收集的 GuardDuty 使用运行时事件类型 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

收集的 GuardDuty 使用运行时事件类型

GuardDuty 安全代理收集以下事件类型并将其发送到 GuardDuty后端以进行威胁检测和分析。 GuardDuty 并不能让你访问这些事件。如果 GuardDuty 检测到潜在威胁并生成运行时监控结果,则可以查看相应的发现详细信息。有关如何 GuardDuty 使用收集的事件类型的更多信息,请参阅选择不使用您的数据来改善服务

处理事件

字段名称 描述

进程名称

观察到的进程的名称。

进程路径

进程可执行文件的绝对路径。

进程 ID

操作系统分配给进程的 ID。

命名空间 PID

除主机级PID命名空间之外的辅助PID命名空间中进程的进程 ID。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。

进程用户 ID

执行进程的用户的唯一 ID。

进程 UUID

分配给流程的唯一 ID GuardDuty。

进程 GID

进程组的进程 ID。

进程 EGID

进程组的有效组 ID。

进程 EUID

进程的有效用户 ID。

进程用户名

执行进程的用户名。

进程开始时间

创建进程的时间。此字段采用UTC日期字符串格式 (2023-03-22T19:37:20.168Z)。

进程可执行文件 SHA -256

进程可执行文件的 SHA256 哈希值。

进程脚本路径

执行的脚本文件的路径。

进程环境变量

可供进程使用的环境变量。仅收集 LD_PRELOADLD_LIBRARY_PATH

流程呈现工作目录 (PWD)

进程的当前工作目录。

父进程

父进程的进程详细信息。父进程是创建观察到的进程的进程。

命令行参数

目前,此字段仅限于与资源类型对应的特定代理版本:

  • Fargate(ECS仅限亚马逊), GuardDuty 安全代理 v1.0.0 及更高版本。

  • 使用 GuardDuty 安全代理 v1.0.0 及更高版本的 Amazon EC2 实例。

  • 使用安全代理 v1.4.0 及更高版本的亚马逊EKS集群。

有关更多信息,请参阅 GuardDuty 代理发布历史记录

执行流程时提供的命令行参数。此字段可能包含敏感的客户数据。

容器事件

字段名称

描述

容器名称

容器的名称。

如果可用,该字段将显示标签 io.kubenetes.container.name 的值。

容器 UID

容器运行时分配的容器的唯一 ID。

容器运行时

用于运行容器的容器运行时(例如 dockercontainerd)。

容器映像 ID

容器映像的 ID。

容器映像名称

容器映像的名称。

AWS Fargate (ECS仅限亚马逊)任务事件

字段名称

描述

任务 Amazon 资源名称 (ARN)

