本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 调查发现详细信息
<a name="guardduty_findings-summary"></a>

在 Amazon GuardDuty 控制台中，您可以在查找结果摘要部分查看查找详情。调查发现详细信息因调查发现类型而异。

有两类主要详细信息，用于确定哪些类型的信息可用于任何调查发现。第一个是资源类型，可以是 `Instance`、`AccessKey`、`S3Bucket`、`S3Object`、`Kubernetes cluster`、`ECS cluster`、`Container`、`RDSDBInstance`、`RDSLimitlessDB` 或 `Lambda`。决定调查发现信息的第二类详细信息是**资源角色**。资源角色可以是 `Target`，表示该资源是可疑活动的目标。对于实例类型的调查发现，资源角色也可以是 `Actor`，这意味着您的资源是进行可疑活动的行动者。本主题介绍调查发现的一些常见可用详细信息。对于[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)和 [S3 恶意软件防护调查发现类型](gdu-malware-protection-s3-finding-types.md)，资源角色未填充。

**Topics**
+ [调查发现概览](#findings-summary-section)
+ [资源](#findings-resource-affected)
+ [攻击序列调查发现详细信息](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [RDS 数据库（DB）用户详细信息](#rds-pro-db-user-details)
+ [运行时监控调查发现详细信息](#runtime-monitoring-runtime-details)
+ [EBS 卷扫描详细信息](#mp-ebs-volumes-scan-details)
+ [EC2 恶意软件防护调查发现详细信息](#malware-protection-scan-details)
+ [S3 恶意软件防护调查发现详细信息](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [行动者或目标](#finding-actor-target)
+ [地理位置详细信息](#guardduty-finding-details-geolocation)
+ [附加信息](#finding-additional-info)
+ [证据](#finding-evidence)
+ [异常行为](#finding-anomalous)

## 调查发现概览
<a name="findings-summary-section"></a>

调查发现的**概览**部分包含该调查发现最基本的识别特征，包括以下信息：
+ **账户 ID** — 发生活动并提示 GuardDuty 生成此调查结果的 AWS 账户的 ID。
+ **计数**-汇总 GuardDuty 与此发现 ID 匹配此模式的活动的次数。
+ **创建时间**：首次创建此调查发现的时间和日期。如果此值与**更新时间**不同，则表示该活动已多次发生，是一个持续的问题。
**注意**  
 GuardDuty 控制台中查找结果的时间戳以您的本地时区显示，而 JSON 导出和 CLI 输出以 UTC 显示时间戳。
+ **调查发现 ID**：此调查发现类型和参数集的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。
+ **调查发现类型**：表示触发调查发现的活动类型的格式化字符串。有关更多信息，请参阅 [GuardDuty 查找格式](guardduty_finding-format.md)。
+ **区域**-生成发现的 AWS 区域。有关支持的区域的更多信息，请参阅[区域和端点](guardduty_regions.md)。
+ **资源 ID** — 发生活动时提示 GuardDuty 生成此结果的 AWS 资源的 ID。
+ **扫描 ID** — 适用于启用 EC2 GuardDuty 恶意软件防护时的发现，这是在连接到可能受感染的 EC2 实例或容器工作负载的 EBS 卷上运行的恶意软件扫描的标识符。有关更多信息，请参阅 [EC2 恶意软件防护调查发现详细信息](#malware-protection-scan-details)。
+ **严重性**：为调查发现分配的严重性级别，可以为“重大”、“高”、“中”或“低”。有关更多信息，请参阅 [调查发现的严重性级别](guardduty_findings-severity.md)。
+ **更新时间 — 上**次更新此发现的时间，新活动与提示生成此发现 GuardDuty的模式相匹配。

## 资源
<a name="findings-resource-affected"></a>

“**受影响的资源**” 提供了有关启动活动所针对的 AWS 资源的详细信息。可用信息因资源类型和操作类型而异。

**资源角色**-启动查找结果的 AWS 资源的角色。此值可以是 **TARGET** 或 **ACTOR**，并表示您的资源是可疑活动的目标，还是执行可疑活动的行动者。

**资源类型**：受影响资源的类型。如果涉及多个资源，则调查发现可能包括多种资源类型。****资源类型包括**实例**、**S3Bucket **AccessKey**、S3** **Object**、、、**容器**KubernetesCluster****、**ECSCluster**、数据库和 Lambd **RDSDBInstance**a RDSLimitless。****根据资源类型，将提供不同的调查发现详细信息。选择资源选项卡，了解该资源的可用详细信息。

------
#### [ Instance ]

**实例详细信息：**

**注意**  
如果实例已经停止，或者在进行跨区域 API 调用时，底层 API 调用来自不同区域的 EC2 实例，则可能缺少一些实例详细信息。
+ **实例 ID** — 提示 GuardDuty 生成调查结果的活动所涉及的 EC2 实例的 ID。
+ **实例类型**：EC2 实例的类型，在调查发现中包含该实例。
+ **启动时间**：启动实例的日期和时间。
+ **Outpost ARN** — 的亚马逊资源名称 (ARN)。 AWS Outposts仅适用于实 AWS Outposts 例。有关更多信息，请参阅《User Guide for Outposts racks**》中的 [What is AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)。
+ **安全组名称**：附加到所涉及实例的安全组的名称。
+ **安全组 ID**：附加到所涉及实例的安全组的 ID。
+ **实例状态**：目标实例的当前状态。
+ **可用区**：相关实例所在的 AWS 区域可用区。
+ **映像 ID**：Amazon 系统映像的 ID，该系统映像用于构建活动中涉及的实例。
+ **映像描述**： Amazon 系统映像 ID 的描述，该系统映像用于构建活动中涉及的实例。
+ **标签**：附加到此资源的标签列表，格式为 `key`:`value`。

