本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用收集的執行階段事 GuardDuty 件類型
Sec GuardDuty urity Agent 會收集下列事件類型,並將它們傳送至後 GuardDuty端進行威脅偵測和分析。 GuardDuty 不會使您可以訪問這些事件。如果 GuardDuty 偵測到潛在威脅並產生「執行階段監控」發現項目,您可以檢視對應的發現項目詳細資料 如需如何 GuardDuty 使用所收集事件類型的詳細資訊,請參閱選擇不使用您的資料以改善服務。
程序事件
| 欄位名稱 | 描述 |
|---|---|
程序名稱 |
觀察到的程序名稱。 |
程序路徑 |
程序可執行檔的絕對路徑。 |
程序 ID |
由作業系統指派給程序的 ID。 |
命名空間 PID |
主機層級 PID 命名空間以外的次要 PID 命名空間中程序的程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。 |
程序使用者 ID |
執行程序的使用者 ID。 |
程序 UUID |
由指派給程序的唯一 ID GuardDuty。 |
程序 GID |
程序群組的程序 ID。 |
程序 EGID |
程序群組的有效群組 ID。 |
程序 EUID |
程序的有效使用者 ID。 |
程序使用者名稱 |
執行程序的使用者名稱。 |
程序開始時間 |
程序的建立時間。此欄位是 UTC 日期字串格式 ( |
程序可執行檔 SHA-256 |
程序可執行檔的 |
程序指令碼路徑 |
指令碼檔案的執行路徑。 |
程序環境變數 |
可供程序使用的環境變數。只會收集 |
程序目前的工作目錄 (PWD) |
程序目前的工作目錄。 |
父程序 |
父程序的程序詳細資訊。父程序是建立觀察到的程序的程序。 |
|
命令行參數 目前,此欄位僅限於與資源類型對應的特定代理程式版本:
如需詳細資訊,請參閱 GuardDuty 代理程式發行歷。 |
在進程執行時提供的命令行參數。此欄位可能包含敏感的客戶資料。 |
容器事件
欄位名稱 |
描述 |
|---|---|
容器名稱 |
容器的名稱。 如果可用,此欄位會顯示標籤 |
容器 UID |
容器執行期所指派容器的唯一 ID。 |
容器執行期 |
用於執行容器的容器執行期 (例如 |
容器映像 ID |
容器映像的 ID。 |
容器映像名稱 |
容器映像的名稱。 |
AWS Fargate (僅限 Amazon ECS) 任務事件
欄位名稱 |
描述 |
|---|---|
Amazon 任務資源名稱(ARN) |
任務的 ARN。 |
叢集名稱 |
Amazon ECS 叢集的名稱。 |
族群名稱 |
任務定義的姓氏。作 |
服務名稱 |
Amazon ECS 服務的名稱 (如果任務是作為服務的一部分啟動)。 |
啟動類型 |
您的工作執行所在的基礎結構。對於資源類型為的執行階段監視 |
CPU |
作業使用的 CPU 單位數目 (如作業定義中所表示)。 |
Kubernetes Pod 事件
欄位名稱 |
描述 |
|---|---|
Pod ID |
Kubernetes Pod 的 ID。 |
Pod 名稱 |
Kubernetes Pod 的名稱。 |
Pod 命名空間 |
Kubernetes 工作負載所屬 Kubernetes 命名空間的名稱。 |
Kubernetes 叢集名稱 |
Kubernetes 叢集的名稱。 |
DNS 事件
欄位名稱 |
描述 |
|---|---|
通訊端類型 |
指出通訊語意的通訊端類型。例如 |
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
方向 ID |
連線方向的 ID。 |
通訊協定編號 |
Layer 4 通訊協定編號,例如 UDP 是 17,TCP 是 6。 |
DNS 遠端端點 IP |
連線的遠端 IP。 |
DNS 遠端端點連接埠 |
連線的連接埠號碼。 |
DNS 本機端點 IP |
連線的本機 IP。 |
DNS 本機端點連接埠 |
連線的連接埠號碼。 |
DNS 承載 |
包含 DNS 查詢和回應的 DNS 封包承載。 |
開放事件
欄位名稱 |
描述 |
|---|---|
檔案路徑 |
在此事件中開啟的檔案路徑。 |
旗標 |
描述檔案存取模式,例如唯讀、唯寫和讀寫。 |
載入模組事件
欄位名稱 |
描述 |
|---|---|
模組名稱 |
載入核心之模組的名稱。 |
Mprotect 事件
欄位名稱 |
描述 |
|---|---|
地址範圍 |
修改存取保護的地址範圍。 |
記憶體區域 |
指定程序的地址空間區域,如堆疊和堆積。 |
旗標 |
代表控制此事件行為的選項。 |
掛載事件
