调查结果摘要 Resource Action 角色或目标其他信息 Evidence 异常行为

查找详细信息

在 Amazon GuardDuty 控制台中，您可以在调查结果摘要部分查看查找详细信息。查找详细信息因查找类型而异。

有两类主要详细信息，用于确定哪些类型的信息可用于任何调查结果。第一个是资源类型，可以是AccessKey，或者Instance。确定查找信息的第二个细节是资源角色。资源角色，可以是Target，这意味着该资源是可疑活动的目标。例如，资源角色也可以是Actor，这意味着您的资源是执行可疑活动的角色。本主题介绍了调查结果的一些常见详细信息。

调查结果摘要

调查结果的摘要部分包含查找结果的最基本的标识功能，包括以下信息：

结果类型— 表示触发调查结果的活动类型的格式化字符串。有关更多信息，请参阅 GuardDuty 调查结果格式。
结果 ID— 此调查结果类型和参数集的唯一调查结果 ID。与此模式匹配的新活动实例将聚合到同一 ID 中。
严重性— 调查结果分配的严重性等级，可以为 High、Medium 或 Low。有关更多信息，请参阅 GuardDuty 结果的严重性级别。
区域—Amazon在其中生成调查结果的区域。有关支持的区域的更多信息，请参阅区域和终端节点。
计数— GuardDuty 聚合与此调查结果 ID 匹配的活动的次数。
账户 ID— 调查结果的 IDAmazonAccount (帐户) 在其中发生的活动促使 GuardDuty 生成此结果。
Resource ID (资源 ID)— 调查结果的 IDAmazon资源，该资源促使 GuardDuty 生成此结果。
在创建― 首次创建此调查结果的时间和日期。如果此值与更新时间，则表示该活动已多次发生，是一个持续的问题。

注意

GuardDuty 控制台中结果的时间戳采用您的本地时区显示，而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。
更新时间— 上次使用与促使 GuardDuty 生成此结果的模式匹配的新活动更新此调查结果的时间。

注意

GuardDuty Tat 控制台中结果的时间戳采用您的本地时区显示，而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。

Resource

这些区域有：受影响的资源给出了有关AmazonResource (触发活动所针对的资源。可用信息因资源类型和操作类型而异。

资源角色—AmazonResource (资源) 触发调查结果。该值可以是TARGET或者演员，并表示您的资源是可疑活动的目标还是执行可疑活动的参与者。

资源类型— 受影响的资源的类型。该值为AccessKey、S3 bucket或者实例。根据资源类型，可提供不同的查找结果详细信息。选择资源选项选项卡以了解可用于该资源的详细信息。

Instance

实例详细信息：

注意

如果实例已终止，或者在进行跨区域 API 调用时，基础 API 调用源自不同区域中的 EC2 实例，则可能会丢失某些实例详细信息。

实例 ID— 促使 GuardDuty 生成结果的活动所涉及 EC2 实例的 ID。
实例类型— 调查结果中涉及的 EC2 实例的类型。
启动时间— 启动实例的时间和日期。
Outpost ARN— 的 Amazon 资源名称 (ARN)Amazon Outposts。仅适用于Amazon Outpostss Instance (实例)。有关更多信息，请参阅什么是 Amazon Outposts？
安全组名称— 附加到涉及实例的安全组的名称。
安全组 ID— 附加到涉及实例的安全组的 ID。
实例状态— 目标实例的当前状态。
可用区—Amazon涉及实例所在的区域可用区。
映像 ID— 用于构建活动中涉及的实例的 Amazon 系统映像 ID。
图片描述— 用于构建活动中涉及的实例的 Amazon 系统映像 ID 的描述。
标签— 附加到此资源的标签列表，格式为key：value。

