Types d'événements d'exécution collectés qui GuardDuty utilisent - Amazon GuardDuty
Événements de processusÉvénements de conteneurAWS Fargate événements de tâches (Amazon ECS uniquement)Événements du pod KubernetesÉvénements du système de noms de domaine (DNS)Événements ouvertsÉvénement du module de chargeÉvénements MprotectÉvénements de montageÉvénements du lienÉvénements SymlinkÉvénements DupÉvénement de mappage de mémoireÉvénements de socketÉvénements de connexionÉvénements Process VM ReadvÉvénements Process VM WritevÉvénements de suivi des processus (Ptrace)Lier des événementsÉcoutez les événementsRenommer les événementsDéfinir les événements d'ID utilisateur (UID)Événements Chmod

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types d'événements d'exécution collectés qui GuardDuty utilisent

L'agent GuardDuty de sécurité collecte les types d'événements suivants et les envoie au GuardDuty backend à des fins de détection et d'analyse des menaces. GuardDuty ne vous permet pas d'accéder à ces événements. S'il GuardDuty détecte une menace potentielle et en génère unTypes de recherche liés à la surveillance du temps, vous pouvez consulter les détails de la découverte correspondante.

Pour plus d'informations sur l' GuardDuty utilisation des types d'événements collectés dans Runtime Monitoring, consultezRefus d’utiliser vos données pour améliorer le service.

Événements de processus

Les événements de processus représentent les informations associées aux processus exécutés sur les EC2 instances Amazon et les charges de travail des conteneurs. Le tableau suivant inclut les noms de champs et les descriptions des événements de processus que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Nom du processus

Nom du processus observé.

Chemin d'accès du processus

Chemin absolu de l'exécutable du processus.

ID du processus.

ID attribué au processus par le système d'exploitation.

PID de l'espace de noms

ID du processus dans un espace de noms PID secondaire différent de l'espace de noms PID au niveau de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur.

ID d'utilisateur du processus

ID unique de l'utilisateur qui a exécuté le processus.

UUID du processus

L'identifiant unique attribué au processus par GuardDuty.

GID du processus

ID de processus du groupe de processus.

EGID du processus

ID de groupe effectif du groupe de processus.

EUID du processus

ID utilisateur effectif du processus.

Nom d'utilisateur du processus

Nom d'utilisateur qui a exécuté le processus.

Heure de début du processus

L'heure de création du processus. Ce champ est au format de chaîne de date UTC (2023-03-22T19:37:20.168Z).

Exécutable du processus SHA-256

Hachage SHA256 de l'exécutable du processus.

Chemin du script de processus

Chemin du fichier de script qui a été exécuté.

Variable d'environnement de processus

Variable d'environnement mise à la disposition du processus. Seuls LD_PRELOAD et LD_LIBRARY_PATH sont collectés.

Process Present Working Directory (PWD)

Référentiel de travail actuel du processus.

Processus parent

Détails de processus du processus parent. Un processus parent est un processus qui a créé le processus observé.

Arguments de ligne de commande

Actuellement, ce champ est limité à des versions d'agent spécifiques correspondant au type de ressource :

  • Fargate (Amazon ECS uniquement GuardDuty ) avec agent de sécurité v1.0.0 et versions ultérieures.

  • EC2 Instances Amazon avec agent GuardDuty de sécurité v1.0.0 et versions ultérieures.

  • Clusters Amazon EKS avec agent de sécurité v1.4.0 et versions ultérieures.

Pour de plus amples informations, veuillez consulter GuardDuty versions publiées de l'agent de sécurité.

Arguments de ligne de commande fournis au moment de l'exécution du processus. Ce champ peut contenir des données client sensibles.

Événements de conteneur

Les événements relatifs aux conteneurs représentent les informations associées aux activités des charges de travail des conteneurs. Le tableau suivant inclut les noms de champs et les descriptions des événements de charge de travail du conteneur que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Nom de conteneur

Nom du conteneur.

Lorsqu'il est disponible, ce champ affiche la valeur de l'étiquette io.kubenetes.container.name.

