Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Dettagli degli esiti
<a name="guardduty_findings-summary"></a>

Nella GuardDuty console Amazon, puoi visualizzare i dettagli della ricerca nella sezione di riepilogo dei risultati. I dettagli degli esiti variano in base al tipo di esito.

Esistono due dettagli principali che determinano il tipo di informazioni disponibili per qualsiasi esito. Il primo è il tipo di risorsa, che può essere `Instance` `AccessKey``S3Bucket`,`S3Object`,`Kubernetes cluster`,`ECS cluster`,`Container`,`RDSDBInstance`,`RDSLimitlessDB`, o`Lambda`. Il secondo dettaglio che determina le informazioni sull'esito è **Ruolo risorsa**. Il ruolo della risorsa può essere`Target`, il che significa che la risorsa è stata oggetto di attività sospette. Per gli esiti del tipo istanza, il ruolo risorsa può anche essere `Actor`, che indica che la risorsa è stata l'attore che svolgeva attività sospette. In questo argomento vengono descritti alcuni dei dettagli degli esiti comunemente disponibili. Per [GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md) e[Protezione da malware per tipo di ricerca S3](gdu-malware-protection-s3-finding-types.md), il ruolo della risorsa non è popolato.

**Topics**
+ [Panoramica degli esiti](#findings-summary-section)
+ [Risorsa](#findings-resource-affected)
+ [Dettagli sulla ricerca della sequenza di attacco](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Dettagli utente del database (DB) RDS](#rds-pro-db-user-details)
+ [Dettagli sugli esiti del monitoraggio del runtime](#runtime-monitoring-runtime-details)
+ [Dettagli della scansione dei volumi EBS](#mp-ebs-volumes-scan-details)
+ [Dettagli sulla ricerca di Malware Protection for EC2](#malware-protection-scan-details)
+ [Dettagli sugli esiti di Malware Protection per S3](#gdu-malware-protection-for-s3-finding-details)
+ [Azione](#finding-action-section)
+ [Attore o destinazione](#finding-actor-target)
+ [Dettagli sulla geolocalizzazione](#guardduty-finding-details-geolocation)
+ [Informazioni aggiuntive](#finding-additional-info)
+ [Evidenza](#finding-evidence)
+ [Comportamento anomalo](#finding-anomalous)

## Panoramica degli esiti
<a name="findings-summary-section"></a>

La sezione **Panoramica** di un esito ne contiene le caratteristiche identificative di base, incluse le informazioni seguenti:
+ **ID account**: l'ID dell' AWS account in cui si è svolta l'attività che ha richiesto la generazione GuardDuty di questo risultato.
+ **Conteggio**: il numero di volte in cui GuardDuty è stata aggregata un'attività che corrisponde a questo schema a questo risultato ID.
+ **Ora creazione**: la data e l'ora di creazione di questo esito. Se questo valore è diverso da **Ora aggiornamento** significa che l'attività si è verificata più volte e si tratta di un problema in corso.
**Nota**  
I timestamp per i risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le esportazioni JSON e gli output CLI visualizzano i timestamp in UTC.
+ **ID risultato**: un identificatore univoco per questo tipo di esito e insieme di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID.
+ **Tipo di esito**: una stringa formattata che rappresenta il tipo di attività che ha attivato l'esito. Per ulteriori informazioni, consulta [GuardDuty formato di ricerca](guardduty_finding-format.md).
+ **Regione: la regione** in cui è stato generato il risultato. AWS Per ulteriori informazioni sulle regioni supportate, consulta [Regioni ed endpoint](guardduty_regions.md).
+ **ID risorsa**: l'ID della AWS risorsa in base alla quale si è svolta l'attività che ha portato GuardDuty alla generazione del risultato.
+ **ID di scansione**: applicabile ai risultati quando GuardDuty Malware Protection for EC2 è abilitata, si tratta di un identificatore della scansione antimalware eseguita sui volumi EBS collegati al carico di lavoro dell'istanza o del contenitore EC2 potenzialmente compromesso. Per ulteriori informazioni, consulta [Dettagli sulla ricerca di Malware Protection for EC2](#malware-protection-scan-details).
+ **Severità**: a un risultato viene assegnato un livello di gravità che può essere Critico, Alto, Medio o Basso. Per ulteriori informazioni, consulta [Livelli di gravità dei risultati](guardduty_findings-severity.md).
+ **Aggiornato** il: l'ultima volta che questo risultato è stato aggiornato con una nuova attività corrispondente allo schema che ha portato GuardDuty alla generazione di questo risultato.

## Risorsa
<a name="findings-resource-affected"></a>

La **risorsa interessata** fornisce dettagli sulla AWS risorsa presa di mira dall'attività iniziale. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di operazione. 

**Ruolo della risorsa**: il ruolo della AWS risorsa che ha avviato la ricerca. Questo valore può essere **TARGET** o **ACTOR** e indica se la risorsa era la destinazione dell'attività sospetta o l'attore che l'ha messa in atto.

**Tipo di risorsa**: il tipo di risorsa interessata. Un esito può includere diversi tipi di risorse se sono state coinvolte più risorse. ****I tipi di risorse sono **Instance **AccessKey****, **S3Bucket, **S3Object****,,, **Container **KubernetesCluster**ECSCluster******, **RDSDBInstance**DB RDSLimitless e Lambda.**** A seconda del tipo di risorsa sono disponibili diversi dettagli degli esiti. Seleziona una scheda delle opzioni di risorsa per scoprire i dettagli disponibili per la risorsa interessata.

------
#### [ Instance ]

**Dettagli dell'istanza:**

**Nota**  
Potrebbero mancare alcuni dettagli se l'istanza è già stata interrotta o se l'invocazione dell'API sottostante ha avuto origine da un'istanza EC2 in una regione durante una chiamata API tra regioni.
+ **ID istanza**: l'ID dell'istanza EC2 coinvolta nell'attività che ha portato alla generazione del risultato. GuardDuty 
+ **Tipo di istanza**: il tipo dell'istanza EC2 coinvolta nell'esito.
+ **Ora di avvio**: la data e l'ora in cui l'istanza è stata avviata.
+ **Outpost ARN** — L'Amazon Resource Name (ARN) di. AWS Outposts Applicabile solo alle istanze. AWS Outposts Per ulteriori informazioni, consulta [Cos'è AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) nella *Guida per l'utente degli scaffali Outposts*.
+ **Nome del gruppo di sicurezza**: il nome del gruppo di sicurezza collegato all'istanza interessata.
+ **ID gruppo di sicurezza**: l'ID del gruppo di sicurezza collegato all'istanza interessata.
+ **Stato dell'istanza**: lo stato attuale dell'istanza di destinazione.
+ **Zona di disponibilità**: la zona di disponibilità della regione AWS in cui si trova l'istanza coinvolta.
+ **ID immagine**: l'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.
+ **Descrizione immagine**: una descrizione dell'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.
+ **Tag**: un elenco di tag collegati a questa risorsa elencati nel formato `key`:`value`.

