Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Détails d'un résultat
Dans la GuardDuty console Amazon, vous pouvez consulter les détails des recherches dans la section récapitulative des recherches. Les détails des résultats varient en fonction du type de résultat.
Deux détails principaux permettent de déterminer les types d'information disponibles pour tout résultat. Le premier est le type de ressource, qui peut être `Instance` `AccessKey``S3Bucket`,`S3Object`, `Kubernetes cluster``ECS cluster`,`Container`,`RDSDBInstance`,`RDSLimitlessDB`, ou`Lambda`. Le deuxième détail qui détermine les informations d'un résultat est le **rôle de la ressource**. Le rôle de la ressource peut être `Target` tel que la ressource a été la cible d'une activité suspecte. Pour les résultats du type d'instance, le rôle de la ressource peut également être `Actor`, ce qui signifie que votre ressource était l'acteur à l'origine de l'activité suspecte. Cette rubrique décrit certains des détails les plus fréquemment disponibles en matière de résultats. Pour [GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md) et[Protection contre les programmes malveillants pour le type de recherche S3](gdu-malware-protection-s3-finding-types.md), le rôle de ressource n'est pas renseigné.
**Topics**
+ [Présentation des résultats](#findings-summary-section)
+ [Ressource](#findings-resource-affected)
+ [Détails de recherche de la séquence d'attaque](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Détails de l'utilisateur de base de données (DB) RDS](#rds-pro-db-user-details)
+ [Surveillance d’exécution : détails des résultats](#runtime-monitoring-runtime-details)
+ [Détails de l'analyse des volumes EBS](#mp-ebs-volumes-scan-details)
+ [Protection contre les logiciels malveillants pour la recherche de détails dans EC2](#malware-protection-scan-details)
+ [Informations sur la recherche effectuée par la protection contre les logiciels malveillants pour S3](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [Acteur ou cible](#finding-actor-target)
+ [Détails de géolocalisation](#guardduty-finding-details-geolocation)
+ [Informations supplémentaires](#finding-additional-info)
+ [Preuve](#finding-evidence)
+ [Comportement anormal](#finding-anomalous)
## Présentation des résultats
La section **Présentation** d'un résultat contient les fonctionnalités d'identification les plus élémentaires du résultat, notamment les informations suivantes :
+ **ID du compte** : identifiant du AWS compte sur lequel s'est déroulée l'activité qui a incité GuardDuty à générer ce résultat.
+ **Nombre** : nombre de fois qu'une activité correspondant à ce modèle GuardDuty a été agrégée à cet identifiant de recherche.
+ **Créé à** : heure et date de création de ce résultat. Si cette valeur diffère de la valeur **Mise à jour à**, cela indique que l'activité s'est produite plusieurs fois et qu'il s'agit d'un problème continu.
**Note**
Les horodatages des résultats dans la GuardDuty console apparaissent dans votre fuseau horaire local, tandis que les exportations JSON et les sorties CLI affichent les horodatages en UTC.
+ **ID de résultat** : identifiant unique pour ce type de résultat et ensemble de paramètres. Les nouvelles occurrences d'activité correspondant à ce modèle seront regroupées sous le même ID.
+ **Type de résultat** : chaîne formatée représentant le type d'activité qui a déclenché le résultat. Pour de plus amples informations, veuillez consulter [GuardDuty format de recherche](guardduty_finding-format.md).
+ **Région** : AWS région dans laquelle le résultat a été généré. Pour de plus amples informations sur les régions prises en charge, veuillez consulter [Régions et points de terminaison](guardduty_regions.md).
+ **ID de ressource** : ID de la AWS ressource par rapport à laquelle a eu lieu l'activité qui a incité GuardDuty à générer ce résultat.
+ **ID de scan** : applicable aux résultats lorsque GuardDuty Malware Protection for EC2 est activée, il s'agit d'un identifiant de l'analyse des programmes malveillants exécutée sur les volumes EBS attachés à l'instance ou à la charge de travail du conteneur EC2 potentiellement compromise. Pour de plus amples informations, veuillez consulter [Protection contre les logiciels malveillants pour la recherche de détails dans EC2](#malware-protection-scan-details).
+ **Gravité** : niveau de gravité attribué à un résultat : critique, élevé, moyen ou faible. Pour de plus amples informations, veuillez consulter [Niveaux de gravité des résultats](guardduty_findings-severity.md).
+ **Mis à jour à** — La dernière fois que ce résultat a été mis à jour avec une nouvelle activité correspondant au modèle qui a incité GuardDuty à générer ce résultat.
## Ressource
La **ressource affectée** fournit des détails sur la AWS ressource ciblée par l'activité initiatrice. Les informations disponibles varient selon le type de ressource et le type d'action.
**Rôle de ressource** : rôle de la AWS ressource à l'origine de la recherche. Cette valeur peut être **CIBLE** ou **ACTEUR**, et indique si votre ressource était la cible de l'activité suspecte ou l'acteur qui a effectué l'activité suspecte.
**Type de ressource** : type de la ressource affectée. Si plusieurs ressources étaient impliquées, un résultat peut inclure plusieurs types de ressource. **Les types de ressources sont **Instance **AccessKey****, **S3Bucket, **S3Object****,,, **Container **KubernetesCluster**ECSCluster**RDSDBInstanceRDSLimitless********,** DB** et Lambda.** Selon le type de ressource, différents détails de résultats sont disponibles. Sélectionnez un onglet d'option de ressource pour en savoir plus sur les détails disponibles pour cette ressource.
------
#### [ Instance ]
**Détails de l'instance :**
**Note**
Certains détails de l'instance peuvent être manquants si l'instance a déjà été arrêtée ou si l'invocation d'API sous-jacente provient d'une instance EC2 d'une autre région lors d'un appel d'API entre régions.
+ **ID d'instance** : ID de l'instance EC2 impliquée dans l'activité qui a incité GuardDuty à générer le résultat.
+ **Type d'instance** : type de l'instance EC2 impliquée dans le résultat.
+ **Heure de lancement** : date et heure auxquelles l'instance a été lancée.
+ **Outpost ARN** — Le nom de ressource Amazon (ARN) de AWS Outposts. Applicable uniquement aux AWS Outposts instances. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Outposts ?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) dans le *Guide de l'utilisateur pour les racks Outposts*.
+ **Nom du groupe de sécurité** : nom du groupe de sécurité attaché à l'instance concernée.
+ **ID du groupe de sécurité** : ID du groupe de sécurité attaché à l'instance concernée.
+ **État de l'instance** : état actuel de l'instance ciblée.
+ **Zone de disponibilité** : zone de disponibilité de la Région AWS dans laquelle se trouve l'instance concernée.
+ **ID de l'image** : ID de l'Amazon Machine Image utilisée pour créer l'instance impliquée dans l'activité.