------
#### [ AccessKey ]

**访问密钥详细信息：**
+ **访问密钥 ID** — 参与提示 GuardDuty 生成调查结果的活动的用户的访问密钥 ID。
+ **委托人 ID** — 参与提示 GuardDuty生成调查结果的活动的用户的主人 ID。
+ **用户类型**-参与活动并提示 GuardDuty 生成调查结果的用户类型。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields)。
+ **用户名**-参与提示 GuardDuty 生成调查结果的活动的用户的姓名。

------
#### [ S3Bucket ]

**Amazon S3 存储桶详细信息：**
+ **名称**：存储桶的名称，在调查发现中包含该存储桶。
+ **ARN**：存储桶的 ARN，在调查发现中包含该存储桶。
+ **拥有者**：用户的规范用户 ID，该用户拥有调查发现中涉及的存储桶。有关规范用户的更多信息， IDs 请参阅[AWS 账户](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)标识符。
+ **类型**：存储桶调查发现的类型，可以是**目标**或**源**。
+ **默认服务器端加密**：存储桶的加密详细信息。
+ **存储桶标签**：附加到此资源的标签列表，以 `key`:`value` 格式列出。
+ **有效权限**：评估存储桶上的所有有效权限和策略，指示涉及的存储桶是否公开。值可以是**公开**，也可以是**非公开**。

------
#### [ S3Object ]
+ **S3 对象详细信息**：包括与已扫描 S3 对象有关的下列信息：
  + **ARN**：已扫描 S3 对象的 Amazon 资源名称（ARN）。
  + **键**：在 S3 存储桶中创建文件时分配给该文件的名称。
  + **版本 Id**：启用存储桶版本控制后，此字段用于指示与已扫描 S3 对象的最新版本关联的版本 Id。有关更多信息，请参阅《Amazon S3 用户指南》**中的[在 S3 存储桶中使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
  + **eTag**：表示已扫描 S3 对象的具体版本。
  + **哈希**：此调查发现中检测到的威胁的哈希值。
+ **S3 存储桶详细信息**：包括与已扫描 S3 对象关联的 Amazon S3 存储桶的以下信息：
  + **名称**：指示包含该对象的 S3 存储桶的名称。
  + **ARN**：该 S3 存储桶的 Amazon 资源名称（ARN）。
+ **所有者**：该 S3 存储桶所有者的规范 Id。

------
#### [ EKSCluster ]

**Kubernetes 集群详情：**
+ **名称**：Kubernetes 集群名称。
+ **ARN**：标识集群的 ARN。
+ **创建时间**：创建此集群的时间和日期。
**注意**  
 GuardDuty 控制台中查找结果的时间戳以您的本地时区显示，而 JSON 导出和 CLI 输出以 UTC 显示时间戳。
+ **VPC ID**：与您集群关联的 VPC 的 ID。
+ **状态**：集群的当前状态。
+ **标签**：您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成，以 `key`:`value` 格式列出。您可以定义键和值。

  集群标签不会应用到与集群关联的任何其他资源。

**Kubernetes 工作负载详情：**
+ **类型**：Kubernetes 工作负载的类型，例如容器组、部署和作业。
+ **名称**：Kubernetes 工作负载的名称。
+ **Uid**：Kubernetes 工作负载的唯一 ID。
+ **创建时间**：创建此工作负载的日期和时间。
+ **标签**：附加到 Kubernetes 工作负载的键值对。
+ **容器**：容器的详细信息，该容器作为 Kubernetes 工作负载的一部分运行。
+ **命名空间**：工作负载所属的 Kubernetes 命名空间。
+ **卷**：Kubernetes 工作负载使用的卷。
  + **主机路径**：表示卷映射的目标主机上预先存在的文件或目录。
  + **名称**：卷的名称。
+ **容器组安全上下文**：定义容器组中所有容器的权限和访问控制设置。
+ **主机网络**：如果容器组包含在 Kubernetes 工作负载中，则设置为 `true`。

**Kubernetes 用户详细信息：**
+ **组**：用户的 Kubernetes RBAC（基于角色访问权限的控制）组，该用户参与生成调查发现的活动。
+ **ID**：Kubernetes 用户的唯一 ID。
+ **用户名**：Kubernetes 用户的名称，该用户参与生成调查发现的活动。
+ **会话名称**：实体，该实体担任具有 Kubernetes RBAC 权限的 IAM 角色的。

------
#### [ ECSCluster ]