------
#### [ AccessKey ]

**Dettagli chiave di accesso:**
+ **ID chiave di accesso**: l'ID della chiave di accesso dell'utente impegnato nell'attività che ha portato GuardDuty alla generazione del risultato. 
+ **ID principale**: l'ID principale dell'utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato. 
+ **Tipo di utente**: il tipo di utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato. Per ulteriori informazioni, consulta [Elemento userIdentity di CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Nome utente**: il nome dell'utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato.

------
#### [ S3Bucket ]

**Dettagli bucket Amazon S3:**
+ **Nome**: il nome del bucket coinvolto nell'esito.
+ **ARN**: l'ARN del bucket coinvolto nell'esito.
+ **Proprietario**: l'ID utente canonico dell'utente proprietario del bucket coinvolto nell'esito. [Per ulteriori informazioni sugli utenti canonici, IDs consulta AWS gli identificatori dell'account.](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ **Tipo**: il tipo di esito del bucket può essere **Destinazione** o **Origine**.
+ **Crittografia lato server predefinita**: i dettagli di crittografia per il bucket.
+ **Tag bucket**: un elenco dei tag collegati a questa risorsa, elencati nel formato di `key`:`value`.
+ **Autorizzazioni valide**: una valutazione di tutte le autorizzazioni e le policy valide nel bucket che indica se il bucket interessato è esposto pubblicamente. I valori possono essere **Pubblico** o **Non pubblico**.

------
#### [ S3Object ]
+ **Dettagli dell'oggetto S3**: include le seguenti informazioni sull'oggetto S3 scansionato:
  + **ARN** — Amazon Resource Name (ARN) dell'oggetto S3 scansionato.
  + **Chiave**: il nome assegnato al file quando è stato creato nel bucket S3.
  + **ID versione**: se hai abilitato il controllo delle versioni del bucket, questo campo indica l'ID della versione associato all'ultima versione dell'oggetto S3 scansionato. Per ulteriori informazioni, consulta [Using versioning in bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) nella *Amazon* S3 User Guide.
  + **ETag**: rappresenta la versione specifica dell'oggetto S3 scansionato.
  + **Hash**: hash della minaccia rilevata in questo risultato.
+ **Dettagli sul bucket S3**: include le seguenti informazioni sul bucket Amazon S3 associato all'oggetto S3 scansionato:
  + **Nome**: indica il nome del bucket S3 che contiene l'oggetto.
  + **ARN** — Amazon Resource Name (ARN) del bucket S3.
+ **Proprietario**: ID canonico del proprietario del bucket S3.

------
#### [ EKSCluster ]

**Dettagli del cluster Kubernetes:**
+ **Nome**: il nome del cluster Kubernetes.
+ **ARN**: l'ARN che identifica il cluster.
+ **Ora creazione**: la data e l'ora di creazione di questo cluster.
**Nota**  
I timestamp per i risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le esportazioni JSON e gli output CLI visualizzano i timestamp in UTC.
+ **ID VPC**: l'ID del VPC associato al cluster.
+ **Stato**: lo stato attuale del cluster.
+ **Tag**: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato `key`:`value`. Puoi definire sia la chiave che il valore.

  I tag del cluster non si propagano ad altre risorse associate al cluster. 

**Dettagli del carico di lavoro Kubernetes:**
+ **Tipo**: il tipo di carico di lavoro Kubernetes, ad esempio pod, implementazione e processo.
+ **Nome**: il nome del carico di lavoro Kubernetes.
+ **Uid**: l'ID univoco del carico di lavoro Kubernetes.
+ **Ora creazione**: la data e l'ora di creazione di questo carico di lavoro.
+ **Etichette**: le coppie chiave-valore collegate al carico di lavoro Kubernetes.
+ **Container**: i dettagli del container in esecuzione come parte del carico di lavoro Kubernetes.
+ **Spazio dei nomi**: il carico di lavoro appartiene a questo spazio dei nomi Kubernetes.
+ **Volumi**: i volumi utilizzati dal carico di lavoro Kubernetes.
  + **Percorso host**: rappresenta un file o una directory preesistente sulla macchina host a cui è mappato il volume.
  + **Nome**: il nome del volume.
+ **Contesto di sicurezza del pod**: definisce i privilegi e le impostazioni di controllo degli accessi per tutti i container in un pod.
+ **Rete host**: impostata su `true` se i pod sono inclusi nel carico di lavoro Kubernetes.

**Dettagli utente Kubernetes:**
+ **Gruppi**: gruppi Kubernetes RBAC (controllo degli accessi basato sul ruolo) dell'utente coinvolto nell'attività che ha generato l'esito.
+ **ID**: l'ID univoco dell'utente Kubernetes.
+ **Nome utente**: nome dell'utente Kubernetes coinvolto nell'attività che ha generato l'esito.
+ **Nome sessione**: entità che ha assunto il ruolo IAM con le autorizzazioni RBAC di Kubernetes.

------
#### [ ECSCluster ]

**Dettagli del cluster ECS:**
+ **ARN**: l'ARN che identifica il cluster.
+ **Nome**: il nome del cluster.
+ **Stato**: lo stato attuale del cluster.
+ **Numero di servizi attivi**: il numero dei servizi in esecuzione sul cluster con stato `ACTIVE`. Puoi visualizzare questi servizi con [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Numero di istanze di container registrate**: il numero delle istanze di container registrate nel cluster, incluse sia le istanza di container con stato `ACTIVE` che quelle con stato `DRAINING`.
+ **Numero di attività in esecuzione**: il numero di attività con stato `RUNNING` nel cluster.
+ **Tag**: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato `key`:`value`. Puoi definire sia la chiave che il valore.
+ **Container**: i dettagli sul container associato all'attività.
  + **Nome container**: il nome del container.
  + **Immagine del container**: l'immagine del container.
+ **Dettagli dell'attività**: i dettagli di un'attività in un cluster.
  + **ARN**: il nome della risorsa Amazon (ARN) dell'attività.
  + **ARN di definizione**: il nome della risorsa Amazon (ARN) della definizione dell'attività che crea l'attività.
  + **Versione**: il contatore delle versioni per l'attività.
  + **Ora creazione attività**: il timestamp Unix al momento della creazione dell'attività.
  + **Ora inizio attività**: il timestamp Unix all'inizio dell'attività.
  + **Attività iniziata da**: il tag specificato all'avvio di un'attività.

