As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Filtrando descobertas em GuardDuty
Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o GuardDuty console da Amazon ou pode criá-los com a CreateFilterAPI usando JSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte Regras de supressão em GuardDuty.
Ao criar filtros, leve em consideração a seguinte lista:
-
Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.
-
Ao usar o operador igual a ou diferente de para filtrar um valor de atributo, como ID da conta, você pode especificar um máximo de 50 valores.
-
Cada atributo de critério de filtro é avaliado como um operador
AND. Vários valores para o mesmo atributo são avaliados comoAND/OR. -
Para obter informações sobre o número máximo de filtros salvos que você pode criar Conta da AWS em cada um Região da AWS, consulteGuardDuty cotas.
-
Os campos abaixo
service.additionalInfosão especificados usando seu caminho JSON completo, o mesmo que qualquer outro campo. Por exemplo:{ "service.additionalInfo.sample": { "Equals": ["true"] } }. -
Os campos de carimbo de data/hora aceitam valores no formato de milissegundos do Unix Epoch (por exemplo,).
1486685375000Para obter uma lista completa dos campos de carimbo de data/hora, consulte a nota abaixo.
As seções a seguir fornecem instruções sobre como criar e salvar filtros usando o GuardDuty console e os comandos da API e da CLI. Escolha seu método de acesso preferido para continuar.
Criando e salvando o conjunto de filtros no GuardDuty console
Os filtros de localização podem ser criados e testados por meio do GuardDuty console. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.
Para criar e salvar critérios de filtro (console)
Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/
. -
No painel de navegação à esquerda, escolha Descobertas.
-
Na página Descobertas, selecione a barra Filtrar descobertas ao lado do menu Regras salvas. Isso exibirá uma lista expandida de Filtros de propriedades.
-
Na lista expandida de filtros, selecione um atributo com base no qual você deseja filtrar a tabela de descobertas.
Por exemplo, para ver descobertas sobre as quais o recurso potencialmente afetado é um S3Bucket, escolha Tipo de recurso.
-
Para Operadores, escolha um que ajude você a filtrar as descobertas para obter o resultado desejado. Para continuar o exemplo da etapa anterior, escolha Tipo de recurso =. Isso exibirá uma lista dos tipos de recursos em GuardDuty.
Se seu caso de uso exigir a exclusão de descobertas específicas, você pode escolher o operador Não é igual ou !=.
-
Especifique o valor do filtro de propriedade selecionado. Se necessário, escolha Aplicar. Para continuar o exemplo da etapa anterior, você pode escolher S3Bucket.
Isso exibirá as descobertas que correspondem aos filtros aplicados.
-
Para adicionar mais de um critério de filtro, repita as etapas 3 a 6.
Para obter uma lista completa de atributos, consulte Filtros de propriedades em GuardDuty.
-
(Opcional) Salve os atributos e valores especificados como filtros.
Para aplicar essa combinação de filtros novamente no futuro, você pode salvar os atributos especificados e os respectivos valores como um conjunto de filtros.
-
Depois de criar um critério de filtro com um ou mais filtros de propriedade, selecione a seta no menu Limpar filtros.
-
Insira o nome do conjunto de filtros. O nome deve ter de 3 a 64 caracteres. Os caracteres válidos são a-z A-Z, 0-9, ponto (.), hífen (-) e sublinhado (_).
-
A descrição é opcional. Se você inserir uma descrição, ela pode ter até 512 caracteres.
-
Escolha Criar.
-
Criação e salvamento do conjunto de filtros usando GuardDuty API e CLI
Você pode criar e testar os filtros de descoberta usando os comandos da API ou da CLI. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor. Você pode salvar filtros para criar Regras de supressão ou realizar outras operações de filtro posteriormente.
Para criar filtros de busca usando API/CLI
-
Execute a CreateFilterAPI usando o ID do detector regional do Conta da AWS local em que você deseja criar um filtro.
Para encontrar a opção
detectorIdpara sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI. -
Como alternativa, você pode usar a CLI create-filter
para criar e salvar o filtro. Você pode usar um ou mais critérios de filtragem dos Filtros de propriedades em GuardDuty. Use os exemplos a seguir substituindo os valores de espaço reservado mostrados em vermelho.