**ECS 集群详细信息：**
+ **ARN**：标识集群的 ARN。
+ **名称**：集群的名称。
+ **状态**：集群的当前状态。
+ **活动服务计数**：处于 `ACTIVE` 状态的集群上运行的服务数量。您可以通过以下方式查看这些服务 [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **已注册的容器实例计数**：注册到集群中的容器实例数量，包括同时处于 `ACTIVE` 和 `DRAINING` 状态的容器实例。
+ **正在运行的任务计数**：集群中处于 `RUNNING` 状态的任务数。
+ **标签**：您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成，以 `key`:`value` 格式列出。您可以定义键和值。
+ **容器**：与任务关联的容器的详细信息：
  + **容器名称**：容器的名称。
  + **容器映像**：容器的映像。
+ **任务详情**：集群中任务的详细信息。
  + **ARN**：任务的 Amazon 资源名称（ARN）。
  + **定义 ARN**：创建任务的任务定义 Amazon 资源名称（ARN）。
  + **版本**：任务的版本计数器。
  + **任务创建时间**：创建任务时的 Unix 时间戳。
  + **任务开始时间**：任务开始时的 Unix 时间戳。
  + **任务启动者**：任务开始时指定的标签。

------
#### [ Container ]

**容器详细信息：**
+ **容器运行时**：用于运行容器的容器运行时（例如 `docker` 或 `containerd`）。
+ **ID**：容器实例 ID 或容器实例的完整 ARN 条目。
+ **名称**：容器的名称。
+ **映像**：容器实例的映像。
+ **卷挂载**：容器卷挂载列表。容器可以在其文件系统下挂载卷。
+ **安全上下文**：容器安全上下文定义容器的权限和访问控制设置。
+ **进程详细信息**：描述与调查发现关联的进程的详细信息。

------
#### [ RDSDBInstance ]

**RDSDBInstance 细节：**

**注意**  
此资源可在与数据库实例相关的 RDS 保护调查发现中找到。
+ **数据库实例 ID**-与 GuardDuty 调查结果中涉及的数据库实例关联的标识符。
+ **引擎**：数据库实例的数据库引擎名称，在调查发现中包含该实例。可能的值是“兼容 Aurora MySQL”或“兼容 Aurora PostgreSQL”。
+ **引擎版本**- GuardDuty 调查结果中涉及的数据库引擎的版本。
+ **数据库集群 ID**-包含 GuardDuty 调查结果中涉及的数据库实例 ID 的数据库集群的标识符。
+ **数据库实例 ARN** — 标识调查结果中涉及的数据库实例的 ARN。 GuardDuty

------
#### [ RDSLimitlessDB ]

**RDSLimitless数据库详情：**

此资源可在与支持的 Limitless 数据库引擎版本相关的 RDS 防护调查发现中找到。
+ **数据库分片组标识符**：与 Limitless 数据库分片组关联的名称。
+ **数据库分片组资源 ID**：Limitless 数据库内分片组的资源标识符。
+ **数据库分片组 ARN**：标识数据库分片组的 Amazon 资源名称（ARN）。
+ **引擎**：调查发现中涉及的 Limitless 数据库标识符。
+ **引擎版本**：Limitless 数据库引擎的版本。
+ **数据库集群标识符**：作为 Limitless 数据库一部分的数据库集群名称。

有关可能受影响数据库的用户和身份验证详细信息，请参阅 [RDS 数据库（DB）用户详细信息](#rds-pro-db-user-details)。

------
#### [ Lambda ]

**Lambda 函数详细信息**
+ **函数名称**：Lambda 函数的名称，在调查发现中包含该函数。
+ **函数版本**：Lambda 函数的版本，在调查发现中包含该函数。
+ **函数描述**：对 Lambda 函数的描述，在调查发现中包含该函数。
+ **函数 ARN**：Lambda 函数的 Amazon 资源名称（ARN），在调查发现中包含该函数。
+ **修订 ID**：Lambda 函数版本的修订 ID。
+ **角色**：Lambda 函数的执行角色，在调查发现中包含该函数。
+ **VPC 配置** — 亚马逊 VPC 配置，包括与您的 Lambda 函数 IDs 关联的 VPC ID、安全组和子网。
  + **VPC ID**：与 Lambda 函数关联的 Amazon VPC 的 ID，在调查发现中包含该函数。
  + **子网 IDs**-与您的 Lambda 函数关联的子网的 ID。
  + **安全组**：附加到相关 Lambda 函数的安全组。这包括安全组名称和组 ID。
+ **标签**：附加到此资源的标签列表，以 `key`:`value` 格式列出。

------

## 攻击序列调查发现详细信息
<a name="guardduty-extended-threat-detection-attack-sequence-finding-details"></a>

GuardDuty 提供了它在您的账户中生成的每项发现的详细信息。这些详细信息有助于您理解调查发现背后的原因。本节重点介绍与 [攻击序列调查发现类型](guardduty-attack-sequence-finding-types.md)相关的详细信息。这包括调查发现中涉及的可能受影响资源、事件时间表、指标、信号和端点等洞察。

要查看与已 GuardDuty 发现的信号相关的详细信息，请参阅本页上的相关部分。

在 GuardDuty 控制台中，当您选择攻击序列查找结果时，详细信息侧面板分为以下选项卡：
+ **概述**：提供攻击序列详细信息的简要视图，包括信号、MITRE 战术和可能受影响的资源。
+ **信号**：显示攻击序列中涉及的事件时间表。
+ **资源**：提供有关可能受影响的资源或可能面临风险的资源的信息。