ARN任务的。

集群名称

Amazon ECS 集群的名称。

姓氏

任务定义的姓氏。用作family用于启动任务的任务定义的名称。

服务名称

Amazon ECS 服务的名称(如果任务是作为服务的一部分启动的)。

启动类型

运行任务的基础架构。对于资源类型为的运行时监控ECSCluster,启动类型可以是EC2FARGATE

CPU

任务定义中表示的任务使用的CPU单位数。

Kubernetes 容器组事件

字段名称

描述

容器组 ID

Kubernetes 容器组的 ID。

容器组名称

Kubernetes 容器组的名称。

容器组命名空间

Kubernetes 工作负载所属的 Kubernetes 命名空间的名称。

Kubernetes 集群名称

Kubernetes 集群的名称。

DNS事件

字段名称

描述

套接字类型

指示通信语义的套接字类型。例如,SOCK_RAW

地址系列

表示与地址关联的通信协议。例如,地址系列 AF_INET 用于 IP v4 协议。

方向 ID

连接方向的 ID。

协议编号

第 4 层协议号,例如 17 代表UDP和 6 表示TCP。

DNS远程端点 IP

连接的远程 IP。

DNS远程端点端口

连接的端口号。

DNS本地终端节点 IP

连接的本地 IP。

DNS本地端点端口

连接的端口号。

DNS有效载荷

包含DNS查询和响应DNS的数据包的有效负载。

公开事件

字段名称

描述

文件路径

在此事件中打开的文件的路径。

Flags

描述文件访问模式,例如只读、只写和读写。

加载模块事件

字段名称

描述

模块名称

加载到内核中的模块的名称。

Mprotect 事件

字段名称

描述

地址范围

修改访问保护的地址范围。

内存区域

指定进程地址空间的区域,例如堆栈和堆。

Flags

表示控制此事件行为的选项。

挂载事件

字段名称

描述

挂载目标

挂载源的挂载路径。

挂载源

挂载到挂载目标的主机上的路径。

文件系统类型

表示已安装的类型fileSystem。

Flags

表示控制此事件行为的选项。

字段名称

描述

链接路径

创建硬链接的路径。

目标路径

硬链接指向的文件路径。

字段名称

描述

链接路径

创建符号链接的路径。

目标路径

符号链接指向的文件路径。

Dup 事件

字段名称

描述

旧文件描述符

表示打开的文件对象的文件描述符。

新文件描述符

与旧文件描述符重复的新文件描述符。新旧文件描述符表示同一个打开的文件对象。

Dup 远程端点 IP

由旧文件描述符表示的网络套接字的远程 IP 地址。仅当旧文件描述符表示网络套接字时才适用。

Dup 远程端点端口

由旧文件描述符表示的网络套接字的远程端口。仅当旧文件描述符表示网络套接字时才适用。

Dup 本地端点 IP

由旧文件描述符表示的网络套接字的本地 IP 地址。仅当旧文件描述符表示网络套接字时才适用。

Dup 本地端点端口

由旧文件描述符表示的网络套接字的本地端口。仅当旧文件描述符表示网络套接字时才适用。

内存映射事件

字段名称

描述

文件路径

内存映射到的文件的路径。

套接字事件

字段名称

描述

地址系列

表示与地址关联的通信协议。例如,地址系列 AF_INET 用于 IP 版本 4 协议。

套接字类型

指示通信语义的套接字类型。例如,SOCK_RAW

协议编号

指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 AF_INET 只有 IP 协议。

连接事件

字段名称

描述

地址系列

表示与地址关联的通信协议。例如,地址系列 AF_INET 用于 IP v4 协议。

套接字类型

指示通信语义的套接字类型。例如,SOCK_RAW

协议编号

指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 AF_INET 只有 IP 协议。

文件路径

地址系列为 AF_UNIX 时的套接字文件的路径。

远程端点 IP

连接的远程 IP。

远程端点端口

连接的端口号。

本地端点 IP

连接的本地 IP。

本地端点端口

连接的端口号。

进程 VM Readv 事件

字段名称

描述

Flags

表示控制此事件行为的选项。

目标 PID

正在从中读取内存的进程的进程 ID。

目标进程 UUID

目标进程的唯一 ID。

目标可执行文件路径

目标进程可执行文件的绝对路径。

进程 VM Writev 事件

字段名称

描述

Flags

表示控制此事件行为的选项。

目标 PID

正在向其写入内存的进程的进程 ID。

目标进程 UUID

目标进程的唯一 ID。

目标可执行文件路径

目标进程可执行文件的绝对路径。

Ptrace 事件

字段名称

描述

目标 PID

目标进程的进程 ID。

目标进程 UUID

目标进程的唯一 ID。

目标可执行文件路径

目标进程可执行文件的绝对路径。

Flags

表示控制此事件行为的选项。

绑定事件

字段名称

描述

地址系列

表示与地址关联的通信协议。例如,地址系列 AF_INET 用于 IP v4 协议。

插座类型

指示通信语义的套接字类型。例如,SOCK_RAW

协议编号

第 4 层协议号,例如 17 代表UDP和 6 表示TCP。

本地端点 IP

连接的本地 IP。

本地端点端口

连接的端口号。

收听事件

字段名称

描述

地址系列

表示与地址关联的通信协议。例如,地址系列 AF_INET 用于 IP v4 协议。

插座类型

指示通信语义的套接字类型。例如,SOCK_RAW

协议编号

第 4 层协议号,例如 17 代表UDP和 6 表示TCP。

本地端点 IP

连接的本地 IP。

本地端点端口

连接的端口号。

重命名事件

字段名称

描述

文件路径

重命名的文件所在的路径。

目标

文件的新路径。

设置UID事件

字段名称

描述

全新 EUID

流程的新有效用户 ID。

全新 UID

进程的新用户 ID。

Chmod 事件

字段名称

描述

文件路径

调用此事件的文件的路径。

文件模式

关联文件已更新的访问权限。