View a markdown version of this page

Filtrer les résultats dans GuardDuty - Amazon GuardDuty
Création et enregistrement d'un ensemble de filtres dans la GuardDuty consoleCréation et enregistrement d'un ensemble de filtres à l'aide de l' GuardDuty API et de la CLIFiltres de propriétés dans GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Filtrer les résultats dans GuardDuty

Un filtre de recherche vous permet de visualiser les résultats correspondant aux critères que vous spécifiez et de filtrer les résultats non concordants. Vous pouvez facilement créer des filtres de recherche à l'aide de la GuardDuty console Amazon, ou vous pouvez les créer à l'aide de l'CreateFilterAPI à l'aide de JSON. Consultez les sections suivantes pour comprendre comment créer un filtre dans la console. Pour utiliser ces filtres afin d'archiver automatiquement les résultats entrants, veuillez consulter Règles de suppression dans GuardDuty.

Lorsque vous créez des filtres, tenez compte de la liste suivante :

  • Vous pouvez spécifier un minimum d'un attribut et un maximum de 50 attributs comme critères pour un filtre particulier.

  • Lorsque vous utilisez l'opérateur Equals ou Does not equals pour filtrer une valeur d'attribut, telle que l'ID de compte, vous pouvez spécifier un maximum de 50 valeurs.

  • Chaque attribut de critères de filtre est évalué en tant qu'opérateur AND. Plusieurs valeurs pour le même attribut sont évaluées comme AND/OR.

  • Pour plus d'informations sur le nombre maximal de filtres enregistrés que vous pouvez créer Compte AWS dans chaque filtre Région AWS, voirGuardDuty quotas.

  • service.additionalInfoLes champs ci-dessous sont spécifiés à l'aide de leur chemin JSON complet, comme tout autre champ. Par exemple : { "service.additionalInfo.sample": { "Equals": ["true"] } }.

  • Les champs d'horodatage acceptent des valeurs au format Unix Epoch en millisecondes (par exemple,). 1486685375000 Pour une liste complète des champs d'horodatage, consultez la note ci-dessous.

Les sections suivantes fournissent des instructions sur la façon de créer et d'enregistrer des filtres à l'aide de GuardDuty la console, de l'API et de la CLI. Choisissez votre méthode d'accès préférée pour continuer.

Création et enregistrement d'un ensemble de filtres dans la GuardDuty console

Les filtres de recherche peuvent être créés et testés via la GuardDuty console. Vous pouvez enregistrer les filtres créés via la console pour les utiliser dans les règles de suppression ou les futures opérations de filtrage. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur.

Pour créer et enregistrer des critères de filtre (console)

  1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation de gauche, sélectionnez Findings.

  3. Sur la page Résultats, sélectionnez la barre Filtrer les résultats à côté du menu Règles enregistrées. Cela affichera une liste étendue de filtres de propriétés.

    Sélection de filtres de propriétés pour filtrer les résultats dans la GuardDuty console.

  4. Dans la liste étendue des filtres, sélectionnez un attribut en fonction duquel vous souhaitez filtrer le tableau des résultats.

    Par exemple, pour afficher les résultats pour lesquels la ressource potentiellement affectée est un S3Bucket, choisissez le type de ressource.

  5. Pour les opérateurs, choisissez-en un qui vous aidera à filtrer les résultats pour obtenir le résultat souhaité. Pour continuer l'exemple de l'étape précédente, choisissez Type de ressource =. Cela affichera une liste des types de ressources dans GuardDuty.

    Sélection de l'opérateur égal ou non égal pour filtrer les résultats dans GuardDuty la console.

    Si votre cas d'utilisation nécessite l'exclusion de résultats spécifiques, vous pouvez choisir Does not equal or ! = opérateur.

  6. Spécifiez la valeur du filtre de propriétés sélectionné. Si nécessaire, choisissez Appliquer. Pour continuer l'exemple de l'étape précédente, vous pouvez choisir S3Bucket.

    Cela affichera les résultats correspondant aux filtres appliqués.

  7. Pour ajouter plusieurs critères de filtre, répétez les étapes 3 à 6.

    Pour obtenir la liste complète des attributs, voirFiltres de propriétés dans GuardDuty.

  8. (Facultatif) enregistrez les attributs et valeurs spécifiés sous forme de filtres

    Pour appliquer à nouveau cette combinaison de filtres à l'avenir, vous pouvez enregistrer les attributs spécifiés et leurs valeurs sous forme de jeu de filtres.

    1. Après avoir créé un critère de filtre avec un ou plusieurs filtres de propriétés, sélectionnez la flèche dans le menu Effacer les filtres.

      Sauvegarde d'un filtre défini dans GuardDuty la console pour pouvoir filtrer à nouveau les résultats.

    2. Entrez le nom du jeu de filtres. Le nom doit comporter entre 3 et 64 caractères. Les caractères valides sont les suivants : a-z A-Z, 0-9, point (.), tiret (-) et trait de soulignement (_).

    3. La description est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

    4. Choisissez Créer.

Création et enregistrement d'un ensemble de filtres à l'aide de l' GuardDuty API et de la CLI

Vous pouvez créer et tester les filtres de recherche à l'aide des commandes API ou CLI. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur. Vous pouvez enregistrer des filtres pour créer Règles de suppression ou effectuer d'autres opérations de filtrage ultérieurement.

Pour créer des filtres de recherche à l'aide de API/CLI

  • Exécutez l'CreateFilterAPI en utilisant l'ID du détecteur régional de l' Compte AWS endroit où vous souhaitez créer un filtre.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

  • Vous pouvez également utiliser la CLI create-filter pour créer et enregistrer le filtre. Vous pouvez utiliser un ou plusieurs critères de filtre à partir deFiltres de propriétés dans GuardDuty.

