Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types d'événements d'exécution collectés qui GuardDuty utilisent
L'agent GuardDuty de sécurité collecte les types d'événements suivants et les envoie au GuardDuty backend à des fins de détection et d'analyse des menaces. GuardDuty ne vous permet pas d'accéder à ces événements. En cas GuardDuty de détection d'une menace potentielle et de génération d'un résultat de surveillance du temps d'exécution, vous pouvez consulter les détails de la découverte correspondante. Pour plus d'informations sur l' GuardDuty utilisation des types d'événements collectés, consultezRefus d’utiliser vos données pour améliorer le service.
Événements de processus
Nom de champ | Description |
---|---|
Nom du processus |
Nom du processus observé. |
Chemin d'accès du processus |
Chemin absolu de l'exécutable du processus. |
ID du processus. |
ID attribué au processus par le système d'exploitation. |
Espace de noms PID |
ID de processus du processus dans un espace de PID noms secondaire autre que l'espace de PID noms au niveau de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur. |
ID d'utilisateur du processus |
ID unique de l'utilisateur qui a exécuté le processus. |
Procédé UUID |
L'identifiant unique attribué au processus par GuardDuty. |
Procédé GID |
ID de processus du groupe de processus. |
Procédé EGID |
ID de groupe effectif du groupe de processus. |
Procédé EUID |
ID utilisateur effectif du processus. |
Nom d'utilisateur du processus |
Nom d'utilisateur qui a exécuté le processus. |
Heure de début du processus |
L'heure de création du processus. Ce champ est au format de chaîne de UTC date ( |
Exécutable du processus SHA -256 |
Hachage |
Chemin du script de processus |
Chemin du fichier de script qui a été exécuté. |
Variable d'environnement de processus |
Variable d'environnement mise à la disposition du processus. Seuls |
Répertoire de travail Process Present (PWD) |
Référentiel de travail actuel du processus. |
Processus parent |
Détails de processus du processus parent. Un processus parent est un processus qui a créé le processus observé. |
Arguments de ligne de commande Actuellement, ce champ est limité à des versions d'agent spécifiques correspondant au type de ressource :
Pour de plus amples informations, veuillez consulter GuardDuty historique des versions de l'agent. |
Arguments de ligne de commande fournis au moment de l'exécution du processus. Ce champ peut contenir des données client sensibles. |
Événements de conteneur
Nom de champ |
Description |
---|---|
Nom de conteneur |
Nom du conteneur. Lorsqu'il est disponible, ce champ affiche la valeur de l'étiquette |
Récipient UID |
L'ID unique du conteneur attribué par l'environnement d'exécution du conteneur. |
Exécution de conteneur |
Exécution du conteneur (tel que |
ID de l'image de conteneur |
ID de l'image du conteneur. |
Nom d'image de conteneur |
Nom de l'image du conteneur. |
AWS Fargate événements de tâches (Amazon ECS uniquement)
Nom de champ |
Description |
---|---|
Nom de la ressource Amazon de la tâche (ARN) |
Le ARN responsable de la tâche. |
Nom du cluster |
Nom du ECS cluster Amazon. |
Nom de famille |
Le nom de famille de la définition de tâche. Le |
Service Name |
Le nom du ECS service Amazon, si la tâche a été lancée dans le cadre d'un service. |
Type de lancement |
L'infrastructure sur laquelle s'exécute votre tâche. Pour la surveillance du temps d'exécution avec le type de ressource as |
CPU |
Le nombre d'CPUunités utilisées par la tâche tel qu'il est exprimé dans la définition de la tâche. |
Événements du pod Kubernetes
Nom de champ |
Description |
---|---|
ID de pod |
L'ID du pod Kubernetes. |
Nom de pod |
Nom du pod Kubernetes. |
Espace de noms de pod |
Nom de l'espace de noms Kubernetes auquel appartient la charge de travail Kubernetes. |
Nom de cluster Kubernetes |
Nom du cluster Kubernetes. |
DNSévénements
Nom de champ |
Description |
---|---|
Type de socket |
Type de socket pour indiquer la sémantique de communication. Par exemple, |
Famille d'adresses |
Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses |
ID de direction |
ID de direction de la connexion. |
Numéro de protocole |
Le numéro de protocole de couche 4, tel que 17 pour UDP et 6 pourTCP. |
DNSIP du point de terminaison distant |
Adresse IP distante de la connexion. |
DNSPort de point de terminaison distant |
Numéro de port de la connexion. |
DNSIP du point de terminaison local |
Adresse IP locale de la connexion. |
DNSPort du point de terminaison local |
Numéro de port de la connexion. |
DNSCharge utile |
Charge utile des DNS paquets contenant des DNS requêtes et des réponses. |
Événements ouverts
Nom de champ |
Description |
---|---|
Filepath |
Chemin du fichier ouvert lors dans cet événement. |
Indicateurs |
Décrit le mode d'accès aux fichiers, tel que lecture seule, écriture seule et lecture-écriture. |
Événement du module de charge
Nom de champ |
Description |
---|---|
Nom de module |
Nom du module chargé dans le noyau. |
Événements Mprotect
Nom de champ |
Description |
---|---|
Plage d'adresses |
Plage d'adresses pour laquelle les protections d'accès ont été modifiées. |
Régions de mémoire |
Spécifie la région de l'espace d'adressage d'un processus, tel que pile et tas. |
Indicateurs |
Représente les options qui contrôlent le comportement de cet événement. |
Événements de montage
Nom de champ |
Description |
---|---|
Cible de montage |
Chemin où la source de montage est montée. |
Source de montage |
Chemin sur l'hôte qui est monté sur la cible de montage. |
