Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di eventi di runtime raccolti che utilizza GuardDuty
Il GuardDuty security agent raccoglie i seguenti tipi di eventi e li invia al GuardDuty backend per il rilevamento e l'analisi delle minacce. GuardDuty non rende questi eventi accessibili all'utente. Se GuardDuty rileva una potenziale minaccia e genera un risultato di Runtime Monitoring, puoi visualizzare i dettagli del risultato corrispondente. Per ulteriori informazioni su come GuardDuty utilizza i tipi di eventi raccolti, vedereRifiuto esplicito all'utilizzo dei dati volto al miglioramento del servizio.
Eventi di processo
| Nome campo | Descrizione |
|---|---|
Process name (Nome del processo) |
Nome del processo osservato. |
Percorso del processo |
Percorso assoluto dell'eseguibile del processo. |
ID processo |
L'ID che il sistema operativo assegna al processo. |
PID dello spazio dei nomi |
L'ID del processo in uno spazio dei nomi PID secondario diverso dallo spazio dei nomi PID a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container. |
ID utente del processo |
L'ID univoco dell'utente che ha eseguito il processo. |
UUID processo |
L'ID univoco assegnato al processo da GuardDuty. |
GID processo |
L'ID processo del gruppo di processi. |
EGID processo |
L'ID di gruppo effettivo del gruppo di processi. |
EUID processo |
L'ID utente effettivo del processo. |
Nome utente del processo |
Il nome dell'utente che ha eseguito il processo. |
Ora di inizio del processo |
L'ora in cui è stato creato il processo. Questo campo è nel formato della stringa di data UTC ( |
SHA-256 eseguibile del processo |
L'hash |
Percorso dello script di processo |
Il percorso del file di script che è stato eseguito. |
Variabile di ambiente del processo |
La variabile di ambiente messa a disposizione del processo. Vengono raccolti solo |
Directory di lavoro presente (PWD) del processo |
La directory di lavoro presente del processo. |
Processo padre |
I dettagli del processo padre. Un processo padre è un processo che ha creato quello osservato. |
|
Argomenti della riga di comando Attualmente, questo campo è limitato a versioni di agenti specifiche corrispondenti al tipo di risorsa:
Per ulteriori informazioni, consulta GuardDuty cronologia dei rilasci degli agenti. |
Argomenti della riga di comando forniti al momento dell'esecuzione del processo. Questo campo potrebbe contenere dati sensibili dei clienti. |
Eventi del container
Nome campo |
Descrizione |
|---|---|
Nome container |
Il nome del container. Se disponibile, questo campo mostra il valore dell'etichetta |
UID Container |
L'ID univoco del container assegnato dal runtime del container. |
Runtime del container |
Il runtime del container (ad esempio |
ID immagine del container |
L'ID dell'immagine del container. |
Nome immagine del container |
Il nome dell'immagine del container. |
AWS Fargate (solo Amazon ECS) eventi relativi alle attività
Nome campo |
Descrizione |
|---|---|
Nome risorsa Amazon (ARN) dell'attività |
L'ARN dell'attività. |
Nome del cluster |
Il nome del cluster Amazon ECS. |
Cognome |
Cognome della definizione dell'attività. |
Nome del servizio |
Il nome del servizio Amazon ECS, se l'attività è stata avviata come parte di un servizio. |
Tipo di lancio |
L'infrastruttura su cui viene eseguita l'attività. Per il Runtime Monitoring con tipo di risorsa as |
CPU |
Il numero di unità CPU utilizzate dall'attività, espresso nella definizione dell'attività. |
Eventi pod di Kubernetes
Nome campo |
Descrizione |
|---|---|
ID pod |
L'ID del pod di Kubernetes. |
Nome pod |
Il nome del pod di Kubernetes. |
Spazio dei nomi pod |
Il nome dello spazio dei nomi di Kubernetes a cui appartiene il carico di lavoro di Kubernetes. |
Nome del cluster Kubernetes |
Il nome del cluster Kubernetes. |
Eventi DNS
Nome campo |
Descrizione |
|---|---|