- Exemplo 1: crie um novo filtro para visualizar todas as descobertas que correspondem a um tipo específico de descoberta
-
O exemplo a seguir cria um filtro que corresponde a todas as descobertas de
PortScanpara uma instância criada com base em uma imagem específica. Os valores do espaço reservado são mostrados em vermelho. Substitua esses valores por valores adequados para sua conta. Por exemplo,12abc34d567e8fa901bc2d34EXAMPLEsubstitua pelo ID do detector regional.aws guardduty create-filter \ --detector-id12abc34d567e8fa901bc2d34EXAMPLE\ --nameFilterExampleName\ --finding-criteria '{"Criterion": {"type": {"Equals": ["}, "Recon:EC2/Portscan"]resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }' - Exemplo 2: crie um novo filtro para visualizar todas as descobertas que correspondem aos níveis de gravidade
-
O exemplo a seguir cria um filtro que corresponde a todas as descobertas associadas aos níveis de gravidade
HIGH. Os valores do espaço reservado são mostrados em vermelho. Substitua esses valores por valores adequados para sua conta. Por exemplo,12abc34d567e8fa901bc2d34EXAMPLEsubstitua pelo ID do detector regional.aws guardduty create-filter \ --detector-id12abc34d567e8fa901bc2d34EXAMPLE\ --nameFilterExampleName\ --finding-criteria '{"Criterion": {"severity": {"Equals": ["}} }'7", "8"]
-
Pois API/CLI, Níveis de gravidade das descobertas eles são representados como numerais. Para filtrar as descobertas com base nos níveis de gravidade, use os seguintes valores:
-
Para níveis de gravidade
LOW, use{ "severity": { "Equals": ["1", "2", "3"] } } -
Para níveis de gravidade
MEDIUM, use{ "severity": { "Equals": ["4", "5", "6"] } } -
Para níveis de gravidade
HIGH, use{ "severity": { "Equals": ["7", "8"] } } -
Para níveis de gravidade
CRITICAL, use{ "severity": { "Equals": ["9", "10"] } } -
Para descobertas com vários níveis de gravidade, use valores de espaço reservado semelhantes ao seguinte exemplo:
{ "severity": { "Equals": ["7", "8", "9", "10"] } }Este exemplo mostrará as descobertas que têm níveis de gravidade
HIGHouCRITICAL.nota
Se você especificar um exemplo com apenas um valor numérico em vez de todos os valores numéricos associados a um nível de gravidade, a API e a CLI poderão mostrar as descobertas filtradas. Quando você usa esse conjunto de filtros salvo no GuardDuty console, ele não funcionará conforme o esperado. Isso ocorre porque o GuardDuty console considera os valores do filtro como
CRITICALHIGHMEDIUM,,LOWe. Por exemplo, espera-se que um filtro criado com um comando CLI que{ "severity": { "Equals": ["9"] } }inclua mostre uma saída apropriada em. API/CLI No entanto, esse filtro salvo inclui um nível de severidade parcial quando usado no GuardDuty console e não mostrará uma saída esperada. Isso torna necessário que a API e a CLI especifiquem todos os valores associados a cada nível de gravidade.
-
Filtros de propriedades em GuardDuty
Ao criar filtros ou classificar descobertas usando as operações da API, você deve especificar critérios de filtro em JSON. Esses critérios de filtro se correlacionam com o JSON dos detalhes de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de campo JSON equivalentes.
Nome do campo do console |
Nome do campo JSON |
|---|---|
ID da conta |
accountId |
ID da descoberta |
id |
Região |
region |
Gravidade |
severidade Para filtrar os tipos de descoberta com base no nível de gravidade dos tipos de descoberta. Para obter mais informações sobre valores de severidade, consulte Níveis de severidade das GuardDuty descobertas. Se você usa |
Tipo de descoberta |
type |
Atualizado em |
updatedAt |
Access Key ID |
acesso ao recurso KeyDetails.accessKeyId |
Principal ID |
acesso ao recurso KeyDetails.principalId |
Nome de usuário |
acesso ao recurso KeyDetails.userName |
Tipo de usuário |
acesso ao recurso KeyDetails.userType |
ID do perfil da instância do IAM |
recurso.instância Details.iamInstanceProfile.id |
ID da instância |
recurso.instância Details.instanceId |
ID da imagem da instância |
recurso.instância Details.imageId |
Chave de tag da instância |
recurso.instância Details.tags.key |
Valor de tag da instância |
recurso.instância Details.tags.value |
Endereço IPv6 |
recurso.instância Details.networkInterfaces.ipv6Addresses |
Endereço IPv4 privado |
recurso.instância Details.networkInterfaces.privateIpAddresses.privateIpAddress |
Nome público do DNS |
recurso.instância Details.networkInterfaces.publicDnsName |
IP público |
recurso.instância Details.networkInterfaces.publicIp |
ID do grupo de segurança |
recurso.instância Details.networkInterfaces.securityGroups.groupId |
Nome do security group |
recurso.instância Details.networkInterfaces.securityGroups.groupName |
ID da sub-rede |
recurso.instância Details.networkInterfaces.subnetId |
ID da VPC |
recurso.instância Details.networkInterfaces.vpcId |
ARN do Outpost |
recurso.instância Details.outpostARN |
Tipo de atributo |
resource.resourceType |
Permissões do bucket |
recursos.3 BucketDetails.publicAccess.effectivePermission |
Nome do bucket |
recursos.3 BucketDetails.name |
Bucket tag key |
recursos.3 BucketDetails.tags.key |
Bucket tag value |
recursos.3 BucketDetails.tags.value |
Tipo de bucket |
recursos.3 BucketDetails.type |
Tipo de ação |
service.action.actionType |
API chamada |
service.action.aws ApiCallAction.api |
Tipo de chamador da API |
service.action.aws ApiCallAction.callerType |
Códigos de erro da API |
service.action.aws ApiCallAction.errorCode |
