本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
筛选搜索结果 GuardDuty
调查发现筛选条件允许您查看匹配指定条件的调查发现,筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件,也可以使用 JSON 通过 CreateFilterAPI 创建筛选条件。查看以下部分,了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现,请参阅 中的抑制规则 GuardDuty。
创建筛选条件时,请考虑以下事项:
-
您可以指定最少 1 个属性,最多 50 个属性作为特定筛选条件。
-
当您使用等于或不等于运算符来筛选账户 ID 等属性值时,最多可以指定 50 个值。
-
每个筛选条件属性都作为
AND运算符进行计算。同一属性的多个值计算为AND/OR。 -
有关每个筛选器中可以创建的最大保存筛选器数量的信息 AWS 区域,请参阅GuardDuty 配额。 AWS 账户
-
与任何其他字段一样,下面的
service.additionalInfo字段使用其完整 JSON 路径指定。例如:{ "service.additionalInfo.sample": { "Equals": ["true"] } }。 -
时间戳字段接受 Unix Epoch 毫秒格式的值(例如,)。
1486685375000有关时间戳字段的完整列表,请参阅下面的注释。
以下各节提供有关如何使用 GuardDuty 控制台、API 和 CLI 命令创建和保存筛选器的说明。选择首选访问方法以继续操作。
在 GuardDuty 控制台中创建和保存筛选器集
可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件,以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。
创建和保存筛选条件(控制台)
登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/
。 -
在左侧导航窗格中,选择发现。
-
在调查发现页面上,选择已保存规则菜单旁边的筛选调查发现栏。这将显示展开的属性筛选条件列表。
-
从展开的筛选条件列表中,选择希望据以筛选调查发现表的属性。
例如,要查看可能受影响资源为 S3Bucket 的调查发现,请选择资源类型。
-
对于运算符,请选择一个有助于筛选调查发现以获得所需结果的运算符。要继续执行上一步中的示例,可以选择资源类型 =。这将显示中的资源类型列表 GuardDuty。
如果使用案例需要排除特定调查发现,则可以选择不等于或 != 运算符。
-
为所选属性筛选条件指定值。如果需要,选择应用。要继续执行上一步中的示例,可以选择 S3Bucket。
这将显示与应用的筛选条件匹配的调查发现。
-
要添加多个筛选条件,请重复步骤 3 – 6。
有关完整的属性列表,请参阅中的属性筛选器 GuardDuty。
-
(可选)将指定的属性和值保存为筛选条件
为了将来能再次应用此筛选条件组合,您可以将指定的属性及其值另存为筛选条件集。
-
使用一个或多个属性筛选条件创建筛选条件后,请在清除筛选条件菜单中选择箭头。
-
输入筛选条件集的名称。名称必须具有 3 到 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。
-
描述是为可选项。如果输入描述,最多可包含 512 个字符。
-
选择创建。
-
使用 GuardDuty API 和 CLI 创建和保存筛选器集
您可以使用 API 或 CLI 命令创建和测试调查发现筛选条件。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。您可以保存筛选条件以创建 抑制规则或稍后执行其他筛选操作。
使用 API/CLI 创建调查发现筛选条件
-
使用要创建过滤器的 AWS 账户 位置的区域探测器 ID 运行 CreateFilterAPI。
要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/
控制台中的设置页面,或运行 ListDetectorsAPI。 detectorId -
或者,您可以使用 create-filter
来创建和保存筛选条件。您可以使用 中的属性筛选器 GuardDuty中的一个或多个筛选条件。 使用以下示例,替换以红色显示的占位符值。
- 示例 1:创建新筛选条件,以查看与特定调查发现类型匹配的所有调查发现
-
以下示例创建了一个筛选条件,其与从特定映像中创建的实例的所有
PortScan调查发现匹配。占位符值以红色显示。将这些值替换为适用于账户的值。例如,12abc34d567e8fa901bc2d34EXAMPLE替换为您的区域探测器 ID。aws guardduty create-filter \ --detector-id12abc34d567e8fa901bc2d34EXAMPLE\ --nameFilterExampleName\ --finding-criteria '{"Criterion": {"type": {"Equals": ["}, "Recon:EC2/Portscan"]resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }' - 示例 2:创建新筛选条件,以查看与严重性级别匹配的所有调查发现
-
以下示例创建了一个筛选条件,其与所有与
HIGH严重性级别相关联的调查发现匹配。占位符值以红色显示。将这些值替换为适用于账户的值。例如,12abc34d567e8fa901bc2d34EXAMPLE替换为您的区域探测器 ID。aws guardduty create-filter \ --detector-id12abc34d567e8fa901bc2d34EXAMPLE\ --nameFilterExampleName\ --finding-criteria '{"Criterion": {"severity": {"Equals": ["}} }'7", "8"]
-
对于 API/CLI,调查发现的严重性级别以数字表示。要根据严重性级别筛选调查发现,请使用以下值:
-
对于
LOW严重性级别,使用{ "severity": { "Equals": ["1", "2", "3"] } } -
对于
MEDIUM严重性级别,使用{ "severity": { "Equals": ["4", "5", "6"] } } -
对于
HIGH严重性级别,使用{ "severity": { "Equals": ["7", "8"] } } -
对于
CRITICAL严重性级别,使用{ "severity": { "Equals": ["9", "10"] } } -
对于具有多个严重性级别的调查发现,请使用类似于以下示例的占位符值:
{ "severity": { "Equals": ["7", "8", "9", "10"] } }此示例将显示具有
HIGH或CRITICAL严重性级别的调查发现。注意
如果您指定的示例仅包含一个数值,而不包含与严重性级别相关联的所有数值,API 和 CLI 可能会显示筛选后的调查发现。当您在 GuardDuty 控制台中使用此已保存的筛选器集时,它将无法按预期工作。这是因为 GuardDuty 控制台将筛选器值视为
CRITICALHIGH、MEDIUM、和LOW。例如,使用包含{ "severity": { "Equals": ["9"] } }的 CLI 命令创建的筛选条件,预计会在 API/CLI 中显示相应的输出。但是,此保存的筛选器在 GuardDuty 控制台中使用时包括部分严重性级别,并且不会显示预期的输出。这使得 API 和 CLI 必须指定与每个严重性级别相关联的所有数值。
-
中的属性筛选器 GuardDuty
使用 API 操作创建筛选条件或对结果进行排序时,必须在 JSON 中指定筛选条件。这些筛选条件与调查发现的详细信息 JSON 相关。下表列出了筛选条件属性的控制台显示名称,以及其等效的 JSON 字段名称。
控制台字段名称 |
JSON 字段名称 |
|---|---|
账户 ID |
accountId |
调查发现 ID |
id |
Region |
region |
严重性 |
severity 您可以根据调查发现类型的严重性级别筛选调查发现类型。有关严重性值的更多信息,请参阅 GuardDuty 调查结果的严重性级别。如果您 |
调查发现类型 |
类型 |
更新时间 |
updatedAt |
访问密钥 ID |
资源。 accessKeyDetails。 accessKeyId |
委托人 ID |
资源。 accessKeyDetails.principalID |
用户名 |
资源。 accessKeyDetails。用户名 |
用户类型 |
资源。 accessKeyDetails.userType |
IAM 实例配置文件 ID |
资源.instanceDetails。 iamInstanceProfile.id |
实例 ID |
resource.instanceDetails.instanceId |
实例映像 ID |
resource.instanceDetails.imageId |
实例标签键 |
resource.instanceDetails.tags.key |
实例标签值 |
resource.instanceDetails.tags.value |
IPv6 地址 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
私有 IPv4 地址 |
资源。实例详情。网络接口。 privateIpAddresses。 privateIpAddress |
公有 DNS 名称 |
资源。实例详情。网络接口。 publicDnsName |
公共 IP |
