你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Sentinel 连接器引入的 Guard Duty 发现结果,表示在你的网络中检测到的潜在安全问题。 每当 GuardDuty 检测到 AWS 环境中的意外和潜在恶意活动时,就会生成发现。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AccountId | 字符串 | 记录流量的源网络接口所有者的 AWS 帐户 ID。 如果网络接口是由 AWS 服务创建的,例如,创建一个 VPC 终结点或网络负载均衡器时,记录可能会显示此字段未知。 |
| 活动类型 | 字符串 | 一个格式化的字符串,表示触发查找的活动的类型。 |
| 阿恩 | 字符串 | 发现的 Amazon 资源名称。 |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| 说明 | 字符串 | 与发现相关的威胁或攻击的主要用途的说明。 |
| ID | 字符串 | 此发现类型和此组参数的唯一发现 ID。 匹配此模式的活动的新出现次数将聚合到同一 ID。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 _IsBillable 为 false 引入时,不向 Azure 帐户计费 |
| 分区 | 字符串 | 在其中生成此发现的 AWS 分区。 |
| 区域 | 字符串 | 在其中生成发现的 AWS 区域。 |
| 资源详细信息 | 动态 | 提供有关触发器活动所针对的 AWS 资源的详细信息。 可用信息因资源类型和作类型而异。 |
| schemaVersion | 字符串 | Guard Duty 发现版本。 |
| 服务详情 | 动态 | 提供有关与发现相关的 AWS 服务的详细信息,包括操作、执行组件/目标、证据、异常行为和其他信息。 |
| 严重性 | 整数 (int) | 为发现分配的严重性级别为“高”、“中”或“低”。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeCreated | 日期/时间 | 首次创建此发现的时间和日期。 如果此值不同于更新时间 (TimeGenerated),则表示活动已多次发生,并且是一个持续的问题。 |
| TimeGenerated | 日期/时间 | 生成事件的时间戳 (UTC),最后一次更新此发现时会更新与提示 GuardDuty 生成此发现的模式匹配的新活动。 |
| 标题 | 字符串 | 与发现相关的威胁或攻击的主要用途摘要。 |
| 类型 | 字符串 | 表的名称 |