本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用的 GuardDuty收集執行期事件類型
GuardDuty 安全代理程式會收集下列事件類型,並將其 GuardDuty傳送至後端以進行威脅偵測和分析。 GuardDuty 不會讓您存取這些事件。如果 GuardDuty 偵測到潛在威脅並產生 執行期監控調查結果類型,您可以檢視對應的調查結果詳細資訊。
如需如何在執行期監控中使用 GuardDuty 收集的事件類型的相關資訊,請參閱 選擇不使用您的資料以改善服務。
程序事件
程序事件代表與在 Amazon EC2執行個體和容器工作負載上執行的程序相關的資訊。下表包含執行期監控收集的程序事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
程序名稱 |
觀察到的程序名稱。 |
程序路徑 |
程序可執行檔的絕對路徑。 |
程序 ID |
由作業系統指派給程序的 ID。 |
命名空間 PID |
在主機層級PID命名空間以外的次要PID命名空間中,程序的程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。 |
程序使用者 ID |
執行程序的使用者 ID。 |
程序 UUID |
指派給程序的唯一 ID GuardDuty。 |
程序 GID |
程序群組的程序 ID。 |
程序 EGID |
程序群組的有效群組 ID。 |
程序 EUID |
程序的有效使用者 ID。 |
程序使用者名稱 |
執行程序的使用者名稱。 |
程序開始時間 |
程序的建立時間。此欄位採用UTC日期字串格式 ( |
程序可執行檔 SHA-256 |
程序可執行檔的 |
程序指令碼路徑 |
指令碼檔案的執行路徑。 |
程序環境變數 |
可供程序使用的環境變數。只會收集 |
處理目前工作目錄 (PWD) |
程序目前的工作目錄。 |
父程序 |
父程序的程序詳細資訊。父程序是建立觀察到的程序的程序。 |
|
命令列引數 目前,此欄位僅限於與資源類型對應的特定代理程式版本:
如需詳細資訊,請參閱GuardDuty 安全代理程式版本。 |
程序執行時提供的命令列引數。此欄位可能包含敏感的客戶資料。 |
容器事件
容器事件代表與容器工作負載活動相關的資訊。下表包含執行期監控收集用於偵測潛在威脅的容器工作負載事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
容器名稱 |
容器的名稱。 如果可用,此欄位會顯示標籤 |
容器 UID |
容器執行期所指派容器的唯一 ID。 |
容器執行期 |
用於執行容器的容器執行期 (例如 |
容器映像 ID |
容器映像的 ID。 |
容器映像名稱 |
容器映像的名稱。 |
AWS Fargate (ECS僅限 Amazon) 任務事件
Fargate-Amazon ECS任務事件代表與在 Fargate 運算上執行的 Amazon ECS任務相關聯的活動。下表包含執行期監控所收集的 Amazon ECS-Fargate 任務事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
任務 Amazon Resource Name (ARN) |
任務ARN的 。 |
叢集名稱 |
Amazon ECS叢集的名稱。 |
姓氏 |
任務定義的系列名稱。 |
服務名稱 |
如果任務是以服務的一部分啟動,Amazon ECS服務的名稱。 |
啟動類型 |
任務執行所在的基礎設施。對於資源類型為 的執行期監控 |
CPU |
任務使用CPU的裝置數量,如任務定義中所表示。 |
Kubernetes Pod 事件
下表包含執行期監控收集的 Kubernetes Pod 事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
Pod ID |
Kubernetes Pod 的 ID。 |
Pod 名稱 |
Kubernetes Pod 的名稱。 |
Pod 命名空間 |
Kubernetes 工作負載所屬 Kubernetes 命名空間的名稱。 |
Kubernetes 叢集名稱 |
Kubernetes 叢集的名稱。 |
網域名稱系統 (DNS) 事件
網域名稱系統 (DNS) 事件包含資源類型和對應回應所提出DNS查詢的詳細資訊。下表包含執行期監控收集的事件的欄位名稱和描述DNS,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
通訊端類型 |
指出通訊語意的通訊端類型。例如: |
