翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
が GuardDuty 使用する収集済みランタイムイベントタイプ
GuardDuty セキュリティエージェントは、次のイベントタイプを収集し、 GuardDuty脅威の検出と分析のためにバックエンドに送信します。 GuardDuty これらのイベントはアクセスできません。が潜在的な脅威 GuardDuty を検出し、Runtime Monitoring の検出結果を生成した場合、対応する検出結果の詳細を表示できます。が収集したイベントタイプ GuardDuty を使用する方法の詳細については、「」を参照してくださいサービス改善のためのデータ使用をオプトアウトする。
イベントを処理する
| フィールド名 | 説明 |
|---|---|
プロセス名 |
監視されたプロセスの名前。 |
プロセスパス |
プロセスの実行可能ファイルの絶対パス。 |
プロセス ID |
オペレーティングシステムによってプロセスに割り当てられた ID。 |
名前空間 PID |
ホストレベルPID名前空間以外のセカンダリPID名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。 |
プロセスユーザー ID |
プロセスを実行したユーザーの固有 ID。 |
プロセス UUID |
によってプロセスに割り当てられた一意の ID GuardDuty。 |
プロセス GID |
プロセスグループのプロセス ID。 |
プロセス EGID |
プロセスグループの実効グループ ID。 |
プロセス EUID |
プロセスの実効ユーザー ID。 |
プロセスユーザー名 |
プロセスを実行したユーザー名。 |
プロセス開始時間 |
プロセスが作成された時間。このフィールドはUTC日付文字列形式 () です |
プロセス実行可能ファイル SHA-256 |
プロセスの実行可能ファイルの |
プロセススクリプトパス |
実行されたスクリプトファイルのパス。 |
プロセス環境変数 |
プロセスで利用可能になった環境変数。 |
プロセス現在の作業ディレクトリ (PWD) |
プロセスの現在の作業ディレクトリ。 |
親プロセス |
親プロセスのプロセス詳細。親プロセスとは、監視対象のプロセスを作成したプロセスです。 |
|
コマンドライン引数 現在、このフィールドはリソースタイプに対応する特定のエージェントバージョンに制限されています。
詳細については、「GuardDuty エージェントリリース履歴」を参照してください。 |
プロセスの実行時に提供されるコマンドライン引数。このフィールドには機密の顧客データが含まれている可能性があります。 |
コンテナイベント
フィールド名 |
説明 |
|---|---|
コンテナ名 |
コンテナの名前。 使用可能な場合、このフィールドには |
コンテナ UID |
コンテナランタイムによって割り当てられたコンテナの固有の ID。 |
コンテナランタイム |
コンテナの実行に使用されたコンテナランタイム ( |
コンテナイメージ ID |
コンテナのイメージの ID。 |
コンテナイメージ名 |
コンテナイメージの名前。 |
AWS Fargate (Amazon ECS のみ) タスクイベント
フィールド名 |
説明 |
|---|---|
タスク Amazon リソースネーム (ARN) |
タスクARNの 。 |
[クラスター名] |
Amazon ECSクラスターの名前。 |
[Family Name] (姓) |
タスク定義のファミリー名。 |
サービス名 |
タスクがECSサービスの一部として起動された場合の Amazon サービスの名前。 |
起動タイプ |
タスクが実行されるインフラストラクチャ。 |
CPU |
タスク定義で表される、タスクによって使用されるCPU単位の数。 |
Kubernetes ポッドイベント
フィールド名 |
説明 |
|---|---|
ポッド ID |
Kubernetes ポッドの ID。 |
ポッド名 |
Kubernetes ポッドの名前。 |
ポッド名前空間 |
Kubernetes ワークロードが属する Kubernetes 名前空間の名前。 |
Kubernetes クラスター名 |
Kubernetes クラスターの名前。 |
DNS イベント
フィールド名 |
説明 |
|---|---|
ソケットタイプ |
通信セマンティクスを示すソケットのタイプ。例えば、 |
アドレスファミリー |
アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー |
方向 ID |
接続方向の ID。 |
プロトコル番号 |
レイヤー 4 プロトコル番号。 の場合は 17UDP、 の場合は 6 などTCP。 |
DNS リモートエンドポイント IP |
接続のリモート IP。 |
DNS リモートエンドポイントポート |
接続のポート番号。 |
DNS ローカルエンドポイント IP |
接続のローカル IP。 |
DNS ローカルエンドポイントポート |
接続のポート番号。 |
DNS ペイロード |
DNS クエリとレスポンスを含むDNSパケットのペイロード。 |
オープンイベント
フィールド名 |
説明 |
|---|---|
Filepath |
このイベントで開かれるファイルのパス。 |
Flags |
読み込み専用、書き込み専用、読み込み/書き込みなどのファイルアクセスモードについて説明します。 |
ロードモジュールのイベント
フィールド名 |
説明 |
|---|---|
モジュール名 |
カーネルにロードされたモジュールの名前。 |
モプロテクトイベント
フィールド名 |
説明 |
|---|---|
アドレス範囲 |
アクセス保護が変更されたアドレス範囲。 |
メモリ領域 |
スタックやヒープなど、プロセスのアドレス空間のリージョンを指定します。 |
Flags |
このイベントの動作をコントロールするオプションを示します。 |
マウントイベント
フィールド名 |
説明 |
|---|---|
マウントターゲット |
マウントソースがマウントされているパス。 |
マウントソース |
マウントターゲットにマウントされているホスト上のパス。 |
ファイルシステムタイプ |
マウントされた のタイプを表しますfileSystem。 |
Flags |
このイベントの動作をコントロールするオプションを示します。 |
