本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
收集的 GuardDuty 使用运行时事件类型
GuardDuty 安全代理收集以下事件类型并将其发送到 GuardDuty后端以进行威胁检测和分析。 GuardDuty 不会让你访问这些事件。如果 GuardDuty 检测到潜在威胁并生成运行时监控结果,则可以查看相应的发现详细信息。有关如何 GuardDuty 使用收集的事件类型的更多信息,请参阅选择不使用您的数据来改善服务。
处理事件
| 字段名称 | 描述 |
|---|---|
进程名称 |
观察到的进程的名称。 |
进程路径 |
进程可执行文件的绝对路径。 |
进程 ID |
操作系统分配给进程的 ID。 |
命名空间 PID |
除主机级 PID 命名空间外,二级 PID 命名空间中的进程 ID。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。 |
进程用户 ID |
执行进程的用户的唯一 ID。 |
进程 UUID |
分配给流程的唯一 ID GuardDuty。 |
进程 GID |
进程组的进程 ID。 |
进程 EGID |
进程组的有效组 ID。 |
进程 EUID |
进程的有效用户 ID。 |
进程用户名 |
执行进程的用户名。 |
进程开始时间 |
创建进程的时间。该字段采用 UTC 日期字符串格式( |
进程可执行文件 SHA-256 |
进程可执行文件的 |
进程脚本路径 |
执行的脚本文件的路径。 |
进程环境变量 |
可供进程使用的环境变量。仅收集 |
进程当前工作目录(PWD) |
进程的当前工作目录。 |
父进程 |
父进程的进程详细信息。父进程是创建观察到的进程的进程。 |
|
命令行参数 目前,此字段仅限于与资源类型对应的特定代理版本:
有关更多信息,请参阅 GuardDuty 代理发布历史记录。 |
执行流程时提供的命令行参数。此字段可能包含敏感的客户数据。 |
容器事件
字段名称 |
描述 |
|---|---|
容器名称 |
容器的名称。 如果可用,该字段将显示标签 |
容器 UID |
容器运行时分配的容器的唯一 ID。 |
容器运行时 |
用于运行容器的容器运行时(例如 |
容器映像 ID |
容器映像的 ID。 |
容器映像名称 |
容器映像的名称。 |
Amazon Fargate (仅限 Amazon ECS)任务事件
字段名称 |
描述 |
|---|---|
任务 Amazon 资源名称 (ARN) |
任务的 ARN。 |
集群名称 |
亚马逊 ECS 集群的名称。 |
姓氏 |
任务定义的姓氏。用作 |
服务名称 |
Amazon ECS 服务的名称(如果该任务是作为服务的一部分启动的)。 |
启动类型 |
运行任务的基础架构。对于资源类型为的运行时监控 |
CPU |
任务定义中表示的任务使用的 CPU 单元数。 |
Kubernetes 容器组事件
字段名称 |
描述 |
|---|---|
容器组 ID |
Kubernetes 容器组的 ID。 |
容器组名称 |
Kubernetes 容器组的名称。 |
容器组命名空间 |
Kubernetes 工作负载所属的 Kubernetes 命名空间的名称。 |
Kubernetes 集群名称 |
Kubernetes 集群的名称。 |
DNS 事件
字段名称 |
描述 |
|---|---|
套接字类型 |
指示通信语义的套接字类型。例如, |
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
方向 ID |
连接方向的 ID。 |
协议编号 |
第 4 层协议编号,例如 UDP 为 17,TCP 为 6。 |
DNS 远程端点 IP |
连接的远程 IP。 |
DNS 远程端点端口 |
连接的端口号。 |
DNS 本地端点 IP |
连接的本地 IP。 |
DNS 本地端点端口 |
连接的端口号。 |
DNS 有效负载 |
包含 DNS 查询和响应的 DNS 数据包的有效负载。 |
公开事件
字段名称 |
描述 |
|---|---|
文件路径 |
在此事件中打开的文件的路径。 |
Flags |
描述文件访问模式,例如只读、只写和读写。 |
加载模块事件
字段名称 |
描述 |
|---|---|
模块名称 |
加载到内核中的模块的名称。 |
Mprotect 事件
字段名称 |
描述 |
|---|---|
地址范围 |
修改访问保护的地址范围。 |
内存区域 |
指定进程地址空间的区域,例如堆栈和堆。 |
Flags |
表示控制此事件行为的选项。 |
挂载事件
字段名称 |
描述 |
|---|---|
挂载目标 |
挂载源的挂载路径。 |
挂载源 |