以下列表提供了与攻击序列调查发现详细信息相关的描述。

**信号**  
信号可以是 API 活动或 GuardDuty用于检测攻击序列发现的发现。 GuardDuty 考虑那些没有表现为明显威胁的微弱信号，将它们拼凑在一起，并与单独得出的发现相关联。如需更多背景信息，“**信号**” 选项卡提供了信号的时间表，如所示 GuardDuty。  
每个信号，即 GuardDuty 发现，都有自己的严重程度和分配给它的值。在 GuardDuty 控制台中，您可以选择每个信号以查看相关的详细信息。

**演员们**  
提供有关攻击序列中威胁行为者的详细信息。有关更多信息，请参阅 *Amazon GuardDuty API 参考*中的操作[者](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html)。

**端点**  
提供有关此攻击序列中所使用网络端点的详细信息。有关更多信息，请参阅 *Amazon GuardDuty API 参考[NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)*中的。有关如何 GuardDuty 确定位置的信息，请参阅[地理位置详细信息](#guardduty-finding-details-geolocation)。

**指标**  
包括与安全问题模式匹配的观测数据。这些数据说明了为什么 GuardDuty 有迹象表明存在潜在的可疑活动。例如，当指标名称为时`HIGH_RISK_API`，这表示威胁行为者常用的操作，或者可能对造成潜在影响的敏感操作 AWS 账户，例如访问证书或修改资源。  
下表包括潜在指标列表及其描述：      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE 战术**  
此字段指定了威胁行为者在攻击序列中尝试的 MITRE ATT&CK 战术。 GuardDuty 使用 [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) 框架，为整个攻击序列添加背景信息。 GuardDuty 控制台用于指定威胁行为者已使用的威胁目的的颜色与表示临界、高、中和低的颜色一致[调查发现的严重性级别](guardduty_findings-severity.md)。

**网络指标**  
指标包括网络指标值的组合，这些值解释了网络为何指示可疑行为。仅当**指标**包含 `SUSPICIOUS_NETWORK` 或 `MALICIOUS_IP` 时，本节才适用。以下示例显示了网络指标如何与某个指标相关联，其中：  
+ *AnyCompany*是一个自治系统 (AS)。
+  `TUNNEL_VPN`、`IS_ANONYMOUS` 和 `ALLOWS_FREE_ACCESS` 是网络指标。

```
...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...
```
下表包括网络指标值及其描述。这些标签是根据从 Spur 等来源 GuardDuty 收集的威胁情报添加的      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_findings-summary.html)

## RDS 数据库（DB）用户详细信息
<a name="rds-pro-db-user-details"></a>

**注意**  
本节适用于您在中启用 RDS 保护功能时的发现 GuardDuty。有关更多信息，请参阅 [GuardDuty RDS 保护](rds-protection.md)。

 GuardDuty 调查结果提供了可能遭到入侵的数据库的以下用户和身份验证详细信息：
+ **用户**：用于进行异常登录尝试的用户名。
+ **应用程序**：用于进行异常登录尝试的应用程序名称。
+ **数据库**：数据库实例的名称，在异常登录尝试中包含此实例。
+ **SSL**：用于网络的安全套接字层（SSL）的版本。
+ **身份验证方法**：用户使用的身份验证方法，在调查发现中包括该用户。

有关可能已泄露资源的信息，请参阅[资源](#findings-resource-affected)。

## 运行时监控调查发现详细信息
<a name="runtime-monitoring-runtime-details"></a>

**注意**  
这些详细信息只有在 GuardDuty 生成其中一个时才可用[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)。

本节包含运行时详细信息，例如进程详细信息和任何必需的上下文。进程详细信息描述了有关观察到的进程的信息，运行时上下文描述了有关潜在可疑活动的任何其他信息。

**进程详细信息**
+ **名称**：进程的名称。
+ **可执行文件路径**：进程可执行文件的绝对路径。
+ **可执行文件 SHA-256**：进程可执行文件的 `SHA256` 哈希值。
+ **命名空间 PID**：进程的进程 ID，该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程，命名空间 PID 是容器内观察到的进程 ID。
+ **当前工作目录**：进程的当前工作目录。
+ **进程 ID**：操作系统分配给进程的 ID。
+ **开始时间**：进程启动的时间。该时间采用 UTC 日期字符串格式（`2023-03-22T19:37:20.168Z`）。
+ **UUID** — 由 GuardDuty分配给进程的唯一 ID。
+ **父级 UUID**：父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。
+ **用户**：执行进程的用户。
+ **用户 ID**：执行进程的用户 ID。
+ **有效用户 ID**：事件发生时进程的有效用户 ID。
+ **谱系**：有关进程原级的信息。
  + **进程 ID**：操作系统分配给进程的 ID。
  + **UUID** — 由 GuardDuty分配给进程的唯一 ID。
  + **可执行文件路径**：进程可执行文件的绝对路径。
  + **有效用户 ID**：事件发生时进程的有效用户 ID。
  + **父级 UUID**：父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。
  + **开始时间**：进程启动的时间。
  + **命名空间 PID**：进程的进程 ID，该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程，命名空间 PID 是容器内观察到的进程 ID。
  + **用户 ID**：执行进程用户的用户 ID。
  + **名称**：进程的名称。

