Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengumpulkan jenis peristiwa runtime yang menggunakan GuardDuty
Agen GuardDuty keamanan mengumpulkan jenis peristiwa berikut dan mengirimkannya ke GuardDuty backend untuk deteksi dan analisis ancaman. GuardDuty tidak membuat acara ini dapat diakses oleh Anda. Jika GuardDuty mendeteksi potensi ancaman dan menghasilkanJenis penemuan Runtime Monitoring, Anda dapat melihat detail temuan yang sesuai.
Untuk informasi tentang cara GuardDuty menggunakan jenis peristiwa yang dikumpulkan di Runtime Monitoring, lihatMemilih untuk tidak menggunakan data Anda untuk perbaikan layanan.
Memproses acara
Peristiwa proses mewakili informasi yang terkait dengan proses yang berjalan di EC2 instans Amazon dan beban kerja kontainer. Tabel berikut mencakup nama bidang dan deskripsi peristiwa proses yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Nama proses |
Nama proses yang diamati. |
Jalur Proses |
Jalur absolut dari proses yang dapat dieksekusi. |
ID Proses |
ID yang ditetapkan untuk proses oleh sistem operasi. |
Ruangnama PID |
ID proses proses dalam namespace sekunder selain PID namespace tingkat PID host. Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah. |
Memproses ID Pengguna |
ID unik pengguna yang mengeksekusi proses. |
Proses UUID |
ID unik yang ditetapkan untuk proses oleh GuardDuty. |
Proses GID |
ID proses dari grup proses. |
Proses EGID |
ID grup yang efektif dari grup proses. |
Proses EUID |
ID pengguna yang efektif dari proses tersebut. |
Nama Pengguna Proses |
Nama pengguna yang menjalankan proses. |
Waktu Mulai Proses |
Waktu ketika proses itu dibuat. Bidang ini dalam format string UTC tanggal ( |
Proses yang Dapat Dieksekusi -256 SHA |
|
Jalur Skrip Proses |
Path dari file script yang dieksekusi. |
Variabel Lingkungan Proses |
Variabel lingkungan tersedia untuk proses. Hanya |
Proses Direktori Kerja Sekarang (PWD) |
Menyajikan direktori kerja proses. |
Proses orang tua |
Rincian proses proses induk. Proses induk adalah proses yang menciptakan proses yang diamati. |
|
Argumen Baris Perintah Saat ini, bidang ini terbatas pada versi agen tertentu yang sesuai dengan jenis sumber daya:
Untuk informasi selengkapnya, lihat GuardDuty versi rilis agen keamanan. |
Argumen baris perintah yang diberikan pada saat eksekusi proses. Bidang ini mungkin berisi data pelanggan yang sensitif. |
Acara kontainer
Peristiwa kontainer mewakili informasi yang terkait dengan aktivitas beban kerja kontainer. Tabel berikut mencakup nama bidang dan deskripsi peristiwa beban kerja kontainer yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Nama Kontainer |
Nama wadahnya. Bila tersedia, bidang ini menampilkan nilai label |
Kontainer UID |
ID unik dari kontainer yang ditetapkan oleh runtime kontainer. |
Runtime Kontainer |
Runtime kontainer (seperti |
ID Gambar Kontainer |
ID dari gambar kontainer. |
Nama Gambar Kontainer |
Nama gambar kontainer. |
AWS Fargate (ECSHanya Amazon) peristiwa tugas
Peristiwa ECS tugas Fargate-Amazon mewakili aktivitas yang terkait dengan ECS tugas Amazon yang berjalan di komputasi Fargate. Tabel berikut mencakup nama bidang dan deskripsi peristiwa tugas Amazon ECS -Fargate yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Nama Sumber Daya Tugas Amazon (ARN) |
ARNTugas. |
Nama Klaster |
Nama ECS cluster Amazon. |
Nama Keluarga |
Nama keluarga definisi tugas. |
Nama Layanan |
Nama ECS layanan Amazon, jika tugas diluncurkan sebagai bagian dari layanan. |
Jenis Peluncuran |
Infrastruktur tempat tugas Anda berjalan. Untuk Runtime Monitoring dengan resource type as |
CPU |
Jumlah CPU unit yang digunakan oleh tugas seperti yang dinyatakan dalam definisi tugas. |
Acara pod Kubernetes
Tabel berikut mencakup nama bidang dan deskripsi dari peristiwa pod Kubernetes yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
ID Pod |
ID dari pod Kubernetes. |
Nama pod |
Nama pod Kubernetes. |
Ruang Nama Pod |
Nama namespace Kubernetes tempat beban kerja Kubernetes berada. |
Nama Cluster Kubernetes |
Nama cluster Kubernetes. |
Acara Sistem Nama Domain (DNS)
Peristiwa Sistem Nama Domain (DNS) mencakup rincian DNS kueri yang dibuat oleh jenis sumber daya Anda dan tanggapan terkait. Tabel berikut mencakup nama bidang dan deskripsi DNS peristiwa yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