Access Key

访问密钥详细信息：

访问密钥 ID― 访问促使 GuardDuty 生成结果的活动中的用户的密钥 ID。
委托人 ID— 参与到促使 GuardDuty 生成结果的活动中的用户的委托人 ID。
用户类型― 促使 GuardDuty 生成结果的活动参与到促使 GuardDuty 生成结果的用户的类型。有关更多信息，请参阅 CloudTrail userIdentity 元素。
用户名— 参与到促使 GuardDuty 生成结果的活动中的用户的名称。

S3 bucket

S3 存储桶详细信息：

名称— 调查结果中涉及的存储桶的名称。
进行筛选— 调查结果中涉及的存储桶的 ARN。
所有者— 拥有调查结果中涉及的存储桶的用户的规范用户 ID。有关规范用户 ID 的更多信息，请参阅Amazon账户标识符。
类型— 存储桶调查结果的类型，可以是目的地或者源。
默认服务器端加密— 存储桶的加密详细信息。
存储桶标签— 附加到此资源的标签列表，格式为key：value。
有效的权限— 评估存储桶上的所有有效权限和策略，指示涉及的存储桶是否公开。值可以是公共值，也可以是非公共值。

Action

调查结果的 Action (操作) 提供了触发调查结果的活动类型的详细信息。可用信息因操作类型而异。

操作类型— 调查结果活动类型。该值可以是网络连接、端口探测器、请求，或者AWS_API_ 呼叫。可用信息因操作类型而异：
- 网络连接— 指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下附加信息：
  - 连接方向— 在促使 GuardDuty 生成结果的活动中观察到的网络连接方向。它可以是以下值之一：
    
    入站— 指示远程主机已在您的账户中发起与标识的 EC2 实例上的本地端口的连接。
    
    出站— 指示标识的 EC2 实例已发起与远程主机的连接。
    
    UNKNOWN— 指示 GuardDuty 无法确定连接的方向。
  - 协议— 在促使 GuardDuty 生成结果的活动中观察到的网络连接协议。
  - 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如，EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。
  - 阻止— 指示目标端口是否被阻止。
- 端口探测器— 指示远程主机在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下附加信息：
  - 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如，EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。
  - 阻止— 指示目标端口是否被阻止。
- 请求— 指示标识的 EC2 实例已查询域名。此操作类型具有以下附加信息：
  - 协议— 在促使 GuardDuty 生成结果的活动中观察到的网络连接协议。
  - 阻止— 指示目标端口是否被阻止。
- AWS_API_ 呼叫— 表示Amazon调用 API。此操作类型具有以下附加信息：
  - API— 调用的 API 操作的名称，该操作促使 GuardDuty 生成此结果。
    
    注意
    
    这些操作也可能包括由Amazon CloudTrail。有关更多信息，请参阅。由 CloudTrail 捕获的非 API 事件。
  - 错误代码-如果查找结果是由失败的 API 调用触发的，则会显示该调用的错误代码。
  - Service name (服务名称)— 试图调用触发调查结果的 API 的服务的 DNS 名称。

角色或目标

一个发现有一个角色部分，如果资源角色是TARGET。这表示您的资源是可疑活动的目标，并且角色部分包含有关针对您的资源的实体的详细信息。

一个发现有一个目标部分，如果资源角色是ACTOR。这表示您的资源参与了针对远程主机的可疑活动，该部分包含有关您的资源所针对的 IP 或域的信息。

可在角色或者目标部分中可以包含以下内容：

IP 地址— 促使 GuardDuty 生成结果的活动所涉及的 IP 地址。
位置— 促使 GuardDuty 生成结果的活动所涉及 IP 地址的位置信息。
组织— 促使 GuardDuty 生成结果的活动所涉及 IP 地址的 ISP 组织信息。
端口― 促使 GuardDuty 生成结果的活动所涉及的端口号。
域— 促使 GuardDuty 生成结果的活动所涉及的域。