    Utilisez les exemples suivants en remplaçant les valeurs d'espace réservé indiquées en rouge.

    Exemple 1 : créer un nouveau filtre pour afficher tous les résultats correspondant à un type de recherche spécifique

    L'exemple suivant crée un filtre qui correspond à tous les PortScan résultats d'une instance créée à partir d'une image spécifique. Les valeurs des espaces réservés sont affichées en rouge. Remplacez ces valeurs par des valeurs adaptées à votre compte. Remplacez-le par l'identifiant 12abc34d567e8fa901bc2d34EXAMPLE de votre détecteur régional, par exemple.

    aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
    Exemple 2 : créer un nouveau filtre pour afficher tous les résultats correspondant aux niveaux de gravité

    L'exemple suivant crée un filtre qui correspond à tous les résultats associés aux niveaux de HIGH gravité. Les valeurs des espaces réservés sont affichées en rouge. Remplacez ces valeurs par des valeurs adaptées à votre compte. Remplacez-le par l'identifiant 12abc34d567e8fa901bc2d34EXAMPLE de votre détecteur régional, par exemple.

    aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'

  • Car API/CLI, Niveaux de gravité des résultats ils sont représentés par des chiffres. Pour filtrer les résultats en fonction des niveaux de gravité, utilisez les valeurs suivantes :

    • Pour les niveaux de LOW gravité, utilisez { "severity": { "Equals": ["1", "2", "3"] } }

    • Pour les niveaux de MEDIUM gravité, utilisez { "severity": { "Equals": ["4", "5", "6"] } }

    • Pour les niveaux de HIGH gravité, utilisez { "severity": { "Equals": ["7", "8"] } }

    • Pour les niveaux de CRITICAL gravité, utilisez { "severity": { "Equals": ["9", "10"] } }

    • Pour les résultats présentant plusieurs niveaux de gravité, utilisez des valeurs d'espace réservé similaires à l'exemple suivant : { "severity": { "Equals": ["7", "8", "9", "10"] } }

      Cet exemple montre les résultats présentant l'un HIGH ou l'autre des niveaux de CRITICAL gravité.

      Note

      Si vous spécifiez un exemple avec une seule valeur numérique au lieu de toutes les valeurs numériques associées à un niveau de gravité, l'API et la CLI peuvent afficher les résultats filtrés. Lorsque vous utilisez cet ensemble de filtres enregistré dans la GuardDuty console, il ne fonctionnera pas comme prévu. Cela est dû au fait que la GuardDuty console considère les valeurs du filtre comme CRITICALHIGH,MEDIUM, etLOW. Par exemple, un filtre créé avec une commande CLI qui inclut { "severity": { "Equals": ["9"] } } est censé afficher une sortie appropriée dans API/CLI. Toutefois, ce filtre enregistré inclut un niveau de gravité partiel lorsqu'il est utilisé dans la GuardDuty console et n'affichera pas le résultat attendu. Cela oblige l'API et la CLI à spécifier toutes les valeurs associées à chaque niveau de gravité.

Filtres de propriétés dans GuardDuty

Lorsque vous créez des filtres ou que vous triez des résultats à l'aide des opérations d'API, vous devez spécifier des critères de filtre au format JSON. Ces critères de filtre sont en corrélation avec le JSON détaillé d'un résultat. Le tableau suivant contient la liste des noms d'affichage de la console pour les attributs de filtre et leurs noms de champs JSON équivalents.

Nom de champ de console

Nom de champ JSON

ID de compte

accountId

ID de résultat

id

Région

region

Sévérité

severity

Vous pouvez filtrer les types de résultats en fonction de leur niveau de gravité. Pour plus d'informations sur les valeurs de gravité, consultezNiveaux de gravité des GuardDuty résultats. Si vous l'utilisez severity avec API AWS CLI, ou CloudFormation, une valeur numérique lui est attribuée. Pour plus d'informations, consultez FindingCriteria dans le Amazon GuardDuty API Reference.

Type de résultat

type

Mis à jour le

updatedAt

ID de clé d'accès

ressource.access KeyDetails.accessKeyId

ID principal

ressource.access KeyDetails.principalId

Nom d’utilisateur

ressource.access KeyDetails.userName

Type utilisateur

ressource.access KeyDetails.userType

ID de profil d'instance IAM

ressource.instance Details.iamInstanceProfile.id

ID d’instance

ressource.instance Details.instanceId

ID d'image d'instance

ressource.instance Details.imageId

Clé de balise d'instance

ressource.instance Details.tags.key

Valeur de balise d'instance

ressource.instance Details.tags.value

Adresse IPv6

ressource.instance Details.networkInterfaces.ipv6Addresses

Adresse IPv4 privée

ressource.instance Details.networkInterfaces.privateIpAddresses.privateIpAddress

Nom DNS public

ressource.instance Details.networkInterfaces.publicDnsName

Adresse IP publique

ressource.instance Details.networkInterfaces.publicIp

ID du groupe de sécurité

ressource.instance Details.networkInterfaces.securityGroups.groupId

Nom du groupe de sécurité

ressource.instance Details.networkInterfaces.securityGroups.groupName

ID de sous-réseau (subnet)