UID de conteneur

L'ID unique du conteneur attribué par l'environnement d'exécution du conteneur.

Exécution de conteneur

Exécution du conteneur (tel que docker ou containerd) utilisé pour exécuter le conteneur.

ID de l'image de conteneur

ID de l'image du conteneur.

Nom d'image de conteneur

Nom de l'image du conteneur.

AWS Fargate événements de tâches (Amazon ECS uniquement)

Les événements de tâches Fargate-Amazon ECS représentent les activités associées aux tâches Amazon ECS exécutées sur des ordinateurs Fargate. Le tableau suivant inclut les noms de champs et les descriptions des événements de tâches Amazon ECS-Fargate que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Nom de la ressource Amazon (ARN) de la tâche

L'ARN de la tâche.

Nom du cluster

Nom du cluster Amazon ECS.

Nom de famille

Le nom de famille de la définition de tâche. Le family est utilisé comme nom pour la définition de tâche utilisée pour lancer la tâche.

Service Name

Le nom du service Amazon ECS, si la tâche a été lancée dans le cadre d'un service.

Type de lancement

L'infrastructure sur laquelle s'exécute votre tâche. Pour la surveillance du temps d'exécution avec le type de ressource asECSCluster, le type de lancement peut être l'un EC2 ou l'autreFARGATE.

CPU

Le nombre d'unités de processeur utilisées par la tâche, tel qu'il est indiqué dans la définition de la tâche.

Événements du pod Kubernetes

Le tableau suivant inclut les noms de champs et les descriptions des événements du pod Kubernetes que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

ID de pod

L'ID du pod Kubernetes.

Nom de pod

Nom du pod Kubernetes.

Espace de noms de pod

Nom de l'espace de noms Kubernetes auquel appartient la charge de travail Kubernetes.

Nom de cluster Kubernetes

Nom du cluster Kubernetes.

Événements du système de noms de domaine (DNS)

Les événements du système de noms de domaine (DNS) incluent les détails des requêtes DNS effectuées par vos types de ressources et les réponses correspondantes. Le tableau suivant inclut les noms de champs et les descriptions des événements DNS que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Type de socket

Type de socket pour indiquer la sémantique de communication. Par exemple, SOCK_RAW.

Famille d'adresses

Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses AF_INET est utilisée pour le protocole IP v4.

ID de direction

ID de direction de la connexion.

Numéro de protocole

Le numéro de protocole de couche 4, par exemple 17 pour UDP et 6 pour TCP.

IP du point de terminaison distant DNS

Adresse IP distante de la connexion.

Port du point de terminaison distant DNS

Numéro de port de la connexion.

Adresse IP du point de terminaison local du DNS

Adresse IP locale de la connexion.

Port du point de terminaison local du DNS

Numéro de port de la connexion.

Charge utile du DNS

Charge utile des paquets DNS contenant des réponses et des requêtes DNS.

Événements ouverts

Les événements ouverts sont associés à l'accès aux fichiers et à leur modification. Le tableau suivant inclut les noms de champs et les descriptions des événements ouverts que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Filepath

Chemin du fichier ouvert lors dans cet événement.

Indicateurs

Décrit le mode d'accès aux fichiers, tel que lecture seule, écriture seule et lecture-écriture.

Événement du module de charge

Le tableau suivant inclut le nom du champ et la description de l'événement du module de chargement que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Nom de module

Nom du module chargé dans le noyau.

Événements Mprotect

Les événements Mprotect fournissent des informations sur les modifications apportées aux paramètres de protection de la mémoire des processus exécutés sur les systèmes surveillés. Le tableau suivant inclut les noms de champs et les descriptions des événements Mprotect que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Plage d'adresses

Plage d'adresses pour laquelle les protections d'accès ont été modifiées.

Régions de mémoire

Spécifie la région de l'espace d'adressage d'un processus, tel que pile et tas.

Indicateurs

Représente les options qui contrôlent le comportement de cet événement.