------
#### [ Container ]

**Dettagli container:**
+ **Runtime del container**: il runtime del container (ad esempio `docker` o `containerd`) utilizzato per eseguire il container.
+ **ID**: l'ID dell'istanza di container o le voci ARN complete per l'istanza di container.
+ **Nome**: il nome del container.
+ **Immagine**: l'immagine dell'istanza di container.
+ **Montaggi volume**: elenco dei montaggi del volume del container. Un container può montare un volume nel proprio file system. 
+ **Contesto di sicurezza**: il contesto di sicurezza del container definisce i privilegi e le impostazioni di controllo degli accessi per un container.
+ **Dettagli del processo**: descrive i dettagli del processo associato all'esito.

------
#### [ RDSDBInstance ]

**RDSDBInstance dettagli:**

**Nota**  
Questa risorsa è disponibile negli esiti della Protezione RDS relativi all'istanza di database.
+ **ID dell'istanza del database**: l'identificatore associato all'istanza di database coinvolta nel GuardDuty risultato.
+ **Motore**: il nome del motore di database dell'istanza di database coinvolta nell'esito. I valori possibili sono compatibili con Aurora MySQL o Aurora PostgreSQL.
+ **Versione del motore**: la versione del motore di database coinvolta nel GuardDuty risultato.
+ **ID del cluster di database**: l'identificatore del cluster di database che contiene l'ID dell'istanza di database coinvolta nel GuardDuty risultato.
+ **ARN dell'istanza di database**: l'ARN che identifica l'istanza di database coinvolta nel risultato. GuardDuty

------
#### [ RDSLimitlessDB ]

**RDSLimitlessDettagli del database:**

Questa risorsa è disponibile nei risultati di RDS Protection relativi alla versione del motore supportata di Limitless Database.
+ **Identificatore del gruppo di shard DB**: il nome associato al gruppo di shard DB Limitless.
+ **ID di risorsa del gruppo di shard DB**: l'identificatore di risorsa del gruppo di shard DB all'interno del DB Limitless.
+ **ARN del gruppo di shard DB**: Amazon Resource Name (ARN) che identifica il gruppo di shard DB.
+ **Motore**: l'identificatore del DB Limitless coinvolto nella scoperta.
+ **Versione del motore**: la versione del motore Limitless DB.
+ **Identificatore del cluster DB**: il nome del cluster di database che fa parte del DB Limitless.

Per informazioni sui dettagli relativi all'utente e all'autenticazione del database potenzialmente interessato, vedere. [Dettagli utente del database (DB) RDS](#rds-pro-db-user-details)

------
#### [ Lambda ]

**Dettagli della funzione Lambda**
+ **Nome funzione**: il nome della funzione Lambda coinvolta nell'esito.
+ **Versione della funzione**: la versione della funzione Lambda coinvolta nell'esito.
+ **Descrizione della funzione**: una descrizione della funzione Lambda coinvolta nell'esito.
+ **Funzione ARN**: il nome della risorsa Amazon (ARN) della funzione Lambda coinvolta nell'esito.
+ **ID revisione**: l'ID di revisione della versione della funzione Lambda.
+ **Ruolo**: il ruolo di esecuzione della funzione Lambda coinvolta nell'esito.
+ Configurazione **VPC: la configurazione** Amazon VPC, che include l'ID VPC, il gruppo di sicurezza e la sottorete associati alla funzione Lambda. IDs 
  + **ID VPC**: l'ID dell'Amazon VPC associato alla funzione Lambda coinvolta nell'esito.
  + **Subnet IDs**: l'ID delle sottoreti associate alla funzione Lambda.
  + **Gruppo di sicurezza**: il gruppo di sicurezza collegato alla funzione Lambda coinvolta. Sono inclusi il nome e l'ID del gruppo di sicurezza.
+ **Tag**: un elenco di tag collegati a questa risorsa, elencati nel formato della coppia `key`:`value`.

------

## Dettagli sulla ricerca della sequenza di attacco
<a name="guardduty-extended-threat-detection-attack-sequence-finding-details"></a>

GuardDuty fornisce dettagli per ogni risultato generato nel tuo account. Questi dettagli ti aiutano a comprendere i motivi alla base della scoperta. Questa sezione si concentra sui dettagli associati a[tipi di ricerca delle sequenze di attacco](guardduty-attack-sequence-finding-types.md). Ciò include informazioni quali le risorse potenzialmente interessate, la cronologia degli eventi, gli indicatori, i segnali e gli endpoint coinvolti nella scoperta.

Per visualizzare i dettagli associati ai segnali considerati GuardDuty risultati, consulta le sezioni associate in questa pagina.

Nella GuardDuty console, quando selezioni la ricerca di una sequenza di attacco, il pannello laterale dei dettagli è suddiviso nelle seguenti schede:
+ **Panoramica**: fornisce una visione compatta dei dettagli della sequenza di attacco, inclusi segnali, tattiche MITRE e risorse potenzialmente interessate.
+ **Segnali**: visualizza una sequenza temporale degli eventi coinvolti in una sequenza di attacco.
+ **Risorse**: fornisce informazioni sulle risorse potenzialmente interessate o sulle risorse potenzialmente a rischio.

L'elenco seguente fornisce le descrizioni associate ai dettagli di ricerca della sequenza di attacco.

**Segnali**  
Un segnale potrebbe essere un'attività API o un risultato GuardDuty utilizzato per rilevare una sequenza di attacco. GuardDuty considera i segnali deboli che non si presentano come una minaccia evidente, li mette insieme e li mette in correlazione con i risultati generati individualmente. Per un contesto più approfondito, la scheda **Segnali** fornisce una cronologia dei segnali, come osservato da GuardDuty.   
Ogni segnale, che è un GuardDuty risultato, ha il proprio livello di gravità e il proprio valore assegnati. Nella GuardDuty console, è possibile selezionare ogni segnale per visualizzare i dettagli associati.