**运行时上下文**

在以下字段中，生成的调查发现可能仅包含与调查发现类型相关的字段。
+ **挂载源**：被容器挂载的主机上的路径。
+ **挂载目标**：容器中映射到主机目录的路径。
+ **文件系统类型**：表示已挂载文件系统的类型。
+ **标志**：表示控制事件行为的选项，在此调查发现中包含该事件。
+ **修改进程**：有关运行时在容器内创建或修改二进制文件、脚本或库的进程的信息。
+ **修改时间**：进程运行时在容器内创建或修改二进制文件、脚本或库的时间戳。该字段采用 UTC 日期字符串格式（`2023-03-22T19:37:20.168Z`）。
+ **库路径**：已加载的新库的路径。
+ **LD 预加载值**：`LD_PRELOAD` 环境变量的值。
+ **套接字路径**：被访问的 Docker 套接字的路径。
+ **Runc 二进制文件路径**：`runc` 二进制文件的路径。
+ **版本代理路径**：`cgroup` 版本代理文件的路径。
+ **命令行示例**：潜在可疑活动所涉及的命令行的示例。
+ **工具类别**：工具所属的类别，例如后门工具、渗透测试工具、网络扫描器和网络嗅探器。
+ **工具名称**：潜在可疑工具的名称。
+ **脚本路径**：生成该调查发现的已执行脚本的路径。
+ **威胁文件路径**：找到威胁情报详细信息的可疑路径。
+ **服务名称**：已被禁用的安全服务的名称。
+ **模块名称**：已加载到内核中的模块名称。
+ **模块 SHA256-模块**的 SHA256 哈希值。
+ **模块文件路径**：已加载到内核中的模块路径。

## EBS 卷扫描详细信息
<a name="mp-ebs-volumes-scan-details"></a>

**注意**  
本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。[EC2 恶意软件防护](malware-protection.md)

EBS 卷扫描提供有关 EBS 卷的详细信息，该卷附加到可能被盗用的 EC2 实例或容器工作负载。
+ **扫描 ID**：恶意软件扫描的标识符。
+ **扫描开始时间**：开始恶意软件扫描的日期和时间。
+ **扫描完成时间**：完成恶意软件扫描的日期和时间。
+ **触发器查找 ID** — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。
+ **来源**：可能的值为 `Bitdefender` 和 `Amazon`。

  有关用于检测恶意软件的扫描引擎的更多信息，请参阅 [GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。
+ **扫描检测**：每次恶意软件扫描的详细信息和结果的完整视图。
  + **已扫描项目数**：已扫描文件的总数。提供例如 `totalGb`、`files` 和 `volumes` 的详细信息。
  + **检测到的威胁项目数**：扫描期间检测到的恶意 `files` 总数。
  + **最高严重性威胁详细信息**：扫描期间检测到的最高严重性威胁的详细信息，以及恶意文件数量。提供例如 `severity`、`threatName` 和 `count` 的详细信息。
  + **检测到的威胁（按名称）**：对所有严重性级别的威胁进行分组的容器元素。提供例如`itemCount`、`uniqueThreatNameCount`、`shortened` 和 `threatNames` 的详细信息。

## EC2 恶意软件防护调查发现详细信息
<a name="malware-protection-scan-details"></a>

**注意**  
本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。[EC2 恶意软件防护](malware-protection.md)

当 EC2 恶意软件防护扫描检测到恶意软件时，您可以通过在[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台的 “发现” 页面上选择相应的发现**结果**来查看扫描详细信息。您的 EC2 恶意软件防护发现的严重程度取决于 GuardDuty发现的严重程度。

详细信息面板的**检测到的威胁**部分，提供以下信息。
+ **名称**：威胁的名称，该名称通过将文件按检测结果分组获得。
+ **严重性**：检测到的威胁的严重性。
+ **哈希值**：文件的 SHA256 哈希值。
+ **文件路径**：恶意文件在 EBS 卷中的位置。
+ **文件名称**：检测出威胁的文件的名称。
+ **卷 ARN**：已扫描的 EBS 卷的 ARN。

详细信息面板的**恶意软件扫描详细信息**部分，提供以下信息。
+ **扫描 ID**：恶意软件扫描的扫描 ID。
+ **扫描开始时间**：开始扫描的日期和时间。
+ **扫描完成时间**：完成扫描的日期和时间。
+ **扫描的文件**：扫描的文件和目录的总数。
+ **扫描总量（GB）**：扫描过程中扫描的存储量。
+ **触发查找 ID** — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。
+ 详细信息面板的**卷详细信息**部分，提供以下信息。
  + **卷 ARN**：卷的 Amazon 资源名称（ARN）。
  + **SnapshotArn**：EBS 卷快照的 ARN。
  + **状态**：卷的扫描状态，例如 `Running`、`Skipped` 和 `Completed`。
  + **加密类型**：用于给卷加密的加密类型。例如 `CMCMK`。
  + **设备名称**：设备的名称。例如 `/dev/xvda`。

## S3 恶意软件防护调查发现详细信息
<a name="gdu-malware-protection-for-s3-finding-details"></a>

当您在中同时启用 S3 GuardDuty 和 “恶意软件防护” 时，以下恶意软件扫描详细信息可用 AWS 账户：
+ **威胁**：恶意软件扫描期间检测到的威胁列表。
**归档文件中的多种潜在威胁**  
如果您的归档文件中包含多种可能的威胁，则 S3 恶意软件防护仅报告第一个检测到的威胁。之后，扫描状态将标记为完成。 GuardDuty 生成关联的查找类型并发送其生成 EventBridge 的事件。有关使用 EventBridge 事件监控 Amazon S3 对象扫描的更多信息，请参阅中的 TH **REATS\$1** FOUND 通知架构示例。[S3 对象扫描结果](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **项路径**：已扫描 S3 对象的嵌套项路径列表和哈希详细信息。
  + **嵌套项路径**：检测到威胁的已扫描 S3 对象的项路径。