resource.instanceDetails.networkInterfaces.publicIp |
安全组 ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
安全组名称 |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
子网 ID |
resource.instanceDetails.networkInterfaces.subnetId |
- VPC ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost ARN |
resource.instanceDetails.outpostARN |
资源类型 |
resource.resourceType |
存储桶权限 |
资源.s3 .publicaccess.effective BucketDetails Per |
存储桶名称 |
资源. BucketDetails s3 .name |
Bucket tag key |
resource.s3 .tags.key BucketDetails |
Bucket tag value |
资源. BucketDetails s3 .tags.value |
存储桶类型 |
资源. BucketDetails s3 .type |
操作类型 |
service.action.actionType |
调用的 API |
服务行动。 awsApiCallaction.api |
API 调用方类型 |
服务行动。 awsApiCall操作.callerType |
API 错误代码 |
服务行动。 awsApiCallaction.errorCode |
API 调用方城市 |
服务行动。 awsApiCall行动。 remoteIpDetails.city.cityName |
API 调用方国家/地区 |
服务行动。 awsApiCall行动。 remoteIpDetails.country.countr |
API 呼叫者 IPv4 地址 |
服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv4 |
API 呼叫者 IPv6 地址 |
服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv6 |
API 调用方 ASN ID |
服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn |
API 调用方 ASN 名称 |
服务行动。 awsApiCall行动。 remoteIpDetails.organizan.asnorg |
API 调用方服务名称 |
服务行动。 awsApiCall操作.serviceName |
DNS 请求域 |
服务行动。 dnsRequestAction.domain |
DNS 请求域后缀 |
服务行动。 dnsRequestAction。 domainWithSuffix |
网络连接受阻 |
服务行动。 networkConnectionAction. 已屏蔽 |
网络连接方向 |
服务行动。 networkConnectionAction. 连接方向 |
网络连接本地端口 |
服务行动。 networkConnectionAction。 localPortDetails.port |
网络连接协议 |
服务行动。 networkConnectionAction. 协议 |
网络连接城市 |
服务行动。 networkConnectionAction。 remoteIpDetails.city.cityName |
网络连接国家/地区 |
服务行动。 networkConnectionAction。 remoteIpDetails.country.countr |
网络连接远程 IPv4 地址 |
服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv4 |
网络连接远程 IPv6 地址 |
服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv6 |
网络连接远程 IP ASN ID |
服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn |
网络连接远程 IP ASN 名称 |
服务行动。 networkConnectionAction。 remoteIpDetails.organizan.asnorg |
网络连接远程端口 |
服务行动。 networkConnectionAction。 remotePortDetails.port |
附属的远程账户 |
服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的 |
Kubernetes API 调用者地址 IPv4 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv4 |
Kubernetes API 调用者地址 IPv6 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv6 |
Kubernetes 命名空间 |
服务行动。 kubernetesApiCall动作. 命名空间 |
Kubernetes API 调用方 ASN ID |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn |
Kubernetes API 调用请求 URI |
服务行动。 kubernetesApiCall操作.requesturi |
Kubernetes API 状态代码 |
服务行动。 kubernetesApiCallaction.statusCode |
网络连接本地 IPv4 地址 |
服务行动。 networkConnectionAction。 localIpDetails.ipAddressv4 |
网络连接本地 IPv6 地址 |
服务行动。 networkConnectionAction。 localIpDetails.ipAddressv6 |
协议 |
服务行动。 networkConnectionAction. 协议 |
API 调用服务名称 |
服务行动。 awsApiCall操作.serviceName |
API 调用方账户 ID |
服务行动。 awsApiCall行动。 remoteAccountDetails.accountID |
威胁列表名称 |
服务。附加信息。 threatListName |
资源角色 |
service.resourceRole |
EKS 集群名称 |
资源。 eksClusterDetails.name |
Kubernetes 工作负载名称 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.name |
Kubernetes 工作负载命名空间 |
resource.kubernetes 详情。 kubernetesWorkloadDetails. 命名空间 |
Kubernetes 用户名 |
resource.kubernetes 详情。 kubernetesUserDetails。用户名 |
Kubernetes 容器映像 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.image |
Kubernetes 容器映像前缀 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.imagePref |
扫描 ID |
服务。 ebsVolumeScan详情.scanID |
EBS 卷扫描威胁名称 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称.threatnames.names |
S3 对象扫描威胁名称 |
服务。 malwareScanDetails.treats.name |
威胁严重性 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。严重性 |
文件 SHA |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths |
ECS 集群名称 |
资源。 ecsClusterDetails.name |
ECS 容器映像 |
资源。 ecsClusterDetails.taskdetails.containers |
ECS 任务定义 ARN |
资源。 ecsClusterDetails.taskdetails.definition |
独立容器映像 |
resource.containerDetails.image |
数据库实例 Id |
资源。 rdsDbInstance详情。 dbInstanceIdentifier |
数据库集群 Id |
资源。 rdsDbInstance详情。 dbClusterIdentifier |
数据库引擎 |
资源。 rdsDbInstanceDetails.en |
数据库用户 |
资源。 rdsDbUserDetails. 用户 |
数据库实例标签键 |
资源。 rdsDbInstance详细信息.tags.key |
数据库实例标签值 |
资源。 rdsDbInstance详情标签值值 |
可执行文件 SHA-256 |
service.runtimeDetails.process.executableSha256 |
进程名称 |
service.runtimeDetails.process.name |
可执行文件路径 |
service.runtimeDetails.process.executablePath |
Lambda 函数名称 |
resource.lambdaDetails.functionName |