ID Arah |
ID dari arah koneksi. |
Nomor Protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untukTCP. |
DNSIP Titik Akhir Jarak Jauh |
IP jarak jauh dari koneksi. |
DNSPort Endpoint Jarak Jauh |
Nomor port koneksi. |
DNSIP Titik Akhir Lokal |
IP lokal dari koneksi. |
DNSPelabuhan Endpoint Lokal |
Nomor port koneksi. |
DNSMuatan |
Payload DNS paket yang berisi DNS pertanyaan dan tanggapan. |
Buka acara
Acara terbuka dikaitkan dengan akses dan modifikasi file. Tabel berikut mencakup nama bidang dan deskripsi peristiwa terbuka yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Filepath |
Jalur file yang dibuka dalam acara ini. |
Bendera |
Menjelaskan mode akses file, seperti read-only, write-only, dan read-write. |
Memuat acara modul
Tabel berikut mencakup nama bidang dan deskripsi peristiwa modul beban yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Nama Modul |
Nama modul dimuat ke dalam kernel. |
Acara Mprotect
Acara Mprotect memberikan informasi tentang perubahan pada pengaturan perlindungan memori dari proses yang berjalan pada sistem yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa Mprotect yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Rentang Alamat |
Rentang alamat tempat perlindungan aksesnya dimodifikasi. |
Wilayah Memori |
Menentukan Wilayah ruang alamat proses seperti tumpukan dan heap. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Acara gunung
Mount event memberikan informasi yang terkait dengan pemasangan dan pelepasan sistem file pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa pemasangan yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Target Gunung |
Jalur tempat sumber mount dipasang. |
Sumber Gunung |
Jalur pada host yang dipasang di target mount. |
Jenis Sistem File |
Merupakan jenis yang dipasangfileSystem. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Tautkan acara
Peristiwa tautan memberikan visibilitas ke dalam aktivitas manajemen tautan sistem file di sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa tautan yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Jalur Tautan |
Jalur tempat hard link dibuat. |
Jalur Target |
Jalur file di mana hard link menunjuk. |
Acara Symlink
Acara Symlink memberikan visibilitas ke dalam aktivitas manajemen tautan simbolik sistem file di sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa symlink yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Jalur Tautan |
Jalur tempat tautan simbolis dibuat. |
Jalur Target |
Jalur file di mana tautan simbolik menunjuk. |
Acara Dup
Peristiwa Dup memberikan visibilitas ke dalam duplikasi deskriptor file dengan proses yang berjalan pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa dup yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
Nama bidang |
Deskripsi |
|---|---|
Deskriptor File Lama |
Deskriptor file yang mewakili objek file terbuka. |
Deskriptor File Baru |
Deskriptor file baru yang merupakan duplikat dari deskriptor file lama. Baik deskriptor file lama dan baru mewakili objek file terbuka yang sama. |
IP Titik Akhir Jarak Jauh Dup |
Alamat IP jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Port Titik Akhir Jarak Jauh Dup |
Port jarak jauh dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
IP Titik Akhir Lokal Dup |
Alamat IP lokal dari soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Pelabuhan Titik Akhir Lokal Dup |
Port lokal soket jaringan diwakili oleh deskriptor file lama. Hanya berlaku ketika deskriptor file lama mewakili soket jaringan. |
Acara peta memori
Tabel berikut mencakup nama bidang dan deskripsi peristiwa peta memori yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Filepath |
Jalur file tempat memori dipetakan. |
Acara soket
Peristiwa soket memberikan informasi tentang koneksi soket jaringan yang digunakan dalam aktivitas sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa soket yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Keluarga alamat |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat |
Connect event
Acara Connect memberikan visibilitas ke dalam koneksi jaringan yang dibuat oleh proses pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa connect yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Keluarga alamat |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor Protokol |