    只有当顶层对象属于归档并且在该归档内检测到威胁时，此字段的值才可用。
  + **哈希**：此调查发现中检测到的威胁的哈希值。
+ **来源**：可能的值为 `Bitdefender` 和 `Amazon`。

  有关用于检测恶意软件的扫描引擎的更多信息，请参阅 [GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。

## Action
<a name="finding-action-section"></a>

调查发现的**操作**提供触发调查发现的活动类型的详细信息。可用信息因操作类型而异。

**操作类型**：调查发现活动类型。****此值可以是 **NETWORK\$1CONNECTION、PORT\$1** **PROBE、DNS\$1REQUEST、\$1** **CALL 或 RDS\$1LOGIN\$1APTEMT**。AWS\$1API****可用信息因操作类型而异：
+ **NETWORK\$1CONNECTION**：指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下额外信息：
  + **连接方向**-在提示生成结果的活动中观察到 GuardDuty 的网络连接方向。它可以是以下值之一：
    + **入站**：指示远程主机已在您的账户中发起连接，连接到标识的 EC2 实例上的本地端口。
    + **出站**：指示标识的 EC2 实例已发起与远程主机的连接。
    + **未知** — 表示 GuardDuty 无法确定连接方向。
  + **协议** — 在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。
  + **本地 IP**：触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如，EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
  + **已阻止**：指示目标端口是否被阻止。
+ **PORT\$1PROBE**：指示远程主机已在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下额外信息：
  + **本地 IP**：触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如，EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
  + **已阻止**：指示目标端口是否被阻止。
+ **DNS\$1REQUEST**：指示标识的 EC2 实例已查询域名。此操作类型具有以下额外信息：
  + **协议** — 在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。
  + **已阻止**：指示目标端口是否被阻止。
+ **AWS\$1API\$1CAL** L — 表示已调用了 AWS API。此操作类型具有以下额外信息：
  + **API** — 被调用并因此被提示 GuardDuty 生成此结果的 API 操作的名称。
**注意**  
这些操作也可能包括由 AWS CloudTrail捕获的非 API 事件。有关更多信息，请参阅[捕获的非 API 事件。 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html)
  + **用户代理**：发出 API 请求的用户代理。此值告诉您呼叫是从 AWS 管理控制台、 AWS 服务 AWS SDKs、还是 AWS CLI。
  + **错误代码**：如果调查发现是由失败的 API 调用触发的，则会显示该调用的错误代码。
  + **服务名称**：服务的 DNS 名称，该服务试图调用触发调查发现的 API。
+ **RDS\$1LOGIN\$1ATTEMPT**：表示有人尝试从远程 IP 地址登录可能被盗用的数据库。
  + **IP 地址**：用于进行潜在可疑登录尝试的远程 IP 地址。

## 行动者或目标
<a name="finding-actor-target"></a>

如果**资源角色**是 `TARGET`，则调查发现会有**行动者**部分。这表示您的资源是可疑活动的目标，并且**行动者**部分包含针对您资源的实体的详细信息。

如果**资源角色**是 `ACTOR`，则调查发现会有**目标**部分。这表示您的资源参与了针对远程主机的可疑活动，且该部分包含有关资源所针对的 IP 或域的信息。

**行动者**或**目标**部分中可用的信息包括以下内容：
+ **关联** ——有关远程 API 调用者的 AWS 账户是否与您的 GuardDuty 环境相关的详细信息。如果此值为 `true`，则 API 调用方以某种方式关联到您的账户；如果为 `false`，则 API 调用方来自您的环境之外。
+ **远程账户 ID**：用于访问最终网络资源的 IP 地址所属的账户 ID。
+ **IP 地址**-提示 GuardDuty 生成调查结果的活动中涉及的 IP 地址。
+ **位置**-提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的位置信息。
+ **组织** — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的 ISP 组织信息。
+ **端口** — 提示 GuardDuty 生成查找结果的活动所涉及的端口号。
+ **域**-提示 GuardDuty 生成调查结果的活动所涉及的域。
+ **带后缀的域**-可能提示 GuardDuty 生成调查结果的活动中涉及的第二和顶级域名。有关顶级域和二级域的列表，请参阅 [public suffix list](https://publicsuffix.org/)。

## 地理位置详细信息
<a name="guardduty-finding-details-geolocation"></a>

GuardDuty 使用 MaxMind GeoIP 数据库确定请求的位置和网络。 MaxMind 尽管准确性因国家/地区和 IP 地址类型等因素而异，但其数据在国家层面的准确性非常高。

有关的更多信息 MaxMind，请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何GeoIP数据不正确，请向更正地理数据提交更[MaxMind正 MaxMind ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2 

