本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 調查結果詳細資訊
在 Amazon GuardDuty 主控台中,您可以檢視調查结果摘要區段中調查結果的詳細資訊。調查結果的詳細資訊會根據調查結果類型而有所不同。
有兩項主要詳細資訊會決定哪些資訊類型可供任何調查結果使用。第一個是資源類型,可以是 `Instance`、`AccessKey`、`S3Bucket`、`S3Object``Kubernetes cluster`、`ECS cluster`、、`Container`、`RDSDBInstance`、 `RDSLimitlessDB`或 `Lambda`。決定調查結果資訊的第二項詳細資訊是**資源角色**。資源角色可以是 `Target`,這表示資源是可疑活動的目標。對於調查結果執行個體類型,資源角色也可以是 `Actor`,這意味著您的資源是執行可疑活動的執行者。本主題說明調查結果的一些常用詳細資訊。對於 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)和 [S3 調查結果類型的惡意軟體防護](gdu-malware-protection-s3-finding-types.md),不會填入資源角色。
**Topics**
+ [調查結果概觀](#findings-summary-section)
+ [資源](#findings-resource-affected)
+ [攻擊序列調查結果詳細資訊](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [RDS 資料庫 (DB) 使用者詳細資訊](#rds-pro-db-user-details)
+ [執行時期監控調查結果詳細資訊](#runtime-monitoring-runtime-details)
+ [EBS 磁碟區掃描詳細資訊](#mp-ebs-volumes-scan-details)
+ [EC2 調查結果詳細資訊的惡意軟體防護](#malware-protection-scan-details)
+ [S3 的惡意軟體防護調查結果詳細資訊](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [執行者或目標](#finding-actor-target)
+ [地理位置詳細資訊](#guardduty-finding-details-geolocation)
+ [其他資訊](#finding-additional-info)
+ [證據](#finding-evidence)
+ [異常行為](#finding-anomalous)
## 調查結果概觀
調查結果的**概觀**區段包含調查結果最基本的識別特徵,包括下列資訊:
+ **帳戶 ID**:在活動發生時,提示 GuardDuty 產生此調查結果的 AWS 帳戶 ID。
+ **計數**:GuardDuty 在將此模式與此調查結果 ID 進行比對時所匯總的活動次數。
+ **建立日期**:第一次建立此調查結果的時間和日期。如果此值與**更新時間**不同,則表示活動已發生多次,而且是持續發生的問題。
**注意**
GuardDuty 主控台中的調查結果時間戳記會顯示您當地時區時間,而 JSON 匯出和 CLI 輸出則會顯示 UTC 時間戳記。
+ **調查結果 ID**:此調查結果類型和參數組的唯一識別符。符合此模式的活動新出現次數將會彙總至同一個 ID。
+ **尋找類型**:代表觸發調查結果之活動類型的格式化字串。如需詳細資訊,請參閱[GuardDuty 調查結果格式](guardduty_finding-format.md)。
+ **區域** – 產生調查結果 AWS 的區域。如需支援區域的詳細資訊,請參閱 [區域與端點](guardduty_regions.md)
+ **資源 ID**:在活動發生時,提示 GuardDuty 產生此調查結果時的 AWS 資源 ID。
+ **掃描 ID** – 適用於啟用 GuardDuty Malware Protection for EC2 時的調查結果,這是惡意軟體掃描的識別符,該掃描會在連接到潛在入侵的 EC2 執行個體或容器工作負載的 EBS 磁碟區上執行。如需詳細資訊,請參閱[EC2 調查結果詳細資訊的惡意軟體防護](#malware-protection-scan-details)。
