Mengumpulkan jenis peristiwa runtime yang menggunakan GuardDuty

Agen GuardDuty keamanan mengumpulkan jenis peristiwa berikut dan mengirimkannya ke GuardDuty backend untuk deteksi dan analisis ancaman. GuardDuty tidak membuat acara ini dapat diakses oleh Anda. Jika GuardDuty mendeteksi potensi ancaman dan menghasilkan temuan Runtime Monitoring, Anda dapat melihat detail temuan yang sesuai. Untuk informasi selengkapnya tentang cara GuardDuty menggunakan jenis acara yang dikumpulkan, lihatMemilih untuk tidak menggunakan data Anda untuk perbaikan layanan.

Proses acara

Nama bidang	Deskripsi
Nama proses	Nama proses yang diamati.
Jalur Proses	Jalur absolut dari proses yang dapat dieksekusi.
ID Proses	ID yang ditetapkan untuk proses oleh sistem operasi.
Namespace PID	ID proses proses dalam namespace PID sekunder selain namespace PID tingkat host. Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah.
Memproses ID Pengguna	ID unik pengguna yang mengeksekusi proses.
Proses UUID	ID unik yang ditetapkan untuk proses oleh GuardDuty.
Proses GID	ID proses dari grup proses.
Proses EGID	ID grup yang efektif dari grup proses.
Proses EUID	ID pengguna yang efektif dari proses tersebut.
Nama Pengguna Proses	Nama pengguna yang mengeksekusi proses.
Waktu Mulai Proses	Waktu ketika proses itu dibuat. Bidang ini dalam format string tanggal UTC (`2023-03-22T19:37:20.168Z`).
Proses yang Dapat Dieksekusi SHA-256	`SHA256`Hash dari proses yang dapat dieksekusi.
Jalur Skrip Proses	Jalur file skrip yang dieksekusi.
Variabel Lingkungan Proses	Variabel lingkungan tersedia untuk proses. Hanya `LD_PRELOAD` dan `LD_LIBRARY_PATH` dikumpulkan.
Proses Present Working Directory (PWD)	Presentasikan direktori kerja proses.
Proses orang tua	Rincian proses proses induk. Proses induk adalah proses yang menciptakan proses yang diamati.
Argumen Baris Perintah Saat ini, bidang ini terbatas pada versi agen tertentu yang sesuai dengan jenis sumber daya: Fargate (hanya Amazon ECS) dengan agen GuardDuty keamanan v1.0.0 ke atas. Instans Amazon EC2 dengan agen GuardDuty keamanan v1.0.0 dan yang lebih baru. Amazon EKS cluster dengan agen keamanan v1.4.0 dan di atasnya. Untuk informasi selengkapnya, lihat GuardDuty sejarah rilis agen.	Argumen baris perintah disediakan pada saat eksekusi proses. Bidang ini mungkin berisi data pelanggan yang sensitif.

Acara kontainer

Nama bidang	Deskripsi
Nama Kontainer	Nama wadahnya. Bila tersedia, bidang ini menampilkan nilai label`io.kubenetes.container.name`.
Kontainer UID	ID unik dari kontainer yang ditetapkan oleh runtime kontainer.
Runtime Kontainer	Runtime kontainer (seperti `docker` atau`containerd`) digunakan untuk menjalankan kontainer.
ID Gambar Kontainer	ID dari gambar kontainer.
Nama Gambar Kontainer	Nama gambar kontainer.

AWS Fargate (Hanya Amazon ECS) peristiwa tugas

Nama bidang	Deskripsi
Nama Sumber Daya Tugas Amazon (ARN)	ARN dari tugas tersebut.
Nama Klaster	Nama cluster Amazon ECS.
Nama Keluarga	Nama keluarga definisi tugas. `family`Ini digunakan sebagai nama untuk definisi tugas yang digunakan untuk meluncurkan tugas.
Nama Layanan	Nama layanan Amazon ECS, jika tugas diluncurkan sebagai bagian dari layanan.
Jenis Peluncuran	Infrastruktur tempat tugas Anda berjalan. Untuk Runtime Monitoring dengan resource type as`ECSCluster`, tipe peluncuran bisa berupa salah satu `EC2` atau`FARGATE`.
CPU	Jumlah unit CPU yang digunakan oleh tugas seperti yang dinyatakan dalam definisi tugas.

Acara pod Kubernetes

Nama bidang	Deskripsi
ID Pod	ID dari pod Kubernetes.
Nama pod	Nama pod Kubernetes.
Ruang Nama Pod	Nama namespace Kubernetes tempat beban kerja Kubernetes berada.
Nama Cluster Kubernetes	Nama cluster Kubernetes.

Acara DNS

Nama bidang	Deskripsi
Jenis Soket	Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, `SOCK_RAW`.
Alamat Keluarga	Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat `AF_INET` digunakan untuk protokol IP v4.
ID Arah	ID dari arah koneksi.
Nomor Protokol	Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP.
IP Titik Akhir Jarak Jauh DNS	IP jarak jauh dari koneksi.
Port Titik Akhir Jarak Jauh DNS	Nomor port koneksi.
IP Titik Akhir Lokal DNS	IP lokal dari koneksi.
Pelabuhan Titik Akhir Lokal DNS	Nomor port koneksi.
Muatan DNS	Payload paket DNS yang berisi kueri dan tanggapan DNS.