**Attori**  
Fornisce dettagli sugli attori della minaccia in una sequenza di attacco. Per ulteriori informazioni, consulta [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) in *Amazon GuardDuty API Reference*.

**Endpoints**  
Fornisce dettagli sugli endpoint di rete utilizzati in questa sequenza di attacco. Per ulteriori informazioni, [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)consulta *Amazon GuardDuty API Reference*. Per informazioni su come GuardDuty determina la posizione, consulta[Dettagli sulla geolocalizzazione](#guardduty-finding-details-geolocation).

**Indicatori**  
Include i dati osservati che corrispondono allo schema di un problema di sicurezza. Questi dati specificano il motivo per cui GuardDuty esiste un'indicazione di un'attività potenzialmente sospetta. Ad esempio, se il nome dell'indicatore è`HIGH_RISK_API`, indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può avere un impatto potenziale su di esse Account AWS, come l'accesso alle credenziali o la modifica di una risorsa.   
La tabella seguente include un elenco di potenziali indicatori e le relative descrizioni:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty_findings-summary.html)
**Tattiche MITRE**  
Questo campo specifica le tattiche MITRE ATT&CK che l'autore della minaccia tenta attraverso una sequenza di attacco. GuardDuty utilizza il framework [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) che aggiunge contesto all'intera sequenza di attacco. I colori utilizzati dalla GuardDuty console per specificare gli scopi della minaccia utilizzati dall'autore della minaccia sono allineati ai colori che indicano il livello critico, alto, medio e basso. [Livelli di gravità dei risultati](guardduty_findings-severity.md)

**Indicatori di rete**  
Gli indicatori includono una combinazione di valori degli indicatori di rete che spiegano perché una rete è indicativa di un comportamento sospetto. Questa sezione è applicabile solo quando l'**Indicatore** include `SUSPICIOUS_NETWORK` o. `MALICIOUS_IP` L'esempio seguente mostra come gli indicatori di rete potrebbero essere associati a un indicatore, dove:  
+ *AnyCompany*è un sistema autonomo (AS).
+  `TUNNEL_VPN``IS_ANONYMOUS`, e `ALLOWS_FREE_ACCESS` sono gli indicatori di rete. 

```
...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...
```
La tabella seguente include i valori degli indicatori di rete e la loro descrizione. Questi tag vengono aggiunti in base alle informazioni sulle minacce GuardDuty raccolte da fonti come Spur      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty_findings-summary.html)

## Dettagli utente del database (DB) RDS
<a name="rds-pro-db-user-details"></a>

**Nota**  
Questa sezione è applicabile ai risultati quando si abilita la funzionalità di protezione RDS in GuardDuty. Per ulteriori informazioni, consulta [GuardDuty Protezione RDS](rds-protection.md).

La GuardDuty scoperta fornisce i seguenti dettagli relativi all'utente e all'autenticazione del database potenzialmente compromesso:
+ **Utente**: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.
+ **Applicazione**: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.
+ **Database**: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.
+ **SSL**: la versione del Secure Socket Layer (SSL) utilizzata per la rete.
+ **Metodo di autenticazione**: il metodo di autenticazione utilizzato dall'utente coinvolto nell'esito.

Per informazioni sulla risorsa potenzialmente compromessa, vedere. [Risorsa](#findings-resource-affected)

## Dettagli sugli esiti del monitoraggio del runtime
<a name="runtime-monitoring-runtime-details"></a>

**Nota**  
Questi dettagli possono essere disponibili solo se GuardDuty genera uno dei[GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md). 

Questa sezione contiene i dettagli del runtime, inclusi i dettagli del processo e qualsiasi contesto richiesto. I dettagli del processo descrivono le informazioni sul processo osservato e il contesto di runtime descrive qualsiasi informazione aggiuntiva sull'attività potenzialmente sospetta.

**Dettagli del processo**
+ **Nome**: il nome del processo.
+ **Percorso eseguibile**: il percorso assoluto del file eseguibile del processo.
+ **SHA-256 eseguibile**: l'hash `SHA256` dell'eseguibile del processo.
+ **PID dello spazio dei nomi**: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.
+ **Directory di lavoro presente**: la directory di lavoro presente del processo.
+ **ID processo**: l'ID che il sistema operativo assegna al processo. 
+ **startTime**: l'ora in cui è iniziato il processo. Si presenta nel formato della stringa di data UTC (`2023-03-22T19:37:20.168Z`).
+ **UUID**: l'ID univoco assegnato al processo da. GuardDuty
+ **UUID padre**: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty
+ **Utente**: l'utente che ha eseguito il processo. 
+ **ID utente**: l'ID dell'utente che ha eseguito il processo. 
+ **ID utente effettivo**: l'ID utente effettivo del processo al momento dell'evento. 
+ **Eredità**: informazioni sugli antenati del processo. 
  + **ID processo**: l'ID che il sistema operativo assegna al processo.
  + **UUID**: l'ID univoco assegnato al processo da. GuardDuty
  + **Percorso eseguibile**: il percorso assoluto del file eseguibile del processo.
  + **ID utente effettivo**: l'ID utente effettivo del processo al momento dell'evento.
  + **UUID padre**: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty
  + **Ora di inizio**: l'ora in cui è iniziato il processo.
  + **PID dello spazio dei nomi**: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.
  + **ID utente**: l'ID utente dell'utente che ha eseguito il processo.
  + **Nome**: il nome del processo.