欄位名稱 |
描述 |
|---|---|
掛載目標 |
掛載來源所在的路徑。 |
掛載來源 |
掛載於掛載目標之主機上的路徑。 |
檔案系統類型 |
代表掛載的檔案系統的類型。 |
旗標 |
代表控制此事件行為的選項。 |
連結事件
欄位名稱 |
描述 |
|---|---|
連結路徑 |
建立硬連結的路徑。 |
目標路徑 |
硬連結指向的檔案路徑。 |
符號連結事件
欄位名稱 |
描述 |
|---|---|
連結路徑 |
建立符號連結的路徑。 |
目標路徑 |
符號連結指向的檔案路徑。 |
Dup 事件
欄位名稱 |
描述 |
|---|---|
舊檔案描述項 |
代表開放檔案物件的檔案描述項。 |
新檔案描述項 |
新檔案描述項,是舊檔案描述項的重複項。舊的和新的檔案描述項代表相同的開放檔案物件。 |
Dup 遠端端點 IP |
舊檔案描述項所代表網路通訊端的遠端 IP 地址。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 遠端端點連接埠 |
舊檔案描述項所代表網路通訊端的遠端連接埠。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 本機端點 IP |
舊檔案描述項所代表網路通訊端的本機 IP 地址。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 本機端點連接埠 |
舊檔案描述項所代表網路通訊端的本機連接埠。僅在舊檔案描述項代表網絡通訊端時適用。 |
記憶體映射事件
欄位名稱 |
描述 |
|---|---|
檔案路徑 |
記憶體所映射至的檔案路徑。 |
通訊端事件
欄位名稱 |
描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如 |
通訊協定號碼 |
指定地址系列中的特定通訊協定。通常在地址系列中有單一通訊協定。例如,地址系列 |
連接事件
欄位名稱 |
描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如 |
通訊協定編號 |
指定地址系列中的特定通訊協定。通常在地址系列中有單一通訊協定。例如,地址系列 |
檔案路徑 |
如果地址系列是 |
遠端端點 IP |
連線的遠端 IP。 |
遠端端點連接埠 |
連線的連接埠號碼。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
程序 VM Readv 事件
欄位名稱 |
描述 |
|---|---|
旗標 |
代表控制此事件行為的選項。 |
目標 PID |
正在讀取記憶體之程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
程序 VM Writev 事件
欄位名稱 |
描述 |
|---|---|
旗標 |
代表控制此事件行為的選項。 |
目標 PID |
正在寫入記憶體之程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
Ptrace 事件
欄位名稱 |
描述 |
|---|---|
目標 PID |
目標程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
旗標 |
代表控制此事件行為的選項。 |
繫結事件
欄位名稱 |
描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
插座類型 |
指出通訊語意的通訊端類型。例如 |
通訊協定號碼 |
Layer 4 通訊協定編號,例如 UDP 是 17,TCP 是 6。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
聆聽事件
欄位名稱 |
描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
插座類型 |
指出通訊語意的通訊端類型。例如 |
通訊協定號碼 |
Layer 4 通訊協定編號,例如 UDP 是 17,TCP 是 6。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
重命名事件
欄位名稱 |
描述 |
|---|---|
檔案路徑 |
重新命名檔案的路徑。 |
目標 |
檔案的新路徑。 |
設定 UID 事件
欄位名稱 |
描述 |
|---|---|
新 EUID |
該過程的新有效用戶 ID。 |
新使用者識別碼 |
該進程的新用戶 ID。 |
文件模式活動
欄位名稱 |
描述 |
|---|---|
檔案路徑 |
呼叫此事件的檔案路徑。 |
檔案模式 |
關聯檔案的更新存取權限。 |