## 附加信息
<a name="finding-additional-info"></a>

调查发现的**额外信息**部分，包括以下信息：
+ **威胁列表名称**-威胁列表的名称，其中包括提示 GuardDuty 生成发现的活动所涉及的 IP 地址或域名。
+ **示例**：true 或 false 值，指示此项否为示例调查发现。
+ **已存档**：true 或 false 值，指示此调查发现是否已存档。
+ **不常见**：过去未观察到的活动详细信息。其中可能包括不常见的（过去未观察到的）用户、位置、时间、存储桶、登录行为或 ASN 组织。
+ **异常协议**-提示生成调查结果的活动中涉及 GuardDuty 的网络连接协议。
+ **代理详细信息**：有关安全代理的详细信息，该安全代理当前部署在您 AWS 账户中的 EKS 集群上。仅适用于 EKS 运行时监控调查发现类型。
  + **代理版本**- GuardDuty 安全客户端的版本。
  + **代理 ID**- GuardDuty 安全代理的唯一标识符。

## 证据
<a name="finding-evidence"></a>

基于威胁情报的调查发现包括**证据**部分，其中包含以下信息：
+ **威胁情报详细信息**：威胁列表名称，其中会显示已识别出的 `Threat name`。
+ **威胁名称**：与威胁相关的恶意软件系列名称或其他标识符。
+ **威胁文件 SHA256** — SHA256 生成发现的文件。

## 异常行为
<a name="finding-anomalous"></a>

结尾为的发现类型**AnomalousBehavior**表示发现是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的策略相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及所请求的特定 API。

有关调用该请求的 CloudTrail 用户身份的 API 请求中哪些因素不寻常的详细信息，可以在调查结果详细信息中找到。身份由[ CloudTrail 用户身份元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)定义，可能的值为：`Root`、、、`IAMUser``AssumedRole``FederatedUser``AWSAccount`、或。`AWSService`

除了与 API 活动相关的所有 GuardDuty 发现的详细信息外，**AnomalousBehavior**调查结果还有其他详细信息，将在下一节中概述。这些详细信息可以在控制台中查看，也可以在调查发现的 JSON 中找到。
+ **Anomalous APIs** — 用户身份在与调查结果关联的主要 API 请求附近调用的 API 请求列表。此窗格通过以下方式进一步细分 API 事件的详细信息。
  + 列出的第一个 API 是主要 API，即与最高风险观测活动关联的 API 请求。该 API 是触发调查发现的 API，与调查发现类型的攻击阶段相关联，也是控制台的**操作**部分，以及调查发现的 JSON 中详细介绍的 API。
  +  APIs 列出的任何其他用户身份都是在主要 API 附近观察 APIs 到的所列用户身份中的其他异常情况。如果列表中只有一个 API，则机器学习模型不会将来自该用户身份的任何其他 API 请求识别为异常。
  + 列表根据是否**成功调用 API 或 API 调**用失败（即已收到错误响应）进行划分。 APIs 收到的错误响应类型列在每个未成功调用的 API 的上方。可能的错误响应类型有：`access denied`、`access denied exception`、`auth failure`、`instance limit exceeded`、`invalid permission - duplicate`、`invalid permission - not found`、和 `operation not permitted`。
  + APIs 按其相关服务分类。
  +  APIs要了解更多背景信息，请选择 Historical（**历史**）以查看有关顶部的 APIs详细信息，最多 20 个，通常同时显示用户身份和账户内所有用户。根据您账户中的使用频率，分别标记为 “**稀 APIs 有”（每月少于****一次）、“不频繁”（每月几次****）或 “频繁”（从每天到每周）**。
+ **异常行为（账户）**：本部分提供有关您账户的已剖析行为的更多详细信息。
**已分析的行为**  
GuardDuty 根据已交付的事件持续了解您账户中的活动。这些活动及其观察到的频率成为已分析的行为。

  此面板中跟踪的信息包括：
  + **ASN 组织**：发出异常 API 调用的自治系统编号（ASN）组织。
  + **用户名称**：发出异常 API 调用的用户的名称。
  + **用户代理**：用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法，例如 `aws-cli` 或 `Botocore`。
  + **用户类型**：发出异常 API 调用的用户类型。可能的值为 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` 或 `ROLE`。
  + **存储桶**：正在经受访问的 S3 存储桶的名称。
+ **异常行为（用户身份）**：本部分提供了有关调查发现所涉及的**用户身份**剖析行为的更多详细信息。当某项行为未被识别为历史行为时，这意味着 GuardDuty ML 模型以前没有看到此用户身份在训练期内以这种方式进行此 API 调用。有关**用户身份**的以下其他详细信息可用：
  + **ASN 组织**：发出异常 API 调用的 ASN 组织。
  + **用户代理**：用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法，例如 `aws-cli` 或 `Botocore`。
  + **存储桶**：正在经受访问的 S3 存储桶的名称。
+ **不常见行为（存储桶）**：本部分提供与调查发现关联的 S3 存储桶已剖析行为的更多详细信息。当某项行为未被识别为历史行为时，这意味着 GuardDuty ML 模型以前在训练期内未见过以这种方式对该存储桶进行的 API 调用。此部分中跟踪的信息包括：
  + **ASN 组织**：发出异常 API 调用的 ASN 组织。
  + **用户名称**：发出异常 API 调用的用户的名称。
  + **用户代理**：用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法，例如 `aws-cli` 或 `Botocore`。
  + **用户类型**：发出异常 API 调用的用户类型。可能的值为 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` 或 `ROLE`。
**注意**  
有关历史行为的更多上下文，请在**不常见行为（账户）**、**用户 ID** 或**存储桶**部分中，选择**历史行为**，查看有关账户中以下每个类别预期行为的详细信息：**稀有（每月少于一次）**、**不频繁（每月几次）**或**频繁（每天到每周）**，具体取决于其在账户中的使用频率。
+ **不常见行为（数据库）**：本部分提供有关数据库实例剖析行为的更多详细信息，该实例与调查发现相关联。如果某项行为未被识别为历史行为，则意味着 GuardDuty ML 模型在训练期内未曾尝试以这种方式登录该数据库实例。在调查发现面板中针对此部分跟踪的信息包括：
  + **用户名**：用于进行异常登录尝试的用户名。
  + **ASN 组织**：发出异常登录尝试的 ASN 组织。
  + **应用程序名称**：用于进行异常登录尝试的应用程序名称。
  + **数据库名称**：数据库实例的名称，在异常登录尝试中包含该实例。