Tipo di socket |
Il tipo di socket per indicare la semantica della comunicazione. Ad esempio, |
Famiglia di indirizzi |
Rappresenta il protocollo di comunicazione associato all'indirizzo. Ad esempio, la famiglia di indirizzi |
ID direzione |
L'ID della direzione della connessione. |
Numero di protocollo |
Il numero di protocollo di livello 4, ad esempio 17 per l'UDP e 6 per il TCP. |
IP dell'endpoint remoto DNS |
L'IP remoto della connessione. |
Porta dell'endpoint remoto DNS |
Il numero di porta della connessione. |
IP dell'endpoint locale DNS |
L'IP locale della connessione. |
Porta dell'endpoint locale DNS |
Il numero di porta della connessione. |
Payload DNS |
Il payload di pacchetti DNS che contiene query e risposte DNS. |
Eventi aperti
Nome campo |
Descrizione |
|---|---|
Percorso del file |
Il percorso del file aperto in questo evento. |
Flag |
Descrive la modalità di accesso ai file, ad esempio sola lettura, sola scrittura e lettura e scrittura. |
Evento modulo di caricamento
Nome campo |
Descrizione |
|---|---|
Nome del modulo |
Il nome del modulo caricato nel kernel. |
Eventi mprotect
Nome campo |
Descrizione |
|---|---|
Intervallo di indirizzi |
L'intervallo di indirizzi per il quale sono state modificate le protezioni di accesso. |
Regioni di memoria |
Specifica la regione dello spazio degli indirizzi di un processo, ad esempio stack e heap. |
Flag |
Rappresenta le opzioni che controllano il comportamento di questo evento. |
Eventi di montaggio
Nome campo |
Descrizione |
|---|---|
Destinazione di montaggio |
Il percorso in cui è montata l'origine di montaggio. |
Origine di montaggio |
Il percorso sull'host montato sulla destinazione di montaggio. |
Tipo di file system |
Rappresenta il tipo di file system montato. |
Flag |
Rappresenta le opzioni che controllano il comportamento di questo evento. |
Eventi di collegamento
Nome campo |
Descrizione |
|---|---|
Percorso di collegamento |
Il percorso in cui viene creato il collegamento fisico. |
Percorso di destinazione |
Il percorso del file a cui punta il collegamento fisico. |
Eventi collegamento simbolico
Nome campo |
Descrizione |
|---|---|
Percorso di collegamento |
Il percorso in cui viene creato il collegamento simbolico. |
Percorso di destinazione |
Il percorso del file a cui punta il collegamento simbolico. |
Eventi dup
Nome campo |
Descrizione |
|---|---|
Vecchio descrittore di file |
Un descrittore di file che rappresenta un oggetto file aperto. |
Nuovo descrittore di file |
Un nuovo descrittore di file che è un duplicato di quello vecchio. Sia il descrittore di file vecchio che quello nuovo rappresentano lo stesso oggetto file aperto. |
IP dell'endpoint remoto dup |
L'indirizzo IP remoto del socket di rete rappresentato dal vecchio descrittore di file. Applicabile solo quando il vecchio descrittore di file rappresenta un socket di rete. |
Porta dell'endpoint remoto dup |
La porta remota del socket di rete rappresentato dal vecchio descrittore di file. Applicabile solo quando il vecchio descrittore di file rappresenta un socket di rete. |
IP dell'endpoint locale dup |
L'indirizzo IP locale del socket di rete rappresentato dal vecchio descrittore di file. Applicabile solo quando il vecchio descrittore di file rappresenta un socket di rete. |
Porta dell'endpoint locale dup |
La porta locale del socket di rete rappresentato dal vecchio descrittore di file. Applicabile solo quando il vecchio descrittore di file rappresenta un socket di rete. |
Evento mappa di memoria
Nome campo |
Descrizione |
|---|---|
Percorso del file |
Il percorso del file su cui la memoria viene mappata. |
Eventi socket
Nome campo |
Descrizione |
|---|---|
Famiglia di indirizzi |
Rappresenta il protocollo di comunicazione associato all'indirizzo. Ad esempio, la famiglia di indirizzi |
Tipo di socket |
Il tipo di socket per indicare la semantica della comunicazione. Ad esempio, |