リンクイベント
フィールド名 |
説明 |
|---|---|
リンクパス |
ハードリンクが作成されるパス。 |
ターゲットパス |
ハードリンクが指すファイルのパス。 |
Symlink イベント
フィールド名 |
説明 |
|---|---|
リンクパス |
Symlink リンクが作成されるパス。 |
ターゲットパス |
Symlink リンクが指すファイルのパス。 |
Dup イベント
フィールド名 |
説明 |
|---|---|
古いファイルディスクリプタ |
開いているファイルオブジェクトを表すファイル記述子。 |
新規ファイルディスクリプタ |
古いファイル記述子の複製である新しいファイル記述子。古いファイル記述子と新しいファイル記述子はどちらも同じ開いているファイルオブジェクトを示します。 |
Dup リモートエンドポイント IP |
古いファイル記述子で表されるネットワークソケットのリモート IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
Dup リモートエンドポイントポート |
古いファイル記述子で表されるネットワークソケットのリモートポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
Dup ローカルエンドポイント IP |
古いファイルディスクリプタで表されるネットワークソケットのローカル IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
Dup ローカルエンドポイントポート |
古いファイル記述子で表されるネットワークソケットのローカルポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
メモリマッピングイベント
フィールド名 |
説明 |
|---|---|
Filepath |
メモリがマッピングされているファイルのパス。 |
ソケットイベント
フィールド名 |
説明 |
|---|---|
アドレスファミリー |
アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー |
ソケットタイプ |
通信セマンティクスを示すソケットのタイプ。例えば、 |
プロトコル番号 |
アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー |
イベントを接続
フィールド名 |
説明 |
|---|---|
アドレスファミリー |
アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー |
ソケットタイプ |
通信セマンティクスを示すソケットのタイプ。例えば、 |
プロトコル番号 |
アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー |
Filepath |
アドレスファミリーが |
リモートエンドポイント IP |
接続のリモート IP。 |
リモートエンドポイントポート |
接続のポート番号。 |
ローカルエンドポイント IP |
接続のローカル IP。 |
ローカルエンドポイントポート |
接続のポート番号。 |
VM Readv イベントの処理
フィールド名 |
説明 |
|---|---|
Flags |
このイベントの動作をコントロールするオプションを示します。 |
ターゲット PID |
メモリを読み込んでいるプロセスのプロセス ID。 |
ターゲットプロセス UUID |
ターゲットプロセスの一意の ID。 |
ターゲットの実行可能ファイルのパス |
ターゲットプロセスの実行可能ファイルの絶対パス。 |
VM Writev イベントの処理
フィールド名 |
説明 |
|---|---|
Flags |
このイベントの動作をコントロールするオプションを示します。 |
ターゲット PID |
メモリが書き込まれているプロセスのプロセス ID。 |
ターゲットプロセス UUID |
ターゲットプロセスの一意の ID。 |
ターゲットの実行可能ファイルのパス |
ターゲットプロセスの実行可能ファイルの絶対パス。 |
Ptrace イベント
フィールド名 |
説明 |
|---|---|
ターゲット PID |
ターゲットプロセスのプロセス ID。 |
ターゲットプロセス UUID |
ターゲットプロセスの一意の ID。 |
ターゲットの実行可能ファイルのパス |
ターゲットプロセスの実行可能ファイルの絶対パス。 |
Flags |
このイベントの動作をコントロールするオプションを示します。 |
バインドイベント
フィールド名 |
説明 |
|---|---|
アドレスファミリー |
アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー |
ソケットタイプ |
通信セマンティクスを示すソケットのタイプ。例えば、 |
プロトコル番号 |
レイヤー 4 プロトコル番号。 の場合は 17UDP、 の場合は 6 などTCP。 |
ローカルエンドポイント IP |
接続のローカル IP。 |
ローカルエンドポイントポート |
接続のポート番号。 |
リッスンイベント
フィールド名 |
説明 |
|---|---|
アドレスファミリー |
アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー |
ソケットタイプ |
通信セマンティクスを示すソケットのタイプ。例えば、 |
プロトコル番号 |
レイヤー 4 プロトコル番号。 の場合は 17UDP、 の場合は 6 などTCP。 |
ローカルエンドポイント IP |
接続のローカル IP。 |
ローカルエンドポイントポート |
接続のポート番号。 |
イベントの名前を変更する
フィールド名 |
説明 |
|---|---|
Filepath |
名前が変更されたファイルへのパス。 |
Target |
ファイルの新しいパス。 |
UID イベントの設定
フィールド名 |
説明 |
|---|---|
新規 EUID |
プロセスの新しい有効なユーザー ID。 |
新規 UID |
プロセスの新しいユーザー ID。 |
Chmod イベント
フィールド名 |
説明 |
|---|---|
Filepath |
このイベントを呼び出すファイルのパス。 |
ファイルモード |
関連付けられたファイルの更新されたアクセス許可。 |