Lambda 函数 ARN |
resource.lambdaDetails.functionArn |
Lambda 函数标签键 |
resource.lambdaDetails.tags.key |
Lambda 函数标签值 |
resource.lambdaDetails.tags.value |
DNS 请求域 |
服务行动。 dnsRequestAction。 domainWithSuffix |
所有其他查找字段(如下所列)仅可用作抑制规则筛选条件(使用CreateFilter和 UpdateFilter)。其他 API 操作不支持这些字段。必须通过 API 创建或更新使用这些字段的禁止规则。这些字段只能应用于具有ARCHIVE操作的过滤器。
注意
以下字段接受 Unix Epoch 毫秒格式的时间戳值(例如,1262309025000表示格林威治标准时间 2010 年 1 月 1 日星期五凌晨 1:23:45):
createdAt
updatedAt
服务。 eventFirstSeen
服务。 eventLastSeen
resource.instanceDetails.launchTime
资源.lambdaDetails。 lastModifiedAt
resource.s3 .createdAt BucketDetails
资源。 eksClusterDetails.createdAt
资源。 ecsClusterDetails.taskdetails.createdA
资源。 ecsClusterDetails.task details.开始于
服务。 ebsVolumeScan详情。 scanStartedAt
服务。 ebsVolumeScan详情。 scanCompletedAt
Service.runtime details.context.modi
Service.runtime details.context.modifyingPro
Service.runtimeDetails.context.modifyingProcess.lin
Service.runtime Details.context.targetProc
Service.runtime details.context.targetProcess.line
Service.runtime Details.proces
Service.runtime Details.process.lineag
Service.detection.sequence.actors.createdTime
Service.detection.sequence.signals.cre
Service.detection.sequence.signals.updat
服务检测序列信号。信号。 firstSeenAt
服务检测序列信号。信号。 lastSeenAt
service.detection.sequence.resources.data.s3Bucket.creat
service.detection.sequence.resources.data.ecstask.createdAt
service.detection.sequence.resources.data.eksCluster.cre
JSON 字段名称 |
|---|
arn |
associatedAttackSequenceArn |
createdAt |
描述 |
分区 |
资源。 accessKeyDetails.userIdentity accessKeyId |
资源。 accessKeyDetails.useridentity.accountID |
资源。 accessKeyDetails.useridentity.arn |
资源。 accessKeyDetails.useridentity.principalID |
资源。 accessKeyDetails.useridentity.sessioncontext.attributes.mfa |
资源。 accessKeyDetails.useridentity.sessionContext. RoleDelivery |
资源。 accessKeyDetails.useridentity.sessionContext.invok |
资源。 accessKeyDetails.userIdentity.sessionContext.sessionIssuer. |
资源。 accessKeyDetails.useridentity.sessioncontext.sessionissuer. |
资源。 accessKeyDetails.userIdentity.sessionContext.sessionIssuer. |
资源。 accessKeyDetails.userIdentity.sessionContext.sessionIs |
资源。 accessKeyDetails.userIdentity.sessioncontext.sessionIs |
资源。 accessKeyDetails.userIdentity.sessionContext.source |
资源。 accessKeyDetails.userIdentity.sessionCon webIdFederation数据. 属性 |
资源。 accessKeyDetails.userIdentity.sessionCon webIdFederation数据. 联合提供商 |
资源。 accessKeyDetails.useridentity.type |
资源。 accessKeyDetails.useridentity.usernam |
资源。 bedrockGuardrailDetails.guardrailArn |
资源。 bedrockGuardrailDetails.guardrail版本 |
资源。容器详情。容器运行时 |
资源容器详情图片前缀 |
资源。容器详情。安全上下文。 allowPrivilegeEscalation |
资源。容器详情。安全上下文。特权 |
资源.containerDetails.volumounts.mountPath |
资源.containerDetails.volumeMounts.nam |
资源。 ebsVolumeDetails。 scannedVolumeDetails.deviceName |
资源。 ebsVolumeDetails。 scannedVolumeDetails. 加密类型 |
资源。 ebsVolumeDetails。 scannedVolumeDetails。 kmsKeyArn |
资源。 ebsVolumeDetails。 scannedVolumeDetails.snapshotarn |
资源。 ebsVolumeDetails。 scannedVolumeDetails.volumeArn |
资源。 ebsVolumeDetails。 scannedVolumeDetails。 volumeSizeInGB |
资源。 ebsVolumeDetails。 scannedVolumeDetails.volumeTyp |
资源。 ebsVolumeDetails。 skippedVolumeDetails.deviceName |
资源。 ebsVolumeDetails。 skippedVolumeDetails. 加密类型 |
资源。 ebsVolumeDetails。 skippedVolumeDetails。 kmsKeyArn |
资源。 ebsVolumeDetails。 skippedVolumeDetails.snapshotarn |
资源。 ebsVolumeDetails。 skippedVolumeDetails.volumeArn |
资源。 ebsVolumeDetails。 skippedVolumeDetails。 volumeSizeInGB |
资源。 ebsVolumeDetails。 skippedVolumeDetails.volumeTyp |
资源。 ecsClusterDetails。 activeServicesCount |
资源。 ecsClusterDetails.arn |
资源。 ecsClusterDetails。 registeredContainerInstances计数 |
资源。 ecsClusterDetails。 runningTasksCount |
资源。 ecsClusterDetails. status |
资源。 ecsClusterDetails.tags.key |
资源。 ecsClusterDetails.tags.value |
资源。 ecsClusterDetails.taskdetails.arn |
资源。 ecsClusterDetails.taskdetails.containers.cont |
资源。 ecsClusterDetails.taskdetails.containers |
资源。 ecsClusterDetails.taskdetails.containers.image |
资源。 ecsClusterDetails.taskdetails.containers |
资源。 ecsClusterDetails.taskDetails.containers.secur allowPrivilegeEscalation |
资源。 ecsClusterDetails.taskdetails.containers.securitycon |
资源。 ecsClusterDetails.taskdetails.containers.volumounts.mount |
资源。 ecsClusterDetails.taskdetails.containers.volumounts. |
资源。 ecsClusterDetails.taskdetails.createdA |
资源。 ecsClusterDetails.taskdetails.g |