+ **嚴重性** – 問題清單的指派嚴重性等級為「關鍵」、「高」、「中」或「低」。如需詳細資訊,請參閱[問題清單嚴重性等級](guardduty_findings-severity.md)。
+ **更新時間**:此調查結果最後一次更新的時間,而且有符合提示 GuardDuty 產生此調查結果之模式的新活動。
## 資源
**受影響的資源**會提供啟動活動目標 AWS 資源的詳細資訊。可用資訊會根據資源類型和動作類型而有所不同。
**資源角色** – 啟動調查結果 AWS 的資源角色。此值可以是 **TARGET** 或 **ACTOR**,而且表示資源是否為可疑活動的目標或執行可疑活動的執行者。
**資源類型**:受影響的資源類型。如果涉及多個資源,則一個調查結果可以包含多種資源類型。資源類型為 **Instance**、**AccessKey**、**S3Bucket**、**S3Object**、**KubernetesCluster**、**ECSCluster**、**Container**、**RDSDBInstance**、**RDSLimitlessDB** 和 **Lambda**。根據資源類型,會提供不同的調查結果詳細資訊。選取資源選項索引標籤,以了解該資源可用的詳細資訊。
------
#### [ Instance ]
**執行個體詳細資訊:**
**注意**
如果執行個體已終止,或在進行跨區域 API 呼叫時基礎 API 調用來自不同區域中的 EC2 執行個體,則可能會遺失一些執行個體詳細資訊。
+ **執行個體 ID**:與提示 GuardDuty 產生調查結果的活動有關的 EC2 執行個體 ID。
+ **執行個體類型**:調查結果所涉及的 EC2 執行個體類型。
+ **啟動時間**:執行個體啟動的時間與日期。
+ **Outpost ARN** – 的 Amazon Resource Name (ARN) AWS Outposts。僅適用於 AWS Outposts 執行個體。如需詳細資訊,請參閱《*Outposts 機架使用者指南*》中的[什麼是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)。
+ **安全群組名稱**:連接到涉及之執行個體的安全群組名稱。
+ **安全群組 ID**:連接到涉及之執行個體的安全群組ID。
+ **執行個體狀態**:鎖定目標之執行個體的目前狀態。
+ **可用區域**:相關執行個體所在 AWS 區域的可用區域。
+ **影像 ID**:用來建置活動所涉及之執行個體的 Amazon Machine Image ID。
+ **影像描述**:用來建置活動所涉及之執行個體的 Amazon Machine Image ID 描述。
+ **標籤**:連接到此資源的標籤清單 (以 `key`:`value` 格式列出)。
------
#### [ AccessKey ]
**存取金鑰詳細資訊:**
+ **存取金鑰 ID**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者存取金鑰 ID。
+ **主體 ID**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者主體 ID。
+ **使用者類型**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者類型。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields)。
+ **使用者名稱**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者名稱。
------
#### [ S3Bucket ]
**Amazon S3 儲存貯體詳細資訊:**
+ **名稱**:調查結果所涉及的儲存貯體名稱。
+ **ARN**:調查結果所包含之儲存貯體 ARN。
+ **擁有者**:擁有此調查結果所涉及之儲存貯體使用者的正式使用者 ID。如需正式使用者 ID 的詳細資訊,請參閱 [AWS account identifiers](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)。
+ **類型**:儲存貯體調查結果類型,可為**目的地**或**來源**。
+ **預設伺服器端加密**:儲存貯體的加密詳細資訊。