ressource.instance Details.networkInterfaces.subnetId

ID du VPC

ressource.instance Details.networkInterfaces.vpcId

ARN d'Outpost

ressource.instance Details.outpostARN

Type de ressource

resource.resourceType

Autorisations du compartiment

ressource.s3 BucketDetails.publicAccess.effectivePermission

Nom du compartiment

ressource.s3 BucketDetails.name

Clé de balise du compartiment

ressource.s3 BucketDetails.tags.key

Valeur de balise de compartiment

ressource.s3 BucketDetails.tags.value

Type de compartiment

ressource.s3 BucketDetails.type

Type d'action

service.action.actionType

API appelée

service.action.aws ApiCallAction.api

Type d'appelant d'API

service.action.aws ApiCallAction.callerType

Code d'erreur d'API

service.action.aws ApiCallAction.errorCode

Ville de l'appelant d'API

service.action.aws ApiCallAction.remoteIpDetails.city.cityName

Pays de l'appelant d'API

service.action.aws ApiCallAction.remoteIpDetails.country.countryName

Adresse IPv4 de l'appelant d'API

service.action.aws ApiCallAction.remoteIpDetails.ipAddressV4

Adresse IPv6 de l'appelant de l'API

service.action.aws ApiCallAction.remoteIpDetails.ipAddressV6

ID ASN de l'appelant d'API

service.action.aws ApiCallAction.remoteIpDetails.organization.asn

Nom ASN de l'appelant d'API

service.action.aws ApiCallAction.remoteIpDetails.organization.asnOrg

Nom du service de l'appelant d'API

service.action.aws ApiCallAction.serviceName

Domaine de demande DNS

service.action.dns RequestAction.domain

Suffixe de domaine de demande DNS

service.action.dns RequestAction.domainWithSuffix

Connexion réseau bloquée

service.action.network ConnectionAction.blocked

Direction de la connexion réseau

service.action.network ConnectionAction.connectionDirection

Port local de la connexion réseau

service.action.network ConnectionAction.localPortDetails.port

Protocole de la connexion réseau

service.action.network ConnectionAction.protocol

Ville de la connexion réseau

service.action.network ConnectionAction.remoteIpDetails.city.cityName

Pays de la connexion réseau

service.action.network ConnectionAction.remoteIpDetails.country.countryName

Adresse IPv4 distante de la connexion réseau

service.action.network ConnectionAction.remoteIpDetails.ipAddressV4

Adresse IPv6 distante de connexion réseau

service.action.network ConnectionAction.remoteIpDetails.ipAddressV6

ID ASN de l'adresse IP distante de la connexion réseau

service.action.network ConnectionAction.remoteIpDetails.organization.asn

Nom ASN de l'adresse IP distante de la connexion réseau

service.action.network ConnectionAction.remoteIpDetails.organization.asnOrg

Port distant de la connexion réseau

service.action.network ConnectionAction.remotePortDetails.port

Compte distant affilié

service.action.aws ApiCallAction.remoteAccountDetails.affiliated

Adresse IPv4 de l'appelant de l'API Kubernetes

service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV4

Adresse IPv6 de l'appelant de l'API Kubernetes

service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV6

Espace de noms Kubernetes

service.action.kubernetes ApiCallAction.namespace

ID ASN de l'appelant de l'API Kubernetes

service.action.kubernetes ApiCallAction.remoteIpDetails.organization.asn

URI de demande d'appel d'API Kubernetes

service.action.kubernetes ApiCallAction.requestUri

Code d'état de l'API Kubernetes

service.action.kubernetes ApiCallAction.statusCode

Adresse IPv4 locale de connexion réseau

service.action.network ConnectionAction.localIpDetails.ipAddressV4

Adresse IPv6 locale de connexion réseau

service.action.network ConnectionAction.localIpDetails.ipAddressV6

Protocole

service.action.network ConnectionAction.protocol

Nom du service de l'appel d'API

service.action.aws ApiCallAction.serviceName

ID du compte de l'appelant d'API

service.action.aws ApiCallAction.remoteAccountDetails.accountId

Nom de la liste des menaces

service.additional Info.threatListName

Rôle de ressource

service.resourceRole

Nom du cluster EKS

ressource.eks ClusterDetails.name

Nom de charge de travail Kubernetes

ressource.kubernetes Details.kubernetesWorkloadDetails.name

Espace de noms de charge de travail Kubernetes

ressource.kubernetes Details.kubernetesWorkloadDetails.namespace

Nom d'utilisateur Kubernetes

ressource.kubernetes Details.kubernetesUserDetails.username

Image de conteneur Kubernetes

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.image

Préfixe de l'image de conteneur Kubernetes

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.imagePrefix

ID de numérisation

service.ebs VolumeScanDetails.scanId

Nom de la menace EBS Volume Scan

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name

Nom de la menace de scan d'objets S3

service .malware ScanDetails.threats.name

Gravité de la menace

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity

Fichier SHA

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash

Nom du cluster ECS

ressource.ecs ClusterDetails.name

Image de conteneur ECS

ressource.ecs ClusterDetails.taskDetails.containers.image

ARN de définition de tâche ECS

ressource.ecs ClusterDetails.taskDetails.definitionArn

Image de conteneur autonome

ressource.container Details.image

ID d'instance de base de données

ressource.rds DbInstanceDetails.dbInstanceIdentifier

ID de cluster de base de données

ressource.rds DbInstanceDetails.dbClusterIdentifier

Moteur de base de données

ressource.rds DbInstanceDetails.engine

Utilisateur de la base de donnée

ressource.rds DbUserDetails.user

Exécutable SHA-256

service.runtime Details.process.executableSha256

Nom du processus

service.runtime Details.process.name

Chemin exécutable

service.runtime Details.process.executablePath

Nom de fonction Lambda

ressource.lambda Details.functionName

ARN de fonction Lambda

ressource.lambda Details.functionArn

Clé de balise de fonction Lambda

ressource.lambda Details.tags.key

Valeur de balise de fonction Lambda

ressource.lambda Details.tags.value

Domaine de demande DNS

service.action.dns RequestAction.domainWithSuffix

Tous les autres champs de recherche (répertoriés ci-dessous) sont uniquement disponibles en tant que critères de filtrage des règles de suppression (en utilisant CreateFilteret UpdateFilter). Ces champs ne sont pas pris en charge par d'autres opérations d'API. Les règles de suppression qui utilisent ces champs doivent être créées ou mises à jour via l'API. Ces champs ne peuvent être appliqués qu'aux filtres comportant une ARCHIVE action.