  **历史行为**部分提供了有关先前观测到的相关数据库的**用户名**、**ASN 组织**、**应用程序名称**和**数据库名称**的更多上下文。每个唯一值都有一个关联的计数，表示在成功登录事件中观察到该值的次数。
+ **异常行为（账户 Kubernetes 集群、Kubernetes 命名空间和 Kubernetes 用户名）**：这一部分提供调查发现相关 Kubernetes 集群和命名空间的已分析行为的更多详细信息。如果某项行为未被识别为历史行为，则意味着 GuardDuty ML 模型以前未以这种方式观察到此账户、集群、命名空间或用户名。在调查发现面板中针对此部分跟踪的信息包括：
  + **用户名**：调用与该调查发现相关的 Kubernetes API 的用户。
  + **被冒充的用户名**：被 `username` 冒充的用户。
  + **命名空间**：发生该操作的 Amazon EKS 集群中的 Kubernetes 命名空间。
  + **用户代理**：与 Kubernetes API 调用相关的用户代理。用户代理是用于发出调用的方法，例如 `kubectl`。
  + **API**：`username` 在 Amazon EKS 集群中调用的 Kubernetes API。
  + **ASN 信息**：与发出此调用的用户 IP 地址相关的 ASN 信息，例如组织和 ISP。
  + **星期**：发出 Kubernetes API 调用的星期。
  + **权限**：要检查访问权限的 Kubernetes 谓词和资源，以指示 `username` 其是否可以使用该 Kubernetes API。
  + **服务账户名称**：与 Kubernetes 工作负载关联的服务账户，用于为工作负载提供身份。
  + **注册表**：与 Kubernetes 工作负载中部署的容器映像关联的容器注册表。
  + **映像**：部署在 Kubernetes 工作负载中的容器映像，不含相关标签和摘要。
  + **映像前缀配置**：为使用映像的容器启用了容器和工作负载安全配置的映像前缀，例如 `hostNetwork` 或 `privileged`。
  + **主体名称**：在 `RoleBinding` 或 `ClusterRoleBinding` 中绑定到某个参考角色的主体，例如 `user`、`group` 或 `serviceAccountName`。
  + **角色名称**：创建或修改角色或 `roleBinding` API 所涉及的角色的名称。

### 基于 S3 卷的异常
<a name="s3-volume-based-anomalies"></a>

本节详细介绍基于 S3 卷的异常的上下文信息。基于卷的调查发现（[Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)）监视用户对 S3 存储桶发出的不常见数量的 S3 API 调用，这表明存在潜在的数据泄露。监控以下 S3 API 调用以进行基于卷的异常检测。
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`

以下指标将有助于为 IAM 实体访问 S3 存储桶时的常见行为建立基准。为了检测数据泄露，基于卷的异常检测调查发现会根据常见的行为基准评估所有活动。在**不常见行为（用户身份）**、**观测到的卷（用户身份）**和**观测到的卷（存储桶）**部分中，选择**历史行为**，以分别查看以下指标。
+ 在过去 24 小时内，与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色调用（取决于发出的是哪个）的 `s3-api-name` API 调用次数。
+ 在过去 24 小时内，与所有 S3 存储桶关联的 IAM 用户或 IAM 角色调用（取决于发出的是哪个）的 `s3-api-name` API 调用次数。
+ 在过去 24 小时内，与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色（取决于发出的是哪个）中的 `s3-api-name` API 调用次数。

### 基于 RDS 登录活动的异常
<a name="rds-pro-login-anomaly"></a>

本节详细说明了不常见行动者执行的登录尝试次数，并按登录尝试的结果进行分组。[RDS 保护调查发现类型](findings-rds-protection.md) 通过监控登录事件中是否存在 `successfulLoginCount`、`failedLoginCount` 和 `incompleteConnectionCount` 的不常见模式，来识别异常行为。
+ **successfulLoginCount**— 此计数器表示异常行为者成功连接到数据库实例的总和（登录属性的正确组合）。登录属性包括用户名、密码和数据库名称。
+ **failedLoginCount**— 此计数器表示为建立与数据库实例的连接而进行的失败（失败）登录尝试的总和。这表明登录组合的一个或多个属性（例如用户名、密码或数据库名称）不正确。
+ **incompleteConnectionCount**— 此计数器表示无法归类为成功或失败的连接尝试次数。这些连接在数据库提供响应之前就已关闭。例如，在端口扫描中已连接数据库端口，但没有向数据库发送任何信息，或者在成功或失败的尝试中，连接在登录完成前中止。