+ **儲存貯體標籤**:連接到此資源的標籤清單 (以 `key`:`value` 的格式列出)。
+ **有效許可**:儲存貯體上的所有有效許可和政策的評估,表示涉及的儲存貯體是否已公開。值可以是**公有**,也可以是**非公有**。
------
#### [ S3Object ]
+ **S3 物件詳細資訊** – 包含掃描 S3 物件的下列相關資訊:
+ **ARN** – 掃描 S3 物件的 Amazon Resource Name (ARN)。
+ **金鑰** – 在 S3 儲存貯體中建立檔案時指派給該檔案的名稱。
+ **版本 ID** – 當您啟用儲存貯體版本控制時,此欄位會指出與掃描的 S3 物件最新版本相關聯的版本 ID。如需詳細資訊,請參閱《Amazon [ S3 使用者指南》中的在 S3 儲存貯體中使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。 *Amazon S3 *
+ **eTag** – 代表掃描 S3 物件的特定版本。
+ **雜湊**:此調查結果中偵測到的威脅雜湊。
+ **S3 儲存貯體詳細資訊** – 包括與掃描的 Amazon S3 S3 儲存貯體的下列資訊:
+ **名稱** – 指出包含物件的 S3 儲存貯體名稱。
+ **ARN** – S3 儲存貯體的 Amazon Resource Name (ARN)。
+ **擁有者** – S3 儲存貯體擁有者的正式 ID。
------
#### [ EKSCluster ]
**Kubernetes 叢集詳細資訊:**
+ **名稱**:Kubernetes 叢集的名稱。
+ **ARN**:識別叢集的 ARN。
+ **建立日期**:建立此叢集的時間和日期。
**注意**
GuardDuty 主控台中的調查結果時間戳記會顯示您當地時區時間,而 JSON 匯出和 CLI 輸出則會顯示 UTC 時間戳記。
+ **VPC ID**:與您的叢集關聯的 VPC ID。
+ **狀態**:提取叢集的目前狀態。
+ **標籤**:您套用到叢集以協助您分類和組織的中繼資料。每個標籤皆包含索引鍵與選用值,以 `key`:`value` 的格式列出。您可以定義索引鍵和值。
叢集標籤不會傳播到與叢集相關聯的任何其他資源。
**Kubernetes 工作負載詳細資訊:**
+ **類型**:Kubernetes 工作負載的類型,例如 Pod、部署和工作。
+ **名稱**:Kubernetes 工作負載的名稱。
+ **Uid**:Kubernetes 工作負載的唯一識別碼。
+ **建立時間**:建立此工作負載的時間和日期。
+ **標籤**:連接到 Kubernetes 工作負載的索引鍵/值組。
+ **容器**:作為 Kubernetes 工作負載一部分執行之容器的詳細資訊。
+ **命名空間**:工作負載屬於此 Kubernetes 命名空間。
+ **磁碟區**:Kubernetes 工作負載使用的磁碟區。
+ **主機路徑**:代表磁碟區映射至的主機機器上預先存在的檔案或目錄。
+ **名稱**:磁碟區名稱。
+ **Pod 安全性內容**:定義 Pod 中所有容器的權限和存取控制設定。
+ **主機網路**:設定為 `true` 是否將 Pod 包含在 Kubernetes 工作負載中。
**Kubernetes 使用者詳細資訊:**
+ **群組**:與產生調查結果之活動相關之使用者的 Kubernetes RBAC (角色存取型的控制) 群組。
+ **ID**:Kubernetes 使用者的唯一識別碼。
+ **使用者名稱**:參與產生調查結果之活動的 Kubernetes 使用者名稱。
+ **工作階段名稱**:擔任具有 Kubernetes RBAC 許可的 IAM 角色之實體。
------
#### [ ECSCluster ]
**ECS 叢集詳細資訊:**
+ **ARN**:識別叢集的 ARN。
+ **名稱**:叢集的名稱。
+ **狀態**:提取叢集的目前狀態。
+ **作用中服務計數**:在叢集上執行處於某種 `ACTIVE` 狀態的服務數目。您可以使用 [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html) 查看這些服務
+ **已註冊的容器執行個體計數**:在叢集中註冊的容器執行個體數目。這包括 `ACTIVE` 和 `DRAINING` 狀態的容器執行個體。