Note

Les champs suivants acceptent les valeurs d'horodatage au format Unix Epoch en millisecondes (par exemple, cela 1262309025000 représente le vendredi 1er janvier 2010 à 1 h 23 h 45 GMT) :

  • createdAt

  • updatedAt

  • service.événement FirstSeen

  • service.événement LastSeen

  • ressource.instance Details.launchTime

  • ressource.lambda Details.lastModifiedAt

  • ressource.s3 BucketDetails.createdAt

  • ressource.eks ClusterDetails.createdAt

  • ressource.ecs ClusterDetails.taskDetails.createdAt

  • ressource.ecs ClusterDetails.taskDetails.startedAt

  • service.ebs VolumeScanDetails.scanStartedAt

  • service.ebs VolumeScanDetails.scanCompletedAt

  • service.runtime Details.context.modifiedAt

  • service.runtime Details.context.modifyingProcess.startTime

  • service.runtime Details.context.modifyingProcess.lineage.startTime

  • service.runtime Details.context.targetProcess.startTime

  • service.runtime Details.context.targetProcess.lineage.startTime

  • service.runtime Details.process.startTime

  • service.runtime Details.process.lineage.startTime

  • Service.Detection.Sequence.Actors.Session.CreatedTime

  • Service.Detection.Sequence.Signals.CreatedAt

  • service.detection.sequence.signals.Updatedat

  • service.detection.sequence.signals.first SeenAt

  • service.detection.sequence.signals.last SeenAt

  • service.detection.sequence.resources.data.s3 Bucket.createdAt

  • service.detection.sequence.resources.data.ecs Task.createdAt

  • service.detection.sequence.resources.data.eks Cluster.createdAt

Nom de champ JSON

arn

associé AttackSequenceArn

createdAt

partition

ressource.access KeyDetails.userIdentity.accessKeyId

ressource.access KeyDetails.userIdentity.accountId

ressource.access KeyDetails.userIdentity.arn

ressource.access KeyDetails.userIdentity.principalId

ressource.access KeyDetails.userIdentity.sessionContext.attributes.mfaAuthenticated

ressource.access KeyDetails.userIdentity.sessionContext.ec2RoleDelivery

ressource.access KeyDetails.userIdentity.sessionContext.invokedBy

ressource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.accountId

ressource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.arn

ressource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.principalId

ressource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.type

ressource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.userName

ressource.access KeyDetails.userIdentity.sessionContext.sourceIdentity

ressource.access KeyDetails.userIdentity.sessionContext.webIdFederationData.attributes

ressource.access KeyDetails.userIdentity.sessionContext.webIdFederationData.federatedProvider

ressource.access KeyDetails.userIdentity.type

ressource.access KeyDetails.userIdentity.userName

ressource.bedrock GuardrailDetails.guardrailArn

ressource.bedrock GuardrailDetails.guardrailVersion

ressource.container Details.containerRuntime

ressource.container Details.imagePrefix

ressource.container Details.securityContext.allowPrivilegeEscalation

ressource.container Details.securityContext.privileged

ressource.container Details.volumeMounts.mountPath

ressource.container Details.volumeMounts.name

ressource.ebs VolumeDetails.scannedVolumeDetails.deviceName

ressource.ebs VolumeDetails.scannedVolumeDetails.encryptionType

ressource.ebs VolumeDetails.scannedVolumeDetails.kmsKeyArn

ressource.ebs VolumeDetails.scannedVolumeDetails.snapshotArn

ressource.ebs VolumeDetails.scannedVolumeDetails.volumeArn

ressource.ebs VolumeDetails.scannedVolumeDetails.volumeSizeInGB

ressource.ebs VolumeDetails.scannedVolumeDetails.volumeType

ressource.ebs VolumeDetails.skippedVolumeDetails.deviceName

ressource.ebs VolumeDetails.skippedVolumeDetails.encryptionType

ressource.ebs VolumeDetails.skippedVolumeDetails.kmsKeyArn

ressource.ebs VolumeDetails.skippedVolumeDetails.snapshotArn

ressource.ebs VolumeDetails.skippedVolumeDetails.volumeArn

ressource.ebs VolumeDetails.skippedVolumeDetails.volumeSizeInGB

ressource.ebs VolumeDetails.skippedVolumeDetails.volumeType

ressource.ecs ClusterDetails.activeServicesCount

ressource.ecs ClusterDetails.arn

ressource.ecs ClusterDetails.registeredContainerInstancesCount

ressource.ecs ClusterDetails.runningTasksCount

ressource.ecs ClusterDetails.status

ressource.ecs ClusterDetails.tags.key

ressource.ecs ClusterDetails.tags.value

ressource.ecs ClusterDetails.taskDetails.arn

ressource.ecs ClusterDetails.taskDetails.containers.containerRuntime

ressource.ecs ClusterDetails.taskDetails.containers.id

ressource.ecs ClusterDetails.taskDetails.containers.imagePrefix

ressource.ecs ClusterDetails.taskDetails.containers.name

ressource.ecs ClusterDetails.taskDetails.containers.securityContext.allowPrivilegeEscalation