+ **Description de l'image** : description de l'ID de l'Amazon Machine Image utilisée pour créer l'instance impliquée dans l'activité.
+ **Balises** : liste des balises attachées à cette ressource, répertoriées au format `key`:`value`.
------
#### [ AccessKey ]
**Détails de la clé d'accès :**
+ **ID de clé d'**accès : ID de clé d'accès de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.
+ **ID principal** : identifiant principal de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.
+ **Type d'utilisateur** : type d'utilisateur impliqué dans l'activité qui a incité GuardDuty à générer le résultat. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Nom d'utilisateur** : nom de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.
------
#### [ S3Bucket ]
**Détails du compartiment Amazon S3 :**
+ **Nom** : nom du compartiment impliqué dans le résultat.
+ **ARN** : ARN du compartiment impliqué dans le résultat.
+ **Propriétaire** : ID utilisateur canonique de l'utilisateur propriétaire du compartiment impliqué dans le résultat. Pour plus d'informations sur les utilisateurs canoniques, IDs voir les [identifiants de AWS compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Type** : le type de résultat de compartiment peut être **Destination** ou **Source**.
+ **Détails du chiffrement côté serveur par défaut** : détails du chiffrement pour le compartiment.
+ **Balises de compartiment** : liste des balises attachées à cette ressource, répertoriées au format `key`:`value`.
+ **Autorisations effectives** : évaluation de toutes les autorisations et stratégies effectives sur le compartiment qui indique si le compartiment impliqué est exposé publiquement. Les valeurs peuvent être **Publique** ou **Non publique**.
------
#### [ S3Object ]
+ **Détails de l'objet S3** : inclut les informations suivantes sur l'objet S3 scanné :
+ **ARN** — Nom de ressource Amazon (ARN) de l'objet S3 scanné.
+ **Clé** : nom attribué au fichier lors de sa création dans le compartiment S3.
+ **ID de version** : lorsque vous avez activé le contrôle de version des compartiments, ce champ indique l'identifiant de version associé à la dernière version de l'objet S3 scanné. Pour plus d'informations, consultez la section [Utilisation du versionnement dans les compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) dans le guide de l'*utilisateur Amazon S3*.
+ **ETag** — Représente la version spécifique de l'objet S3 scanné.
+ **Hachage** : hachage de la menace détectée dans cette constatation.
+ **Détails du compartiment S3** : inclut les informations suivantes sur le compartiment Amazon S3 associé à l'objet S3 scanné :
+ **Nom** — Indique le nom du compartiment S3 qui contient l'objet.
+ **ARN** — Nom de ressource Amazon (ARN) du compartiment S3.
+ **Propriétaire** : identifiant canonique du propriétaire du compartiment S3.
------
#### [ EKSCluster ]
**Détails du cluster Kubernetes :**
+ **Nom** : nom du cluster Kubernetes.
+ **ARN** : l'ARN qui identifie le cluster.
+ **Créé à** : heure et date de création de ce cluster.
**Note**
Les horodatages des résultats dans la GuardDuty console apparaissent dans votre fuseau horaire local, tandis que les exportations JSON et les sorties CLI affichent les horodatages en UTC.
+ **ID de VPC** : ID du VPC associé à votre cluster.
+ **État** : extrait l'état actuel du cluster.
+ **Balises** : métadonnées que vous appliquez au cluster pour faciliter le classement et l'organisation. Chaque balise est constituée d'une clé et d'une valeur facultative, répertoriées au format `key`:`value`. Vous pouvez définir à la fois la clé et la valeur.
Les balises de cluster ne sont pas propagées vers les autres ressources associées au cluster.
**Détails de la charge de travail Kubernetes :**
+ **Type :** type de charge de travail Kubernetes, tel que le pod, le déploiement et la tâche.
+ **Nom** : nom de la charge de travail Kubernetes.
+ **Uid** : identifiant unique de la charge de travail Kubernetes.
+ **Créé à** : heure et date de création de cette charge de travail.
+ **Étiquettes** : paires clé-valeur attachées à la charge de travail Kubernetes.
+ **Conteneurs** : détails du conteneur exécuté dans le cadre de la charge de travail de Kubernetes.
+ **Espace de noms** : la charge de travail appartient à cet espace de noms Kubernetes.
+ **Volumes** : volumes utilisés par la charge de travail Kubernetes.
+ **Chemin d'accès de l'hôte** : représente un fichier ou un répertoire préexistant sur la machine hôte vers lequel le volume est mappé.
+ **Nom** : nom du volume.
+ **Contexte de sécurité du pod** : définit les paramètres de contrôle des privilèges et des accès pour tous les conteneurs d'un pod.
+ **Réseau hôte** : définissez sur `true` si les pods sont inclus dans la charge de travail Kubernetes.
**Informations utilisateur Kubernetes :**
+ **Groupes** : groupes de RBAC (contrôle basé sur l'accès aux rôles) de Kubernetes de l'utilisateur qui participe à l'activité qui a généré le résultat.
+ **ID** : ID unique de l'utilisateur Kubernetes.
+ **Nom d'utilisateur** : nom de l'utilisateur Kubernetes qui participe à l'activité à l'origine du résultat.
+ **Nom de session** : entité qui a assumé le rôle IAM avec les autorisations RBAC de Kubernetes.
------
#### [ ECSCluster ]
**Détails du cluster ECS :**
+ **ARN** : l'ARN qui identifie le cluster.
+ **Nom** : nom du cluster.
+ **État** : extrait l'état actuel du cluster.
+ **Nombre de services actifs** : nombre de services exécutés sur le cluster à l'état `ACTIVE`. Vous pouvez consulter ces services avec [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Nombre d'instances de conteneur enregistrées** : nombre d'instances de conteneur enregistrées dans le cluster. Cela inclut les instances de conteneur à la fois à l'état `ACTIVE` et `DRAINING`.
+ **Nombre de tâches en cours** : nombre de tâches du cluster qui sont à l'état `RUNNING`.
+ **Balises** : métadonnées que vous appliquez au cluster pour faciliter le classement et l'organisation. Chaque balise est constituée d'une clé et d'une valeur facultative, répertoriées au format `key`:`value`. Vous pouvez définir à la fois la clé et la valeur.
+ **Conteneurs** : détails sur le conteneur associé à la tâche :
+ **Nom de conteneur** : nom du conteneur.
+ **Image de conteneur** : image du conteneur.
+ **Détails de la tâche** : détails d'une tâche dans un cluster.
+ **ARN** : Amazon Resource Name (ARN) de la tâche.
+ **ARN de la définition** : Amazon Resource Name (ARN) de la définition de tâche qui crée la tâche.
+ **Version** : compteur de version de la tâche.
