la que se crea el enlace simbólico. |
Ruta de destino |
Ruta del archivo al que apunta el enlace simbólico. |
Eventos duplicados
Nombre del campo |
Descripción |
|---|---|
Descriptor de archivo antiguo |
Descriptor de archivo que representa un objeto de archivo abierto. |
Descriptor de archivo nuevo |
Descriptor de archivo nuevo que es un duplicado del descriptor de archivo antiguo. Tanto el descriptor de archivo antiguo como el nuevo representan el mismo objeto de archivo abierto. |
IP de punto de conexión remoto de duplicación |
Dirección IP remota del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. |
Puerto de punto de conexión remoto de duplicación |
Puerto remoto del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. |
IP de punto de conexión local de duplicación |
Dirección IP local del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. |
Puerto de punto de conexión local de duplicación |
Puerto local del socket de red que representa el descriptor de archivo antiguo. Solo se aplica cuando el descriptor de archivo antiguo representa un socket de red. |
Evento de mapa de memoria
Nombre del campo |
Descripción |
|---|---|
Ruta de archivo |
Ruta del archivo al que se asigna la memoria. |
Eventos de socket
Nombre del campo |
Descripción |
|---|---|
Familia de direcciones |
Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones |
Tipo de socket |
Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, |
Número de protocolo |
Especifica un protocolo concreto de la familia de direcciones. Por lo general, hay un único protocolo en las familias de direcciones. Por ejemplo, la familia de direcciones |
Eventos de conexión
Nombre del campo |
Descripción |
|---|---|
Familia de direcciones |
Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones |
Tipo de socket |
Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, |
Número de protocolo |
Especifica un protocolo concreto de la familia de direcciones. Por lo general, hay un único protocolo en las familias de direcciones. Por ejemplo, la familia de direcciones |
Ruta de archivo |
Ruta del archivo de socket si la familia de direcciones es |
IP de punto de conexión remoto |
IP remota de la conexión. |
Puerto de punto de conexión remoto |
Número del puerto de la conexión. |
IP de punto de conexión local |
IP local de la conexión. |
Puerto de punto de conexión local |
Número del puerto de la conexión. |
Eventos de Readv de VM de proceso
Nombre del campo |
Descripción |
|---|---|
Indicadores |
Representa las opciones que controlan el comportamiento de este evento. |
Objetivo PID |
ID del proceso desde el que se lee la memoria. |
Proceso objetivo UUID |
ID único del proceso de destino. |
Ruta de ejecutable de destino |
Ruta absoluta del archivo ejecutable del proceso de destino. |
Eventos de Writev de VM de proceso
Nombre del campo |
Descripción |
|---|---|
Indicadores |
Representa las opciones que controlan el comportamiento de este evento. |
Objetivo PID |
ID del proceso en el que se escribe la memoria. |
Proceso objetivo UUID |
ID único del proceso de destino. |
Ruta de ejecutable de destino |
Ruta absoluta del archivo ejecutable del proceso de destino. |
Eventos de Ptrace
Nombre del campo |
Descripción |
|---|---|
Objetivo PID |
ID del proceso de destino. |
Proceso objetivo UUID |
ID único del proceso de destino. |
Ruta de ejecutable de destino |
Ruta absoluta del archivo ejecutable del proceso de destino. |
Indicadores |
Representa las opciones que controlan el comportamiento de este evento. |
Enlazar eventos
Nombre del campo |
Descripción |
|---|---|
Familia de direcciones |
Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones |
Tipo de enchufe |
Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, |
Número de protocolo |
El número de protocolo de la capa 4, por ejemplo, 17 para UDP y 6 paraTCP. |
IP del punto final local |
IP local de la conexión. |
Puerto de punto final local |
Número del puerto de la conexión. |
Escuche los eventos
Nombre del campo |
Descripción |
|---|---|
Familia de direcciones |
Representa el protocolo de comunicación asociado a la dirección. Por ejemplo, la familia de direcciones |
Tipo de enchufe |
Tipo de socket para indicar la semántica de la comunicación. Por ejemplo, |
Número de protocolo |
El número de protocolo de la capa 4, por ejemplo, 17 para UDP y 6 paraTCP. |
IP del punto final local |
IP local de la conexión. |
Puerto de punto final local |
Número del puerto de la conexión. |
Cambie el nombre de los eventos
Nombre del campo |
Descripción |
|---|---|
Ruta de archivo |
Ruta donde se encuentra el archivo al que se cambia el nombre. |
Destino |
La nueva ruta del archivo. |
Establece UID eventos
Nombre del campo |
Descripción |
|---|---|
¿Nuevo EUID |
El nuevo seudónimo efectivo del proceso. |
¿Nuevo UID |
El nuevo seudónimo del proceso. |
Eventos de Chmod
Nombre del campo |
Descripción |
|---|---|
Ruta de archivo |
Ruta del archivo que invoca este evento. |
Modo de archivo |
Los permisos de acceso actualizados para el archivo asociado. |