资源。 ecsClusterDetails.taskdetails.launchT |
资源。 ecsClusterDetails.task details.开始于 |
资源。 ecsClusterDetails.task details.startedA |
资源。 ecsClusterDetails.taskdetails.tags.k |
资源。 ecsClusterDetails.taskdetails.tags.V |
资源。 ecsClusterDetails.taskDetails.v |
资源。 ecsClusterDetails.taskdetails.volumes.hostpath. |
资源。 ecsClusterDetails.taskdetails.volumes.N |
资源。 eksClusterDetails.arn |
资源。 eksClusterDetails.createdAt |
资源。 eksClusterDetails. status |
资源。 eksClusterDetails.tags.key |
资源。 eksClusterDetails.tags.value |
资源。 eksClusterDetails.vpcid |
资源.instanceDetails。 iamInstanceProfile.arn |
资源 > 实例详情 > 实例状态 |
resource.instanceDetails.instanceType |
resource.instanceDetails.launchTime |
资源。实例详情。网络接口。 networkInterfaceId |
资源。实例详情。网络接口。 privateDnsName |
资源。实例详情。网络接口。 privateIpAddress |
资源。实例详情。网络接口。 privateIpAddresses。 privateDnsName |
资源.实例详情.平台 |
资源。实例详情。产品代码。 productCodeId |
资源。实例详情。产品代码。 productCodeType |
resource.kubernetes 详情。 kubernetesUserDetails. 群组 |
resource.kubernetes 详情。 kubernetesUserDetails.impersonateduser.groups |
resource.kubernetes 详情。 kubernetesUserDetails.impersonateduser.用户名 |
resource.kubernetes 详情。 kubernetesUserDetails. 会话名称 |
resource.kubernetes 详情。 kubernetesUserDetails.uid |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.container |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.id |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.name |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.securityC allowPrivilegeEscalation |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.securitycontex |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.volumounts.mountPath |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.volumeMounts.n |
resource.kubernetes 详情。 kubernetesWorkloadDetails.hostiPC |
resource.kubernetes 详情。 kubernetesWorkloadDetails.hostNetw |
resource.kubernetes 详情。 kubernetesWorkloadDetails.hostPid |
resource.kubernetes 详情。 kubernetesWorkloadDetails。 serviceAccountName |
resource.kubernetes 详情。 kubernetesWorkloadDetails.type |
resource.kubernetes 详情。 kubernetesWorkloadDetails.uid |
resource.kubernetes 详情。 kubernetesWorkloadDetails.volumes.hostPath.path |
resource.kubernetes 详情。 kubernetesWorkloadDetails.volumes.name |
resource.lambda详情.描述 |
资源.lambdaDetails。 lastModifiedAt |
资源.lambdaDetails.revisionID |
resource.lambdaDetails.vpcconfig.securitygro |
resource.lambdaDetails.vpcconfig.securitygro |
resource.lambdaDetails.vpcconfig.subnetID |
resource.lambdaDetails.vpcconfig.vpcid |
资源。 rdsDbInstance详情。 dbInstanceArn |
资源。 rdsDbInstance详情。 dbiResourceId |
资源。 rdsDbInstance详情。 dbSecurityGroups.name |
资源。 rdsDbInstance详情。 dbSecurityGroups. status |
资源。 rdsDbInstance详情引擎版本 |
资源。 rdsDbInstance详情。 iamDatabaseAuthentication已启用 |
资源。 rdsDbInstance详情。可公开访问 |
资源。 rdsDbInstancedetails.vpcid |
资源。 rdsDbInstance详情。 vpcSecurityGroups. status |
资源。 rdsDbInstance详情。 vpcSecurityGroups。 vpcSecurityGroup我是 |
资源。 rdsDbUser详情。应用程序 |
资源。 rdsDbUserdetails.auth |
资源。 rdsDbUser详情. 数据库 |
资源。 rdsDbUser详情.SSL |
资源。 rdsLimitlessDb详情。 dbClusterIdentifier |
资源。 rdsLimitlessDb详情。 dbShardGroupArn |
资源。 rdsLimitlessDb详情。 dbShardGroup标识符 |
资源。 rdsLimitlessDb详情。 dbShardGroupResourceId |
资源。 rdsLimitlessDbDetails.en |
资源。 rdsLimitlessDb详情引擎版本 |
资源。 rdsLimitlessDb详细信息.tags.key |
资源。 rdsLimitlessDb详情标签值值 |
resource. BucketDetails s3 .arn |
resource.s3 .createdAt BucketDetails |
resource. BucketDetails s3。 defaultServerSide加密. 加密类型 |
resource. BucketDetails s3。 defaultServerSide加密。 kmsMasterKeyArn |
resource. BucketDetails s3 .owner.id |
resource.s3 .publicAccess.permiss BucketDetails accountLevelPermissions。 blockPublicAccess。 blockPublicAcls |
resource.s3 .publicAccess.permiss BucketDetails accountLevelPermissions。 blockPublicAccess。 blockPublicPolicy |
resource.s3 .publicAccess.permiss BucketDetails accountLevelPermissions。 blockPublicAccess。 ignorePublicAcls |
resource.s3 .publicAccess.permiss BucketDetails accountLevelPermissions。 blockPublicAccess。 restrictPublicBuckets |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 accessControlList。 allowsPublicRead访问权限 |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 accessControlList。 allowsPublicWrite访问权限 |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 blockPublicAccess。 blockPublicAcls |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 blockPublicAccess。 blockPublicPolicy |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 blockPublicAccess。 ignorePublicAcls |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions。 blockPublicAccess。 restrictPublicBuckets |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions.bucketPolicy。 allowsPublicRead访问权限 |