ressource.ecs ClusterDetails.taskDetails.containers.securityContext.privileged

ressource.ecs ClusterDetails.taskDetails.containers.volumeMounts.mountPath

ressource.ecs ClusterDetails.taskDetails.containers.volumeMounts.name

ressource.ecs ClusterDetails.taskDetails.createdAt

ressource.ecs ClusterDetails.taskDetails.group

ressource.ecs ClusterDetails.taskDetails.launchType

ressource.ecs ClusterDetails.taskDetails.startedAt

ressource.ecs ClusterDetails.taskDetails.startedBy

ressource.ecs ClusterDetails.taskDetails.tags.key

ressource.ecs ClusterDetails.taskDetails.tags.value

ressource.ecs ClusterDetails.taskDetails.version

ressource.ecs ClusterDetails.taskDetails.volumes.hostPath.path

ressource.ecs ClusterDetails.taskDetails.volumes.name

ressource.eks ClusterDetails.arn

ressource.eks ClusterDetails.createdAt

ressource.eks ClusterDetails.status

ressource.eks ClusterDetails.tags.key

ressource.eks ClusterDetails.tags.value

ressource.eks ClusterDetails.vpcId

ressource.instance Details.iamInstanceProfile.arn

ressource.instance Details.instanceState

ressource.instance Details.instanceType

ressource.instance Details.launchTime

ressource.instance Details.networkInterfaces.networkInterfaceId

ressource.instance Details.networkInterfaces.privateDnsName

ressource.instance Details.networkInterfaces.privateIpAddress

ressource.instance Details.networkInterfaces.privateIpAddresses.privateDnsName

ressource.instance Details.platform

ressource.instance Details.productCodes.productCodeId

ressource.instance Details.productCodes.productCodeType

ressource.kubernetes Details.kubernetesUserDetails.groups

ressource.kubernetes Details.kubernetesUserDetails.impersonatedUser.groups

ressource.kubernetes Details.kubernetesUserDetails.impersonatedUser.username

ressource.kubernetes Details.kubernetesUserDetails.sessionName

ressource.kubernetes Details.kubernetesUserDetails.uid

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.containerRuntime

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.id

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.name

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.allowPrivilegeEscalation

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.privileged

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.mountPath

ressource.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.name

ressource.kubernetes Details.kubernetesWorkloadDetails.hostIpc

ressource.kubernetes Details.kubernetesWorkloadDetails.hostNetwork

ressource.kubernetes Details.kubernetesWorkloadDetails.hostPid

ressource.kubernetes Details.kubernetesWorkloadDetails.serviceAccountName

ressource.kubernetes Details.kubernetesWorkloadDetails.type

ressource.kubernetes Details.kubernetesWorkloadDetails.uid

ressource.kubernetes Details.kubernetesWorkloadDetails.volumes.hostPath.path

ressource.kubernetes Details.kubernetesWorkloadDetails.volumes.name

ressource.lambda Details.description

ressource.lambda Details.lastModifiedAt

ressource.lambda Details.revisionId

ressource.lambda Details.vpcConfig.securityGroups.groupId

ressource.lambda Details.vpcConfig.securityGroups.groupName

ressource.lambda Details.vpcConfig.subnetIds

ressource.lambda Details.vpcConfig.vpcId

ressource.rds DbInstanceDetails.dbInstanceArn

ressource.rds DbInstanceDetails.dbiResourceId

ressource.rds DbInstanceDetails.dbSecurityGroups.name

ressource.rds DbInstanceDetails.dbSecurityGroups.status

ressource.rds DbInstanceDetails.engineVersion

ressource.rds DbInstanceDetails.iamDatabaseAuthenticationEnabled

ressource.rds DbInstanceDetails.publiclyAccessible

ressource.rds DbInstanceDetails.vpcId

ressource.rds DbInstanceDetails.vpcSecurityGroups.status

ressource.rds DbInstanceDetails.vpcSecurityGroups.vpcSecurityGroupId

ressource.rds DbUserDetails.application

ressource.rds DbUserDetails.authMethod

ressource.rds DbUserDetails.database

ressource.rds DbUserDetails.ssl

ressource.rds LimitlessDbDetails.dbClusterIdentifier

ressource.rds LimitlessDbDetails.dbShardGroupArn

ressource.rds LimitlessDbDetails.dbShardGroupIdentifier

ressource.rds LimitlessDbDetails.dbShardGroupResourceId

ressource.rds LimitlessDbDetails.engine

ressource.rds LimitlessDbDetails.engineVersion

ressource.rds LimitlessDbDetails.tags.key

ressource.rds LimitlessDbDetails.tags.value

ressource.s3 BucketDetails.arn

ressource.s3 BucketDetails.createdAt

ressource.s3 BucketDetails.defaultServerSideEncryption.encryptionType

ressource.s3 BucketDetails.defaultServerSideEncryption.kmsMasterKeyArn

ressource.s3 BucketDetails.owner.id

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicAcls

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicPolicy

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.ignorePublicAcls

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.restrictPublicBuckets

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicReadAccess

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicWriteAccess

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicAcls

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicPolicy

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.ignorePublicAcls

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.restrictPublicBuckets

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicReadAccess

ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicWriteAccess

ressource.s3 BucketDetails.s3ObjectDetails.eTag

ressource.s3 BucketDetails.s3ObjectDetails.hash

ressource.s3 BucketDetails.s3ObjectDetails.key

ressource.s3 BucketDetails.s3ObjectDetails.objectArn

ressource.s3 BucketDetails.s3ObjectDetails.versionId

schemaVersion

service.action.aws ApiCallAction.domainDetails.domain

service.action.aws ApiCallAction.remoteIpDetails.country.countryCode

service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lat

service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lon

service.action.aws ApiCallAction.remoteIpDetails.organization.isp

service.action.aws ApiCallAction.remoteIpDetails.organization.org

service.action.aws ApiCallAction.userAgent

service.action.dns RequestAction.blocked

service.action.dns RequestAction.protocol

service.action.kubernetes ApiCallAction.parameters

service.action.kubernetes ApiCallAction.remoteIpDetails.country.countryCode

service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lat

service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lon

service.action.kubernetes ApiCallAction.resource