Menentukan protokol tertentu dalam keluarga alamat. Biasanya ada protokol tunggal dalam keluarga alamat. Misalnya, keluarga alamat |
Filepath |
Jalur file soket jika keluarga alamat adalah |
IP Titik Akhir Jarak Jauh |
IP jarak jauh dari koneksi. |
Port Titik Akhir Jarak Jauh |
Nomor port koneksi. |
IP Titik Akhir Lokal |
IP lokal dari koneksi. |
Pelabuhan Endpoint Lokal |
Nomor port koneksi. |
Memproses acara VM Readv
Proses peristiwa readv VM memberikan visibilitas ke dalam operasi baca yang dilakukan oleh proses di wilayah memori virtual mereka sendiri. Tabel berikut mencakup nama bidang dan deskripsi peristiwa readv VM proses yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Target PID |
ID proses dari proses dari mana memori sedang dibaca. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Proses acara VM Writev
Proses peristiwa VM writev memberikan visibilitas ke dalam operasi tulis yang dilakukan oleh proses di wilayah memori virtual mereka sendiri. Tabel berikut mencakup nama bidang dan deskripsi proses VM writev peristiwa yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Target PID |
ID proses dari proses dimana memori sedang ditulis. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Peristiwa proses jejak (Ptrace)
Process trace (Ptrace) system call adalah mekanisme debugging dan tracing yang memungkinkan satu proses (tracer) untuk mengamati dan mengontrol eksekusi proses lain (tracea). Ini memberi pelacak kemampuan untuk memeriksa dan memodifikasi memori, register, dan alur eksekusi proses target.
Peristiwa Ptrace memberikan visibilitas ke dalam penggunaan panggilan sistem ptrace oleh proses yang berjalan pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa ptrace yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Target PID |
ID proses dari proses target. |
Proses Target UUID |
ID unik dari proses target. |
Target Jalur yang Dapat Dieksekusi |
Jalur absolut dari file eksekusi proses target. |
Bendera |
Merupakan opsi yang mengontrol perilaku acara ini. |
Mengikat acara
Peristiwa mengikat memberikan visibilitas ke dalam pengikatan soket jaringan dengan proses yang berjalan pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa bind yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untukTCP. |
IP titik akhir lokal |
IP lokal dari koneksi. |
Port titik akhir lokal |
Nomor port koneksi. |
Dengarkan acara
Peristiwa mendengarkan memberikan visibilitas ke dalam keadaan mendengarkan soket jaringan, yang menunjukkan apakah soket jaringan siap menerima koneksi masuk atau tidak. Proses yang berjalan pada sumber daya yang dipantau akan menyetel soket jaringan ke status mendengarkan. Tabel berikut mencakup nama bidang dan deskripsi peristiwa mendengarkan yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Alamat Keluarga |
Merupakan protokol komunikasi yang terkait dengan alamat. Misalnya, keluarga alamat |
Jenis soket |
Jenis soket untuk menunjukkan semantik komunikasi. Misalnya, |
Nomor protokol |
Nomor protokol layer 4 seperti 17 untuk UDP dan 6 untukTCP. |
IP titik akhir lokal |
IP lokal dari koneksi. |
Port titik akhir lokal |
Nomor port koneksi. |
Ganti nama acara
Ganti nama acara memberikan informasi tentang penggantian nama file dan direktori dengan proses yang berjalan pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa ganti nama yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Filepath |
Path tempat file yang diganti namanya. |
Target |
Jalur baru file. |
Mengatur peristiwa ID pengguna (UID)
Acara set user ID (UID) memberikan visibilitas ke dalam perubahan yang dibuat pada user ID (UID) yang terkait dengan proses yang sedang berjalan pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi UID peristiwa set yang dikumpulkan oleh Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Baru EUID |
ID pengguna baru yang efektif dari proses tersebut. |
Baru UID |
ID pengguna baru dari proses tersebut. |
Acara Chmod
Peristiwa Chmod memberikan visibilitas ke dalam perubahan izin (mode) file dan direktori pada sumber daya yang dipantau. Tabel berikut mencakup nama bidang dan deskripsi peristiwa chmod yang dikumpulkan Runtime Monitoring untuk mendeteksi potensi ancaman.
| Nama bidang | Deskripsi |
|---|---|
Filepath |
Path dari file yang memanggil acara ini. |
Filemode |
Izin akses yang diperbarui untuk file terkait. |
