As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de eventos de tempo de execução coletados que GuardDuty usam
O agente GuardDuty de segurança coleta os seguintes tipos de eventos e os envia ao GuardDuty back-end para detecção e análise de ameaças. GuardDuty não torna esses eventos acessíveis para você. Se GuardDuty detectar uma ameaça potencial e gerar umaTipos de descoberta do Monitoramento de runtime, você poderá ver os detalhes da descoberta correspondente.
Para obter informações sobre como GuardDuty usa os tipos de eventos coletados no Runtime Monitoring, consulteOptar por não usar seus dados para melhorar o serviço.
Eventos do processo
Os eventos de processo representam informações associadas aos processos em execução nas EC2 instâncias e cargas de trabalho de contêineres da Amazon. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do processo que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do processo |
Nome do processo observado. |
Caminho do processo |
Caminho absoluto do processo executável. |
ID do processo |
O ID atribuído ao processo pelo sistema operacional. |
PID do namespace |
O ID do processo em um namespace de PID secundário diferente do namespace de PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner. |
ID do usuário do processo |
O ID exclusivo do usuário que executou o processo. |
UUID do processo |
A ID exclusiva atribuída ao processo por GuardDuty. |
GID do processo |
ID de processo do grupo de processos. |
EGID do processo |
ID de grupo efetivo do grupo de processos. |
EUID do processo |
ID de usuário efetivo do processo. |
Nome de usuário do processo |
O nome do usuário que executou o processo. |
Hora de início do processo |
A hora de criação do processo. Esse campo está no formato de string de data UTC ( |
Processar SHA-256 do executável |
O hash |
Caminho do script de processo |
Caminho do arquivo de script que foi executado. |
Variável de ambiente do processo |
A variável de ambiente disponibilizada para o processo. Somente |
Present Working Directory (PWD – Diretório de trabalho presente) do processo |
Diretório de trabalho presente do processo. |
Processo pai |
Detalhes do processo pai. Um processo pai é um processo que criou o processo observado. |
|
Argumentos de linha de comando Atualmente, esse campo se limita a versões específicas do agente que correspondem ao tipo de recurso:
Para obter mais informações, consulte GuardDuty versões de lançamento do agente de segurança. |
Argumentos de linha de comando fornecidos no momento da execução do processo. Esse campo pode conter dados confidenciais do cliente. |
Eventos de contêineres
Os eventos do contêiner representam informações associadas às atividades dos workloads do contêiner. A tabela a seguir inclui os nomes de campo e as descrições dos eventos do workload de contêiner que o Monitoramento de runtime coleta para detectar ameaças em potencial.
| Nome do campo | Descrição |
|---|---|
Nome do contêiner |
O nome do contêiner. Quando disponível, esse campo exibe o valor do rótulo |
UID do contêiner |
O ID exclusivo do contêiner atribuído pelo runtime do contêiner. |
Runtime do contêiner |
O runtime do contêiner (como |
ID da imagem do contêiner |
O ID da imagem do contêiner. |
Nome da imagem do contêiner |
O nome da imagem do contêiner. |
AWS Fargate Eventos de tarefas (somente Amazon ECS)
Os eventos de tarefas do Fargate-Amazon ECS representam atividades associadas às tarefas do Amazon ECS executadas em computadores Fargate. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de tarefa do Amazon ECS-Fargate que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome de recurso da Amazon (ARN) da tarefa |
O ARN da tarefa. |
Nome do cluster |
O nome do cluster do Amazon ECS. |
Nome de família |
O nome de família da definição da tarefa. O |
Nome do serviço |
O nome do serviço do Amazon ECS, se a tarefa foi iniciada como parte de um serviço. |
Tipo de execução |
A infraestrutura na qual sua tarefa é executada. Para o Monitoramento de runtime com o tipo de recurso como |
CPU |
O número de unidades de CPU usadas pela tarefa, conforme expresso na definição da tarefa. |
Eventos de pod do Kubernetes
A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de pod do Kubernetes que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
ID do pod |
O ID do pod do Kubernetes. |
Nome do pod |
Nome do pod do Kubernetes. |
Namespace do pod |
Nome do namespace do Kubernetes ao qual a workload do Kubernetes pertence. |
Nome do cluster do Kubernetes |
Nome do cluster do Kubernetes. |
Eventos do Sistema de Nomes de Domínio (DNS)
Os eventos do Sistema de Nomes de Domínio (DNS) incluem detalhes das consultas ao DNS feitas por seus tipos de recursos e respostas correspondentes. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos DNS que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
ID de direção |
O ID de direção da conexão. |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 para TCP. |
IP de endpoint remoto de DNS |
O IP remoto da conexão. |
Porta de endpoint remoto de DNS |
O número da porta da conexão. |
IP do endpoint local de DNS |
O IP local da conexão. |
Porta do endpoint local de DNS |
O número da porta da conexão. |
Carga útil de DNS |
A carga útil dos pacotes DNS que contém consultas e respostas de DNS. |
Eventos abertos
Os eventos abertos estão associados ao acesso e modificação do arquivo. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos abertos que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho de arquivo que é aberto nesse evento. |
Sinalizadores |
Descreve o modo de acesso ao arquivo, como somente de leitura, somente de gravação e de leitura-gravação. |
Evento do módulo de carga
A tabela a seguir inclui o nome do campo e a descrição do evento de módulo de carga que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do módulo |
Nome do módulo carregado no kernel. |
Eventos do Mprotect
Os eventos Mprotect fornecem informações sobre alterações nas configurações de proteção de memória dos processos em execução nos sistemas monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos Mprotect que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Intervalo de endereços |
O intervalo de endereços para o qual as proteções de acesso foram modificadas. |
Regiões da memória |
Especifica a região do espaço de endereços de um processo, como pilha e heap. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Eventos de montagem
Os eventos de montagem fornecem informações associadas à montagem e desmontagem de sistemas de arquivos em seu recurso monitorado. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de montagem que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Destino de montagem |
O caminho em que a origem de montagem está montada. |
Fonte de montagem |
O caminho no host que está montado no destino de montagem. |
Tipo do sistema de arquivos |
Representa o tipo de sistema de arquivos montado. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Eventos de links
Os eventos de link fornecem visibilidade das atividades de gerenciamento de links do sistema de arquivos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de link que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho do link |
O caminho em que o link físico é criado. |
Caminho de destino |
O caminho do arquivo para o qual o link físico aponta. |
Eventos do Symlink
Os eventos do Symlink fornecem visibilidade das atividades de gerenciamento de link simbólico do sistema de arquivos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do symlink que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho do link |
Caminho em que o link simbólico é criado. |
Caminho de destino |
Caminho do arquivo para o qual o link simbólico aponta. |
Eventos Dup
Os eventos Dup fornecem visibilidade da duplicação de descritores de arquivos por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos dup que o Monitoramento de runtime coleta para detectar possíveis ameaças.