resource.s3 .publicAccess.permiss BucketDetails bucketLevelPermissions.bucketPolicy。 allowsPublicWrite访问权限 |
resource.s3 .s3 .etag BucketDetails ObjectDetails |
资源.s3 .s3 .s3 .hash BucketDetails ObjectDetails |
资源.s3 .s3 .s3 .key BucketDetails ObjectDetails |
resource.s3 .s3 .objectarn BucketDetails ObjectDetails |
resource.s3 .s3 .versionID BucketDetails ObjectDetails |
schemaVersion |
服务行动。 awsApiCall操作. 受影响的资源 |
服务行动。 awsApiCallaction.domainDetails. |
服务行动。 awsApiCall行动。 remoteIpDetails.country.countr |
服务行动。 awsApiCall行动。 remoteIpDetails.geocation.lat |
服务行动。 awsApiCall行动。 remoteIpDetails.geolocation.lon |
服务行动。 awsApiCall行动。 remoteIpDetails.organization |
服务行动。 awsApiCall行动。 remoteIpDetails.organiz.org |
服务行动。 awsApiCall操作.userAgent |
服务行动。 dnsRequestAction. 已屏蔽 |
服务行动。 dnsRequestAction. 协议 |
服务行动。 kubernetesApiCall动作. 参数 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.country.countr |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.geocation.lat |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.geolocation.lon |
服务行动。 kubernetesApiCall动作. 资源 |
服务行动。 kubernetesApiCall操作. 资源名称 |
服务行动。 kubernetesApiCall动作. 来源 IPs |
服务行动。 kubernetesApiCall动作. 子资源 |
服务行动。 kubernetesApiCall操作.userAgent |
服务行动。 kubernetesApiCall动作。动词 |
服务行动。 kubernetesPermissionChecked详情。允许 |
服务行动。 kubernetesPermissionChecked详细信息。命名空间 |
服务行动。 kubernetesPermissionChecked详情。资源 |
服务行动。 kubernetesPermissionChecked细节。动词 |
服务行动。 kubernetesRoleBindingdetails.k |
服务行动。 kubernetesRoleBindingdetails.n |
服务行动。 kubernetesRoleBinding详情。 roleRefKind |
服务行动。 kubernetesRoleBinding详情。 roleRefName |
服务行动。 kubernetesRoleBindingdetails.uid |
服务行动。 kubernetesRoleDetails. kind |
服务行动。 kubernetesRoleDetails.name |
服务行动。 kubernetesRoleDetails.uid |
服务行动。 networkConnectionAction。 localNetworkInterface |
服务行动。 networkConnectionAction。 localPortDetails.portName |
服务行动。 networkConnectionAction。 remoteIpDetails.country.countr |
服务行动。 networkConnectionAction。 remoteIpDetails.geocation.lat |
服务行动。 networkConnectionAction。 remoteIpDetails.geolocation.lon |
服务行动。 networkConnectionAction。 remoteIpDetails.organization |
服务行动。 networkConnectionAction。 remoteIpDetails.organiz.org |
服务行动。 networkConnectionAction。 remotePortDetails.portName |
服务行动。 portProbeAction. 已屏蔽 |
服务行动。 portProbeAction。 portProbeDetails。 localIpDetails.ipAddressv4 |
服务行动。 portProbeAction。 portProbeDetails。 localIpDetails.ipAddressv6 |
服务行动。 portProbeAction。 portProbeDetails。 localPortDetails.port |
服务行动。 portProbeAction。 portProbeDetails。 localPortDetails.portName |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.city.cityName |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.country.countr |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.country.countr |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.geocation.lat |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.geolocation.lon |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.ipAddressv4 |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.ipAddressv6 |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.organication.asn |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.organizan.asnorg |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.organization |
服务行动。 portProbeAction。 portProbeDetails。 remoteIpDetails.organiz.org |
服务行动。 rdsLoginAttemptaction.loginAttributes. |
服务行动。 rdsLoginAttempt操作登录属性。 failedLoginAttempts |
服务行动。 rdsLoginAttempt操作登录属性。 successfulLoginAttempts |
服务行动。 rdsLoginAttempt操作.loginAttributes.user |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.city.cityName |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.country.countr |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.country.countr |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.geocation.lat |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.geolocation.lon |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.ipAddressv4 |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.ipAddressv6 |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.organication.asn |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.organizan.asnorg |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.organization |
