本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
收集的 GuardDuty 使用运行时事件类型
GuardDuty 安全代理收集以下事件类型并将其发送到 GuardDuty后端以进行威胁检测和分析。 GuardDuty 并不能让你访问这些事件。如果 GuardDuty 检测到潜在威胁并生成运行时监控结果,则可以查看相应的发现详细信息。有关如何 GuardDuty 使用收集的事件类型的更多信息,请参阅选择不使用您的数据来改善服务。
处理事件
字段名称 | 描述 |
---|---|
进程名称 |
观察到的进程的名称。 |
进程路径 |
进程可执行文件的绝对路径。 |
进程 ID |
操作系统分配给进程的 ID。 |
命名空间 PID |
除主机级PID命名空间之外的辅助PID命名空间中进程的进程 ID。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。 |
进程用户 ID |
执行进程的用户的唯一 ID。 |
进程 UUID |
分配给流程的唯一 ID GuardDuty。 |
进程 GID |
进程组的进程 ID。 |
进程 EGID |
进程组的有效组 ID。 |
进程 EUID |
进程的有效用户 ID。 |
进程用户名 |
执行进程的用户名。 |
进程开始时间 |
创建进程的时间。此字段采用UTC日期字符串格式 ( |
进程可执行文件 SHA -256 |
进程可执行文件的 |
进程脚本路径 |
执行的脚本文件的路径。 |
进程环境变量 |
可供进程使用的环境变量。仅收集 |
流程呈现工作目录 (PWD) |
进程的当前工作目录。 |
父进程 |
父进程的进程详细信息。父进程是创建观察到的进程的进程。 |
命令行参数 目前,此字段仅限于与资源类型对应的特定代理版本:
有关更多信息,请参阅 GuardDuty 代理发布历史记录。 |
执行流程时提供的命令行参数。此字段可能包含敏感的客户数据。 |
容器事件
字段名称 |
描述 |
---|---|
容器名称 |
容器的名称。 如果可用,该字段将显示标签 |
容器 UID |
容器运行时分配的容器的唯一 ID。 |
容器运行时 |
用于运行容器的容器运行时(例如 |
容器映像 ID |
容器映像的 ID。 |
容器映像名称 |
容器映像的名称。 |
AWS Fargate (ECS仅限亚马逊)任务事件
字段名称 |
描述 |
---|---|
任务 Amazon 资源名称 (ARN) |
ARN任务的。 |
集群名称 |
Amazon ECS 集群的名称。 |
姓氏 |
任务定义的姓氏。用作 |
服务名称 |
Amazon ECS 服务的名称(如果任务是作为服务的一部分启动的)。 |
启动类型 |
运行任务的基础架构。对于资源类型为的运行时监控 |
CPU |
任务定义中表示的任务使用的CPU单位数。 |
Kubernetes 容器组事件
字段名称 |
描述 |
---|---|
容器组 ID |
Kubernetes 容器组的 ID。 |
容器组名称 |
Kubernetes 容器组的名称。 |
容器组命名空间 |
Kubernetes 工作负载所属的 Kubernetes 命名空间的名称。 |
Kubernetes 集群名称 |
Kubernetes 集群的名称。 |
DNS事件
字段名称 |
描述 |
---|---|
套接字类型 |
指示通信语义的套接字类型。例如, |
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
方向 ID |
连接方向的 ID。 |
协议编号 |
第 4 层协议号,例如 17 代表UDP和 6 表示TCP。 |
DNS远程端点 IP |
连接的远程 IP。 |
DNS远程端点端口 |
连接的端口号。 |
DNS本地终端节点 IP |
连接的本地 IP。 |
DNS本地端点端口 |
连接的端口号。 |
DNS有效载荷 |
包含DNS查询和响应DNS的数据包的有效负载。 |
公开事件
字段名称 |
描述 |
---|---|
文件路径 |
在此事件中打开的文件的路径。 |
Flags |
描述文件访问模式,例如只读、只写和读写。 |
加载模块事件
字段名称 |
描述 |
---|---|
模块名称 |
加载到内核中的模块的名称。 |
Mprotect 事件
字段名称 |
描述 |
---|---|
地址范围 |
修改访问保护的地址范围。 |
内存区域 |
指定进程地址空间的区域,例如堆栈和堆。 |
Flags |
表示控制此事件行为的选项。 |
挂载事件
字段名称 |
描述 |
---|---|
挂载目标 |
挂载源的挂载路径。 |
挂载源 |
挂载到挂载目标的主机上的路径。 |
文件系统类型 |
表示已安装的类型fileSystem。 |
Flags |
表示控制此事件行为的选项。 |
链接事件
字段名称 |
描述 |
---|---|
链接路径 |
创建硬链接的路径。 |
目标路径 |
硬链接指向的文件路径。 |
符号链接事件
字段名称 |
描述 |
---|---|
链接路径 |
创建符号链接的路径。 |
目标路径 |
符号链接指向的文件路径。 |
Dup 事件
字段名称 |
描述 |
---|---|
旧文件描述符 |
表示打开的文件对象的文件描述符。 |
新文件描述符 |
与旧文件描述符重复的新文件描述符。新旧文件描述符表示同一个打开的文件对象。 |
Dup 远程端点 IP |
由旧文件描述符表示的网络套接字的远程 IP 地址。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 远程端点端口 |
由旧文件描述符表示的网络套接字的远程端口。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 本地端点 IP |
由旧文件描述符表示的网络套接字的本地 IP 地址。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 本地端点端口 |
由旧文件描述符表示的网络套接字的本地端口。仅当旧文件描述符表示网络套接字时才适用。 |
内存映射事件
字段名称 |
描述 |
---|---|
文件路径 |
内存映射到的文件的路径。 |
套接字事件
字段名称 |
描述 |
---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
套接字类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 |
连接事件
字段名称 |
描述 |
---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
套接字类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 |
文件路径 |
地址系列为 |
远程端点 IP |
连接的远程 IP。 |
远程端点端口 |
连接的端口号。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
进程 VM Readv 事件
字段名称 |
描述 |
---|---|
Flags |
表示控制此事件行为的选项。 |
目标 PID |
正在从中读取内存的进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
进程 VM Writev 事件
字段名称 |
描述 |
---|---|
Flags |
表示控制此事件行为的选项。 |
目标 PID |
正在向其写入内存的进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
Ptrace 事件
字段名称 |
描述 |
---|---|
目标 PID |
目标进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
Flags |
表示控制此事件行为的选项。 |
绑定事件
字段名称 |
描述 |
---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
插座类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
第 4 层协议号,例如 17 代表UDP和 6 表示TCP。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
收听事件
字段名称 |
描述 |
---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
插座类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
第 4 层协议号,例如 17 代表UDP和 6 表示TCP。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
重命名事件
字段名称 |
描述 |
---|---|
文件路径 |
重命名的文件所在的路径。 |
目标 |
文件的新路径。 |
设置UID事件
字段名称 |
描述 |
---|---|
全新 EUID |
流程的新有效用户 ID。 |
全新 UID |
进程的新用户 ID。 |
Chmod 事件
字段名称 |
描述 |
---|---|
文件路径 |
调用此事件的文件的路径。 |
文件模式 |
关联文件已更新的访问权限。 |