Type de système de fichiers |
Représente le type de montagefileSystem. |
Indicateurs |
Représente les options qui contrôlent le comportement de cet événement. |
Événements du lien
Nom de champ |
Description |
---|---|
Chemin du lien |
Chemin où le lien physique est créé. |
Chemin cible |
Chemin du fichier vers lequel pointe le lien physique. |
Événements Symlink
Nom de champ |
Description |
---|---|
Chemin du lien |
Chemin où le lien symbolique est créé. |
Chemin cible |
Chemin du fichier vers lequel pointe le lien symbolique. |
Événements Dup
Nom de champ |
Description |
---|---|
Descripteur d'ancien fichier |
Descripteur de fichier qui représente un objet de fichier ouvert. |
Descripteur de nouveau fichier |
Descripteur de nouveau fichier dupliqué du descripteur d'ancien fichier. Aussi bien le descripteur d'un ancien fichier que celui de nouveau fichier représentent le même objet de fichier ouvert. |
IP du point de terminaison distant Dup |
Adresse IP distante de socket réseau représentée par le descripteur de nouveau fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau. |
Port du point de terminaison distant Dup |
Port distant de socket réseau représenté par le descripteur de nouveau fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau. |
Adresse IP du point de terminaison local Dup |
Adresse IP locale de socket réseau représentée par le descripteur d'ancien fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau. |
Port du point de terminaison local Dup |
Port local de socket réseau représenté par le descripteur d'ancien fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau. |
Événement de mappage de mémoire
Nom de champ |
Description |
---|---|
Filepath |
Chemin du fichier auquel la mémoire est mappée. |
Événements de socket
Nom de champ |
Description |
---|---|
Famille d'adresses |
Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses |
Type de socket |
Type de socket pour indiquer la sémantique de communication. Par exemple, |
Numéro de protocole |
Spécifie un protocole particulier au sein de la famille d'adresses. Il existe généralement un protocole unique dans les familles d'adresses. Par exemple, la famille d'adresses |
Événements de connexion
Nom de champ |
Description |
---|---|
Famille d'adresses |
Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses |
Type de socket |
Type de socket pour indiquer la sémantique de communication. Par exemple, |
Numéro de protocole |
Spécifie un protocole particulier au sein de la famille d'adresses. Il existe généralement un protocole unique dans les familles d'adresses. Par exemple, la famille d'adresses |
Filepath |
Chemin du fichier socket si la famille d'adresses est |
IP du point de terminaison distant |
Adresse IP distante de la connexion. |
Port du point de terminaison distant |
Numéro de port de la connexion. |
Adresse IP du point de terminaison local |
Adresse IP locale de la connexion. |
Port du point de terminaison local |
Numéro de port de la connexion. |
Événements Process VM Readv
Nom de champ |
Description |
---|---|
Indicateurs |
Représente les options qui contrôlent le comportement de cet événement. |
Cible PID |
ID du processus à partir duquel la mémoire est lue. |
Processus cible UUID |
ID unique du processus cible. |
Chemin d'exécutable cible |
Chemin absolu du fichier exécutable du processus cible. |
Événements Process VM Writev
Nom de champ |
Description |
---|---|
Indicateurs |
Représente les options qui contrôlent le comportement de cet événement. |
Cible PID |
ID du processus dans lequel la mémoire est écrite. |
Processus cible UUID |
ID unique du processus cible. |
Chemin d'exécutable cible |
Chemin absolu du fichier exécutable du processus cible. |
Événements Ptrace
Nom de champ |
Description |
---|---|
Cible PID |
ID du processus cible. |
Processus cible UUID |
ID unique du processus cible. |
Chemin d'exécutable cible |
Chemin absolu du fichier exécutable du processus cible. |
Indicateurs |
Représente les options qui contrôlent le comportement de cet événement. |
Lier des événements
Nom de champ |
Description |
---|---|
Famille d'adresses |
Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses |
Type de douille |
Type de socket pour indiquer la sémantique de communication. Par exemple, |
Numéro de protocole |
Le numéro de protocole de couche 4, tel que 17 pour UDP et 6 pourTCP. |
IP du point de terminaison local |
Adresse IP locale de la connexion. |
Port du point de terminaison local |
Numéro de port de la connexion. |
Écoutez les événements
Nom de champ |
Description |
---|---|
Famille d'adresses |
Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses |
Type de douille |
Type de socket pour indiquer la sémantique de communication. Par exemple, |
Numéro de protocole |
Le numéro de protocole de couche 4, tel que 17 pour UDP et 6 pourTCP. |
IP du point de terminaison local |
Adresse IP locale de la connexion. |
Port du point de terminaison local |
Numéro de port de la connexion. |
Renommer les événements
Nom de champ |
Description |
---|---|
Filepath |
Chemin où se trouve le fichier renommé. |
Cible |
Le nouveau chemin du fichier. |
Organisez UID des événements
Nom de champ |
Description |
---|---|
Nouveau EUID |
Le nouvel ID utilisateur effectif du processus. |
Nouveau UID |
Le nouvel ID utilisateur du processus. |
Événements Chmod
Nom de champ |
Description |
---|---|
Filepath |
Chemin du fichier qui invoque cet événement. |
Mode de fichier |
Les autorisations d'accès mises à jour pour le fichier associé. |