service.action.kubernetes ApiCallAction.resourceName

service.action.kubernetes ApiCallAction.sourceIPs

service.action.kubernetes ApiCallAction.subresource

service.action.kubernetes ApiCallAction.userAgent

service.action.kubernetes ApiCallAction.verb

service.action.kubernetes PermissionCheckedDetails.allowed

service.action.kubernetes PermissionCheckedDetails.namespace

service.action.kubernetes PermissionCheckedDetails.resource

service.action.kubernetes PermissionCheckedDetails.verb

service.action.kubernetes RoleBindingDetails.kind

service.action.kubernetes RoleBindingDetails.name

service.action.kubernetes RoleBindingDetails.roleRefKind

service.action.kubernetes RoleBindingDetails.roleRefName

service.action.kubernetes RoleBindingDetails.uid

service.action.kubernetes RoleDetails.kind

service.action.kubernetes RoleDetails.name

service.action.kubernetes RoleDetails.uid

service.action.network ConnectionAction.localNetworkInterface

service.action.network ConnectionAction.localPortDetails.portName

service.action.network ConnectionAction.remoteIpDetails.country.countryCode

service.action.network ConnectionAction.remoteIpDetails.geoLocation.lat

service.action.network ConnectionAction.remoteIpDetails.geoLocation.lon

service.action.network ConnectionAction.remoteIpDetails.organization.isp

service.action.network ConnectionAction.remoteIpDetails.organization.org

service.action.network ConnectionAction.remotePortDetails.portName

service.action.port ProbeAction.blocked

service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV4

service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV6

service.action.port ProbeAction.portProbeDetails.localPortDetails.port

service.action.port ProbeAction.portProbeDetails.localPortDetails.portName

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.city.cityName

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryCode

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryName

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lat

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lon

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV4

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV6

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asn

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asnOrg

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.isp

service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.org

service.action.rds LoginAttemptAction.loginAttributes.application

service.action.rds LoginAttemptAction.loginAttributes.failedLoginAttempts

service.action.rds LoginAttemptAction.loginAttributes.successfulLoginAttempts

service.action.rds LoginAttemptAction.loginAttributes.user

service.action.rds LoginAttemptAction.remoteIpDetails.city.cityName

service.action.rds LoginAttemptAction.remoteIpDetails.country.countryCode

service.action.rds LoginAttemptAction.remoteIpDetails.country.countryName

service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lat

service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lon

service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV4

service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV6

service.action.rds LoginAttemptAction.remoteIpDetails.organization.asn

service.action.rds LoginAttemptAction.remoteIpDetails.organization.asnOrg

service.action.rds LoginAttemptAction.remoteIpDetails.organization.isp

service.action.rds LoginAttemptAction.remoteIpDetails.organization.org

service.additional Info.agentDetails.agentId

service.additional Info.agentDetails.agentVersion

service.additional Info.anomalies.anomalousAPIs

service.additional Info.authenticationMethod

service.additional Info.averagePacketSizeIn

service.additional Info.averagePacketSizeOut

service.additional Info.context

service.additional Info.domain

service.additional Info.inBytes

service.additional Info.localNetworkInterfaceOwner

service.additional Info.localPort

service.additional Info.outBytes

service.additional Info.packetsIn

service.additional Info.packetsOut

service.additional Info.policyArn

service.additional Info.policyName

service.additional Info.remotePort

service.additional Info.sample

service.additional Info.scannedPort

service.additional Info.threatFileSha256

service.additional Info.threatName

service.additional Info.totalBytesIn

service.additional Info.totalBytesOut

service.additional Info.type

service.additional Info.unusual.asnOrg

service.additional Info.unusual.port

service.additional Info.unusualProtocol

service.additional Info.userAgent.fullUserAgent

service.additional Info.userAgent.userAgentCategory

service.additional Info.value

service.additional Info.vpcOwnerAccountId

service.count

service.detection.sequence.actors.id

service.detection.sequence.actors.process.name

service.detection.sequence.actors.process.path

service.detection.sequence.actors.process.sha256

Service.Detection.Sequence.Actors.Session.CreatedTime

service.detection.sequence.actors.session.issuer

statut Service.Detection.Sequence.Actors.Session.MFAstatus

service.detection.sequence.actors.session.uid

service.detection.sequence.actors.user.account.account

service.detection.sequence.actors.user.account.uid

service.detection.sequence.actors.user.CredentialUid

service.detection.sequence.actors.user.name

service.detection.sequence.actors.user.type

service.detection.sequence.actors.user.uid

service.detection.sequence.additional SequenceTypes

service.detection.sequence.description

service.detection.sequence.endpoints.autonomous System.name

service.detection.sequence.endpoints.autonomous System.number

service.detection.sequence.endpoints.connection.direction

service.detection.sequence.endpoints.domain

service.detection.sequence.endpoints.id

service.detection.sequence.endpoints.ip

service.detection.sequence.endpoints.location.city

service.detection.sequence.endpoints.location.country

service.detection.sequence.endpoints.location.lat

service.detection.sequence.endpoints.location.lon

service.detection.sequence.endpoints.port

Service.detection.sequence.resources.AccountId

Service.Detection.Sequence.Resources.CloudPartition

service.detection.sequence.resources.data.access Key.principalId

service.detection.sequence.resources.data.access Key.userName

service.detection.sequence.resources.data.access Key.userType

service.detection.sequence.resources.data.autoscaling AutoScalingGroup.ec2InstanceUids