其他信息

所有结果的都是其他信息部分，包括以下信息：

威胁列表名称— 威胁列表的名称，其中包括促使 GuardDuty 生成调查结果的活动中所涉及的 IP 地址或域名。
示例— 一个 true 或 false 值，指示此项否为示例调查结果。
已存档— 一个 true 或 false 值，指示此调查结果是否已存档。
不寻常的― 过去未观察到的活动详细信息。其中可能包括不寻常的 (以前没有观察到的) 用户、位置或时间。
不寻常的协议— 促使 GuardDuty 生成结果的活动所涉及的网络连接协议。

Evidence

基于 DNS 日志的调查结果具有证据部分，包括以下信息：

威胁情报详细信息― 已识别的威胁列表的名称Threat name此时会显示在上。
威胁名称― 与威胁关联的恶意软件系列的名称或其他标识符。

异常行为

结尾的查找结果类型异常行为表示该调查结果是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。ML 模型评估对您账户的所有 API 请求，并识别与敌人使用的战术相关联的异常事件。ML 模型跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。

有关 API 请求的哪些因素对于调用请求的 CloudTrail 用户身份不寻常的详细信息，请参阅查找详细信息。这些身份由CloudTrail userIdentity 元素，可能的值包括：Root、IAMUser、AssumedRole、FederatedUser、AWSAccount或者AWSService。

除了与 API 活动相关联的所有 GuardDuty 调查结果的详细信息外，异常行为调查结果具有以下附加详细信息。这些详细信息可以在控制台中查看，也可以在查找结果的 JSON 中查看。

异常 API— 用户身份在与查找结果关联的主 API 请求附近调用的 API 请求的列表。此窗格通过以下方式进一步细分 API 事件的详细信息：
- 列出的第一个 API 是主 API，它是与观察到的最高风险活动相关联的 API 请求。这是触发查找结果并与查找类型的攻击阶段相关的 API。这也是在操作部分，以及查找结果的 JSON 中。
- 列出的任何其他 API 都是在主 API 附近观察到的列出用户身份的额外异常 API。如果列表中只有一个 API，则 ML 模型不会将来自该用户身份的任何其他 API 请求识别为异常。
- API 列表根据 API 是否成功调用，或者如果 API 调用失败，意味着收到错误响应。收到的错误响应类型在每个不成功调用的 API 上方列出。可能的错误响应类型包括：access denied、access denied exception、auth failure、instance limit exceeded、invalid permission - duplicate、invalid permission - not found、operation not permitted。
- API 按照其关联的服务进行分类。
注意

有关更多上下文，请选择通常的 API打开一个窗格，提供顶级 API 的详细信息，最多可达 20 个，通常用于用户身份和帐户内的所有用户。这些 API 被标记为罕见(每月不到一次),不经常（每月几次），或频繁（每天到每周），具体取决于您的帐户内使用它们的频率。
异常行为（帐户）— 此部分提供了有关您账户的分析行为的其他详细信息。此面板中跟踪的信息包括：
- ASN 组织— 已发起异常 API 调用的 ASN 组织。
- 用户名称— 已发出异常 API 调用的用户的名称。
- 用户代理― 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法，例如aws-cli或者Botocore。
- 用户类型— 进行异常 API 调用的用户类型。可能的值包括AWS_SERVICE、ASSUMED_ROLE、IAM_USER，或者ROLE。
异常行为（用户身份）— 本节提供了有关用户身份参与调查结果。当某个行为被识别为异常时，这意味着 GuardDuty 的 ML 模型以前没有看到此用户身份，以此方式在培训期间进行此 API 调用。以下有关用户身份可用：
- ASN 组织— 发起异常 API 调用的 ASN 组织。
- 用户代理― 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法，例如aws-cli或者Botocore。
注意

有关异常行为的更多上下文，请选择通常的行为在账户或者User ID (用户 ID)面板打开一个窗格，该窗格提供有关以下每个类别的预期行为的详细信息：罕见(每月不到一次),不经常（每月几次），或频繁（每天到每周），具体取决于您的帐户内使用它们的频率。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

了解结果

GuardDuty 调查结果格式