Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengumpulkan jenis peristiwa runtime yang menggunakan GuardDuty
Agen GuardDuty keamanan mengumpulkan jenis peristiwa berikut dan mengirimkannya ke GuardDuty backend untuk deteksi dan analisis ancaman. GuardDuty tidak membuat acara ini dapat diakses oleh Anda. Jika GuardDuty mendeteksi potensi ancaman dan menghasilkan temuan Runtime Monitoring, Anda dapat melihat detail temuan yang sesuai. Untuk informasi selengkapnya tentang cara GuardDuty menggunakan jenis acara yang dikumpulkan, lihatMemilih untuk tidak menggunakan data Anda untuk perbaikan layanan.
Proses acara
Nama bidang | Deskripsi |
---|---|
Nama proses |
Nama proses yang diamati. |
Jalur Proses |
Jalur absolut dari proses yang dapat dieksekusi. |
ID Proses |
ID yang ditetapkan untuk proses oleh sistem operasi. |
Namespace PID |
ID proses proses dalam namespace PID sekunder selain namespace PID tingkat host. Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah. |
Memproses ID Pengguna |
ID unik pengguna yang mengeksekusi proses. |
Proses UUID |
ID unik yang ditetapkan untuk proses oleh GuardDuty. |
Proses GID |
ID proses dari grup proses. |
Proses EGID |
ID grup yang efektif dari grup proses. |
Proses EUID |
ID pengguna yang efektif dari proses tersebut. |
Nama Pengguna Proses |
Nama pengguna yang mengeksekusi proses. |
Waktu Mulai Proses |
Waktu ketika proses itu dibuat. Bidang ini dalam format string tanggal UTC ( |
Proses yang Dapat Dieksekusi SHA-256 |
|
Jalur Skrip Proses |
Jalur file skrip yang dieksekusi. |
Variabel Lingkungan Proses |
Variabel lingkungan tersedia untuk proses. Hanya |
Proses Present Working Directory (PWD) |
Presentasikan direktori kerja proses. |
Proses orang tua |
Rincian proses proses induk. Proses induk adalah proses yang menciptakan proses yang diamati. |
Argumen Baris Perintah Saat ini, bidang ini terbatas pada versi agen tertentu yang sesuai dengan jenis sumber daya:
Untuk informasi selengkapnya, lihat GuardDuty sejarah rilis agen. |
Argumen baris perintah disediakan pada saat eksekusi proses. Bidang ini mungkin berisi data pelanggan yang sensitif. |
Acara kontainer
Nama bidang |
Deskripsi |
---|---|
Nama Kontainer |
Nama wadahnya. Bila tersedia, bidang ini menampilkan nilai label |
Kontainer UID |
ID unik dari kontainer yang ditetapkan oleh runtime kontainer. |
Runtime Kontainer |
Runtime kontainer (seperti |
ID Gambar Kontainer |
ID dari gambar kontainer. |
Nama Gambar Kontainer |
Nama gambar kontainer. |
AWS Fargate (Hanya Amazon ECS) peristiwa tugas
Nama bidang |
Deskripsi |
---|---|
Nama Sumber Daya Tugas Amazon (ARN) |
ARN dari tugas tersebut. |
Nama Klaster |
Nama cluster Amazon ECS. |
Nama Keluarga |
Nama keluarga definisi tugas. |
Nama Layanan |
Nama layanan Amazon ECS, jika tugas diluncurkan sebagai bagian dari layanan. |
Jenis Peluncuran |
Infrastruktur tempat tugas Anda berjalan. Untuk Runtime Monitoring dengan resource type as |
CPU |
Jumlah unit CPU yang digunakan oleh tugas seperti yang dinyatakan dalam definisi tugas. |
Acara pod Kubernetes
Nama bidang |
Deskripsi |
---|---|
ID Pod |
ID dari pod Kubernetes. |
Nama pod |
Nama pod Kubernetes. |
Ruang Nama Pod |
Nama namespace Kubernetes tempat beban kerja Kubernetes berada. |
Nama Cluster Kubernetes |
Nama cluster Kubernetes. |
Acara DNS
Nama bidang |
Deskripsi |
---|---|
Jenis Soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
ID Arah |
ID dari arah koneksi. |
Nomor Protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP. |
IP Titik Akhir Jarak Jauh DNS |
IP jarak jauh dari koneksi. |
Port Titik Akhir Jarak Jauh DNS |
Nomor port koneksi. |
IP Titik Akhir Lokal DNS |
IP lokal dari koneksi. |
Pelabuhan Titik Akhir Lokal DNS |
Nomor port koneksi. |
Muatan DNS |
Payload paket DNS yang berisi kueri dan tanggapan DNS. |
Buka acara
Nama bidang |
Deskripsi |
---|---|
Filepath |
Jalur file yang dibuka dalam acara ini. |
Bendera |
Menjelaskan mode akses file, seperti read-only, write-only, dan read-write. |
