As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de eventos de tempo de execução coletados que GuardDuty usam
O agente GuardDuty de segurança coleta os seguintes tipos de eventos e os envia ao GuardDuty back-end para detecção e análise de ameaças. GuardDuty não torna esses eventos acessíveis para você. Se GuardDuty detectar uma ameaça potencial e gerar umaTipos de descoberta de monitoramento de tempo de execução, você poderá ver os detalhes da descoberta correspondente.
Para obter informações sobre como GuardDuty usa os tipos de eventos coletados no Runtime Monitoring, consulteOptar por não usar seus dados para melhorar o serviço.
Eventos do processo
Os eventos de processo representam informações associadas aos processos em execução nas EC2 instâncias e cargas de trabalho de contêineres da Amazon. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do processo que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do processo |
Nome do processo observado. |
Caminho do processo |
Caminho absoluto do processo executável. |
ID do processo |
O ID atribuído ao processo pelo sistema operacional. |
Namespace PID |
O ID do processo em um namespace secundário diferente do PID namespace no nível PID do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner. |
ID do usuário do processo |
O ID exclusivo do usuário que executou o processo. |
Processo UUID |
A ID exclusiva atribuída ao processo por GuardDuty. |
Processo GID |
ID de processo do grupo de processos. |
Processo EGID |
ID de grupo efetivo do grupo de processos. |
Processo EUID |
ID de usuário efetivo do processo. |
Nome de usuário do processo |
O nome do usuário que executou o processo. |
Hora de início do processo |
A hora de criação do processo. Esse campo está no formato de string de UTC data ( |
Processo executável SHA -256 |
O hash |
Caminho do script de processo |
Caminho do arquivo de script que foi executado. |
Variável de ambiente do processo |
A variável de ambiente disponibilizada para o processo. Somente |
Diretório de trabalho atual do processo (PWD) |
Diretório de trabalho presente do processo. |
Processo pai |
Detalhes do processo pai. Um processo pai é um processo que criou o processo observado. |
|
Argumentos da linha de comando Atualmente, esse campo está limitado às versões específicas do agente correspondentes ao tipo de recurso:
Para obter mais informações, consulte GuardDuty versões de lançamento do agente de segurança. |
Argumentos de linha de comando fornecidos no momento da execução do processo. Esse campo pode conter dados confidenciais do cliente. |
Eventos de contêineres
Os eventos do contêiner representam informações associadas às atividades das cargas de trabalho do contêiner. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de carga de trabalho do contêiner que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do contêiner |
O nome do contêiner. Quando disponível, esse campo exibe o valor do rótulo |
Contêiner UID |
O ID exclusivo do contêiner atribuído pelo runtime do contêiner. |
Runtime do contêiner |
O runtime do contêiner (como |
ID da imagem do contêiner |
O ID da imagem do contêiner. |
Nome da imagem do contêiner |
O nome da imagem do contêiner. |
AWS Fargate Eventos de tarefas (ECSsomente na Amazon)
Os eventos de ECS tarefas do Fargate-Amazon representam atividades associadas às ECS tarefas da Amazon em execução em computadores do Fargate. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de tarefas do Amazon ECS -Fargate que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do recurso da Amazon da tarefa (ARN) |
O ARN da tarefa. |
Nome do cluster |
O nome do ECS cluster da Amazon. |
Nome de família |
O sobrenome da definição da tarefa. O |
Nome do serviço |
O nome do ECS serviço da Amazon, caso a tarefa tenha sido iniciada como parte de um serviço. |
Tipo de execução |
A infraestrutura na qual sua tarefa é executada. Para o Runtime Monitoring com o tipo de recurso como |
CPU |
O número de CPU unidades usadas pela tarefa, conforme expresso na definição da tarefa. |
Eventos de pod do Kubernetes
A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do pod do Kubernetes que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
ID do pod |
O ID do pod do Kubernetes. |
Nome do pod |
Nome do pod do Kubernetes. |
Namespace do pod |
Nome do namespace do Kubernetes ao qual a workload do Kubernetes pertence. |
Nome do cluster do Kubernetes |
Nome do cluster do Kubernetes. |
Eventos do Sistema de Nomes de Domínio (DNS)
Os eventos do Sistema de Nomes de Domínio (DNS) incluem detalhes das DNS consultas feitas por seus tipos de recursos e respostas correspondentes. A tabela a seguir inclui os nomes dos campos e as descrições dos DNS eventos que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