**Contesto di runtime**

Un esito generato può includere, tra i campi seguenti, solo quelli pertinenti al tipo di esito.
+ **Origine di montaggio**: il percorso sull'host montato dal container.
+ **Destinazione di montaggio**: il percorso nel container mappato alla directory host.
+ **Tipo di file system**: rappresenta il tipo di file system montato.
+ **Flag**: rappresenta le opzioni che controllano il comportamento dell'evento coinvolto in questo esito.
+ **Processo di modifica**: informazioni sul processo che in fase di runtime ha creato o modificato un file binario, uno script o una libreria all'interno di un container. 
+ **Ora della modifica**: il timestamp in cui il processo ha creato o modificato un file binario, uno script o una libreria all'interno di un container in fase di runtime. Questo campo è nel formato della stringa di data UTC (`2023-03-22T19:37:20.168Z`).
+ **Percorso libreria**: il percorso della nuova libreria che è stata caricata.
+ **Valore LD Preload**: il valore della variabile di ambiente `LD_PRELOAD`.
+ **Percorso socket**: il percorso del socket Docker a cui è stato effettuato l'accesso.
+ **Percorso binario runc**: il percorso del file binario `runc`.
+ **Percorso agente di rilascio**: il percorso del file dell'agente di rilascio `cgroup`.
+ **Esempio di riga** di comando: l'esempio della riga di comando coinvolta nell'attività potenzialmente sospetta.
+ **Categoria utensile**: categoria a cui appartiene lo strumento. Alcuni esempi sono Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.
+ **Nome dello strumento: il nome** dello strumento potenzialmente sospetto.
+ **Percorso dello script**: il percorso dello script eseguito che ha generato il risultato.
+ **Threat File Path**: il percorso sospetto per il quale sono stati trovati i dettagli di intelligence sulle minacce.
+ **Nome del servizio**: il nome del servizio di sicurezza che è stato disabilitato.
+ **Nome del modulo**: il nome del modulo che viene caricato nel kernel.
+ **Modulo SHA256**: l' SHA256 hash del modulo.
+ **Percorso del file del modulo**: il percorso del modulo caricato nel kernel.

## Dettagli della scansione dei volumi EBS
<a name="mp-ebs-volumes-scan-details"></a>

**Nota**  
Questa sezione è applicabile ai risultati ottenuti quando si attiva la scansione anti-malware GuardDuty avviata dall'utente. [Protezione da malware per EC2](malware-protection.md)

La scansione dei volumi EBS fornisce dettagli sul volume EBS collegato all'istanza EC2 o al carico di lavoro di un container potenzialmente compromessi. 
+ **ID scansione**: l'identificatore della scansione malware.
+ **Ora inizio scansione**: la data e l'ora di inizio della scansione malware.
+ **Ora completamento scansione**: la data e l'ora di completamento della scansione malware.
+ **Trigger Finding ID**: l'ID di ricerca del GuardDuty risultato che ha avviato questa scansione antimalware.
+ **Fonti**: i valori potenziali sono `Bitdefender` e`Amazon`.

  Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedere[GuardDuty motore di scansione per il rilevamento di malware](guardduty-malware-detection-scan-engine.md).
+ **Rilevamenti scansione**: la visualizzazione completa dei dettagli e degli esiti di ogni scansione malware.
  + **Numero elementi scansionati**: il numero totale di file scansionati. Fornisce dettagli come `totalGb`, `files` e `volumes`.
  + **Numero elementi rilevati come minacce**: il numero totale di `files` dannosi rilevati durante la scansione.
  + **Dettagli sulla minaccia con gravità più alta**: i dettagli sulla minaccia di gravità più alta rilevata durante la scansione e sul numero di file dannosi. Fornisce dettagli come `severity`, `threatName` e `count`.
  + **Minacce rilevate per nome**: l'elemento container che raggruppa le minacce di tutti i livelli di gravità. Fornisce dettagli come `itemCount`, `uniqueThreatNameCount`, `shortened` e `threatNames`. 

## Dettagli sulla ricerca di Malware Protection for EC2
<a name="malware-protection-scan-details"></a>

**Nota**  
Questa sezione è applicabile alle rilevazioni effettuate quando si attiva la scansione GuardDuty antimalware avviata. [Protezione da malware per EC2](malware-protection.md)

Quando la scansione Malware Protection for EC2 rileva un malware, puoi visualizzare i dettagli della scansione selezionando il risultato corrispondente nella pagina **Findings della console**. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) La gravità del rilevamento di Malware Protection for EC2 dipende dalla gravità del rilevamento. GuardDuty

Le seguenti informazioni sono disponibili nella sezione **Minacce rilevate** nel pannello dei dettagli.
+ **Nome**: il nome della minaccia, ottenuto raggruppando i file in base al rilevamento. 
+ **Gravità**: la gravità della minaccia rilevata. 
+ **Hash**: l'hash SHA-256 del file. 
+ **Percorso file**: la posizione del file dannoso nel volume EBS. 
+ **Nome file**: il nome del file in cui è stata rilevata la minaccia. 
+ **ARN del volume**: l'ARN dei volumi EBS scansionati. 

Le seguenti informazioni sono disponibili nella sezione **Dettagli della scansione malware** nel pannello dei dettagli.
+ **ID scansione**: l'ID di scansione della scansione malware. 
+ **Ora inizio scansione**: la data e l'ora di inizio della scansione. 
+ **Ora completamento scansione**: la data e l'ora di completamento della scansione. 
+ **File scansionati**: il numero totale di file e directory scansionati. 
+ **GB totali scansionati**: la quantità di spazio di archiviazione scansionato durante il processo. 
+ **Trigger Finding ID**: l'ID identificativo del GuardDuty risultato che ha avviato questa scansione antimalware. 
+ Le seguenti informazioni sono disponibili nella sezione **Dettagli del volume** nel pannello dei dettagli.
  + **ARN del volume**: il nome della risorsa Amazon (ARN) del volume.
  + **SnapshotARN**: l'ARN dello snapshot del volume EBS.
  + **Stato**: lo stato della scansione del volume, ad esempio, `Running`, `Skipped` e `Completed`.
  + **Tipo di crittografia**: il tipo di crittografia utilizzato per crittografare il volume. Ad esempio, `CMCMK`.
  + **Nome dispositivo**: il nome del dispositivo. Ad esempio, `/dev/xvda`.

## Dettagli sugli esiti di Malware Protection per S3
<a name="gdu-malware-protection-for-s3-finding-details"></a>

I seguenti dettagli della scansione antimalware sono disponibili quando attivi GuardDuty sia Malware Protection for S3 che su: Account AWS
+ **Minacce**: un elenco di minacce rilevate durante la scansione del malware. 
**Molteplici minacce potenziali nei file di archivio**  
Se hai un file di archivio contenente potenzialmente più minacce, Malware Protection for S3 segnala solo la prima minaccia rilevata. Dopodiché, lo stato della scansione viene contrassegnato come completo. GuardDuty genera il tipo di ricerca associato e invia anche EventBridge gli eventi che genera. **Per ulteriori informazioni sul monitoraggio delle scansioni di oggetti Amazon S3 utilizzando gli EventBridge eventi, consulta lo schema di notifica di esempio per THREATS\$1FOUND in.** [Risultato della scansione degli oggetti S3](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Percorso dell'elemento: un elenco del percorso** dell'elemento annidato e dei dettagli hash dell'oggetto S3 scansionato.
  + **Percorso dell'elemento annidato: percorso** dell'elemento dell'oggetto S3 scansionato in cui è stata rilevata la minaccia.