服务行动。 rdsLoginAttempt行动。 remoteIpDetails.organiz.org |
Service.其他信息.agentDetails.agentId |
Service.其他信息.agentDetails.agentVersion |
Service.附加信息.anomalies.anomalous APIs |
服务. 附加信息。身份验证方法 |
服务。附加信息。 averagePacketSize在 |
服务。附加信息。 averagePacketSize出局 |
Service.其他信息.context |
Service.AdditialInfo. |
Service.其他信息.inBytes |
服务。附加信息。 localNetworkInterface所有者 |
服务。附加信息。LocalPort |
服务。附加信息.outBytes |
Service.dationalInfo.packetsin |
服务。附加信息。PacketsOut |
Service.附加信息.policyarn |
服务。其他信息。策略名称 |
服务。附加信息。remotePort |
服务。附加信息。示例 |
服务。其他信息。ScannedPort |
服务。附加信息。 threatFileSha256 |
Service.其他信息。ThreatName |
服务。附加信息。 totalBytesIn |
服务。附加信息。 totalBytesOut |
服务。其他信息。类型 |
Service.adticalInfo.unusual.asnorg |
Service.adticalInfo.unusual.port |
服务。附加信息。不寻常的协议 |
服务。附加信息。UserAgent。 fullUserAgent |
服务。附加信息。UserAgent。 userAgentCategory |
服务。附加信息。价值 |
服务。附加信息。 vpcOwnerAccount我是 |
service.count |
服务.detection.anomaly.profiles |
service.detection.anomaly.unual.unuseal. |
服务.detection.sequence.actors.id |
service.detection.sequence.actors.proc |
service.detection.sequence.actors.path |
service.detection.sequence.actors.actors. |
Service.detection.sequence.actors.createdTime |
service.detection.sequence.actors.sess |
service.detection.sequence.actors.session.m |
service.detection.sequence.actors.actors. |
service.detection.sequence.actors.user.accounc |
service.detection.sequence.actors.actors.user.ac |
service.detection.sequence.actors.user.creden |
服务.detection.sequence.actors.user.name |
服务.detection.sequence.actors.user.type |
服务.detection.sequence.actors.user.uid |
服务检测序列。 additionalSequenceTypes |
service.detection.sequenc |
service.detection.sequence.endpoints.Autonomous |
Service.detection.sequence.endpoints.Automouss |
服务.detection.sequence.endpoints.connection. |
service.detection.sequence.endpoint |
服务.detection.sequence.endpoints.id |
服务.detection.sequence.endpoints.ip |
service.detection.sequence.endpoints.loc |
服务.detection.sequence.endpoints.location. |
service.detection.sequence.endpoints.lat |
service.detection.sequence.endpoints.loc |
service.detection.sequence.endpoint |
服务.detection.sequence.resources.accountID |
服务.detection.sequence.resources.clou |
service.detection.sequence.resources.data.accessKey |
service.detection.sequence.resources.data.acces |
service.detection.sequence.resources.data.accessK |
服务.detection.sequence.resources.data autoscalingAutoScalingGroup.ec2 InstanceUids |
service.detection.sequence.resources.data.cloudformati InstanceUids |
service.detection.sequence.resources.data.cont |
service.detection.sequence.resources.data.container. |
service.detection.sequence.resources.data.ec2Imag InstanceUids |
service.detection.sequence.resources.data.ec2Instance.avail |
service.detection.sequence.resources.data.ec2Instance NetworkInterfaceUids |
service.detection.sequence.resources.data.ec2In iamInstanceProfile.arn |
service.detection.sequence.resources.data.ec2In iamInstanceProfile.id |
service.detection.sequence.resources.data.ec2Instance.image |
service.detection.sequence.resources.data.ec2Instance.instan |
service.detection.sequence.resources.data.ec2Instance.instan |
service.detection.sequence.resources.data.ec2Instance.outpost |
service.detection.sequence.resources.data.ec2Instance |
service.detection.sequence.resources.data.ec2Instance.prod productCodeId |
service.detection.sequence.resources.data.ec2Instance.prod productCodeType |
服务.detection.sequence.resources.data.ec2 LaunchTemplate InstanceUids |
service.detection.sequence.resources.data.ec LaunchTemplate |
service.detection.sequence.resources.data.ec2 .ip NetworkInterface |
服务.detection.sequence.resources.data.ec2。NetworkInterface privateIpAddresses。 privateDnsName |
服务.detection.sequence.resources.data.ec2。NetworkInterface privateIpAddresses。 privateIpAddress |
service.detection.sequence.resources.data.ec2. NetworkInterface |
service.detection.sequence.resources.data.ec2 .securityg NetworkInterface |
service.detection.sequence.resources.data.ec2 .securityG NetworkInterface |
服务.detection.sequence.resources.data.ec2。NetworkInterface subNetId |
service.detection.sequence.resources.data.ec2 .vpcID NetworkInterface |
service.detection.sequence.resources.data.ec2VPC.ec2 InstanceUids |