Cidade do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.city.cityName |
País do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.country.countryName |
Endereço IPv4 do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.ipAddressV6 |
ID de ASN do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.organization.asn |
Nome de ASN do chamador da API |
service.action.aws ApiCallAction.remoteIpDetails.organization.asnOrg |
Nome do serviço de chamador da API |
service.action.aws ApiCallAction.serviceName |
Domínio de solicitação de DNS |
service.action.dns RequestAction.domain |
Sufixo de domínio de solicitação de DNS |
service.action.dns RequestAction.domainWithSuffix |
Conexão de rede bloqueada |
service.action.network ConnectionAction.blocked |
Direção de conexão de rede |
service.action.network ConnectionAction.connectionDirection |
Porta local de conexão de rede |
service.action.network ConnectionAction.localPortDetails.port |
Protocolo de conexão de rede |
service.action.network ConnectionAction.protocol |
Cidade de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.city.cityName |
País de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.country.countryName |
Endereço IPv4 remoto de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 remoto de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.ipAddressV6 |
ID de ASN do IP remoto de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.organization.asn |
Nome de ASN do IP remoto de conexão de rede |
service.action.network ConnectionAction.remoteIpDetails.organization.asnOrg |
Porta remota de conexão de rede |
service.action.network ConnectionAction.remotePortDetails.port |
Conta remota afiliada |
service.action.aws ApiCallAction.remoteAccountDetails.affiliated |
Endereço IPv4 do chamador da API do Kubernetes |
service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 do chamador da API do Kubernetes |
service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV6 |
Namespace do Kubernetes |
service.action.kubernetes ApiCallAction.namespace |
ID ASN do chamador da API Kubernetes |
service.action.kubernetes ApiCallAction.remoteIpDetails.organization.asn |
URI de solicitação de chamada de API do Kubernetes |
service.action.kubernetes ApiCallAction.requestUri |
Código de status da API do Kubernetes |
service.action.kubernetes ApiCallAction.statusCode |
Endereço IPv4 local da conexão de rede |
service.action.network ConnectionAction.localIpDetails.ipAddressV4 |
Endereço IPv6 local da conexão de rede |
service.action.network ConnectionAction.localIpDetails.ipAddressV6 |
Protocolo |
service.action.network ConnectionAction.protocol |
Nome do serviço de chamada de API |
service.action.aws ApiCallAction.serviceName |
ID da conta do chamador da API |
service.action.aws ApiCallAction.remoteAccountDetails.accountId |
Nome da lista de ameaças |
serviço.adicional Info.threatListName |
Função do recurso |
service.resourceRole |
Nome do cluster do EKS |
resource.eks ClusterDetails.name |
Nome da workload do Kubernetes |
recurso.kubernetes Details.kubernetesWorkloadDetails.name |
Namespace de workload do Kubernetes |
recurso.kubernetes Details.kubernetesWorkloadDetails.namespace |
Nome de usuário do Kubernetes |
recurso.kubernetes Details.kubernetesUserDetails.username |
Imagem de contêiner do Kubernetes |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.image |
Prefixo de imagens de contêiner do Kubernetes |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.imagePrefix |
ID de verificação |
service.ebs VolumeScanDetails.scanId |
Nome da ameaça de escaneamento de volume do EBS |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
Nome da ameaça de verificação do objeto do S3 |
serviço.malware ScanDetails.threats.name |
Gravidade da ameaça |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
Arquivo SHA |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
Nome do cluster do ECS |
recurso.ecs ClusterDetails.name |
Imagens de contêiner do ECS |
recurso.ecs ClusterDetails.taskDetails.containers.image |
ARN da definição de tarefas do ECS |
recurso.ecs ClusterDetails.taskDetails.definitionArn |
Imagem de contêiner autônoma |
resource.container Details.image |
ID da instância de banco de dados |
resource.rds DbInstanceDetails.dbInstanceIdentifier |
ID do cluster de banco de dados |
resource.rds DbInstanceDetails.dbClusterIdentifier |
Mecanismo do banco de dados |
resource.rds DbInstanceDetails.engine |
Usuário do banco de dados |
resource.rds DbUserDetails.user |
Executável SHA-256 |
service.runtime Details.process.executableSha256 |
Nome do processo |
service.runtime Details.process.name |
Caminho executável |
service.runtime Details.process.executablePath |
Nome de função do Lambda |
recurso.lambda Details.functionName |
ARN da função do Lambda. |
recurso.lambda Details.functionArn |
Chave de tags de funções do Lambda |
recurso.lambda Details.tags.key |
Valor de tags de funções do Lambda |
recurso.lambda Details.tags.value |
Domínio de solicitação de DNS |
service.action.dns RequestAction.domainWithSuffix |
Todos os outros campos de busca (listados abaixo) estão disponíveis somente como critérios de filtro da regra de supressão (usando CreateFiltere UpdateFilter). Esses campos não são compatíveis com outras operações de API. As regras de supressão que usam esses campos devem ser criadas ou atualizadas por meio da API. Esses campos só podem ser aplicados para filtros com uma ARCHIVE ação.