service.detection.sequence.resources.data.cloudformation Stack.ec2InstanceUids

service.detection.sequence.resources.data.container.image

Service.Detection.Sequence.Resources.Data.Container.ImageUid

service.detection.sequence.resources.data.ec2 Image.ec2InstanceUids

service.detection.sequence.resources.data.ec2 Instance.availabilityZone

service.detection.sequence.resources.data.ec2 Instance.ec2NetworkInterfaceUids

service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.arn

service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.id

service.detection.sequence.resources.data.ec2 Instance.imageDescription

service.detection.sequence.resources.data.ec2 Instance.instanceState

service.detection.sequence.resources.data.ec2 Instance.instanceType

service.detection.sequence.resources.data.ec2 Instance.outpostArn

service.detection.sequence.resources.data.ec2 Instance.platform

service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeId

service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeType

service.detection.sequence.resources.data.ec2 LaunchTemplate.ec2InstanceUids

service.detection.sequence.resources.data.ec2 LaunchTemplate.version

service.detection.sequence.resources.data.ec2 NetworkInterface.ipv6Addresses

service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateDnsName

service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateIpAddress

service.detection.sequence.resources.data.ec2 NetworkInterface.publicIp

service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupId

service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupName

service.detection.sequence.resources.data.ec2 NetworkInterface.subNetId

service.detection.sequence.resources.data.ec2 NetworkInterface.vpcId

service.detection.sequence.resources.data.ec2 Vpc.ec2InstanceUids

service.detection.sequence.resources.data.ecs Cluster.ec2InstanceUids

service.detection.sequence.resources.data.ecs Cluster.status

service.detection.sequence.resources.data.ecs Task.containerUids

service.detection.sequence.resources.data.ecs Task.createdAt

service.detection.sequence.resources.data.ecs Task.launchType

service.detection.sequence.resources.data.ecs Task.taskDefinitionArn

service.detection.sequence.resources.data.eks Cluster.arn

service.detection.sequence.resources.data.eks Cluster.createdAt

service.detection.sequence.resources.data.eks Cluster.ec2InstanceUids

service.detection.sequence.resources.data.eks Cluster.status

service.detection.sequence.resources.data.eks Cluster.vpcId

service.detection.sequence.resources.data.iam InstanceProfile.ec2InstanceUids

service.detection.sequence.resources.data.iam InstanceProfile.id

service.detection.sequence.resources.data.kubernetes Workload.containerUids

service.detection.sequence.resources.data.kubernetes Workload.namespace

service.detection.sequence.resources.data.kubernetes Workload.type

service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclAccess

service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclIgnoreBehavior

service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicBucketRestrictBehavior

service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicPolicyAccess

service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclAccess

service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclIgnoreBehavior

service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicBucketRestrictBehavior

service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicPolicyAccess

service.detection.sequence.resources.data.s3 Bucket.createdAt

service.detection.sequence.resources.data.s3 Bucket.effectivePermission

service.detection.sequence.resources.data.s3 Bucket.encryptionKeyArn

service.detection.sequence.resources.data.s3 Bucket.encryptionType

service.detection.sequence.resources.data.s3 Bucket.ownerId

service.detection.sequence.resources.data.s3 Bucket.publicReadAccess

service.detection.sequence.resources.data.s3 Bucket.publicWriteAccess

service.detection.sequence.resources.data.s3 Bucket.s3ObjectUids

service.detection.sequence.resources.data.s3 Object.eTag

service.detection.sequence.resources.data.s3 Object.key

service.detection.sequence.resources.data.s3 Object.versionId

service.detection.sequence.resources.name

service.detection.sequence.resources.region

Service.Detection.Sequence.Resources.ResourceType

service.detection.sequence.resources.service

service.detection.sequence.resources.tags.key

service.detection.sequence.resources.tags.value

service.detection.sequence.resources.uid

service.detection.sequence.sequence Indicators.key

service.detection.sequence.sequence Indicators.title

service.detection.sequence.sequence Indicators.values

Service.Detection.Sequence.Signals.ActorIds

service.detection.sequence.signals.count

Service.Detection.Sequence.Signals.CreatedAt

service.detection.sequence.signals.description

Service.Detection.Sequence.Signals.EndpointIds

service.detection.sequence.signals.first SeenAt

service.detection.sequence.signals.last SeenAt

service.detection.sequence.signals.name

Service.Detection.Sequence.Signals.ResourceUids

service.detection.sequence.signals.severity

service.detection.sequence.signals.signal Indicators.key

service.detection.sequence.signals.signal Indicators.title

service.detection.sequence.signals.signal Indicators.values

service.detection.sequence.signals.type

service.detection.sequence.signals.uid

service.detection.sequence.signals.Updatedat

service.detection.sequence.uid

Service.detectorID

service.ebs VolumeScanDetails.scanCompletedAt

service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.count

service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.severity

service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.threatName

service.ebs VolumeScanDetails.scanDetections.scannedItemCount.files

service.ebs VolumeScanDetails.scanDetections.scannedItemCount.totalGb

service.ebs VolumeScanDetails.scanDetections.scannedItemCount.volumes

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.itemCount

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.shortened

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.fileName

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.volumeArn

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.itemCount

service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.uniqueThreatNameCount