+ **Tâche créée à** : horodatage Unix lors de la création de la tâche.
+ **Tâche démarrée à** : horodatage Unix lors du démarrage d'une tâche.
+ **Tâche démarrée par** : balise spécifiée lors du démarrage d'une tâche.
------
#### [ Container ]
**Détails du conteneur :**
+ **Exécution du conteneur** : exécution du conteneur (comme `docker` ou `containerd`) utilisé pour exécuter le conteneur.
+ **ID** : ID de l'instance de conteneur ou entrées ARN complètes pour l'instance de conteneur.
+ **Nom** : nom du conteneur.
+ **Image** : image de l'instance de conteneur.
+ **Montages de volume** : liste des montages de volume de conteneurs. Un conteneur peut monter un volume sous son système de fichiers.
+ **Contexte de sécurité** : le contexte de sécurité du conteneur définit les paramètres de contrôle de privilèges et d'accès pour un conteneur.
+ **Détails du processus** : décrit les détails du processus associé au résultat.
------
#### [ RDSDBInstance ]
**RDSDBInstance détails :**
**Note**
Cette ressource est disponible dans les résultats de protection RDS relatifs à l'instance de base de données.
+ **ID de l'instance de base** de données : identifiant associé à l'instance de base de données impliquée dans la GuardDuty recherche.
+ **Moteur** : nom du moteur de base de données de l'instance de base de données impliquée dans le résultat. Les valeurs possibles sont compatibles avec Aurora MySQL ou compatibles avec Aurora PostgreSQL.
+ **Version du moteur** : version du moteur de base de données impliquée dans la GuardDuty recherche.
+ **ID du cluster de base** de données : identifiant du cluster de base de données qui contient l'identifiant de l'instance de base de données impliquée dans la GuardDuty recherche.
+ **ARN de l'instance de base** de données : ARN identifiant l'instance de base de données impliquée dans la GuardDuty recherche.
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDétails de la base de données :**
Cette ressource est disponible dans les résultats de protection RDS relatifs à la version du moteur prise en charge de Limitless Database.
+ **Identifiant du groupe de partitions de base** de données : nom associé au groupe de partitions de base de données Limitless.
+ ID de **ressource du groupe de partitions de base de données : identifiant** de ressource du groupe de partitions de base de données au sein de la base de données Limitless.
+ **ARN du groupe de partitions de base** de données : nom de ressource Amazon (ARN) qui identifie le groupe de partitions de base de données.
+ **Moteur** — Identifiant de la base de données Limitless impliquée dans la recherche.
+ **Version du moteur** : version du moteur de base de données Limitless.
+ **Identifiant du cluster** de base de données : nom du cluster de base de données qui fait partie de la base de données Limitless.
Pour plus d'informations sur les informations relatives à l'utilisateur et à l'authentification de la base de données potentiellement affectée, consultez[Détails de l'utilisateur de base de données (DB) RDS](#rds-pro-db-user-details).
------
#### [ Lambda ]
**Détails de la fonction Lambda**
+ **Nom de la fonction** : nom de la fonction Lambda impliquée dans le résultat.
+ **Version de la fonction** : version de la fonction Lambda impliquée dans le résultat.
+ **Description de la fonction** : description de la fonction Lambda impliquée dans le résultat.
+ **ARN de fonction** : Amazon Resource Name (ARN) de la fonction Lambda impliquée dans le résultat.
+ **ID de révision** : ID de révision de la version de la fonction Lambda.
+ **Rôle** : rôle d'exécution de la fonction Lambda impliquée dans le résultat.
+ Configuration **VPC : configuration** Amazon VPC, y compris l'ID VPC, le groupe de sécurité et le sous-réseau associés à votre fonction Lambda. IDs
+ **ID de VPC** : ID d'Amazon VPC associé à la fonction Lambda impliquée dans le résultat.
+ **Sous-réseau IDs** : ID des sous-réseaux associés à votre fonction Lambda.
+ **Groupe de sécurité** : groupe de sécurité attaché à la fonction Lambda concernée. Cela inclut le nom et l'ID du groupe de sécurité.
+ **Balises** : liste des balises attachées à cette ressource, répertoriées au format de paire `key`:`value`.
------
## Détails de recherche de la séquence d'attaque
GuardDuty fournit des informations détaillées sur chaque recherche générée dans votre compte. Ces informations vous aident à comprendre les raisons de cette découverte. Cette section se concentre sur les détails associés à[Types de recherche de séquences d'attaques](guardduty-attack-sequence-finding-types.md). Cela inclut des informations telles que les ressources potentiellement affectées, la chronologie des événements, les indicateurs, les signaux et les points de terminaison impliqués dans le résultat.
Pour afficher les détails associés aux signaux qui sont des GuardDuty résultats, consultez les sections associées de cette page.
Dans la GuardDuty console, lorsque vous sélectionnez une recherche de séquence d'attaque, le panneau latéral détaillé est divisé en onglets suivants :
+ **Vue d'ensemble** : fournit une vue compacte des détails de la séquence d'attaque, y compris les signaux, les tactiques MITRE et les ressources potentiellement touchées.
+ **Signaux** : affiche une chronologie des événements impliqués dans une séquence d'attaque.
+ **Ressources** — Fournit des informations sur les ressources potentiellement touchées ou les ressources potentiellement menacées.
La liste suivante fournit des descriptions associées aux détails de la recherche de la séquence d'attaque.
**Signaux**
Un signal peut être une activité d'API ou une découverte GuardDuty utilisée pour détecter une séquence d'attaque. GuardDuty prend en compte les signaux faibles qui ne se présentent pas comme une menace claire, les synthétise et les met en corrélation avec les résultats générés individuellement. Pour plus de contexte, l'onglet **Signaux** fournit une chronologie des signaux, telle qu'observée par GuardDuty.
Chaque signal, c'est-à-dire une GuardDuty constatation, possède son propre niveau de gravité et sa propre valeur. Dans la GuardDuty console, vous pouvez sélectionner chaque signal pour afficher les détails associés.
**Acteurs**
Fournit des informations sur les acteurs de la menace dans une séquence d'attaque. Pour plus d'informations, consultez [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) dans *Amazon GuardDuty API Reference*.
**Points de terminaison**
Fournit des détails sur les points de terminaison du réseau utilisés dans cette séquence d'attaque. Pour plus d'informations, consultez [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)le manuel *Amazon GuardDuty API Reference*. Pour plus d'informations sur le mode GuardDuty de détermination de l'emplacement, consultez[Détails de géolocalisation](#guardduty-finding-details-geolocation).