ID de direção |
O ID de direção da conexão. |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 paraTCP. |
DNSIP de endpoint remoto |
O IP remoto da conexão. |
DNSPorta de endpoint remoto |
O número da porta da conexão. |
DNSIP do endpoint local |
O IP local da conexão. |
DNSPorta de endpoint local |
O número da porta da conexão. |
DNSCarga útil |
A carga útil de DNS pacotes que contém DNS consultas e respostas. |
Eventos abertos
Os eventos abertos estão associados ao acesso e à modificação do arquivo. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos abertos que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho de arquivo que é aberto nesse evento. |
Sinalizadores |
Descreve o modo de acesso ao arquivo, como somente de leitura, somente de gravação e de leitura-gravação. |
Evento do módulo de carga
A tabela a seguir inclui o nome do campo e a descrição do evento do módulo de carregamento que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Nome do módulo |
Nome do módulo carregado no kernel. |
Eventos do Mprotect
Os eventos do Mprotect fornecem informações sobre alterações nas configurações de proteção de memória dos processos em execução nos sistemas monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do Mprotect que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Intervalo de endereços |
O intervalo de endereços para o qual as proteções de acesso foram modificadas. |
Regiões da memória |
Especifica a região do espaço de endereços de um processo, como pilha e heap. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Eventos de montagem
Os eventos de montagem fornecem informações associadas à montagem e desmontagem de sistemas de arquivos em seu recurso monitorado. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de montagem que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Destino de montagem |
O caminho em que a origem de montagem está montada. |
Fonte de montagem |
O caminho no host que está montado no destino de montagem. |
Tipo do sistema de arquivos |
Representa o tipo de montadofileSystem. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Eventos de links
Os eventos de link fornecem visibilidade das atividades de gerenciamento de links do sistema de arquivos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de link que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho do link |
O caminho em que o link físico é criado. |
Caminho de destino |
O caminho do arquivo para o qual o link físico aponta. |
Eventos do Symlink
Os eventos Symlink fornecem visibilidade das atividades de gerenciamento de links simbólicos do sistema de arquivos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de links simbólicos que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho do link |
Caminho em que o link simbólico é criado. |
Caminho de destino |
Caminho do arquivo para o qual o link simbólico aponta. |
Eventos Dup
Os eventos Dup fornecem visibilidade da duplicação de descritores de arquivos por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos dup que o Runtime Monitoring coleta para detectar possíveis ameaças.
Nome do campo |
Descrição |
|---|---|
Antigo descritor de arquivo |
Um descritor de arquivo que representa um objeto de arquivo aberto. |
Novo descritor de arquivo |
Um novo descritor de arquivo que é uma duplicata do antigo descritor de arquivo. Os antigos e novos descritores de arquivo representam o mesmo objeto de arquivo aberto. |
IP de endpoint remoto de Dup |
O endereço IP remoto do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Porta de endpoint remoto de Dup |
A porta remota do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
IP do endpoint local de Dup |
O endereço IP local do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Porta do endpoint local de Dup |
A porta local do soquete de rede representado pelo antigo descritor de arquivo. Aplicável somente quando o antigo descritor de arquivo representa um soquete de rede. |
Evento do mapa de memória
A tabela a seguir inclui o nome do campo e a descrição dos eventos do mapa de memória que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho de arquivo para o qual a memória está mapeada. |
Eventos de soquete
Os eventos de soquete fornecem informações sobre as conexões de soquete de rede usadas nas atividades dos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de soquete que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
Especifica um protocolo específico dentro da família de endereços. Geralmente, há um único protocolo nas famílias de endereços. Por exemplo, a família de endereços |
Eventos de conexão
Os eventos Connect fornecem visibilidade das conexões de rede estabelecidas pelos processos em seus recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de conexão que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