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
方向 ID |
連線方向的 ID。 |
通訊協定編號 |
第 4 層通訊協定編號,例如 17 代表 UDP ,6 代表 TCP。 |
DNS 遠端端點 IP |
連線的遠端 IP。 |
DNS 遠端端點連接埠 |
連線的連接埠號碼。 |
DNS 本機端點 IP |
連線的本機 IP。 |
DNS 本機端點連接埠 |
連線的連接埠號碼。 |
DNS 承載 |
包含DNS查詢和回應的DNS封包承載。 |
開放事件
開啟事件會與檔案存取和修改相關聯。下表包含執行期監控收集以偵測潛在威脅之開啟事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
檔案路徑 |
在此事件中開啟的檔案路徑。 |
旗標 |
描述檔案存取模式,例如唯讀、唯寫和讀寫。 |
載入模組事件
下表包含執行期監控收集以偵測潛在威脅之載入模組事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
模組名稱 |
載入核心之模組的名稱。 |
Mprotect 事件
Mprotect 事件提供有關在受監控系統上執行之程序的記憶體保護設定變更的資訊。下表包含執行期監控收集用於偵測潛在威脅的 Mprotect 事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
地址範圍 |
修改存取保護的地址範圍。 |
記憶體區域 |
指定程序的地址空間區域,如堆疊和堆積。 |
旗標 |
代表控制此事件行為的選項。 |
掛載事件
掛載事件提供與在受監控資源上掛載和卸載檔案系統相關的資訊。下表包含執行期監控收集用於偵測潛在威脅的掛載事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
掛載目標 |
掛載來源所在的路徑。 |
掛載來源 |
掛載於掛載目標之主機上的路徑。 |
檔案系統類型 |
代表掛載 的類型fileSystem。 |
旗標 |
代表控制此事件行為的選項。 |
連結事件
連結事件可讓您查看受監控資源中的檔案系統連結管理活動。下表包含執行期監控收集以偵測潛在威脅之連結事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
連結路徑 |
建立硬連結的路徑。 |
目標路徑 |
硬連結指向的檔案路徑。 |
符號連結事件
Symlink 事件可讓您查看受監控資源中的檔案系統符號連結管理活動。下表包含執行期監控收集以偵測潛在威脅之符號連結事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
連結路徑 |
建立符號連結的路徑。 |
目標路徑 |
符號連結指向的檔案路徑。 |
Dup 事件
Dup 事件透過在受監控資源上執行的程序,提供檔案描述符重複的可見性。下表包含執行期監控收集用於偵測潛在威脅的 dup 事件的欄位名稱和描述。
欄位名稱 |
描述 |
|---|---|
舊檔案描述項 |
代表開放檔案物件的檔案描述項。 |
新檔案描述項 |
新檔案描述項,是舊檔案描述項的重複項。舊的和新的檔案描述項代表相同的開放檔案物件。 |
Dup 遠端端點 IP |
舊檔案描述項所代表網路通訊端的遠端 IP 地址。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 遠端端點連接埠 |
舊檔案描述項所代表網路通訊端的遠端連接埠。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 本機端點 IP |
舊檔案描述項所代表網路通訊端的本機 IP 地址。僅在舊檔案描述項代表網絡通訊端時適用。 |
Dup 本機端點連接埠 |
舊檔案描述項所代表網路通訊端的本機連接埠。僅在舊檔案描述項代表網絡通訊端時適用。 |
記憶體映射事件
下表包含執行期監控收集用於偵測潛在威脅的記憶體映射事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
檔案路徑 |
記憶體所映射至的檔案路徑。 |
通訊端事件
通訊端事件提供有關受監控資源活動中使用的網路通訊端連線的資訊。下表包含執行期監控收集用於偵測潛在威脅的通訊端事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如: |
通訊協定號碼 |
指定地址系列中的特定通訊協定。通常在地址系列中有單一通訊協定。例如,地址系列 |
連接事件