+ **執行中工作計數**:叢集中處於 `RUNNING` 狀態的任務數目。
+ **標籤**:您套用到叢集以協助您分類和組織的中繼資料。每個標籤皆包含索引鍵與選用值,以 `key`:`value` 的格式列出。您可以定義索引鍵和值。
+ **容器**:與任務相關聯之容器的詳細資訊:
+ **容器名稱**:容器的名稱。
+ **容器映像**:容器的映像。
+ **任務詳細資訊**:叢集中任務的詳細資訊。
+ **ARN**:任務的 Amazon Resource Name (ARN)。
+ **定義 ARN**:建立任務的任務定義 Amazon Resource Name (ARN)。
+ **版本**:任務的版本計數器。
+ **任務建立時間**:建立任務時的 Unix 時間戳記。
+ **任務開始時間**:任務開始時的 Unix 時間戳記。
+ **任務開始者**:任務啟動時指定的標籤。
------
#### [ Container ]
**容器詳細資訊:**
+ **容器執行期**:用來執行容器的容器執行期 (例如 `docker` 或 `containerd`)。
+ **ID**:容器執行個體 ID 或容器執行個體的完整 ARN 項目。
+ **名稱**:容器的名稱。
+ **映像**:容器執行個體的映像。
+ **磁碟區掛載**:容器磁碟區掛載的清單。容器可以在其檔案系統下掛載磁碟區。
+ **安全性內容**:容器安全性內容定義容器的權限和存取控制設定。
+ **程序詳細資訊**:描述與調查結果相關聯之程序的詳細資訊。
------
#### [ RDSDBInstance ]
**RDSDBInstance 詳細資訊:**
**注意**
此資源可在與資料庫執行個體相關的 RDS 保護調查結果中找到。
+ **資料庫執行個體 ID**:與 GuardDuty 調查結果所涉及的資料庫執行個體相關聯的識別符。
+ **引擎**:調查結果所涉及的資料庫執行個體的資料庫引擎名稱。可能的值是 Aurora MySQL 相容或 Aurora PostgreSQL 相容。
+ **引擎版本**:GuardDuty 調查結果所涉及的資料庫引擎版本。
+ **資料庫叢集 ID**:資料庫叢集的識別符,其中包含 GuardDuty 調查結果所涉及的資料庫執行個體識別符。
+ **資料庫執行個體 ARN**:識別 GuardDuty 調查結果所涉及的資料庫執行個體的 ARN。
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDB 詳細資訊:**
此資源可在與支援的無限資料庫引擎版本相關的 RDS 保護調查結果中使用。
+ **資料庫碎片群組識別符** – 與無限資料庫碎片群組相關聯的名稱。
+ **資料庫碎片群組資源 ID** – 無限資料庫內資料庫碎片群組的資源識別符。
+ **資料庫碎片群組 ARN** – 識別資料庫碎片群組的 Amazon Resource Name (ARN)。
+ **引擎** – 問題清單所涉及的無限資料庫的識別符。
+ **引擎版本** – 無限資料庫引擎的版本。
+ **資料庫叢集識別符** – 屬於無限資料庫的資料庫叢集名稱。
如需潛在受影響資料庫的使用者和身分驗證詳細資訊,請參閱 [RDS 資料庫 (DB) 使用者詳細資訊](#rds-pro-db-user-details)。
------
#### [ Lambda ]
**Lambda 函數詳細資訊**
+ **函數名稱**:調查結果所涉及的 Lambda 函數名稱。
+ **函數版本**:調查結果所涉及的 Lambda 函數版本。
+ **函數說明**:調查結果所涉及的 Lambda 函數的說明。
+ **函數 ARN**:調查結果中涉及的 Lambda 函數的 Amazon Resource Name (ARN)。
+ **修訂識別碼**:Lambda 函數版本的修訂識別碼。
+ **角色**:調查結果中涉及的 Lambda 函數的執行角色。
+ **VPC 組態**:Amazon VPC 組態,包括與 Lambda 函數相關聯的 VPC ID、安全群組和子網路 ID。
+ **VPC ID**:與調查結果中涉及的 Lambda 函數相關聯的 Amazon VPC ID。
+ **子網路 ID**:與 Lambda 函數相關聯之子網路的 ID。
+ **安全群組**:連接到涉及 Lambda 函數的安全群組。這包括安全群組名稱和群組 ID。