nota
Os campos a seguir aceitam valores de timestamp no formato de milissegundos do Unix Epoch (por exemplo, 1262309025000 representa sexta-feira, 1º de janeiro de 2010 às 1:23:45 GMT):
createdAt
updatedAt
serviço.evento FirstSeen
serviço.evento LastSeen
recurso.instância Details.launchTime
recurso.lambda Details.lastModifiedAt
recursos.3 BucketDetails.createdAt
resource.eks ClusterDetails.createdAt
recurso.ecs ClusterDetails.taskDetails.createdAt
recurso.ecs ClusterDetails.taskDetails.startedAt
service.ebs VolumeScanDetails.scanStartedAt
service.ebs VolumeScanDetails.scanCompletedAt
service.runtime Details.context.modifiedAt
service.runtime Details.context.modifyingProcess.startTime
service.runtime Details.context.modifyingProcess.lineage.startTime
service.runtime Details.context.targetProcess.startTime
service.runtime Details.context.targetProcess.lineage.startTime
service.runtime Details.process.startTime
service.runtime Details.process.lineage.startTime
service.detection.sequence.actors.session.createdTime
service.detection.sequence.signals.criado em
service.detection.sequence.signals.Atualizado em
service.detection.sequence.signals.first SeenAt
service.detection.sequence.signals.last SeenAt
service.detection.sequence.resources.data.s3 Bucket.createdAt
service.detection.sequence.resources.data.ecs Task.createdAt
service.detection.sequence.resources.data.eks Cluster.createdAt
Nome do campo JSON |
|---|
arn |
associado AttackSequenceArn |
createdAt |
Partição |
acesso ao recurso KeyDetails.userIdentity.accessKeyId |
acesso ao recurso KeyDetails.userIdentity.accountId |
acesso ao recurso KeyDetails.userIdentity.arn |
acesso ao recurso KeyDetails.userIdentity.principalId |
acesso ao recurso KeyDetails.userIdentity.sessionContext.attributes.mfaAuthenticated |
acesso ao recurso KeyDetails.userIdentity.sessionContext.ec2RoleDelivery |
acesso ao recurso KeyDetails.userIdentity.sessionContext.invokedBy |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sessionIssuer.accountId |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sessionIssuer.arn |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sessionIssuer.principalId |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sessionIssuer.type |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sessionIssuer.userName |
acesso ao recurso KeyDetails.userIdentity.sessionContext.sourceIdentity |
acesso ao recurso KeyDetails.userIdentity.sessionContext.webIdFederationData.attributes |
acesso ao recurso KeyDetails.userIdentity.sessionContext.webIdFederationData.federatedProvider |
acesso ao recurso KeyDetails.userIdentity.type |
acesso ao recurso KeyDetails.userIdentity.userName |
recurso.alicerce GuardrailDetails.guardrailArn |
recurso.alicerce GuardrailDetails.guardrailVersion |
resource.container Details.containerRuntime |
resource.container Details.imagePrefix |
resource.container Details.securityContext.allowPrivilegeEscalation |
resource.container Details.securityContext.privileged |
resource.container Details.volumeMounts.mountPath |
resource.container Details.volumeMounts.name |
resource.ebs VolumeDetails.scannedVolumeDetails.deviceName |
resource.ebs VolumeDetails.scannedVolumeDetails.encryptionType |
resource.ebs VolumeDetails.scannedVolumeDetails.kmsKeyArn |
resource.ebs VolumeDetails.scannedVolumeDetails.snapshotArn |
resource.ebs VolumeDetails.scannedVolumeDetails.volumeArn |
resource.ebs VolumeDetails.scannedVolumeDetails.volumeSizeInGB |
resource.ebs VolumeDetails.scannedVolumeDetails.volumeType |
resource.ebs VolumeDetails.skippedVolumeDetails.deviceName |
resource.ebs VolumeDetails.skippedVolumeDetails.encryptionType |
resource.ebs VolumeDetails.skippedVolumeDetails.kmsKeyArn |
resource.ebs VolumeDetails.skippedVolumeDetails.snapshotArn |
resource.ebs VolumeDetails.skippedVolumeDetails.volumeArn |
resource.ebs VolumeDetails.skippedVolumeDetails.volumeSizeInGB |
resource.ebs VolumeDetails.skippedVolumeDetails.volumeType |
recurso.ecs ClusterDetails.activeServicesCount |
recurso.ecs ClusterDetails.arn |
recurso.ecs ClusterDetails.registeredContainerInstancesCount |
recurso.ecs ClusterDetails.runningTasksCount |
recurso.ecs ClusterDetails.status |
recurso.ecs ClusterDetails.tags.key |
recurso.ecs ClusterDetails.tags.value |
recurso.ecs ClusterDetails.taskDetails.arn |
recurso.ecs ClusterDetails.taskDetails.containers.containerRuntime |
recurso.ecs ClusterDetails.taskDetails.containers.id |
recurso.ecs ClusterDetails.taskDetails.containers.imagePrefix |
recurso.ecs ClusterDetails.taskDetails.containers.name |
recurso.ecs ClusterDetails.taskDetails.containers.securityContext.allowPrivilegeEscalation |
recurso.ecs ClusterDetails.taskDetails.containers.securityContext.privileged |
recurso.ecs ClusterDetails.taskDetails.containers.volumeMounts.mountPath |
recurso.ecs ClusterDetails.taskDetails.containers.volumeMounts.name |
recurso.ecs ClusterDetails.taskDetails.createdAt |
recurso.ecs ClusterDetails.taskDetails.group |
recurso.ecs ClusterDetails.taskDetails.launchType |
recurso.ecs ClusterDetails.taskDetails.startedAt |
recurso.ecs ClusterDetails.taskDetails.startedBy |
recurso.ecs ClusterDetails.taskDetails.tags.key |
recurso.ecs ClusterDetails.taskDetails.tags.value |
recurso.ecs ClusterDetails.taskDetails.version |
recurso.ecs ClusterDetails.taskDetails.volumes.hostPath.path |
recurso.ecs ClusterDetails.taskDetails.volumes.name |
resource.eks ClusterDetails.arn |
resource.eks ClusterDetails.createdAt |
resource.eks ClusterDetails.status |
resource.eks ClusterDetails.tags.key |
resource.eks ClusterDetails.tags.value |
resource.eks ClusterDetails.vpcId |
recurso.instância Details.iamInstanceProfile.arn |
recurso.instância Details.instanceState |
recurso.instância Details.instanceType |
recurso.instância Details.launchTime |
recurso.instância Details.networkInterfaces.networkInterfaceId |
recurso.instância Details.networkInterfaces.privateDnsName |