**Indicateurs**
Inclut les données observées qui correspondent au schéma d'un problème de sécurité. Ces données indiquent pourquoi il GuardDuty existe une indication d'une activité potentiellement suspecte. Par exemple, lorsque le nom de l'indicateur est`HIGH_RISK_API`, cela indique une action couramment utilisée par les acteurs malveillants, ou une action sensible susceptible d'avoir un impact potentiel sur un Compte AWS, comme l'accès aux informations d'identification ou la modification d'une ressource.
Le tableau suivant inclut une liste d'indicateurs potentiels et leurs descriptions :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/guardduty_findings-summary.html)
**Tactiques MITRE**
Ce champ indique les tactiques MITRE ATT&CK utilisées par l'auteur de la menace au cours d'une séquence d'attaque. GuardDuty utilise le framework [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) qui ajoute du contexte à l'ensemble de la séquence d'attaque. Les couleurs utilisées par la GuardDuty console pour spécifier les objectifs de menace utilisés par l'auteur de la menace s'alignent sur les couleurs indiquant les niveaux critique, élevé, moyen et faible[Niveaux de gravité des résultats](guardduty_findings-severity.md).
**Indicateurs de réseau**
Les indicateurs incluent une combinaison de valeurs d'indicateurs de réseau qui expliquent pourquoi un réseau est révélateur d'un comportement suspect. Cette section s'applique uniquement lorsque l'**indicateur** inclut `SUSPICIOUS_NETWORK` ou`MALICIOUS_IP`. L'exemple suivant montre comment les indicateurs de réseau peuvent être associés à un indicateur, où :
+ *AnyCompany*est un système autonome (AS).
+ `TUNNEL_VPN``IS_ANONYMOUS`, et `ALLOWS_FREE_ACCESS` sont les indicateurs du réseau.
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
Le tableau suivant inclut les valeurs des indicateurs de réseau et leur description. Ces balises sont ajoutées en fonction des informations sur les menaces GuardDuty collectées auprès de sources telles que Spur.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/guardduty_findings-summary.html)
## Détails de l'utilisateur de base de données (DB) RDS
**Note**
Cette section s'applique aux résultats obtenus lorsque vous activez la fonctionnalité de protection RDS dans GuardDuty. Pour de plus amples informations, veuillez consulter [GuardDuty Protection RDS](rds-protection.md).
La GuardDuty découverte fournit les informations suivantes relatives à l'utilisateur et à l'authentification de la base de données potentiellement compromise :
+ **Utilisateur** : nom d'utilisateur utilisé pour effectuer la tentative de connexion anormale.
+ **Application** : nom de l'application servant à effectuer la tentative de connexion anormale.
+ **Base de données** : nom de l'instance de base de données impliquée dans la tentative de connexion anormale.
+ **SSL** : version du protocole SSL (Secure Socket Layer) utilisée pour le réseau.
+ **Méthode d'authentification** : méthode d'authentification utilisée par l'utilisateur impliqué dans le résultat.
Pour plus d'informations sur la ressource potentiellement compromise, consultez[Ressource](#findings-resource-affected).
## Surveillance d’exécution : détails des résultats
**Note**
Ces informations ne peuvent être disponibles que GuardDuty si l'un des[GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md).
Cette section contient les détails de l'exécution, tels que les détails du processus et tout contexte requis. Les détails du processus décrivent les informations relatives au processus observé, et le contexte d'exécution décrit toute information supplémentaire concernant l'activité potentiellement suspecte.
**Détails du processus**
+ **Nom** : nom du processus.
+ **Chemin exécutable** : chemin absolu du fichier exécutable du processus.
+ **Exécutable SHA-256** : hachage `SHA256` de l'exécutable du processus.
+ **PID de l'espace de noms** : ID du processus dans un espace de noms PID secondaire différent de l'espace de noms PID au niveau de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur.
+ **Répertoire de travail actuel** : répertoire de travail actuel du processus.
+ **ID de processus** : ID attribué au processus par le système d'exploitation.
+ **startTime** : heure à laquelle le processus a démarré. Ce champ est au format de chaîne de date UTC (`2023-03-22T19:37:20.168Z`).
+ **UUID** — L'identifiant unique attribué au processus par. GuardDuty
+ **UUID parent** : identifiant unique du processus parent. Cet identifiant est attribué au processus parent par GuardDuty.
+ **Utilisateur** : utilisateur qui a exécuté le processus.
+ **ID utilisateur** : ID de l'utilisateur qui a exécuté le processus.
+ **ID utilisateur effectif** : ID de l'utilisateur effectif du processus au moment de l'événement.
+ **Lignée** : informations sur les ancêtres du processus.
+ **ID de processus** : ID attribué au processus par le système d'exploitation.
+ **UUID** — L'identifiant unique attribué au processus par. GuardDuty
+ **Chemin exécutable** : chemin absolu du fichier exécutable du processus.
+ **ID utilisateur effectif** : ID de l'utilisateur effectif du processus au moment de l'événement.
+ **UUID parent** : identifiant unique du processus parent. Cet identifiant est attribué au processus parent par GuardDuty.
+ **Heure de début** : heure à laquelle le processus a démarré.
+ **PID de l'espace de noms** : ID du processus dans un espace de noms PID secondaire différent de l'espace de noms PID au niveau de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur.
+ **ID utilisateur** : ID de l'utilisateur qui a exécuté le processus.
+ **Nom** : nom du processus.
**Contexte d'exécution**
Parmi les champs suivants, un résultat généré peut inclure uniquement les champs correspondant au type de résultat.
+ **Source de montage** : chemin sur l'hôte monté par le conteneur.
+ **Cible de montage** : chemin du conteneur mappé au répertoire hôte.
+ **Type de système de fichiers** : représente le type du système de fichiers monté.
+ **Indicateurs** : représente les options qui contrôlent le comportement de l'événement impliqué dans ce résultat.
+ **Processus de modification** : informations sur le processus qui a créé ou modifié un fichier binaire, un script ou une bibliothèque dans un conteneur lors de l'exécution.
+ **Modifié à** : horodatage auquel le processus a créé ou modifié un binaire, un script ou une bibliothèque dans un conteneur au moment de l'exécution. Ce champ est au format de chaîne de date UTC (`2023-03-22T19:37:20.168Z`).
+ **Chemin de la bibliothèque** : chemin d'accès à la nouvelle bibliothèque chargée.
+ **Valeur de préchargement LD** : valeur de la variable d'environnement `LD_PRELOAD`.
+ **Chemin du socket** : chemin d'accès au socket Docker auquel l'utilisateur a accédé.
+ **Chemin d'accès au binaire Runc** : chemin d'accès au binaire `runc`.
+ **Chemin d'accès à l'agent de version** : chemin d'accès au fichier de l'agent de version `cgroup`.
+ **Exemple de ligne de commande** : exemple de ligne de commande impliquée dans l'activité potentiellement suspecte.