Numero di protocollo |
Specifica un protocollo particolare all'interno della famiglia di indirizzi. In genere esiste un unico protocollo nelle famiglie di indirizzi. Ad esempio, la famiglia di indirizzi |
Connetti eventi
Nome campo |
Descrizione |
|---|---|
Famiglia di indirizzi |
Rappresenta il protocollo di comunicazione associato all'indirizzo. Ad esempio, la famiglia di indirizzi |
Tipo di socket |
Il tipo di socket per indicare la semantica della comunicazione. Ad esempio, |
Numero di protocollo |
Specifica un protocollo particolare all'interno della famiglia di indirizzi. In genere esiste un unico protocollo nelle famiglie di indirizzi. Ad esempio, la famiglia di indirizzi |
Percorso del file |
Il percorso del file socket se la famiglia di indirizzi è |
IP dell'endpoint remoto |
L'IP remoto della connessione. |
Porta dell'endpoint remoto |
Il numero di porta della connessione. |
IP dell'endpoint locale |
L'IP locale della connessione. |
Porta dell'endpoint locale |
Il numero di porta della connessione. |
Eventi VM Readv processo
Nome campo |
Descrizione |
|---|---|
Flag |
Rappresenta le opzioni che controllano il comportamento di questo evento. |
PID di destinazione |
L'ID processo del processo da cui viene letta la memoria. |
UUID del processo di destinazione |
L'ID univoco del processo di destinazione. |
Percorso eseguibile di destinazione |
Il percorso assoluto del file eseguibile del processo di destinazione. |
Eventi VM Writev processo
Nome campo |
Descrizione |
|---|---|
Flag |
Rappresenta le opzioni che controllano il comportamento di questo evento. |
PID di destinazione |
L'ID processo del processo su cui viene scritta la memoria. |
UUID del processo di destinazione |
L'ID univoco del processo di destinazione. |
Percorso eseguibile di destinazione |
Il percorso assoluto del file eseguibile del processo di destinazione. |
Eventi ptrace
Nome campo |
Descrizione |
|---|---|
PID di destinazione |
L'ID processo del processo di destinazione. |
UUID del processo di destinazione |
L'ID univoco del processo di destinazione. |
Percorso eseguibile di destinazione |
Il percorso assoluto del file eseguibile del processo di destinazione. |
Flag |
Rappresenta le opzioni che controllano il comportamento di questo evento. |
Associa eventi
Nome campo |
Descrizione |
|---|---|
Famiglia di indirizzi |
Rappresenta il protocollo di comunicazione associato all'indirizzo. Ad esempio, la famiglia di indirizzi |
Tipo di socket |
Il tipo di socket per indicare la semantica della comunicazione. Ad esempio, |
Numero di protocollo |
Il numero di protocollo di livello 4, ad esempio 17 per l'UDP e 6 per il TCP. |
IP dell'endpoint locale |
L'IP locale della connessione. |
Porta endpoint locale |
Il numero di porta della connessione. |
Ascolta gli eventi
Nome campo |
Descrizione |
|---|---|
Famiglia di indirizzi |
Rappresenta il protocollo di comunicazione associato all'indirizzo. Ad esempio, la famiglia di indirizzi |
Tipo di socket |
Il tipo di socket per indicare la semantica della comunicazione. Ad esempio, |
Numero di protocollo |
Il numero di protocollo di livello 4, ad esempio 17 per l'UDP e 6 per il TCP. |
IP dell'endpoint locale |
L'IP locale della connessione. |
Porta endpoint locale |
Il numero di porta della connessione. |
Rinomina gli eventi
Nome campo |
Descrizione |
|---|---|
Percorso del file |
Percorso in cui si trova il file che viene rinominato. |
Target |
Il nuovo percorso del file. |
Imposta gli eventi UID
Nome campo |
Descrizione |
|---|---|
Nuovo EUID |
Il nuovo ID utente effettivo del processo. |
Nuovo UID |
Il nuovo ID utente del processo. |
Eventi Chmod
Nome campo |
Descrizione |
|---|---|
Percorso del file |
Percorso del file che richiama questo evento. |
Modalità file |
Le autorizzazioni di accesso aggiornate per il file associato. |