recurso.instância Details.networkInterfaces.privateIpAddress |
recurso.instância Details.networkInterfaces.privateIpAddresses.privateDnsName |
recurso.instância Details.platform |
recurso.instância Details.productCodes.productCodeId |
recurso.instância Details.productCodes.productCodeType |
recurso.kubernetes Details.kubernetesUserDetails.groups |
recurso.kubernetes Details.kubernetesUserDetails.impersonatedUser.groups |
recurso.kubernetes Details.kubernetesUserDetails.impersonatedUser.username |
recurso.kubernetes Details.kubernetesUserDetails.sessionName |
recurso.kubernetes Details.kubernetesUserDetails.uid |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.containerRuntime |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.id |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.name |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.allowPrivilegeEscalation |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.privileged |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.mountPath |
recurso.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.name |
recurso.kubernetes Details.kubernetesWorkloadDetails.hostIpc |
recurso.kubernetes Details.kubernetesWorkloadDetails.hostNetwork |
recurso.kubernetes Details.kubernetesWorkloadDetails.hostPid |
recurso.kubernetes Details.kubernetesWorkloadDetails.serviceAccountName |
recurso.kubernetes Details.kubernetesWorkloadDetails.type |
recurso.kubernetes Details.kubernetesWorkloadDetails.uid |
recurso.kubernetes Details.kubernetesWorkloadDetails.volumes.hostPath.path |
recurso.kubernetes Details.kubernetesWorkloadDetails.volumes.name |
recurso.lambda Details.description |
recurso.lambda Details.lastModifiedAt |
recurso.lambda Details.revisionId |
recurso.lambda Details.vpcConfig.securityGroups.groupId |
recurso.lambda Details.vpcConfig.securityGroups.groupName |
recurso.lambda Details.vpcConfig.subnetIds |
recurso.lambda Details.vpcConfig.vpcId |
resource.rds DbInstanceDetails.dbInstanceArn |
resource.rds DbInstanceDetails.dbiResourceId |
resource.rds DbInstanceDetails.dbSecurityGroups.name |
resource.rds DbInstanceDetails.dbSecurityGroups.status |
resource.rds DbInstanceDetails.engineVersion |
resource.rds DbInstanceDetails.iamDatabaseAuthenticationEnabled |
resource.rds DbInstanceDetails.publiclyAccessible |
resource.rds DbInstanceDetails.vpcId |
resource.rds DbInstanceDetails.vpcSecurityGroups.status |
resource.rds DbInstanceDetails.vpcSecurityGroups.vpcSecurityGroupId |
resource.rds DbUserDetails.application |
resource.rds DbUserDetails.authMethod |
resource.rds DbUserDetails.database |
resource.rds DbUserDetails.ssl |
resource.rds LimitlessDbDetails.dbClusterIdentifier |
resource.rds LimitlessDbDetails.dbShardGroupArn |
resource.rds LimitlessDbDetails.dbShardGroupIdentifier |
resource.rds LimitlessDbDetails.dbShardGroupResourceId |
resource.rds LimitlessDbDetails.engine |
resource.rds LimitlessDbDetails.engineVersion |
resource.rds LimitlessDbDetails.tags.key |
resource.rds LimitlessDbDetails.tags.value |
recursos.3 BucketDetails.arn |
recursos.3 BucketDetails.createdAt |
recursos.3 BucketDetails.defaultServerSideEncryption.encryptionType |
recursos.3 BucketDetails.defaultServerSideEncryption.kmsMasterKeyArn |
recursos.3 BucketDetails.owner.id |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicAcls |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicPolicy |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.ignorePublicAcls |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.restrictPublicBuckets |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicReadAccess |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicWriteAccess |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicAcls |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicPolicy |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.ignorePublicAcls |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.restrictPublicBuckets |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicReadAccess |
recursos.3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicWriteAccess |
recursos.3 BucketDetails.s3ObjectDetails.eTag |
recursos.3 BucketDetails.s3ObjectDetails.hash |
recursos.3 BucketDetails.s3ObjectDetails.key |
recursos.3 BucketDetails.s3ObjectDetails.objectArn |
recursos.3 BucketDetails.s3ObjectDetails.versionId |
schemaVersion |
service.action.aws ApiCallAction.domainDetails.domain |
service.action.aws ApiCallAction.remoteIpDetails.country.countryCode |
service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lat |
service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lon |
service.action.aws ApiCallAction.remoteIpDetails.organization.isp |
service.action.aws ApiCallAction.remoteIpDetails.organization.org |
service.action.aws ApiCallAction.userAgent |
service.action.dns RequestAction.blocked |
service.action.dns RequestAction.protocol |
service.action.kubernetes ApiCallAction.parameters |
service.action.kubernetes ApiCallAction.remoteIpDetails.country.countryCode |
service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lat |
service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lon |
service.action.kubernetes ApiCallAction.resource |
service.action.kubernetes ApiCallAction.resourceName |
service.action.kubernetes ApiCallAction.sourceIPs |
service.action.kubernetes ApiCallAction.subresource |
service.action.kubernetes ApiCallAction.userAgent |
service.action.kubernetes ApiCallAction.verb |
service.action.kubernetes PermissionCheckedDetails.allowed |
service.action.kubernetes PermissionCheckedDetails.namespace |
service.action.kubernetes PermissionCheckedDetails.resource |
service.action.kubernetes PermissionCheckedDetails.verb |
service.action.kubernetes RoleBindingDetails.kind |
service.action.kubernetes RoleBindingDetails.name |
service.action.kubernetes RoleBindingDetails.roleRefKind |
service.action.kubernetes RoleBindingDetails.roleRefName |
service.action.kubernetes RoleBindingDetails.uid |