+ **Catégorie d'outil** : catégorie à laquelle appartient l'outil. Voici quelques exemples : Backdoor Tool, Pentest Tool, Network Scanner et Network Sniffer.
+ **Nom de l'outil** : nom de l'outil potentiellement suspect.
+ Chemin du **script : chemin** d'accès au script exécuté qui a généré le résultat.
+ **Chemin du fichier de menaces** : chemin suspect pour lequel les informations relatives aux menaces ont été trouvées.
+ **Nom du service** : nom du service de sécurité qui a été désactivé.
+ **Nom du module** : nom du module chargé dans le noyau.
+ **Module SHA256** — Le SHA256 hachage du module.
+ **Chemin du fichier du module** : chemin d'accès au module chargé dans le noyau.
## Détails de l'analyse des volumes EBS
**Note**
Cette section s'applique aux résultats obtenus lorsque vous activez l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur. [Protection contre les logiciels malveillants pour EC2](malware-protection.md)
L'analyse des volumes EBS fournit des informations détaillées sur le volume EBS attaché à l'instance EC2 ou à la charge de travail du conteneur potentiellement compromise.
+ **ID de numérisation** : identifiant de l'analyse des logiciels malveillants.
+ **Analyse démarrée à** : date et heure du début de l'analyse des logiciels malveillants.
+ **Analyse terminée à** : date et heure de fin de l'analyse des logiciels malveillants.
+ **ID de recherche du déclencheur** : ID de recherche du GuardDuty résultat à l'origine de cette analyse des logiciels malveillants.
+ **Sources** — Les valeurs potentielles sont `Bitdefender` et`Amazon`.
Pour plus d'informations sur le moteur d'analyse utilisé pour détecter les programmes malveillants, consultez[GuardDuty moteur d'analyse pour la détection des malwares](guardduty-malware-detection-scan-engine.md).
+ **Détections d'analyse** : vue complète des détails et des résultats de chaque analyse des logiciels malveillants.
+ **Nombre d'éléments analysés** : nombre total de fichiers numérisés. Fournit des détails tels que `totalGb`, `files` et `volumes`.
+ **Nombre d'éléments de menaces détectées** : nombre total de `files` malveillants détectés lors de l'analyse.
+ **Informations sur les menaces les plus graves** : informations sur la menace la plus grave détectée lors de l'analyse et sur le nombre de fichiers malveillants. Fournit des détails tels que `severity`, `threatName` et `count`.
+ **Menaces détectées par nom** : élément du conteneur regroupant les menaces de tous niveaux de gravité. Fournit des détails tels que `itemCount`, `uniqueThreatNameCount`, `shortened` et `threatNames`.
## Protection contre les logiciels malveillants pour la recherche de détails dans EC2
**Note**
Cette section s'applique aux résultats obtenus lorsque vous activez l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur. [Protection contre les logiciels malveillants pour EC2](malware-protection.md)
Lorsque l'analyse Malware Protection for EC2 détecte un logiciel malveillant, vous pouvez consulter les détails de l'analyse en sélectionnant le résultat correspondant sur la **page Résultats** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console. La gravité de votre détection de Malware Protection for EC2 dépend de la gravité de la GuardDuty découverte.
Les informations suivantes sont disponibles dans la section **Menaces détectées** du panneau de détails.
+ **Nom** : nom de la menace, obtenu en groupant les fichiers par détection.
+ **Gravité** : gravité de la menace détectée.
+ **Hachage** : SHA-256 du fichier.
+ **Chemin d'accès du fichier** : emplacement du fichier malveillant dans le volume EBS.
+ **Nom du fichier** : nom du fichier dans lequel la menace a été détectée.
+ **ARN du volume** : ARN des volumes EBS analysés.
Les informations suivantes sont disponibles dans la section **Détails de l'analyse des logiciels malveillants** du panneau des détails.
+ **ID de numérisation** : ID de numérisation des logiciels malveillants.
+ **Analyse démarrée à** : date et heure du début de l'analyse.
+ **Analyse terminée à** : date et heure de fin de l'analyse.
+ **Fichiers analysés** : nombre total de fichiers et de répertoires numérisés.
+ **Nombre total de Go numérisés** : quantité de stockage analysée au cours du processus.
+ **ID de recherche du déclencheur** : ID de recherche du GuardDuty résultat à l'origine de cette analyse des logiciels malveillants.
+ Les informations suivantes sont disponibles dans la section **Détails de volume** du panneau des détails.
+ **ARN du volume** : Amazon Resource Name (ARN) du volume.
+ **SnapshotARN** : ARN de l'instantané du volume EBS.
+ **État** : état de l'analyse du volume, tel que `Running`, `Skipped` et `Completed`.
+ **Type de chiffrement** : type de chiffrement utilisé pour chiffrer le volume. Par exemple, `CMCMK`.
+ **Nom de l'appareil** : nom de l'appareil. Par exemple, `/dev/xvda`.
## Informations sur la recherche effectuée par la protection contre les logiciels malveillants pour S3
Les informations suivantes relatives à l'analyse des programmes malveillants sont disponibles lorsque vous activez à la fois GuardDuty la protection contre les programmes malveillants pour S3 dans votre Compte AWS :
+ **Menaces** : liste des menaces détectées lors de l'analyse des logiciels malveillants.
**Menaces potentielles multiples dans les fichiers d'archive**
Si vous avez un fichier d'archive contenant potentiellement plusieurs menaces, Malware Protection for S3 ne signale que la première menace détectée. Après cela, l'état du scan est marqué comme terminé. GuardDuty génère le type de recherche associé et envoie également EventBridge les événements qu'il génère. Pour plus d'informations sur la surveillance des objets analysés par Amazon S3 à l'aide EventBridge des événements, consultez l'exemple de schéma de notification pour **THREATS\$1FOUND dans**. [Résultat de l'analyse d'objets S3](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Chemin de l'élément** : liste des chemins d'éléments imbriqués et des détails de hachage de l'objet S3 scanné.
+ Chemin de **l'élément imbriqué : chemin** de l'élément de l'objet S3 scanné où la menace a été détectée.
La valeur de ce champ n'est disponible que si l'objet de niveau supérieur est une archive et si une menace est détectée dans une archive.
+ **Hachage** : hachage de la menace détectée dans cette constatation.
+ **Sources** — Les valeurs potentielles sont `Bitdefender` et`Amazon`.
Pour plus d'informations sur le moteur d'analyse utilisé pour détecter les programmes malveillants, consultez[GuardDuty moteur d'analyse pour la détection des malwares](guardduty-malware-detection-scan-engine.md).
## Action
L'**action** d'un résultat donne des détails sur le type d'activité qui a déclenché le résultat. Les informations disponibles varient selon le type d'action.