    Il valore di questo campo è disponibile solo se l'oggetto di primo livello è un archivio e se la minaccia viene rilevata all'interno di un archivio.
  + **Hash**: hash della minaccia rilevata in questo risultato.
+ **Fonti**: i valori potenziali sono `Bitdefender` e. `Amazon`

  Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedere[GuardDuty motore di scansione per il rilevamento di malware](guardduty-malware-detection-scan-engine.md).

## Azione
<a name="finding-action-section"></a>

L'**Operazione** di un esito fornisce dettagli sul tipo di attività che l'ha attivato. Le informazioni disponibili variano in base al tipo di operazione.

**Tipo di operazione**: il tipo di attività dell'esito. ****Questo valore può essere **NETWORK\$1CONNECTION, PORT\$1PROBE****, DNS\$1REQUEST, \$1CALL o **RDS\$1LOGIN\$1ATTEMENT****. AWS\$1API**** Le informazioni disponibili variano in base al tipo di operazione: 
+ **NETWORK\$1CONNECTION**: indica che il traffico di rete è stato scambiato tra l'istanza EC2 identificata e l'host remoto. Questo tipo di operazione include le seguenti informazioni aggiuntive:
  + Direzione della connessione: **la direzione della connessione di rete osservata** nell'attività che ha richiesto la generazione del risultato. GuardDuty Può essere uno dei seguenti valori:
    + **INBOUND**: indica che un host remoto ha avviato una connessione a una porta locale sull'istanza EC2 identificata nel tuo account.
    + **OUTBOUND**: indica che l'istanza EC2 identificata ha avviato una connessione a un host remoto.
    + **SCONOSCIUTA**: indica che non è GuardDuty stato possibile determinare la direzione della connessione.
  + **Protocollo**: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato. 
  + **IP locale**: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS. 
  + **Bloccata**: indica se la porta di destinazione è bloccata. 
+ **PORT\$1PROBE**: indica che 'istanza EC2 identificata è stata sottoposta a probing da un host remoto su più porte aperte. Questo tipo di operazione include le seguenti informazioni aggiuntive:
  + **IP locale**: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS. 
  + **Bloccata**: indica se la porta di destinazione è bloccata. 
+ **DNS\$1REQUEST**: indica che l'istanza EC2 identificata ha eseguito query in un nome di dominio. Questo tipo di operazione include le seguenti informazioni aggiuntive:
  + **Protocollo**: il protocollo di connessione di rete osservato nell'attività che ha portato GuardDuty alla generazione del risultato. 
  + **Bloccata**: indica se la porta di destinazione è bloccata. 
+ **AWS\$1API\$1CALL**: indica che è stata richiamata un' AWS API. Questo tipo di operazione include le seguenti informazioni aggiuntive:
  + **API**: il nome dell'operazione API che è stata richiamata e quindi ha richiesto di GuardDuty generare questo risultato. 
**Nota**  
Queste operazioni possono anche includere eventi non API acquisiti da AWS CloudTrail. Per ulteriori informazioni, consulta [Eventi non API acquisiti](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html) da. CloudTrail
  + **Agente utente**: l'agente utente che ha effettuato la richiesta API. Questo valore indica se la chiamata è stata effettuata da Console di gestione AWS, un AWS servizio, da o da. AWS SDKs AWS CLI
  + **CODICE DI ERRORE**: se l'esito è stato attivato da una chiamata API non riuscita, viene visualizzato il codice di errore per tale chiamata.
  + **Nome servizio**: il nome DNS del servizio che ha tentato di effettuare la chiamata API che ha attivato l'esito. 
+ **RDS\$1LOGIN\$1ATTEMPT**: indica che è stato effettuato un tentativo di accesso al database potenzialmente compromesso da un indirizzo IP remoto.
  + **Indirizzo IP**: l'indirizzo IP remoto utilizzato per effettuare il tentativo di accesso potenzialmente sospetto.

## Attore o destinazione
<a name="finding-actor-target"></a>

Un esito ha una sezione **Attore** se il **Ruolo risorsa** era `TARGET`. Ciò indica che la risorsa è stata la destinazione di attività sospette e la sezione **Attore** contiene dettagli sull'entità che ha scelto come destinazione la risorsa.

Un esito ha una sezione **Destinazione** se il **Ruolo risorsa** era `ACTOR`. Ciò indica che la risorsa è stata coinvolta in attività sospette nei confronti di un host remoto e questa sezione contiene informazioni sull'IP o sul dominio di destinazione della risorsa.

Le informazioni disponibili nella sezione **Attore** o **Destinazione** possono includere quanto segue:
+ **Affiliato**: indica se l' AWS account del chiamante API remoto è correlato all'ambiente in uso. GuardDuty Se questo valore è `true`, il chiamante API è affiliato in qualche modo al tuo account. Se invece il valore è `false`, il chiamante API proviene da un ambiente esterno.
+ **ID account remoto**: l'ID dell'account che possiede l'indirizzo IP in uscita utilizzato per accedere alla risorsa sulla rete finale.
+ **Indirizzo IP**: l'indirizzo IP coinvolto nell'attività che ha richiesto GuardDuty la generazione del risultato.
+ **Posizione**: informazioni sulla posizione dell'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
+ **Organizzazione**: informazioni sull'organizzazione dell'ISP relative all'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato. 
+ **Porta**: il numero di porta coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
+ **Dominio**: il dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
+ **Dominio con suffisso**: il dominio di secondo e primo livello coinvolto in un'attività che potenzialmente ha richiesto GuardDuty la generazione del risultato. [Per un elenco dei domini di primo e secondo livello, consulta l'elenco dei suffissi pubblici.](https://publicsuffix.org/)

## Dettagli sulla geolocalizzazione
<a name="guardduty-finding-details-geolocation"></a>

GuardDuty determina la posizione e la rete delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di indirizzo IP. 

Per ulteriori informazioni su MaxMind, consulta la sezione [Geolocalizzazione MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Se ritieni che uno qualsiasi dei dati GeoIP sia errato, invia una richiesta di [MaxMindcorrezione MaxMind a Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data.