service.action.kubernetes RoleDetails.kind |
service.action.kubernetes RoleDetails.name |
service.action.kubernetes RoleDetails.uid |
service.action.network ConnectionAction.localNetworkInterface |
service.action.network ConnectionAction.localPortDetails.portName |
service.action.network ConnectionAction.remoteIpDetails.country.countryCode |
service.action.network ConnectionAction.remoteIpDetails.geoLocation.lat |
service.action.network ConnectionAction.remoteIpDetails.geoLocation.lon |
service.action.network ConnectionAction.remoteIpDetails.organization.isp |
service.action.network ConnectionAction.remoteIpDetails.organization.org |
service.action.network ConnectionAction.remotePortDetails.portName |
service.action.port ProbeAction.blocked |
service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV4 |
service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV6 |
service.action.port ProbeAction.portProbeDetails.localPortDetails.port |
service.action.port ProbeAction.portProbeDetails.localPortDetails.portName |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.city.cityName |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryCode |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryName |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lat |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lon |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV4 |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV6 |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asn |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asnOrg |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.isp |
service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.org |
service.action.rds LoginAttemptAction.loginAttributes.application |
service.action.rds LoginAttemptAction.loginAttributes.failedLoginAttempts |
service.action.rds LoginAttemptAction.loginAttributes.successfulLoginAttempts |
service.action.rds LoginAttemptAction.loginAttributes.user |
service.action.rds LoginAttemptAction.remoteIpDetails.city.cityName |
service.action.rds LoginAttemptAction.remoteIpDetails.country.countryCode |
service.action.rds LoginAttemptAction.remoteIpDetails.country.countryName |
service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lat |
service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lon |
service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV4 |
service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV6 |
service.action.rds LoginAttemptAction.remoteIpDetails.organization.asn |
service.action.rds LoginAttemptAction.remoteIpDetails.organization.asnOrg |
service.action.rds LoginAttemptAction.remoteIpDetails.organization.isp |
service.action.rds LoginAttemptAction.remoteIpDetails.organization.org |
serviço.adicional Info.agentDetails.agentId |
serviço.adicional Info.agentDetails.agentVersion |
serviço.adicional Info.anomalies.anomalousAPIs |
serviço.adicional Info.authenticationMethod |
serviço.adicional Info.averagePacketSizeIn |
serviço.adicional Info.averagePacketSizeOut |
serviço.adicional Info.context |
serviço.adicional Info.domain |
serviço.adicional Info.inBytes |
serviço.adicional Info.localNetworkInterfaceOwner |
serviço.adicional Info.localPort |
serviço.adicional Info.outBytes |
serviço.adicional Info.packetsIn |
serviço.adicional Info.packetsOut |
serviço.adicional Info.policyArn |
serviço.adicional Info.policyName |
serviço.adicional Info.remotePort |
serviço.adicional Info.sample |
serviço.adicional Info.scannedPort |
serviço.adicional Info.threatFileSha256 |
serviço.adicional Info.threatName |
serviço.adicional Info.totalBytesIn |
serviço.adicional Info.totalBytesOut |
serviço.adicional Info.type |
serviço.adicional Info.unusual.asnOrg |
serviço.adicional Info.unusual.port |
serviço.adicional Info.unusualProtocol |
serviço.adicional Info.userAgent.fullUserAgent |
serviço.adicional Info.userAgent.userAgentCategory |
serviço.adicional Info.value |
serviço.adicional Info.vpcOwnerAccountId |
service.count |
service.detection.sequence.actors.id |
service.detection.sequence.actors.process.name |
service.detection.sequence.actors.process.path |
service.detection.sequence.actors.process.sha256 |
service.detection.sequence.actors.session.createdTime |
service.detection.sequence.actors.session.issuer |
service.detection.sequence.actors.session.mfaStatus |
service.detection.sequence.actors.session.uid |
service.detection.sequence.actors.user.account.account |
service.detection.sequence.actors.user.account.uid |
service.detection.sequence.actors.user.credentialUid |
service.detection.sequence.actors.user.name |
service.detection.sequence.actors.user.type |
service.detection.sequence.actors.user.uid |
service.detection.sequence.additional SequenceTypes |
service.detection.sequence.description |
service.detection.sequence.endpoints.autonomous System.name |
service.detection.sequence.endpoints.autonomous System.number |
service.detection.sequence.endpoints.connection.direction |
service.detection.sequence.endpoints.domain |
service.detection.sequence.endpoints.id |
service.detection.sequence.endpoints.ip |
service.detection.sequence.endpoints.location.city |
service.detection.sequence.endpoints.location.country |
service.detection.sequence.endpoints.location.lat |
service.detection.sequence.endpoints.location.lon |
service.detection.sequence.endpoints.port |
service.detection.sequence.resources.AccountId |
service.detection.sequence.resources.cloudPartition |
service.detection.sequence.resources.data.access Key.principalId |
service.detection.sequence.resources.data.access Key.userName |
service.detection.sequence.resources.data.access Key.userType |
service.detection.sequence.resources.data.autoscaling AutoScalingGroup.ec2InstanceUids |
service.detection.sequence.resources.data.cloudformation Stack.ec2InstanceUids |
service.detection.sequence.resources.data.container.image |