**Type d'action** : type d'activité du résultat. ****Cette valeur peut être **NETWORK\$1CONNECTION, PORT\$1PROBE****, DNS\$1REQUEST, \$1CALL ou** **RDS\$1LOGIN\$1ATTEMPT**. AWS\$1API**** Les informations disponibles varient selon le type d'action :
+ **NETWORK\$1CONNECTION** : indique qu'un trafic réseau a été échangé entre l'instance EC2 identifiée et l'hôte distant. Ce type d'action contient les informations supplémentaires suivantes :
+ Direction de **connexion : direction** de connexion réseau observée dans l'activité qui a incité GuardDuty à générer le résultat. Il peut s'agir de l'une des valeurs suivantes :
+ **INBOUND** : indique qu'un hôte distant a initié une connexion à un port local sur l'instance EC2 identifiée dans votre compte.
+ **OUTBOUND** : indique que l'instance EC2 identifiée a initié une connexion à un hôte distant.
+ **INCONNU** — Indique qu'il n' GuardDuty a pas été possible de déterminer le sens de la connexion.
+ **Protocole : protocole** de connexion réseau observé dans l'activité qui a incité GuardDuty à générer le résultat.
+ **IP locale** : adresse IP source d'origine du trafic ayant déclenché le résultat. Cette information permet de faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic qui a déclenché la recherche. Par exemple, l'adresse IP d'un pod EKS par opposition à l'adresse IP de l'instance sur laquelle le pod EKS s'exécute.
+ **Bloqué** : indique si le port cible est bloqué.
+ **PORT\$1PROBE** : indique qu'un hôte distant a fait l'objet d'une identification de l'instance EC2 sur plusieurs ports ouverts. Ce type d'action contient les informations supplémentaires suivantes :
+ **IP locale** : adresse IP source d'origine du trafic ayant déclenché le résultat. Cette information permet de faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic qui a déclenché la recherche. Par exemple, l'adresse IP d'un pod EKS par opposition à l'adresse IP de l'instance sur laquelle le pod EKS s'exécute.
+ **Bloqué** : indique si le port cible est bloqué.
+ **DNS\$1REQUEST** : indique que l'instance EC2 identifiée a interrogé un nom de domaine. Ce type d'action contient les informations supplémentaires suivantes :
+ **Protocole : protocole** de connexion réseau observé dans l'activité qui a incité GuardDuty à générer le résultat.
+ **Bloqué** : indique si le port cible est bloqué.
+ **AWS\$1API\$1CALL** — Indique qu'une AWS API a été invoquée. Ce type d'action contient les informations supplémentaires suivantes :
+ **API** : nom de l'opération d'API qui a été invoquée et donc invitée GuardDuty à générer ce résultat.
**Note**
Ces opérations peuvent également inclure des événements non API capturés par AWS CloudTrail. Pour plus d'informations, consultez la section [Événements non liés à l'API capturés par CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html).
+ **Agent utilisateur :** agent utilisateur à l'origine de la demande d'API. Cette valeur vous indique si l'appel a été effectué depuis le AWS Management Console, un AWS service, le AWS SDKs, ou le AWS CLI.
+ **CODE D'ERREUR** : si le résultat a été déclenché par l'échec d'un appel d'API, le code d'erreur correspondant à cet appel est affiché.
+ **Nom du service** : nom DNS du service qui a tenté d'effectuer l'appel d'API ayant déclenché le résultat.
+ **RDS\$1LOGIN\$1ATTEMPT** : indique qu'une tentative de connexion a été effectuée à la base de données potentiellement compromise à partir d'une adresse IP distante.
+ **Adresse IP** : adresse IP distante utilisée pour effectuer la tentative de connexion potentiellement suspecte.
## Acteur ou cible
Un résultat a une section **Acteur** si le **rôle de la ressource** était `TARGET`. Cela indique que votre ressource a été ciblée par une activité suspecte, et la section **Acteur** contient des détails sur l'entité qui a ciblé votre ressource.
Un résultat a une section **Cible** si le **rôle de la ressource** était `ACTOR`. Cela indique que votre ressource a été impliquée dans une activité suspecte contre un hôte distant, et cette section contiendra des informations sur l'IP ou le domaine ciblé par votre ressource.
Les informations disponibles dans la section **Acteur** ou **Cible** peuvent inclure les éléments suivants :
+ **Affilié** : indique si le AWS compte de l'appelant de l'API distant est lié à votre GuardDuty environnement. Si cette valeur est `true`, l'appelant de l'API est affilié à votre compte d'une manière ou d'une autre, tandis que si cette valeur est `false`, l'appelant de l'API vient de l'extérieur de votre environnement.
+ **ID de compte distant** : ID de compte propriétaire de l'adresse IP sortante utilisée pour accéder à la ressource sur le réseau final.
+ **Adresse IP : adresse** IP impliquée dans l'activité qui a incité GuardDuty à générer le résultat.
+ **Emplacement** : informations de localisation de l'adresse IP impliquée dans l'activité GuardDuty à l'origine de la recherche.
+ **Organisation** : informations relatives à l'adresse IP associée à l'activité à l'origine de la constatation auprès de l'organisation du GuardDuty fournisseur de services Internet.
+ **Port** : numéro de port impliqué dans l'activité GuardDuty à l'origine de la recherche.
+ **Domaine** : domaine impliqué dans l'activité qui a incité GuardDuty à générer le résultat.
+ **Domaine avec suffixe** : domaine de deuxième et de premier niveau impliqué dans une activité susceptible d'inciter GuardDuty à générer le résultat. Pour obtenir la liste des domaines de premier et de deuxième niveau, consultez la liste des [suffixes publics](https://publicsuffix.org/).
## Détails de géolocalisation
GuardDuty détermine l'emplacement et le réseau des demandes à l'aide de bases de MaxMind données GeoIP. MaxMind indique une très grande précision de ses données au niveau du pays, bien que la précision varie en fonction de facteurs tels que le pays et le type d'adresse IP.
Pour plus d'informations MaxMind, consultez la section [Géolocalisation MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si vous pensez que l'une des données GeoIP est incorrecte, envoyez une demande de correction à MaxMind at [MaxMindCorrect IP2 Geo](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data.
## Informations supplémentaires
Tous les résultats ont une section **Informations supplémentaires** incluant les informations suivantes :
+ **Nom de la liste de menaces** : nom de la liste de menaces qui inclut l'adresse IP ou le nom de domaine impliqué dans l'activité GuardDuty à l'origine de la découverte.
+ **Exemple** : une valeur vraie ou fausse qui indique s'il s'agit d'un exemple de résultat.
+ **Archivé** : une valeur vraie ou fausse qui indique si ce résultat a été archivé.