service.ebs VolumeScanDetails.scanDetections.threatsDetectedItemCount.files

service.ebs VolumeScanDetails.scanStartedAt

service.ebs VolumeScanDetails.scanType

service.ebs VolumeScanDetails.sources

service.événement FirstSeen

service.événement LastSeen

service .malware ScanDetails.scanCategory

service .malware ScanDetails.scanConfiguration.incrementalScanDetails.baselineResourceArn

service .malware ScanDetails.scanConfiguration.triggerType

service .malware ScanDetails.threats.count

service .malware ScanDetails.threats.hash

service .malware ScanDetails.threats.itemDetails.additionalInfo.deviceName

service .malware ScanDetails.threats.itemDetails.additionalInfo.versionId

service .malware ScanDetails.threats.itemDetails.hash

service .malware ScanDetails.threats.itemDetails.itemPath

service .malware ScanDetails.threats.itemDetails.resourceArn

service .malware ScanDetails.threats.itemPaths.hash

service .malware ScanDetails.threats.itemPaths.nestedItemPath

service .malware ScanDetails.threats.source

service .malware ScanDetails.uniqueThreatCount

service.runtime Details.context.addressFamily

service.runtime Details.context.commandLineExample

service.runtime Details.context.fileSystemType

service.runtime Details.context.flags

service.runtime Details.context.ianaProtocolNumber

service.runtime Details.context.ldPreloadValue

service.runtime Details.context.libraryPath

service.runtime Details.context.memoryRegions

service.runtime Details.context.modifiedAt

service.runtime Details.context.modifyingProcess.euid

service.runtime Details.context.modifyingProcess.executablePath

service.runtime Details.context.modifyingProcess.executableSha256

service.runtime Details.context.modifyingProcess.lineage.euid

service.runtime Details.context.modifyingProcess.lineage.executablePath

service.runtime Details.context.modifyingProcess.lineage.name

service.runtime Details.context.modifyingProcess.lineage.namespacePid

service.runtime Details.context.modifyingProcess.lineage.parentUuid

service.runtime Details.context.modifyingProcess.lineage.pid

service.runtime Details.context.modifyingProcess.lineage.startTime

service.runtime Details.context.modifyingProcess.lineage.userId

service.runtime Details.context.modifyingProcess.lineage.uuid

service.runtime Details.context.modifyingProcess.name

service.runtime Details.context.modifyingProcess.namespacePid

service.runtime Details.context.modifyingProcess.parentUuid

service.runtime Details.context.modifyingProcess.pid

service.runtime Details.context.modifyingProcess.pwd

service.runtime Details.context.modifyingProcess.startTime

service.runtime Details.context.modifyingProcess.user

service.runtime Details.context.modifyingProcess.userId

service.runtime Details.context.modifyingProcess.uuid

service.runtime Details.context.mountSource

service.runtime Details.context.mountTarget

service.runtime Details.context.relatedFilePaths

service.runtime Details.context.releaseAgentPath

service.runtime Details.context.runcBinaryPath

service.runtime Details.context.scriptPath

service.runtime Details.context.serviceName

service.runtime Details.context.shellHistoryFilePath

service.runtime Details.context.socketPath

service.runtime Details.context.targetProcess.euid

service.runtime Details.context.targetProcess.executablePath

service.runtime Details.context.targetProcess.executableSha256

service.runtime Details.context.targetProcess.lineage.euid

service.runtime Details.context.targetProcess.lineage.executablePath

service.runtime Details.context.targetProcess.lineage.name

service.runtime Details.context.targetProcess.lineage.namespacePid

service.runtime Details.context.targetProcess.lineage.parentUuid

service.runtime Details.context.targetProcess.lineage.pid

service.runtime Details.context.targetProcess.lineage.startTime

service.runtime Details.context.targetProcess.lineage.userId

service.runtime Details.context.targetProcess.lineage.uuid

service.runtime Details.context.targetProcess.name

service.runtime Details.context.targetProcess.namespacePid

service.runtime Details.context.targetProcess.parentUuid

service.runtime Details.context.targetProcess.pid

service.runtime Details.context.targetProcess.pwd

service.runtime Details.context.targetProcess.startTime

service.runtime Details.context.targetProcess.user

service.runtime Details.context.targetProcess.userId

service.runtime Details.context.targetProcess.uuid

service.runtime Details.context.threatFilePath

service.runtime Details.context.toolCategory

service.runtime Details.context.toolName

service.runtime Details.process.euid

service.runtime Details.process.lineage.euid

service.runtime Details.process.lineage.executablePath

service.runtime Details.process.lineage.name

service.runtime Details.process.lineage.namespacePid

service.runtime Details.process.lineage.parentUuid

service.runtime Details.process.lineage.pid

service.runtime Details.process.lineage.startTime

service.runtime Details.process.lineage.userId

service.runtime Details.process.lineage.uuid

service.runtime Details.process.namespacePid

service.runtime Details.process.parentUuid

service.runtime Details.process.pid

service.runtime Details.process.pwd

service.runtime Details.process.startTime

service.runtime Details.process.user

service.runtime Details.process.userId

service.runtime Details.process.uuid

Service. Commentaires des utilisateurs