Événements de montage

Les événements de montage fournissent des informations associées au montage et au démontage des systèmes de fichiers sur votre ressource surveillée. Le tableau suivant inclut les noms de champs et les descriptions des événements de montage que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Cible de montage

Chemin où la source de montage est montée.

Source de montage

Chemin sur l'hôte qui est monté sur la cible de montage.

Type de système de fichiers

Représente le type de système de fichiers monté.

Indicateurs

Représente les options qui contrôlent le comportement de cet événement.

Les événements de liens fournissent une visibilité sur les activités de gestion des liens du système de fichiers dans vos ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements de lien que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Chemin du lien

Chemin où le lien physique est créé.

Chemin cible

Chemin du fichier vers lequel pointe le lien physique.

Les événements Symlink fournissent une visibilité sur les activités de gestion des liens symboliques du système de fichiers dans vos ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements liés aux liens symboliques que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Chemin du lien

Chemin où le lien symbolique est créé.

Chemin cible

Chemin du fichier vers lequel pointe le lien symbolique.

Événements Dup

Les événements Dup fournissent une visibilité sur la duplication des descripteurs de fichiers par les processus exécutés sur les ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements dup que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ

Description

Descripteur d'ancien fichier

Descripteur de fichier qui représente un objet de fichier ouvert.

Descripteur de nouveau fichier

Descripteur de nouveau fichier dupliqué du descripteur d'ancien fichier. Aussi bien le descripteur d'un ancien fichier que celui de nouveau fichier représentent le même objet de fichier ouvert.

IP du point de terminaison distant Dup

Adresse IP distante de socket réseau représentée par le descripteur de nouveau fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau.

Port du point de terminaison distant Dup

Port distant de socket réseau représenté par le descripteur de nouveau fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau.

Adresse IP du point de terminaison local Dup

Adresse IP locale de socket réseau représentée par le descripteur d'ancien fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau.

Port du point de terminaison local Dup

Port local de socket réseau représenté par le descripteur d'ancien fichier. Applicable uniquement lorsque le descripteur d'ancien fichier représente un socket réseau.

Événement de mappage de mémoire

Le tableau suivant inclut le nom du champ et la description des événements de mappage de mémoire que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Filepath

Chemin du fichier auquel la mémoire est mappée.

Événements de socket

Les événements de socket fournissent des informations sur les connexions de socket réseau utilisées dans les activités des ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements de socket que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Famille d'adresses

Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses AF_INET est utilisée pour la version IP du protocole 4.

Type de socket

Type de socket pour indiquer la sémantique de communication. Par exemple, SOCK_RAW.

Numéro de protocole

Spécifie un protocole particulier au sein de la famille d'adresses. Il existe généralement un protocole unique dans les familles d'adresses. Par exemple, la famille d'adresses AF_INET utilise uniquement le protocole IP.

Événements de connexion

Les événements Connect fournissent une visibilité sur les connexions réseau établies par les processus sur vos ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements de connexion que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Famille d'adresses

Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses AF_INET est utilisée pour le protocole IP v4.

Type de socket

Type de socket pour indiquer la sémantique de communication. Par exemple, SOCK_RAW.

Numéro de protocole

Spécifie un protocole particulier au sein de la famille d'adresses. Il existe généralement un protocole unique dans les familles d'adresses. Par exemple, la famille d'adresses AF_INET utilise uniquement le protocole IP.

Filepath

Chemin du fichier socket si la famille d'adresses est AF_UNIX.

IP du point de terminaison distant

Adresse IP distante de la connexion.

Port du point de terminaison distant

Numéro de port de la connexion.

Adresse IP du point de terminaison local

Adresse IP locale de la connexion.

Port du point de terminaison local

Numéro de port de la connexion.

Événements Process VM Readv

Les événements Process VM readv fournissent une visibilité sur les opérations de lecture effectuées par les processus sur leurs propres régions de mémoire virtuelle. Le tableau suivant inclut les noms de champs et les descriptions des événements VM readv du processus que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Indicateurs

Représente les options qui contrôlent le comportement de cet événement.