Buka acara

Nama bidang	Deskripsi
Filepath	Jalur file yang dibuka dalam acara ini.
Bendera	Menjelaskan mode akses file, seperti read-only, write-only, dan read-write.

Acara modul beban

Nama bidang	Deskripsi
Nama Modul	Nama modul dimuat ke dalam kernel.

Acara Mprotect

Nama bidang	Deskripsi
Rentang Alamat	Rentang alamat tempat perlindungan aksesnya dimodifikasi.
Wilayah Memori	Menentukan Wilayah ruang alamat proses seperti tumpukan dan heap.
Bendera	Merupakan opsi yang mengontrol perilaku acara ini.

Acara gunung

Nama bidang	Deskripsi
Target Gunung	Jalur tempat sumber mount dipasang.
Sumber Gunung	Jalur pada host yang dipasang di target mount.
Jenis Sistem File	Merupakan jenis FileSystem yang dipasang.
Bendera	Merupakan opsi yang mengontrol perilaku acara ini.

Tautkan acara

Nama bidang	Deskripsi
Jalur Tautan	Jalur tempat hard link dibuat.
Jalur Target	Jalur file di mana hard link menunjuk.

Acara Symlink

Nama bidang	Deskripsi
Jalur Tautan	Jalur tempat tautan simbolis dibuat.
Jalur Target	Jalur file di mana tautan simbolis menunjuk.

Acara Dup

Nama bidang	Deskripsi
Deskriptor File Lama	Deskriptor file yang mewakili objek file terbuka.
Deskriptor File Baru	Deskriptor file baru yang merupakan duplikat dari deskriptor file lama. Baik deskriptor file lama dan baru mewakili objek file terbuka yang sama.
IP Titik Akhir Jarak Jauh Dup	Alamat IP jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan.
Port Titik Akhir Jarak Jauh Dup	Port jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan.
IP Titik Akhir Lokal Dup	Alamat IP lokal dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan.
Pelabuhan Titik Akhir Lokal Dup	Port lokal soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan.

Acara peta memori

Nama bidang	Deskripsi
Filepath	Jalur file tempat memori dipetakan.

Acara soket

Nama bidang	Deskripsi
Keluarga alamat	Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat `AF_INET` digunakan untuk protokol versi IP 4.
Jenis Soket	Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, `SOCK_RAW`.
Nomor protokol	Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat `AF_INET` hanya memiliki protokol IP.

Connect event

Nama bidang	Deskripsi
Keluarga alamat	Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat `AF_INET` digunakan untuk protokol IP v4.
Jenis Soket	Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, `SOCK_RAW`.
Nomor Protokol	Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat `AF_INET` hanya memiliki protokol IP.
Filepath	Jalur file soket jika keluarga alamat adalah`AF_UNIX`.
IP Titik Akhir Jarak Jauh	IP jarak jauh dari koneksi.
Port Endpoint Jarak Jauh	Nomor port koneksi.
IP Titik Akhir Lokal	IP lokal dari koneksi.
Pelabuhan Endpoint Lokal	Nomor port koneksi.

Memproses acara VM Readv

Nama bidang	Deskripsi
Bendera	Merupakan opsi yang mengontrol perilaku acara ini.
Target PID	ID proses dari proses dari mana memori sedang dibaca.
Proses Target UUID	ID unik dari proses target.
Target Jalur yang Dapat Dieksekusi	Jalur absolut dari file eksekusi proses target.

Proses acara VM Writev

Nama bidang	Deskripsi
Bendera	Merupakan opsi yang mengontrol perilaku acara ini.
Target PID	ID proses dari proses dimana memori sedang ditulis.
Proses Target UUID	ID unik dari proses target.
Target Jalur yang Dapat Dieksekusi	Jalur absolut dari file eksekusi proses target.

Acara Ptrace

Nama bidang	Deskripsi
Target PID	ID proses dari proses target.
Proses Target UUID	ID unik dari proses target.
Target Jalur yang Dapat Dieksekusi	Jalur absolut dari file eksekusi proses target.
Bendera	Merupakan opsi yang mengontrol perilaku acara ini.

Mengikat acara

Nama bidang	Deskripsi
Alamat Keluarga	Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat `AF_INET` digunakan untuk protokol IP v4.
Jenis soket	Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, `SOCK_RAW`.
Nomor protokol	Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP.
IP titik akhir lokal	IP lokal dari koneksi.
Port titik akhir lokal	Nomor port koneksi.

Dengarkan acara

Nama bidang	Deskripsi
Alamat Keluarga	Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat `AF_INET` digunakan untuk protokol IP v4.
Jenis soket	Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, `SOCK_RAW`.
Nomor protokol	Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP.
IP titik akhir lokal	IP lokal dari koneksi.
Port titik akhir lokal	Nomor port koneksi.

Ganti nama acara

Nama bidang	Deskripsi
Filepath	Path tempat file yang diganti namanya.
Target	Path baru dari file.

Atur acara UID

Nama bidang	Deskripsi
EUID baru	ID pengguna baru yang efektif dari proses tersebut.
UID baru	ID pengguna baru dari proses tersebut.

Acara Chmod

Nama bidang	Deskripsi
Filepath	Path dari file yang memanggil acara ini.
Filemode	Izin akses yang diperbarui untuk file terkait.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan CPU dan pemantauan memori

Agen hosting repositori Amazon ECR GuardDuty