連線事件可讓您查看受監控資源上程序所建立的網路連線。下表包含執行期監控收集用於偵測潛在威脅的連線事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如: |
通訊協定編號 |
指定地址系列中的特定通訊協定。通常在地址系列中有單一通訊協定。例如,地址系列 |
檔案路徑 |
如果地址系列是 |
遠端端點 IP |
連線的遠端 IP。 |
遠端端點連接埠 |
連線的連接埠號碼。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
程序 VM Readv 事件
處理 VM readv 事件提供對其虛擬記憶體區域上程序執行的讀取操作的可見性。下表包含執行期監控收集的程序 VM readv 事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
旗標 |
代表控制此事件行為的選項。 |
目標 PID |
正在讀取記憶體之程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
程序 VM Writev 事件
處理程序 VM writev 事件提供處理程序在其虛擬記憶體區域上執行寫入操作的可見性。下表包含執行期監控收集的程序 VM writev 事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
旗標 |
代表控制此事件行為的選項。 |
目標 PID |
正在寫入記憶體之程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
程序追蹤 (追蹤) 事件
程序追蹤 (Ptrace) 系統呼叫是一種偵錯和追蹤機制,允許一個程序 (追蹤器) 觀察和控制另一個程序 (追蹤) 的執行。這讓追蹤器能夠檢查和修改目標程序的記憶體、暫存器和執行流程。
Ptrace 事件可讓您了解受監控資源上執行的程序使用 ptrace 系統呼叫的情況。下表包含執行期監控收集用於偵測潛在威脅的 ptrace 事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
目標 PID |
目標程序的程序 ID。 |
目標程序 UUID |
目標程序的唯一 ID。 |
目標可執行檔路徑 |
目標程序可執行檔的絕對路徑。 |
旗標 |
代表控制此事件行為的選項。 |
繫結事件
繫結事件透過在受監控資源上執行的程序,提供網路通訊端繫結的可見性。下表包含執行期監控收集以偵測潛在威脅之繫結事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如: |
通訊協定號碼 |
第 4 層通訊協定編號,例如 17 代表 UDP ,6 代表 TCP。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
接聽事件
監聽事件提供網路通訊端監聽狀態的可見性,指出網路通訊端是否已準備好接受傳入連線。在受監控資源上執行的程序會將網路通訊端設定為接聽狀態。下表包含執行期監控收集用於偵測潛在威脅的接聽事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
地址系列 |
代表與地址相關聯的通訊協定。例如,地址系列 |
通訊端類型 |
指出通訊語意的通訊端類型。例如: |
通訊協定號碼 |
第 4 層通訊協定編號,例如 17 代表 UDP ,6 代表 TCP。 |
本機端點 IP |
連線的本機 IP。 |
本機端點連接埠 |
連線的連接埠號碼。 |
重新命名事件
重新命名事件提供在受監控資源上執行之程序重新命名檔案和目錄的相關資訊。下表包含執行期監控收集用於偵測潛在威脅的重新命名事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
檔案路徑 |
重新命名檔案的路徑。 |
目標 |
檔案的新路徑。 |
設定使用者 ID (UID) 事件
設定使用者 ID (UID) 事件可讓您查看對與受監控資源上執行程序相關聯的使用者 ID (UID) 所做的變更。下表包含執行期監控收集用於偵測潛在威脅之設定UID事件的欄位名稱和描述。
| 欄位名稱 | 描述 |
|---|---|
新的 EUID |
程序的新有效使用者 ID。 |
新的 UID |
程序的新使用者 ID。 |
Chmod 事件
Chmod 事件可讓您了解受監控資源上檔案和目錄的許可 (模式) 變更。下表包含執行期監控收集的 chmod 事件的欄位名稱和描述,以偵測潛在威脅。
| 欄位名稱 | 描述 |
|---|---|
檔案路徑 |
調用此事件的檔案路徑。 |
檔案模式 |
已更新關聯檔案的存取許可。 |