service.detection.sequence.resources.data.eccluster. InstanceUids |
service.detection.sequence.resources.data.ecsCluster |
service.detection.sequence.resources.data.ecstask.containeruID |
service.detection.sequence.resources.data.ecstask.createdAt |
service.detection.sequence.resources.data.ecstask.launchTy |
service.detection.sequence.resources.data.ecsta taskDefinitionArn |
service.detection.sequence.resources.data.ekscluster. |
service.detection.sequence.resources.data.eksCluster.cre |
service.detection.sequence.resources.data.eksClust InstanceUids |
service.detection.sequence.resources.data.eksClust |
service.detection.sequence.resources.data.eksCluster.vpcID |
服务.detection.sequence.resources.data iamInstanceProfile.ec2 InstanceUids |
服务.detection.sequence.resources.data iamInstanceProfile.id |
service.detection.sequence.resources.data.kubernetesworkload.conta |
service.detection.sequence.resources.data.kubernetesworklo |
service.detection.sequence.resources.data.kubernetesworklo |
service.detection.sequence.resources.data.s3B accountPublicAccess。 publicAclAccess |
service.detection.sequence.resources.data.s3B accountPublicAccess。 publicAclIgnore行为 |
service.detection.sequence.resources.data.s3B accountPublicAccess。 publicBucketRestrict行为 |
service.detection.sequence.resources.data.s3B accountPublicAccess。 publicPolicyAccess |
service.detection.sequence.resources.data.s3B bucketPublicAccess。 publicAclAccess |
service.detection.sequence.resources.data.s3B bucketPublicAccess。 publicAclIgnore行为 |
service.detection.sequence.resources.data.s3B bucketPublicAccess。 publicBucketRestrict行为 |
service.detection.sequence.resources.data.s3B bucketPublicAccess。 publicPolicyAccess |
service.detection.sequence.resources.data.s3Bucket.creat |
service.detection.sequence.resources.data.s3Bucket.eff |
service.detection.sequence.resources.data.s3B encryptionKeyArn |
service.detection.sequence.resources.data.s3Bucket.encr |
service.detection.sequence.resources.data.s3bucket.owner |
service.detection.sequence.resources.data.s3B publicReadAccess |
service.detection.sequence.resources.data.s3B publicWriteAccess |
service.detection.sequence.resources.data.s3Bucket ObjectUids |
service.detection.sequence.resources.data.s3object. |
service.detection.sequence.resources.data.s3objec |
service.detection.sequence.resources.data.s3object. |
service.detection.sequence.resour |
服务检测.sequence.resources.region |
Service.detection.sequence.resources.r |
service.detection.sequence.resour |
service.detection.sequence.resources.t |
service.detection.sequence.resources.t |
服务.detection.sequence.resources.uid |
Service.detection.sequence.sequenceIn |
Service.detection.sequence.sequenceIn |
Service.detection.sequence.sequenceIn |
service.detection.sequence.signals.act |
service.detection.sequence.signal |
Service.detection.sequence.signals.cre |
service.detection.sequence.signal |
service.detection.sequence.signals.endpo |
服务检测序列信号。信号。 firstSeenAt |
服务检测序列信号。信号。 lastSeenAt |
service.detection.sequence.signal |
service.detection.sequence.signals.resour |
服务.detection.sequence.signals.se |
Service.detection.sequence.signals.signalIndicat |
Service.detection.sequence.signals.signalIndicat |
Service.detection.sequence.signals.signalIndicat |
service.detection.sequence.signal |
服务.detection.sequence.signals.uid |
Service.detection.sequence.signals.updat |
服务.detection.sequence.uid |
服务.detectorID |
服务。 ebsVolumeScan详情。 scanCompletedAt |
服务。 ebsVolumeScan详情。扫描检测。 highestSeverityThreatDetails.coun |
服务。 ebsVolumeScan详情。扫描检测。 highestSeverityThreat细节。严重性 |
服务。 ebsVolumeScan详情。扫描检测。 highestSeverityThreat详情。ThreatName |
服务。 ebsVolumeScan详情。扫描检测。 scannedItemCount.files |
服务。 ebsVolumeScan详情。扫描检测。 scannedItemCount.totalGB |
服务。 ebsVolumeScan详情。扫描检测。 scannedItemCount. 卷 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称. itemCount |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称. 缩短 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。文件路径。文件名 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。文件路径。文件路径 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths.volume |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。itemCount |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy姓名。 uniqueThreatName计数 |
服务。 ebsVolumeScan详情。扫描检测。 threatsDetectedItemcount.files |
服务。 ebsVolumeScan详情。 scanStartedAt |
服务。 ebsVolumeScan详细信息。扫描类型 |