## Informazioni aggiuntive
<a name="finding-additional-info"></a>

Tutti gli esiti hanno una sezione **Informazioni aggiuntive** che può includere le informazioni seguenti:
+ **Nome dell'elenco delle minacce**: il nome dell'elenco delle minacce che include l'indirizzo IP o il nome di dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato. 
+ **Esempio**: un valore vero o falso che indica se si tratta di un esito di esempio.
+ **Archiviato**: un valore vero o falso che indica se l'esito è stato archiviato.
+ **Insolito**: dettagli dell'attività che non sono stati osservati in precedenza. Questi dettagli possono includere utente, posizione, bucket, comportamento di accesso od Org ASN anomali (non osservati in precedenza). 
+ **Protocollo insolito**: il protocollo di connessione di rete coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
+ **Dettagli dell'agente**: dettagli sull'agente di sicurezza attualmente implementato nel cluster EKS del tuo Account AWS. Questi dettagli sono applicabili solo ai tipi di esiti del monitoraggio del runtime EKS.
  + **Versione dell'agente**: la versione del GuardDuty security agent.
  + **ID agente**: l'identificatore univoco del GuardDuty security agent.

## Evidenza
<a name="finding-evidence"></a>

Gli esiti basati sull'intelligence sulle minacce hanno una sezione **Evidenza** che include le informazioni seguenti:
+ **Dettagli di intelligence sulle minacce**: il nome dell'elenco delle minacce in cui `Threat name` compaiono le minacce riconosciute. 
+ **Nome della minaccia**: il nome della famiglia di malware o altro identificatore associato alla minaccia.
+ **File di minaccia SHA256**: SHA256 del file che ha generato la scoperta.

## Comportamento anomalo
<a name="finding-anomalous"></a>

I tipi di risultati che terminano con **AnomalousBehavior**indicano che il risultato è stato generato dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutte le richieste API al tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. 

I dettagli su quali fattori della richiesta API sono insoliti per l'identità CloudTrail dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato. Le identità sono definite dall'elemento [ CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) e i valori possibili sono`Root`:`IAMUser`,,,, `AssumedRole` `FederatedUser``AWSAccount`, or. `AWSService` 

Oltre ai dettagli disponibili per tutti i GuardDuty risultati associati all'attività dell'API, **AnomalousBehavior**i risultati contengono dettagli aggiuntivi descritti nella sezione seguente. Questi dettagli possono essere visualizzati nella console e sono disponibili anche nel JSON dell'esito.
+ **Anomalo APIs**: un elenco di richieste API richiamate dall'identità dell'utente in prossimità della richiesta API principale associata al risultato. Questo riquadro suddivide ulteriormente i dettagli dell'evento API nei modi seguenti.
  + La prima API elencata è l'API principale, ossia la richiesta API associata all'attività osservata con il rischio più elevato. Si tratta dell'API che ha attivato l'esito ed è correlata alla fase di attacco del tipo di esito. L'API in questione è descritta in dettaglio nella sezione **Operazione** della console e nel JSON dell'esito.
  + Tutte le altre APIs elencate sono ulteriori anomale APIs rispetto all'identità utente elencata osservata in prossimità dell'API principale. Se nell'elenco è presente una sola API, il modello di ML non ha identificato come anomala alcuna richiesta API aggiuntiva proveniente dall'identità utente. 
  + L'elenco di APIs viene suddiviso in base al fatto che un'API sia stata **chiamata con successo** o se l'API sia stata chiamata senza successo, il che significa che è stata ricevuta una risposta di errore. Il tipo di risposta di errore ricevuta è elencato sopra ogni API chiamata senza successo. I possibili tipi di risposta di errore sono: `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` e `operation not permitted`.
  + APIs sono classificati in base al servizio associato. 
  + Per maggiori informazioni, scegli **Cronologico APIs** per visualizzare i dettagli relativi alla parte superiore APIs, fino a un massimo di 20, in genere sia per l'identità dell'utente che per tutti gli utenti all'interno dell'account. APIs Sono contrassegnati come **Rari (meno di una volta al mese)**, Non **frequenti (alcune volte al mese)** o **Frequenti (da giornalieri a settimanali)**, a seconda della frequenza con cui vengono utilizzati nell'account.
+ **Comportamento insolito (account)**: questa sezione fornisce ulteriori dettagli sul comportamento profilato del tuo account.
**Comportamento profilato**  
GuardDuty impara continuamente sulle attività all'interno del tuo account in base agli eventi organizzati. Queste attività e la loro frequenza osservata sono note come comportamenti profilati.

  Le informazioni registrate in questo pannello includono:
  + **ASN Org**: l'organizzazione ASN (Autonomous System Number) da cui è stata effettuata la chiamata API anomala. 
  + **Nome utente**: il nome dell'utente che ha effettuato la chiamata API anomala.
  + **Agente utente**: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio `aws-cli` o `Botocore`.
  + **Tipo utente**: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` o `ROLE`.
  + **Bucket**: il nome del bucket S3 a cui viene effettuato l'accesso.
+ **Comportamento insolito (identità utente)**: questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'**Identità utente** coinvolta nell'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto l'identità dell'utente effettuare questa chiamata API in questo modo durante il periodo di formazione. Sono disponibili i seguenti dettagli aggiuntivi sull'**Identità utente**:
  + **Org ASN**: l'Org ASN da cui è stata effettuata la chiamata API anomala. 
  + **Agente utente**: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio `aws-cli` o `Botocore`.
  + **Bucket**: il nome del bucket S3 a cui viene effettuato l'accesso.
+ **Comportamento insolito (bucket)**: questa sezione fornisce ulteriori dettagli sul comportamento profilato del bucket S3 associato all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto in precedenza chiamate API effettuate a questo bucket in questo modo durante il periodo di formazione. Le informazioni registrate in questa sezione includono:
  + **Org ASN**: l'Org ASN da cui è stata effettuata la chiamata API anomala. 
  + **Nome utente**: il nome dell'utente che ha effettuato la chiamata API anomala.
  + **Agente utente**: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio `aws-cli` o `Botocore`.
  + **Tipo utente**: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` o `ROLE`.
**Nota**  
Per maggiori informazioni sui comportamenti storici, scegli **Comportamento storico** nella sezione **Comportamento insolito (account)**, **ID utente** o **Bucket** per visualizzare i dettagli sul comportamento previsto nel tuo account per ciascuna delle seguenti categorie: **Raro (meno di una volta al mese)**, **Poco frequente (alcune volte al mese)** o **Frequente (da giornaliero a settimanale)**, a seconda della frequenza con cui vengono utilizzati all'interno del tuo account.
+ **Comportamento insolito (database)**: questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'istanza di database associata all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai visto in precedenza un tentativo di accesso effettuato in questo modo a questa istanza di database durante il periodo di formazione. Le informazioni registrate nel pannello dell'esito per questa sezione includono:
  + **Nome utente**: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.
  + **Org ASN**: l'Org ASN da cui è stato effettuato il tentativo di accesso anomalo.
  + **Nome applicazione**: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo. 
  + **Nome database**: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.