PID cible

ID du processus à partir duquel la mémoire est lue.

UUID du processus cible

ID unique du processus cible.

Chemin d'exécutable cible

Chemin absolu du fichier exécutable du processus cible.

Événements Process VM Writev

Les événements d'écriture des machines virtuelles de processus fournissent une visibilité sur les opérations d'écriture effectuées par les processus sur leurs propres régions de mémoire virtuelle. Le tableau suivant inclut les noms de champs et les descriptions des événements d'écriture des machines virtuelles par processus que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Indicateurs

Représente les options qui contrôlent le comportement de cet événement.

PID cible

ID du processus dans lequel la mémoire est écrite.

UUID du processus cible

ID unique du processus cible.

Chemin d'exécutable cible

Chemin absolu du fichier exécutable du processus cible.

Événements de suivi des processus (Ptrace)

L'appel système Process Trace (Ptrace) est un mécanisme de débogage et de traçage qui permet à un processus (traceur) d'observer et de contrôler l'exécution d'un autre processus (tracee). Cela permet au traceur d'inspecter et de modifier la mémoire, les registres et le flux d'exécution du processus cible.

Les événements Ptrace fournissent une visibilité sur l'utilisation de l'appel système ptrace par les processus exécutés sur les ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements ptrace que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

PID cible

ID du processus cible.

UUID du processus cible

ID unique du processus cible.

Chemin d'exécutable cible

Chemin absolu du fichier exécutable du processus cible.

Indicateurs

Représente les options qui contrôlent le comportement de cet événement.

Lier des événements

Les événements de liaison fournissent une visibilité sur la liaison des sockets réseau par les processus exécutés sur les ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements de liaison que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Famille d'adresses

Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses AF_INET est utilisée pour le protocole IP v4.

Type de prise

Type de socket pour indiquer la sémantique de communication. Par exemple, SOCK_RAW.

Numéro de protocole

Le numéro de protocole de couche 4, par exemple 17 pour UDP et 6 pour TCP.

IP du point de terminaison local

Adresse IP locale de la connexion.

Port du point de terminaison local

Numéro de port de la connexion.

Écoutez les événements

Les événements Listen fournissent une visibilité sur l'état d'écoute des sockets réseau, indiquant si un socket réseau est prêt à accepter les connexions entrantes. Un processus exécuté sur votre ressource surveillée met le socket réseau en état d'écoute. Le tableau suivant inclut les noms de champs et les descriptions des événements d'écoute que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Famille d'adresses

Représente le protocole de communication associé à l'adresse. Par exemple, la famille d'adresses AF_INET est utilisée pour le protocole IP v4.

Type de prise

Type de socket pour indiquer la sémantique de communication. Par exemple, SOCK_RAW.

Numéro de protocole

Le numéro de protocole de couche 4, par exemple 17 pour UDP et 6 pour TCP.

IP du point de terminaison local

Adresse IP locale de la connexion.

Port du point de terminaison local

Numéro de port de la connexion.

Renommer les événements

Les événements de renommage fournissent des informations sur le changement de nom des fichiers et des répertoires par les processus exécutés sur les ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements de changement de nom que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Filepath

Chemin où se trouve le fichier renommé.

Cible

Le nouveau chemin du fichier.

Définir les événements d'ID utilisateur (UID)

Les événements Set User ID (UID) fournissent une visibilité sur les modifications apportées à l'ID utilisateur (UID) associé aux processus en cours sur vos ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements UID définis que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Nouvel EUID

Le nouvel ID utilisateur effectif du processus.

Nouvel UID

Le nouvel ID utilisateur du processus.

Événements Chmod

Les événements Chmod fournissent une visibilité sur les modifications des autorisations (mode) des fichiers et des répertoires sur les ressources surveillées. Le tableau suivant inclut les noms de champs et les descriptions des événements chmod que Runtime Monitoring collecte pour détecter les menaces potentielles.

Nom de champ Description

Filepath

Chemin du fichier qui invoque cet événement.

Mode de fichier

Les autorisations d'accès mises à jour pour le fichier associé.