Acara modul beban
Nama bidang |
Deskripsi |
---|---|
Nama Modul |
Nama modul dimuat ke dalam kernel. |
Acara Mprotect
Nama bidang |
Deskripsi |
---|---|
Rentang Alamat |
Rentang alamat tempat perlindungan aksesnya dimodifikasi. |
Wilayah Memori |
Menentukan Wilayah ruang alamat proses seperti tumpukan dan heap. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Acara gunung
Nama bidang |
Deskripsi |
---|---|
Target Gunung |
Jalur tempat sumber mount dipasang. |
Sumber Gunung |
Jalur pada host yang dipasang di target mount. |
Jenis Sistem File |
Merupakan jenis FileSystem yang dipasang. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Tautkan acara
Nama bidang |
Deskripsi |
---|---|
Jalur Tautan |
Jalur tempat hard link dibuat. |
Jalur Target |
Jalur file di mana hard link menunjuk. |
Acara Symlink
Nama bidang |
Deskripsi |
---|---|
Jalur Tautan |
Jalur tempat tautan simbolis dibuat. |
Jalur Target |
Jalur file di mana tautan simbolis menunjuk. |
Acara Dup
Nama bidang |
Deskripsi |
---|---|
Deskriptor File Lama |
Deskriptor file yang mewakili objek file terbuka. |
Deskriptor File Baru |
Deskriptor file baru yang merupakan duplikat dari deskriptor file lama. Baik deskriptor file lama dan baru mewakili objek file terbuka yang sama. |
IP Titik Akhir Jarak Jauh Dup |
Alamat IP jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Port Titik Akhir Jarak Jauh Dup |
Port jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
IP Titik Akhir Lokal Dup |
Alamat IP lokal dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Pelabuhan Titik Akhir Lokal Dup |
Port lokal soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Acara peta memori
Nama bidang |
Deskripsi |
---|---|
Filepath |
Jalur file tempat memori dipetakan. |
Acara soket
Nama bidang |
Deskripsi |
---|---|
Keluarga alamat |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis Soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat |
Connect event
Nama bidang |
Deskripsi |
---|---|
Keluarga alamat |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis Soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor Protokol |
Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat |
Filepath |
Jalur file soket jika keluarga alamat adalah |
IP Titik Akhir Jarak Jauh |
IP jarak jauh dari koneksi. |
Port Endpoint Jarak Jauh |
Nomor port koneksi. |
IP Titik Akhir Lokal |
IP lokal dari koneksi. |
Pelabuhan Endpoint Lokal |
Nomor port koneksi. |
Memproses acara VM Readv
Nama bidang |
Deskripsi |
---|---|
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Target PID |
ID proses dari proses dari mana memori sedang dibaca. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Proses acara VM Writev
Nama bidang |
Deskripsi |
---|---|
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Target PID |
ID proses dari proses dimana memori sedang ditulis. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Acara Ptrace
Nama bidang |
Deskripsi |
---|---|
Target PID |
ID proses dari proses target. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Mengikat acara
Nama bidang |
Deskripsi |
---|---|
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP. |
IP titik akhir lokal |
IP lokal dari koneksi. |
Port titik akhir lokal |
Nomor port koneksi. |
Dengarkan acara
Nama bidang |
Deskripsi |
---|---|
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untuk TCP. |
IP titik akhir lokal |
IP lokal dari koneksi. |
Port titik akhir lokal |
Nomor port koneksi. |
Ganti nama acara
Nama bidang |
Deskripsi |
---|---|
Filepath |
Path tempat file yang diganti namanya. |
Target |
Path baru dari file. |
Atur acara UID
Nama bidang |
Deskripsi |
---|---|
EUID baru |
ID pengguna baru yang efektif dari proses tersebut. |
UID baru |
ID pengguna baru dari proses tersebut. |
Acara Chmod
Nama bidang |
Deskripsi |
---|---|
Filepath |
Path dari file yang memanggil acara ini. |
Filemode |
Izin akses yang diperbarui untuk file terkait. |