挂载到挂载目标的主机上的路径。 |
文件系统类型 |
表示挂载的文件系统的类型。 |
Flags |
表示控制此事件行为的选项。 |
链接事件
字段名称 |
描述 |
|---|---|
链接路径 |
创建硬链接的路径。 |
目标路径 |
硬链接指向的文件路径。 |
符号链接事件
字段名称 |
描述 |
|---|---|
链接路径 |
创建符号链接的路径。 |
目标路径 |
符号链接指向的文件路径。 |
Dup 事件
字段名称 |
描述 |
|---|---|
旧文件描述符 |
表示打开的文件对象的文件描述符。 |
新文件描述符 |
与旧文件描述符重复的新文件描述符。新旧文件描述符表示同一个打开的文件对象。 |
Dup 远程端点 IP |
由旧文件描述符表示的网络套接字的远程 IP 地址。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 远程端点端口 |
由旧文件描述符表示的网络套接字的远程端口。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 本地端点 IP |
由旧文件描述符表示的网络套接字的本地 IP 地址。仅当旧文件描述符表示网络套接字时才适用。 |
Dup 本地端点端口 |
由旧文件描述符表示的网络套接字的本地端口。仅当旧文件描述符表示网络套接字时才适用。 |
内存映射事件
字段名称 |
描述 |
|---|---|
文件路径 |
内存映射到的文件的路径。 |
套接字事件
字段名称 |
描述 |
|---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
套接字类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 |
连接事件
字段名称 |
描述 |
|---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
套接字类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
指定地址系列中的特定协议。通常,地址系列中只有一个协议。例如,地址系列 |
文件路径 |
地址系列为 |
远程端点 IP |
连接的远程 IP。 |
远程端点端口 |
连接的端口号。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
进程 VM Readv 事件
字段名称 |
描述 |
|---|---|
Flags |
表示控制此事件行为的选项。 |
目标 PID |
正在从中读取内存的进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
进程 VM Writev 事件
字段名称 |
描述 |
|---|---|
Flags |
表示控制此事件行为的选项。 |
目标 PID |
正在向其写入内存的进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
Ptrace 事件
字段名称 |
描述 |
|---|---|
目标 PID |
目标进程的进程 ID。 |
目标进程 UUID |
目标进程的唯一 ID。 |
目标可执行文件路径 |
目标进程可执行文件的绝对路径。 |
Flags |
表示控制此事件行为的选项。 |
绑定事件
字段名称 |
描述 |
|---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
插座类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
第 4 层协议编号,例如 UDP 为 17,TCP 为 6。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
收听事件
字段名称 |
描述 |
|---|---|
地址系列 |
表示与地址关联的通信协议。例如,地址系列 |
插座类型 |
指示通信语义的套接字类型。例如, |
协议编号 |
第 4 层协议编号,例如 UDP 为 17,TCP 为 6。 |
本地端点 IP |
连接的本地 IP。 |
本地端点端口 |
连接的端口号。 |
重命名事件
字段名称 |
描述 |
|---|---|
文件路径 |
重命名的文件所在的路径。 |
目标 |
文件的新路径。 |
设置 UID 事件
字段名称 |
描述 |
|---|---|
新的 EUID |
流程的新有效用户 ID。 |
新 UID |
进程的新用户 ID。 |
Chmod 事件
字段名称 |
描述 |
|---|---|
文件路径 |
调用此事件的文件的路径。 |
文件模式 |
关联文件的更新访问权限。 |