  La sezione **Comportamento storico** fornisce maggiori informazioni su **Nomi utente**, **Org ASN**, **Nomi applicazioni** e **Nomi database** osservati in precedenza per il database associato. A ogni valore univoco è associato un conteggio che rappresenta il numero di volte in cui questo valore è stato osservato in un evento di accesso riuscito.
+ **Comportamento insolito (account cluster Kubernetes, spazio dei nomi Kubernetes e nome utente Kubernetes)**: questa sezione fornisce ulteriori dettagli sul comportamento profilato per il cluster e lo spazio dei nomi Kubernetes associati all'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai osservato in precedenza questo account, cluster, namespace o nome utente in questo modo. Le informazioni registrate nel pannello dell'esito per questa sezione includono:
  + **Nome utente**: l'utente che ha chiamato l'API Kubernetes associata all'esito.
  + **Nome utente impersonato**: l'utente impersonato da `username`.
  + **Spazio dei nomi**: lo spazio dei nomi Kubernetes all'interno del cluster Amazon EKS in cui si è verificata l'operazione.
  + **Agente utente**: l'agente utente associato alla chiamata API Kubernetes. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio `kubectl`. 
  + **API**: l'API Kubernetes chiamata da `username` all'interno del cluster Amazon EKS.
  + **Informazioni ASN**: le informazioni ASN, come Organizzazione e ISP, associate all'indirizzo IP dell'utente che effettua questa chiamata.
  + **Giorno della settimana**: il giorno della settimana in cui è stata effettuata la chiamata API Kubernetes. 
  + **Autorizzazione**: il verbo e la risorsa Kubernetes di cui viene verificata l'accesso per indicare se possono utilizzare o meno l'`username`API Kubernetes.
  + **Nome dell'account di servizio**: l'account di servizio associato al carico di lavoro Kubernetes che fornisce un'identità al carico di lavoro.
  + **Registro**: il registro del contenitore associato all'immagine del contenitore che viene distribuito nel carico di lavoro Kubernetes.
  + **Immagine**: l'immagine del contenitore, senza i tag e il digest associati, che viene distribuita nel carico di lavoro Kubernetes.
  + **Image Prefix Config**: il prefisso dell'immagine con la configurazione di sicurezza del contenitore e del carico di lavoro abilitata, ad esempio `hostNetwork` `privileged` o, per il contenitore che utilizza l'immagine.
  + **Nome del soggetto**: i soggetti, ad esempio a `user``group`, o `serviceAccountName` che sono associati a un ruolo di riferimento in un o. `RoleBinding` `ClusterRoleBinding`
  + **Nome del ruolo**: il nome del ruolo coinvolto nella creazione o nella modifica dei ruoli o dell'`roleBinding`API.

### Anomalie basate sul volume S3
<a name="s3-volume-based-anomalies"></a>

Questa sezione descrive in dettaglio le informazioni contestuali per le anomalie basate sul volume S3. L'esito basato sul volume ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) monitora il numero insolito di chiamate API S3 effettuate dagli utenti ai bucket S3, indicando una potenziale esfiltrazione di dati. Le seguenti chiamate API S3 vengono monitorate per rilevare eventuali anomalie basate sul volume.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`

Le metriche seguenti possono essere utili per creare una linea di base del comportamento abituale quando un'entità IAM accede a un bucket S3. Per identificare un'eventuale esfiltrazione di dati, l'esito del rilevamento delle anomalie basato sul volume valuta tutte le attività rispetto alla consueta linea di base comportamentale. Scegli **Comportamento storico** nelle sezioni **Comportamento insolito (identità utente)**, **Volume osservato (identità utente)** e **Volume osservato (Bucket)** per visualizzare rispettivamente le metriche seguenti. 
+ Numero di chiamate API `s3-api-name` richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate al bucket S3 interessato nelle ultime 24 ore.
+ Numero di chiamate API `s3-api-name` richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate a tutti i bucket S3 interessati nelle ultime 24 ore.
+ Numero di chiamate API `s3-api-name` su tutti gli utenti o ruoli IAM (in base a quelli emesso) associate al bucket S3 interessato nelle ultime 24 ore.

### Anomalie basate sull'attività di accesso RDS
<a name="rds-pro-login-anomaly"></a>

Questa sezione descrive in dettaglio il conteggio dei tentativi di accesso eseguiti dall'attore insolito ed è raggruppata in base al risultato dei tentativi di accesso. [Tipi di esiti della Protezione RDS](findings-rds-protection.md) identifica comportamenti anomali monitorando gli eventi di accesso alla ricerca di schemi insoliti di `successfulLoginCount`, `failedLoginCount` e `incompleteConnectionCount`.
+ **successfulLoginCount**— Questo contatore rappresenta la somma delle connessioni riuscite (combinazione corretta di attributi di accesso) effettuate all'istanza del database dall'attore insolito. Gli attributi di accesso includono nome utente, password e nome del database. 
+ **failedLoginCount**— Questo contatore rappresenta la somma dei tentativi di accesso falliti (non riusciti) effettuati per stabilire una connessione all'istanza del database. Ciò indica che uno o più attributi della combinazione di accesso, ad esempio nome utente, password o nome del database, erano errati.
+ **incompleteConnectionCount**— Questo contatore rappresenta il numero di tentativi di connessione che non possono essere classificati come riusciti o falliti. Queste connessioni vengono chiuse prima che il database fornisca una risposta. Ad esempio, la scansione delle porte viene effettuata dove è connessa la porta del database, ma al database non viene inviata alcuna informazione oppure la connessione è stata interrotta prima del completamento di un tentativo di accesso riuscito o fallito.