+ **Inhabituelle** : détails d'une activité qui n'a pas été observée historiquement. Cela peut inclure tout utilisateur, emplacement, moment, compartiment, comportement de connexion ou organisation ASN inhabituel (non observé précédemment).
+ **Protocole inhabituel : protocole** de connexion réseau impliqué dans l'activité GuardDuty à l'origine du résultat.
+ **Détails de l'agent** : détails sur l'agent de sécurité actuellement déployé sur le cluster EKS de votre Compte AWS. Cela ne s'applique qu'aux types de résultat de la surveillance d'exécution EKS.
+ **Version de l'agent** : version de l'agent GuardDuty de sécurité.
+ **ID de l'agent** : identifiant unique de l'agent GuardDuty de sécurité.
## Preuve
Les résultats basés sur les renseignements sur les menaces comportent une section **Preuve** qui comprend les informations suivantes :
+ **Informations détaillées sur les menaces** : nom de la liste des menaces sur laquelle `Threat name` figure la menace reconnue.
+ **Nom de la menace** : nom de la famille de logiciels malveillants ou autre identifiant associé à la menace.
+ **Fichier de menace SHA256** : SHA256 du fichier à l'origine de la découverte.
## Comportement anormal
Les types de résultats qui se terminent par **AnomalousBehavior**indiquent que le résultat a été généré par le modèle d'apprentissage automatique (ML) de détection des GuardDuty anomalies. Le modèle de ML évalue toutes les demandes d'API adressées à votre compte et identifie les événements anormaux associés aux tactiques utilisées par les adversaires. Le modèle de ML suit différents facteurs de la demande d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande et l'API spécifique qui a été demandée.
Vous trouverez des informations sur les facteurs de la demande d'API inhabituels pour l'identité de l' CloudTrail utilisateur qui a invoqué la demande dans les détails de la recherche. Les identités sont définies par l'[élément CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html), et les valeurs possibles sont les suivantes :`Root`,`IAMUser`,, `AssumedRole` `FederatedUser``AWSAccount`, ou. `AWSService`
Outre les détails disponibles pour tous les GuardDuty résultats associés à l'activité de l'API, **AnomalousBehavior**les résultats contiennent des informations supplémentaires qui sont décrites dans la section suivante. Ces détails peuvent être consultés dans la console et sont également disponibles dans le fichier JSON du résultat.
+ **Anormal APIs** : liste de demandes d'API invoquées par l'identité de l'utilisateur à proximité de la demande d'API principale associée à la découverte. Ce volet détaille plus en détail l'événement d'API de la manière suivante.
+ La première API répertoriée est l'API principale, qui est la demande d'API associée à l'activité observée présentant le plus haut risque. Il s'agit de l'API qui a déclenché le résultat et qui est corrélée à la phase d'attaque du type de résultat. Il s'agit également de l'API qui est détaillée dans la section **Action** de la console et dans le fichier JSON du résultat.
+ Toutes les autres anomalies APIs répertoriées sont des anomalies supplémentaires APIs par rapport à l'identité utilisateur répertoriée observée à proximité de l'API principale. S'il n'y a qu'une seule API dans la liste, le modèle de ML n'a identifié aucune demande d'API supplémentaire provenant de cette identité d'utilisateur comme anormale.
+ La liste des APIs est divisée selon qu'une API a été **appelée avec succès** ou si l'API a été appelée sans succès, ce qui signifie qu'une réponse d'erreur a été reçue. Le type de réponse d'erreur reçue est indiqué au-dessus de chaque API appelée sans succès. Les types de réponse d'erreur possibles sont les suivants : `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` et `operation not permitted`.
+ APIs sont classés en fonction de leur service associé.
+ Pour plus de contexte, choisissez **Historique APIs** pour afficher les informations relatives au sommet APIs, jusqu'à un maximum de 20, généralement visibles à la fois pour l'identité de l'utilisateur et pour tous les utilisateurs du compte. Ils APIs sont marqués comme **rares (moins d'une fois par mois)**, peu **fréquents (quelques fois par mois)** ou **fréquents (tous les jours ou toutes les semaines), selon la fréquence à** laquelle ils sont utilisés dans votre compte.
+ **Comportement inhabituel (compte)** : cette section fournit des informations supplémentaires sur le comportement profilé de votre compte.
**Comportement profilé**
GuardDuty se renseigne en permanence sur les activités de votre compte en fonction des événements survenus. Ces activités et leur fréquence observée sont connues sous le nom de comportement profilé.
Les informations suivies dans ce panneau incluent :
+ **Organisation ASN : organisation** ASN (Autonomous System Number) à partir de laquelle l'appel d'API anormal a été effectué.
+ **Nom d'utilisateur** : nom de l'utilisateur qui a effectué l'appel d'API anormal.
+ **Agent utilisateur :** agent utilisateur utilisé pour effectuer l'appel d'API anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme `aws-cli` ou `Botocore`.
+ **Type d'utilisateur** : type d'utilisateur qui a effectué l'appel d'API anormal. Les valeurs possibles sont `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` ou `ROLE`.
+ **Compartiment** : nom du compartiment S3 auquel on a accédé.
+ **Comportement inhabituel (identité de l'utilisateur)** : cette section fournit des détails supplémentaires sur le comportement profilé de l'**identité de l'utilisateur** impliqué dans le résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a jamais vu cette identité d'utilisateur effectuer cet appel d'API de cette manière au cours de la période de formation. Les informations supplémentaires suivantes concernant l'**identité de l'utilisateur** sont disponibles :
+ **Organisation ASN** : organisation ASN à partir de laquelle l'appel d'API anormal a été effectué.
+ **Agent utilisateur :** agent utilisateur utilisé pour effectuer l'appel d'API anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme `aws-cli` ou `Botocore`.
+ **Compartiment** : nom du compartiment S3 auquel on a accédé.
+ **Comportement inhabituel (compartiment)** : cette section fournit des informations supplémentaires sur le comportement profilé du compartiment S3 associé au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle de GuardDuty machine learning n'a jamais vu d'appels d'API effectués de cette manière vers ce bucket au cours de la période de formation. Les informations suivies dans cette section incluent :
+ **Organisation ASN** : organisation ASN à partir de laquelle l'appel d'API anormal a été effectué.
+ **Nom d'utilisateur** : nom de l'utilisateur qui a effectué l'appel d'API anormal.
+ **Agent utilisateur :** agent utilisateur utilisé pour effectuer l'appel d'API anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme `aws-cli` ou `Botocore`.
+ **Type d'utilisateur** : type d'utilisateur qui a effectué l'appel d'API anormal. Les valeurs possibles sont `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` ou `ROLE`.
