Action - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Action

这些区域有:Action对象提供了有关影响资源或对资源执行的操作的详细信息。操作可以是下列类型之一:

  • 远程 IP 地址发出AmazonAPI 调用。

  • 收到了 DNS 请求。

  • 远程 IP 地址试图连接到 EC2 实例。

  • 远程 IP 地址试图在 EC2 实例上进行端口探测。

示例

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false } }

Action 属性

Action 可能具有以下属性。

ActionType

可选

检测到的操作的类型。操作类型决定了在Action对象。

类型:字符串

有效值: NETWORK_CONNECTION|AWS_API_CALL|DNS_REQUEST|PORT_PROBE

AwsApiCallAction

可选

如果包含ActionTypeAWS_API_CALL.

提供有关检测到的 API 调用的详细信息。

类型:对象

DnsRequestAction

可选

如果包含ActionTypeDNS_REQUEST.

提供有关检测到的 DNS 请求的详细信息。

Type: 对象

NetworkConnectionAction

可选

如果包含ActionTypeNETWORK_CONNECTION.

提供有关检测到的网络连接的详细信息。

类型:对象

PortProbeAction

可选

如果包含ActionTypePORT_PROBE.

提供有关检测到的端口探测器的详细信息。

类型:对象

AwsApiCallAction

AwsApiCallAction如果提供ActionTypeAWS_API_CALL. 它提供了有关检测到的 API 调用的详细信息。

AwsApiCallAction 可能具有以下属性。

AffectedResources

可选

确定受 API 调用影响的资源。

类型:键值对映射

Api

可选

已发布的 API 方法的名称。

类型:字符串

CallerType

可选

指示 API 调用是来自远程 IP 地址还是来自 DNS 域。

类型:字符串

有效值domain | remoteIp

DomainDetails

可选

如果提供CallerTypedomain. 提供有关 API 调用发起的 DNS 域的信息。

类型: 对象

FirstSeen

可选

指示首次观察到 API 调用的时间。

类型:字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。

LastSeen

可选

指示最近观察 API 调用的时间。

类型:字符串

格式:使用date-time在中指定的格式RFC 3339 第 5.6 节,互联网日期/时间格式. 值不能包含空格。

RemoteIpDetails

可选

如果提供CallerTyperemoteIp. 提供有关 API 调用发起远程 IP 地址的信息。

类型:对象

ServiceName

可选

The name of the AmazonAPI 调用所属的服务。

类型:字符串

DomainDetails

DomainDetails如果提供AwsApiCallAction.CallerTypedomain. 它提供了有关发出 API 调用的 DNS 域的信息。

DomainDetails 可能具有以下属性。

Domain

可选

发出 API 调用的 DNS 域的名称。

类型:字符串

DnsRequestAction

DnsRequestAction如果提供ActionTypeDNS_REQUEST. 它提供了有关检测到的 DNS 请求的详细信息。

DnsRequestAction 可能具有以下属性。

Blocked

可选

指示是否阻止 DNS 请求。

类型:Boolean

Domain

可选

与 DNS 请求关联的 DNS 域。

类型:字符串

Protocol

可选

DNS 请求时使用的协议。

类型:字符串

NetworkConnectionAction

NetworkConnectionAction如果提供ActionTypeNETWORK_CONNECTION. 它提供了有关检测到的尝试网络连接的详细信息。

NetworkConnectionAction 可能具有以下属性。

Blocked

可选

指示是否阻止网络连接尝试。

类型:Boolean

ConnectionDirection

可选

网络连接请求的方向。

类型:字符串

有效值IN | OUT

LocalPortDetails

可选

有关 EC2 实例上端口的信息。

类型:对象

Protocol

可选

用于发出网络连接请求的协议。

类型:字符串

RemoteIpDetails

可选

有关发出网络连接请求的远程 IP 地址的信息。

类型:对象

RemotePortDetails

可选

有关远程 IP 地址上的端口的信息。

类型:对象

RemotePortDetails

RemotePortDetails提供有关尝试的网络连接中涉及的远程端口的信息。

RemotePortDetails 可能具有以下属性。

Port

可选

端口的编号。

类型:整数

PortName

可选

远程连接的端口名称。

类型: 字符串

PortProbeAction

PortProbeAction如果提供ActionTypePORT_PROBE. 它提供了有关检测到的尝试端口探测器的详细信息。

PortProbeAction 可能具有以下属性。

Blocked

可选

端口探测是否被阻止。

类型:Boolean

PortProbeDetails

可选

有关受端口探测器影响的端口的信息。

类型:对象数组

PortProbeDetails

PortProbeDetails包含作为端口探测器一部分的端口扫描列表。对于每次扫描,PortProbeDetails提供有关扫描的本地 IP 地址和端口以及扫描来源的远程 IP 地址的信息。

PortProbeDetails 可能具有以下属性。

LocalIpDetails

可选

提供有关扫描端口所在的 IP 地址的信息。

类型:对象

LocalPortDetails

可选

提供有关扫描端口的信息。

类型:对象

RemoteIpDetails

可选

提供有关执行扫描的远程 IP 地址的信息。

类型:对象

LocalIpDetails 可能具有以下属性。

IpAddressV4

可选

IP 地址。

类型:字符串

LocalPortDetails

适用于NetworkConnectionActionPortProbeDetailsLocalPortDetails提供了有关参与该操作的本地端口的信息。

LocalPortDetails 可能具有以下属性。

Port

可选

端口的编号。

类型:整数

PortName

可选

本地连接的端口名称。

类型:字符串

RemoteIpDetails

在详细信息中AwsApiCallActionNetworkConnectionAction, 和PortProbeActionRemoteIpDetails对象提供了有关操作中涉及的远程 IP 地址的信息。

RemoteIpDetails 可能具有以下属性。

City

可选

远程 IP 地址所在的城市。

类型:对象

Country

可选

远程 IP 地址所在的国家/地区。

类型:对象

Geolocation

可选

远程 IP 地址位置的坐标。

类型:对象

IpAddressV4

可选

IP 地址。

类型:字符串

Organization

可选

与远程 IP 地址关联的互联网服务提供商 (ISP) 组织。

类型:对象

City

City包含有关远程 IP 地址所在城市的信息。

City 可能具有以下属性。

CityName

可选

远程 IP 地址所在城市的名称。

类型:字符串

Country

Country标识远程 IP 地址所在的国家/地区。

Country 可能具有以下属性。

CountryCode

可选

远程 IP 地址所在国家/地区的 2 个字母 ISO 3166 国家/地区代码。

类型:字符串

CountryName

可选

远程 IP 地址所在国家/地区的名称。

类型:字符串

Geolocation

Geolocation提供远程 IP 地址位置的纬度和经度坐标。

Geolocation 可能具有以下属性。

Lat

可选

远程 IP 地址的位置的纬度。

类型:Double

Lon

可选

远程 IP 地址位置的经度。

类型:Double

Organization

Organization标识与远程 IP 地址关联的 ISP 组织。

Organization 可能具有以下属性。

Asn

可选

远程 IP 地址的 Internet 提供商的自治系统编号 (ASN)。

类型:字符串

AsnOrg

可选

注册 ASN 的组织的名称。

类型:字符串

Isp

可选

Internet 提供商的 ISP 信息。

类型:字符串

Org

可选

Internet 提供商的名称。

类型:字符串