Nome do campo |
Descrição |
|---|---|
Antigo descritor de arquivo |
Um descritor de arquivo que representa um objeto de arquivo aberto. |
Novo descritor de arquivo |
Um novo descritor de arquivo que é uma duplicata do antigo descritor de arquivo. Os antigos e novos descritores de arquivo representam o mesmo objeto de arquivo aberto. |
IP de endpoint remoto de Dup |
O endereço IP remoto do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Porta de endpoint remoto de Dup |
A porta remota do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
IP do endpoint local de Dup |
O endereço IP local do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Porta do endpoint local de Dup |
A porta local do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Evento do mapa de memória
A tabela a seguir inclui o nome do campo e a descrição de eventos de mapa de memória que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho de arquivo para o qual a memória está mapeada. |
Eventos de soquete
Os eventos de soquete fornecem informações sobre as conexões de soquete da rede usadas nas atividades dos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do soquete que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
Especifica um protocolo específico dentro da família de endereços. Geralmente, há um único protocolo nas famílias de endereços. Por exemplo, a família de endereços |
Eventos de conexão
Os eventos de conexão fornecem visibilidade das conexões de rede estabelecidas pelos processos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de conexão que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
Especifica um protocolo específico dentro da família de endereços. Geralmente, há um único protocolo nas famílias de endereços. Por exemplo, a família de endereços |
Caminho de arquivo |
Caminho do arquivo de soquete se a família de endereços for |
IP de endpoint remoto |
O IP remoto da conexão. |
Porta de endpoint remoto |
O número da porta da conexão. |
IP do endpoint local |
O IP local da conexão. |
Porta do endpoint local |
O número da porta da conexão. |
Processar eventos Readv da VM
Os eventos de processo readv da VM fornecem visibilidade para operações de leitura realizadas pelos processos em suas próprias regiões de memória virtual. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos VM readv do processo que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
PID de destino |
ID de processo do qual a memória está sendo lida. |
UUID do processo de destino |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Processar eventos Writev da VM
Os eventos de processo writev da VM fornecem visibilidade para operações de gravação realizadas pelos processos em suas próprias regiões de memória virtual. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos VM writev do processo que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
PID de destino |
ID de processo no qual a memória está sendo gravada. |
UUID do processo de destino |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Eventos de rastreio de processo (Ptrace)
A chamada do sistema de rastreio de processo (Ptrace) é um mecanismo de depuração e rastreamento que permite que um processo (tracer) observe e controle a execução de outro processo (tracee). Isso fornece ao rastreador a capacidade de inspecionar e modificar memória, registros e fluxo de execução do processo de destino.
Os eventos Ptrace fornecem visibilidade do uso da chamada do sistema ptrace pelos processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos ptrace que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
PID de destino |
ID de processo do processo de destino. |
UUID do processo de destino |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Vincular eventos
Os eventos de vinculação fornecem visibilidade da vinculação de soquetes da rede por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de vinculação que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 para TCP. |
IP do endpoint local |
O IP local da conexão. |
Porta do endpoint local |
O número da porta da conexão. |
Eventos de escuta
Os eventos de recepção fornecem visibilidade do estado de recepção dos soquetes de rede, indicando se um soquete de rede está pronto ou não para aceitar conexões de entrada. Um processo executado em seu recurso monitorado define o soquete de rede para um estado de recepção. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de escuta que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 para TCP. |
IP do endpoint local |
O IP local da conexão. |
Porta do endpoint local |
O número da porta da conexão. |
Eventos de renomeação
Os eventos de renomeação fornecem informações sobre a renomeação de arquivos e diretórios por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de renomeação que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho para o arquivo que será renomeado. |
Alvo |
O novo caminho do arquivo. |
Eventos Definir ID de usuário (UID)
Os eventos Definir ID de usuário (UID) fornecem visibilidade das alterações feitas na ID do usuário (UID) associada aos processos em execução nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de UID definidas que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nova EUID |
A nova ID de usuário efetiva do processo. |
Nova UID |
A nova ID de usuário do processo. |
Eventos Chmod
Os eventos Chmod fornecem visibilidade para mudanças nas permissões (modo) de arquivos e diretórios nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos chmod que o Monitoramento de runtime coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho do arquivo que invoca esse evento. |
Modo do arquivo |
As permissões de acesso atualizadas para o arquivo associado. |