**Note**
Pour plus de détails sur les comportements historiques, choisissez **Comportement historique** dans la section **Comportement inhabituel (compte)**, **ID utilisateur** ou **Compartiment** pour afficher les détails du comportement attendu dans votre compte pour chacune des catégories suivantes : **Rare (moins d'une fois par mois)**, **Peu fréquent (quelques fois par mois)** ou **Fréquent (quotidien ou hebdomadaire)**, selon la fréquence à laquelle ils sont utilisés dans votre compte.
+ **Comportement inhabituel (base de données)** : cette section fournit des informations supplémentaires sur le comportement profilé de l'instance de base de données associée au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a jamais connu de tentative de connexion de cette manière à cette instance de base de données au cours de la période de formation. Les informations suivies pour cette section dans le panneau de résultat incluent :
+ **Nom d'utilisateur** : nom d'utilisateur utilisé pour effectuer la tentative de connexion anormale.
+ **Organisation ASN** : organisation ASN à partir de laquelle la tentative de connexion anormale a été effectuée.
+ **Nom de l'application** : nom de l'application servant à effectuer la tentative de connexion anormale.
+ **Nom de la base de données** : nom de l'instance de base de données impliquée dans la tentative de connexion anormale.
La section **Comportement historique** fournit plus de contexte sur les **noms d'utilisateur**, les **organisations ASN**, les **noms d'applications** et les **noms de base de données** précédemment observés pour la base de données associée. Chaque valeur unique est associée à un nombre représentant le nombre de fois qu'elle a été observée lors d'un événement de connexion qui a abouti.
+ **Comportement inhabituel (cluster Kubernetes de compte, espace de noms Kubernetes et nom d'utilisateur Kubernetes)** : cette section fournit des informations supplémentaires sur le comportement profilé du cluster Kubernetes et de l'espace de noms associé au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a pas précédemment observé ce compte, ce cluster, cet espace de noms ou ce nom d'utilisateur de cette manière. Les informations suivies pour cette section dans le panneau de résultat incluent :
+ **Nom d'utilisateur** : utilisateur qui a appelé l'API Kubernetes associée au résultat.
+ **Nom d'utilisateur usurpé** : l'utilisateur usurpé par `username`.
+ **Espace de noms** : espace de noms Kubernetes au sein du cluster Amazon EKS où l'action s'est produite.
+ **Agent utilisateur** : agent utilisateur associé à l'appel d'API Kubernetes. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme `kubectl`.
+ **API** : l'API Kubernetes appelée par `username` au sein du cluster Amazon EKS.
+ **Informations ASN** : informations ASN, telles que l'organisation et le fournisseur de services Internet, associées à l'adresse IP de l'utilisateur à l'origine de cet appel.
+ **Jour de la semaine** : jour de la semaine où l'appel d'API Kubernetes a été effectué.
+ **Autorisation** — Le verbe et la ressource Kubernetes dont l'accès est vérifié pour indiquer s'ils `username` peuvent ou non utiliser l'API Kubernetes.
+ **Nom du compte de service** : compte de service associé à la charge de travail Kubernetes qui fournit une identité à la charge de travail.
+ **Registre : registre** de conteneurs associé à l'image de conteneur déployée dans le workload Kubernetes.
+ **Image : image** du conteneur, sans les balises ni le résumé associés, déployée dans le workload Kubernetes.
+ **Config du préfixe d'image** : préfixe d'image pour lequel la configuration de sécurité du conteneur et de la charge de travail est activée`privileged`, par exemple `hostNetwork` ou pour le conteneur utilisant l'image.
+ **Nom du sujet** — Les sujets, tels que a `user``group`, ou `serviceAccountName` qui sont liés à un rôle de référence dans un `RoleBinding` ou`ClusterRoleBinding`.
+ **Nom du rôle** : nom du rôle impliqué dans la création ou la modification des rôles ou de l'`roleBinding`API.
### Anomalies basées sur le volume S3
Cette section détaille les informations contextuelles relatives aux anomalies basées sur le volume S3. Le résultat basé sur le volume ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) surveille le nombre inhabituel d'appels d'API S3 adressés par les utilisateurs aux compartiments S3, ce qui indique une exfiltration potentielle de données. Les appels d'API S3 suivants sont surveillés pour détecter les anomalies basées sur le volume.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
Les métriques suivantes aideront à établir une référence du comportement habituel lorsqu'une entité IAM accède à un compartiment S3. Pour détecter l'exfiltration de données, le résultat de détection d'anomalies basées sur le volume évalue toutes les activités par rapport à la référence comportementale habituelle. Choisissez **Comportement historique** dans les sections **Comportement inhabituel (identité utilisateur**), **Volume observé (identité utilisateur)** et **Volume observé (compartiment)** pour afficher les métriques suivantes, respectivement.
+ Nombre d'appels d'API `s3-api-name` invoqués par l'utilisateur IAM ou le rôle IAM (selon celui qui a été émis) associés au compartiment S3 concerné au cours des dernières 24 heures.
+ Nombre d'appels d'API `s3-api-name` invoqués par l'utilisateur IAM ou le rôle IAM (selon celui qui a été émis) associés à tous les compartiments S3 au cours des dernières 24 heures.
+ Nombre d'appels d'API `s3-api-name` entre tous les utilisateurs IAM ou rôles IAM (selon celui qui a été émis) associés au compartiment S3 concerné au cours des dernières 24 heures.
### Anomalies basées sur l'activité de connexion RDS
Cette section détaille le nombre de tentatives de connexion effectuées par l'acteur inhabituel et est regroupée en fonction du résultat des tentatives de connexion. Les [Types de résultat de la protection RDS](findings-rds-protection.md) identifient les comportements anormaux en surveillant les événements de connexion pour détecter les modèles inhabituels de `successfulLoginCount`, `failedLoginCount` et `incompleteConnectionCount`.
+ **successfulLoginCount**— Ce compteur représente la somme des connexions réussies (combinaison correcte d'attributs de connexion) établies avec l'instance de base de données par l'acteur inhabituel. Les attributs de connexion incluent le nom d'utilisateur, le mot de passe et le nom de la base de données.
+ **failedLoginCount**— Ce compteur représente la somme des tentatives de connexion échouées (infructueuses) effectuées pour établir une connexion à l'instance de base de données. Il indique qu'un ou plusieurs attributs de la combinaison de connexion, tels que le nom d'utilisateur, le mot de passe ou le nom de base de données, étaient incorrects.
+ **incompleteConnectionCount**— Ce compteur représente le nombre de tentatives de connexion qui ne peuvent pas être classées comme réussies ou échouées. Ces connexions sont fermées avant que la base de données ne fournisse une réponse. Par exemple, l'analyse des ports lorsque le port de base de données est connecté, mais qu'aucune information n'est envoyée à la base de données, ou lorsque la connexion a été interrompue avant la fin de la connexion lors d'une tentative réussie ou infructueuse.