服务。 ebsVolumeScan详情。来源 |
服务。 eventFirstSeen |
服务。 eventLastSeen |
服务。 malwareScanDetails.scanCate |
服务。 malwareScanDetails. 扫描配置。 incrementalScanDetails。 baselineResourceArn |
服务。 malwareScanDetails.scanConfiguration.trigg |
服务。 malwareScanDetails.threats.count |
服务。 malwareScanDetails.treats.hash |
服务。 malwareScanDetails.threats.itemdatials.itemdails.device |
服务。 malwareScanDetails.threats.itemdails.itemdails.datial |
服务。 malwareScanDetails.threats.itemDetails. |
服务。 malwareScanDetails.threats.itemDetails.item |
服务。 malwareScanDetails.threats.itemdatials.resource |
服务。 malwareScanDetails.threats.itemPaths.H |
服务。 malwareScanDetails.threats.itemPath。 nestedItemPath |
服务。 malwareScanDetails. 威胁来源 |
服务。 malwareScanDetails。 uniqueThreatCount |
Service.runtime Details.context.ad |
Service.runtimeDetails. commandLineExample |
Service.runtimeDetails. fileSystemType |
Service.runtimeDetails.conte |
Service.runtimeDetails. ianaProtocolNumber |
Service.runtimeDetails. ldPreloadValue |
Service.runtime Details.context.li |
Service.runtime Details.context.m |
Service.runtime details.context.modi |
Service.runtimeDetails.context.modifyingPro |
Service.runtime Details.context.modifyingProces |
Service.runtime Details.context.modifyingProcess. |
service.runtimeDetails.context.modifyingProcess.lin |
service.runtimeDetails.context.modifyingProcess.lineag |
service.runtimeDetails.context.modifyingProcess. |
service.runtimeDetails.context.modifyingProcess.lineage.nam |
service.runtimeDetails.context.modifyingProcess.lineag |
service.runtimeDetails.context.modifyingProcess.lin |
Service.runtimeDetails.context.modifyingProcess.lin |
service.runtimeDetails.context.modifyingProcess.lin |
service.runtimeDetails.context.modifyingProcess.lin |
Service.runtimeDetails.context.modifying |
service.runtimeDetails.context.modifyingProcess.nam |
Service.runtimeDetails.context.modifyingProces |
Service.runtimeDetails.context.modifyingPro |
Service.runtimeDetails.context.modifyingPro |
Service.runtime details.context.modifyingPro |
Service.runtimeDetails.context.modifying |
Service.runtimeDetails.context.modifyingPro |
service.runtimeDetails.context.modifyingPro |
Service.runtime Details.context.moun |
Service.runtime Details.context.moun |
Service.runtimeDetails. relatedFilePaths |
Service.runtimeDetails. releaseAgentPath |
Service.runtimeDetails. runcBinaryPath |
Service.runtime Details.context.s |
Service.runtime Details.context.s |
Service.runtimeDetails. shellHistoryFile路径 |
service.runtime Details.context.s |
Service.runtimeDetails.context.targetProc |
Service.runtime Details.context.targetProcess |
Service.runtime Details.context.targetProcess.e |
service.runtimeDetails.context.targetProcess.line |
service.runtime Details.context.targetProcess.lineage |
service.runtimeDetails.context.targetProcess.l |
service.runtimeDetails.context.targetprocess.lineage.names |
service.runtimeDetails.context.targetProcess.lineage |
service.runtimeDetails.context.targetProcess.line |
Service.runtime details.context.targetProcess.line |
service.runtimeDetails.context.targetProcess.line |
service.runtimeDetails.context.targetProcess.line |
Service.runtimeDetails.context.targetP |
service.runtime details.context.targetprocess.names |
Service.runtime details.context.targetProcess |
Service.runtime Details.context.targetProc |
Service.runtimeDetails.context.targetProc |
Service.runtime Details.context.targetProc |
Service.runtime Details.context.targetP |
Service.runtime Details.context.targetProc |
service.runtimeDetails.context.targetProc |
Service.runtimeDetails. threatFilePath |
Service.runtime Details.context |
Service.runtime Details.context |
service.runtimeDetails.proces |
service.runtimeDetails.process.lineag |
Service.runtime Details.process.lineage. |
service.runtimeDetails.process.lin |
service.runtime Details.process.lineage.namesp |
service.runtime details.process.lineage. |
service.runtime Details.process.lineag |
Service.runtime Details.process.lineag |
service.runtime Details.process.lineag |
service.runtimeDetails.process.lineag |
service.runtime details.process.namesp |
Service.runtime details.process. |
Service.runtimeDetails.pid |
Service.runtimeDetails.proces |
Service.runtime Details.proces |
Service.runtime Details.pro |
Service.runtime Details.proces |
service.runtimeDetails.proces |
服务. 用户反馈 |
删除实例快照 |