service.detection.sequence.resources.data.container.ImageUID |
service.detection.sequence.resources.data.ec2 Image.ec2InstanceUids |
service.detection.sequence.resources.data.ec2 Instance.availabilityZone |
service.detection.sequence.resources.data.ec2 Instance.ec2NetworkInterfaceUids |
service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.arn |
service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.id |
service.detection.sequence.resources.data.ec2 Instance.imageDescription |
service.detection.sequence.resources.data.ec2 Instance.instanceState |
service.detection.sequence.resources.data.ec2 Instance.instanceType |
service.detection.sequence.resources.data.ec2 Instance.outpostArn |
service.detection.sequence.resources.data.ec2 Instance.platform |
service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeId |
service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeType |
service.detection.sequence.resources.data.ec2 LaunchTemplate.ec2InstanceUids |
service.detection.sequence.resources.data.ec2 LaunchTemplate.version |
service.detection.sequence.resources.data.ec2 NetworkInterface.ipv6Addresses |
service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateDnsName |
service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateIpAddress |
service.detection.sequence.resources.data.ec2 NetworkInterface.publicIp |
service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupId |
service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupName |
service.detection.sequence.resources.data.ec2 NetworkInterface.subNetId |
service.detection.sequence.resources.data.ec2 NetworkInterface.vpcId |
service.detection.sequence.resources.data.ec2 Vpc.ec2InstanceUids |
service.detection.sequence.resources.data.ecs Cluster.ec2InstanceUids |
service.detection.sequence.resources.data.ecs Cluster.status |
service.detection.sequence.resources.data.ecs Task.containerUids |
service.detection.sequence.resources.data.ecs Task.createdAt |
service.detection.sequence.resources.data.ecs Task.launchType |
service.detection.sequence.resources.data.ecs Task.taskDefinitionArn |
service.detection.sequence.resources.data.eks Cluster.arn |
service.detection.sequence.resources.data.eks Cluster.createdAt |
service.detection.sequence.resources.data.eks Cluster.ec2InstanceUids |
service.detection.sequence.resources.data.eks Cluster.status |
service.detection.sequence.resources.data.eks Cluster.vpcId |
service.detection.sequence.resources.data.iam InstanceProfile.ec2InstanceUids |
service.detection.sequence.resources.data.iam InstanceProfile.id |
service.detection.sequence.resources.data.kubernetes Workload.containerUids |
service.detection.sequence.resources.data.kubernetes Workload.namespace |
service.detection.sequence.resources.data.kubernetes Workload.type |
service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclAccess |
service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclIgnoreBehavior |
service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicBucketRestrictBehavior |
service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicPolicyAccess |
service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclAccess |
service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclIgnoreBehavior |
service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicBucketRestrictBehavior |
service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicPolicyAccess |
service.detection.sequence.resources.data.s3 Bucket.createdAt |
service.detection.sequence.resources.data.s3 Bucket.effectivePermission |
service.detection.sequence.resources.data.s3 Bucket.encryptionKeyArn |
service.detection.sequence.resources.data.s3 Bucket.encryptionType |
service.detection.sequence.resources.data.s3 Bucket.ownerId |
service.detection.sequence.resources.data.s3 Bucket.publicReadAccess |
service.detection.sequence.resources.data.s3 Bucket.publicWriteAccess |
service.detection.sequence.resources.data.s3 Bucket.s3ObjectUids |
service.detection.sequence.resources.data.s3 Object.eTag |
service.detection.sequence.resources.data.s3 Object.key |
service.detection.sequence.resources.data.s3 Object.versionId |
service.detection.sequence.resources.name |
service.detection.sequence.resources.region |
service.detection.sequence.resources.resourceType |
service.detection.sequence.resources.service |
service.detection.sequence.resources.tags.key |
service.detection.sequence.resources.tags.value |
service.detection.sequence.resources.uid |
service.detection.sequence.sequence Indicators.key |
service.detection.sequence.sequence Indicators.title |
service.detection.sequence.sequence Indicators.values |
service.detection.sequence.signals.ActorIds |
service.detection.sequence.signals.count |
service.detection.sequence.signals.criado em |
service.detection.sequence.signals.description |
service.detection.sequence.signals.endpointIDs |
service.detection.sequence.signals.first SeenAt |
service.detection.sequence.signals.last SeenAt |
service.detection.sequence.signals.name |
service.detection.sequence.signals.resourceUIDs |
service.detection.sequence.signals.severity |
service.detection.sequence.signals.signal Indicators.key |
service.detection.sequence.signals.signal Indicators.title |
service.detection.sequence.signals.signal Indicators.values |
service.detection.sequence.signals.type |
service.detection.sequence.signals.uid |
service.detection.sequence.signals.Atualizado em |
service.detection.sequence.uid |
Service.DetectorID |
service.ebs VolumeScanDetails.scanCompletedAt |
service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.count |
service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.severity |
service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.threatName |
service.ebs VolumeScanDetails.scanDetections.scannedItemCount.files |
service.ebs VolumeScanDetails.scanDetections.scannedItemCount.totalGb |