Especifica um protocolo específico dentro da família de endereços. Geralmente, há um único protocolo nas famílias de endereços. Por exemplo, a família de endereços |
Caminho de arquivo |
Caminho do arquivo de soquete se a família de endereços for |
IP de endpoint remoto |
O IP remoto da conexão. |
Porta de endpoint remoto |
O número da porta da conexão. |
IP do endpoint local |
O IP local da conexão. |
Porta do endpoint local |
O número da porta da conexão. |
Processar eventos Readv da VM
Os eventos de leitura da VM de processo fornecem visibilidade das operações de leitura realizadas pelos processos em suas próprias regiões de memória virtual. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de leitura da VM do processo que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Alvo PID |
ID de processo do qual a memória está sendo lida. |
Processo alvo UUID |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Processar eventos Writev da VM
Os eventos de gravação da VM de processo fornecem visibilidade das operações de gravação realizadas pelos processos em suas próprias regiões de memória virtual. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de gravação da VM do processo que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Alvo PID |
ID de processo no qual a memória está sendo gravada. |
Processo alvo UUID |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Eventos de rastreamento de processo (Ptrace)
A chamada do sistema Process Trace (Ptrace) é um mecanismo de depuração e rastreamento que permite que um processo (rastreador) observe e controle a execução de outro processo (tracee). Isso fornece ao rastreador a capacidade de inspecionar e modificar a memória, os registros e o fluxo de execução do processo de destino.
Os eventos do Ptrace fornecem visibilidade do uso da chamada do sistema ptrace por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos do ptrace que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Alvo PID |
ID de processo do processo de destino. |
Processo alvo UUID |
O ID exclusivo do processo de destino. |
Caminho executável de destino |
Caminho absoluto do arquivo executável do processo de destino. |
Sinalizadores |
Representa as opções que controlam o comportamento desse evento. |
Vincular eventos
Os eventos de vinculação fornecem visibilidade da vinculação de soquetes de rede por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de vinculação que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 paraTCP. |
IP do endpoint local |
O IP local da conexão. |
Porta de endpoint local |
O número da porta da conexão. |
Ouça os eventos
Os eventos de escuta fornecem visibilidade do estado de escuta dos soquetes de rede, indicando se um soquete de rede está pronto ou não para aceitar conexões de entrada. Um processo em execução no recurso monitorado define o soquete da rede para um estado de escuta. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de escuta que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Família de endereços |
Representa o protocolo de comunicação associado ao endereço. Por exemplo, a família de endereços |
Tipo de soquete |
Tipo de soquete para indicar a semântica de comunicação. Por exemplo, |
Número do protocolo |
O número do protocolo da camada 4, como 17 para UDP e 6 paraTCP. |
IP do endpoint local |
O IP local da conexão. |
Porta de endpoint local |
O número da porta da conexão. |
Renomear eventos
Os eventos de renomeação fornecem informações sobre a renomeação de arquivos e diretórios por processos executados nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos de renomeação que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho onde está o arquivo que foi renomeado. |
Destino |
O novo caminho do arquivo. |
Definir eventos de ID de usuário (UID)
Os eventos Definir ID do usuário (UID) fornecem visibilidade das alterações feitas no ID do usuário (UID) associado aos processos em execução nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos UID eventos definidos que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Novo EUID |
O novo ID de usuário efetivo do processo. |
Novo UID |
O novo ID de usuário do processo. |
Eventos Chmod
Os eventos Chmod fornecem visibilidade das mudanças nas permissões (modo) de arquivos e diretórios nos recursos monitorados. A tabela a seguir inclui os nomes dos campos e as descrições dos eventos chmod que o Runtime Monitoring coleta para detectar possíveis ameaças.
| Nome do campo | Descrição |
|---|---|
Caminho de arquivo |
Caminho do arquivo que invoca esse evento. |
Modo de arquivo |
As permissões de acesso atualizadas para o arquivo associado. |