service.ebs VolumeScanDetails.scanDetections.scannedItemCount.volumes |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.itemCount |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.shortened |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.fileName |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.volumeArn |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.itemCount |
service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.uniqueThreatNameCount |
service.ebs VolumeScanDetails.scanDetections.threatsDetectedItemCount.files |
service.ebs VolumeScanDetails.scanStartedAt |
service.ebs VolumeScanDetails.scanType |
service.ebs VolumeScanDetails.sources |
serviço.evento FirstSeen |
serviço.evento LastSeen |
serviço.malware ScanDetails.scanCategory |
serviço.malware ScanDetails.scanConfiguration.incrementalScanDetails.baselineResourceArn |
serviço.malware ScanDetails.scanConfiguration.triggerType |
serviço.malware ScanDetails.threats.count |
serviço.malware ScanDetails.threats.hash |
serviço.malware ScanDetails.threats.itemDetails.additionalInfo.deviceName |
serviço.malware ScanDetails.threats.itemDetails.additionalInfo.versionId |
serviço.malware ScanDetails.threats.itemDetails.hash |
serviço.malware ScanDetails.threats.itemDetails.itemPath |
serviço.malware ScanDetails.threats.itemDetails.resourceArn |
serviço.malware ScanDetails.threats.itemPaths.hash |
serviço.malware ScanDetails.threats.itemPaths.nestedItemPath |
serviço.malware ScanDetails.threats.source |
serviço.malware ScanDetails.uniqueThreatCount |
service.runtime Details.context.addressFamily |
service.runtime Details.context.commandLineExample |
service.runtime Details.context.fileSystemType |
service.runtime Details.context.flags |
service.runtime Details.context.ianaProtocolNumber |
service.runtime Details.context.ldPreloadValue |
service.runtime Details.context.libraryPath |
service.runtime Details.context.memoryRegions |
service.runtime Details.context.modifiedAt |
service.runtime Details.context.modifyingProcess.euid |
service.runtime Details.context.modifyingProcess.executablePath |
service.runtime Details.context.modifyingProcess.executableSha256 |
service.runtime Details.context.modifyingProcess.lineage.euid |
service.runtime Details.context.modifyingProcess.lineage.executablePath |
service.runtime Details.context.modifyingProcess.lineage.name |
service.runtime Details.context.modifyingProcess.lineage.namespacePid |
service.runtime Details.context.modifyingProcess.lineage.parentUuid |
service.runtime Details.context.modifyingProcess.lineage.pid |
service.runtime Details.context.modifyingProcess.lineage.startTime |
service.runtime Details.context.modifyingProcess.lineage.userId |
service.runtime Details.context.modifyingProcess.lineage.uuid |
service.runtime Details.context.modifyingProcess.name |
service.runtime Details.context.modifyingProcess.namespacePid |
service.runtime Details.context.modifyingProcess.parentUuid |
service.runtime Details.context.modifyingProcess.pid |
service.runtime Details.context.modifyingProcess.pwd |
service.runtime Details.context.modifyingProcess.startTime |
service.runtime Details.context.modifyingProcess.user |
service.runtime Details.context.modifyingProcess.userId |
service.runtime Details.context.modifyingProcess.uuid |
service.runtime Details.context.mountSource |
service.runtime Details.context.mountTarget |
service.runtime Details.context.relatedFilePaths |
service.runtime Details.context.releaseAgentPath |
service.runtime Details.context.runcBinaryPath |
service.runtime Details.context.scriptPath |
service.runtime Details.context.serviceName |
service.runtime Details.context.shellHistoryFilePath |
service.runtime Details.context.socketPath |
service.runtime Details.context.targetProcess.euid |
service.runtime Details.context.targetProcess.executablePath |
service.runtime Details.context.targetProcess.executableSha256 |
service.runtime Details.context.targetProcess.lineage.euid |
service.runtime Details.context.targetProcess.lineage.executablePath |
service.runtime Details.context.targetProcess.lineage.name |
service.runtime Details.context.targetProcess.lineage.namespacePid |
service.runtime Details.context.targetProcess.lineage.parentUuid |
service.runtime Details.context.targetProcess.lineage.pid |
service.runtime Details.context.targetProcess.lineage.startTime |
service.runtime Details.context.targetProcess.lineage.userId |
service.runtime Details.context.targetProcess.lineage.uuid |
service.runtime Details.context.targetProcess.name |
service.runtime Details.context.targetProcess.namespacePid |
service.runtime Details.context.targetProcess.parentUuid |
service.runtime Details.context.targetProcess.pid |
service.runtime Details.context.targetProcess.pwd |
service.runtime Details.context.targetProcess.startTime |
service.runtime Details.context.targetProcess.user |
service.runtime Details.context.targetProcess.userId |
service.runtime Details.context.targetProcess.uuid |
service.runtime Details.context.threatFilePath |
service.runtime Details.context.toolCategory |
service.runtime Details.context.toolName |
service.runtime Details.process.euid |
service.runtime Details.process.lineage.euid |
service.runtime Details.process.lineage.executablePath |
service.runtime Details.process.lineage.name |
service.runtime Details.process.lineage.namespacePid |
service.runtime Details.process.lineage.parentUuid |
service.runtime Details.process.lineage.pid |
service.runtime Details.process.lineage.startTime |
service.runtime Details.process.lineage.userId |
service.runtime Details.process.lineage.uuid |
service.runtime Details.process.namespacePid |
service.runtime Details.process.parentUuid |
service.runtime Details.process.pid |
service.runtime Details.process.pwd |
service.runtime Details.process.startTime |
service.runtime Details.process.user |
service.runtime Details.process.userId |
service.runtime Details.process.uuid |
Serviço. Feedback do usuário |