+ **標籤**:連接到此資源的標籤清單 (以 `key`:`value` 對格式列出)。
------
## 攻擊序列調查結果詳細資訊
GuardDuty 提供其在帳戶中產生的每個問題清單的詳細資訊。這些詳細資訊可協助您了解調查結果背後的原因。本節著重於與 相關聯的詳細資訊[攻擊序列調查結果類型](guardduty-attack-sequence-finding-types.md)。這包括可能受影響的資源、事件時間表、指標、訊號和調查結果中涉及的端點等洞見。
若要檢視與屬於 GuardDuty 調查結果的訊號相關聯的詳細資訊,請參閱此頁面上的相關區段。
在 GuardDuty 主控台中,當您選取攻擊序列調查結果時,詳細資訊側邊面板會分為下列索引標籤:
+ **概觀** – 提供攻擊序列詳細資訊的精簡檢視,包括訊號、MITRE 策略和可能受影響的資源。
+ **訊號** – 顯示與攻擊序列相關的事件時間軸。
+ **資源** – 提供有關可能受影響的資源或可能面臨風險的資源的資訊。
下列清單提供與攻擊序列調查結果詳細資訊相關聯的描述。
**訊號**
訊號可以是 GuardDuty 用來偵測攻擊序列調查結果的 API 活動或調查結果。GuardDuty 會將本身未呈現的弱訊號視為明確的威脅,將其拼湊在一起,並與個別產生的調查結果相關聯。如需更多內容,**訊號**索引標籤會提供訊號的時間軸,如 GuardDuty 所觀察。
每個訊號,也就是 GuardDuty 調查結果,都有自己的嚴重性等級和值指派給它。在 GuardDuty 主控台中,您可以選取每個訊號以檢視相關聯的詳細資訊。
**演員**
提供攻擊序列中威脅執行者的詳細資訊。如需詳細資訊,請參閱 *Amazon GuardDuty API 參考*中的[演員](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html)。
**端點**
提供有關此攻擊序列中使用的網路端點的詳細資訊。如需詳細資訊,請參閱 *Amazon GuardDuty API 參考*中的 [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)。如需 GuardDuty 如何判斷位置的資訊,請參閱 [地理位置詳細資訊](#guardduty-finding-details-geolocation)。
**指標**
包括與安全問題模式相符的觀察資料。此資料會指定為何 GuardDuty 有潛在可疑活動的跡象。例如,當指標名稱為 時`HIGH_RISK_API`,這表示威脅執行者常用的動作,或可能導致 潛在影響的敏感動作 AWS 帳戶,例如存取登入資料或修改資源。
下表包含潛在指標的清單及其說明:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE 策略**
此欄位指定威脅行為者嘗試通過攻擊序列的 MITRE ATT&CK 策略。GuardDuty 使用 [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) 架構,將內容新增至整個攻擊序列。GuardDuty 主控台用來指定威脅執行者已使用之威脅用途的顏色,與指出關鍵、高、中和低 的顏色保持一致[問題清單嚴重性等級](guardduty_findings-severity.md)。
**網路指標**
指標包含網路指標值的組合,說明網路為何表示可疑行為。本節僅適用於**指示器**包含 `SUSPICIOUS_NETWORK`或 時`MALICIOUS_IP`。下列範例顯示網路指標如何與 指標建立關聯,其中:
+ *AnyCompany* 是一種自治系統 (AS)。
+ `TUNNEL_VPN`、 `IS_ANONYMOUS`和 `ALLOWS_FREE_ACCESS`是網路指標。
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
下表包含網路指標值及其描述。這些標籤會根據 GuardDuty 從 Spur 等來源收集的威脅情報新增
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_findings-summary.html)
## RDS 資料庫 (DB) 使用者詳細資訊
**注意**
本區端適用於在 GuardDuty 中啟用 RDS 防護功能時的調查結果。如需詳細資訊,請參閱[GuardDuty RDS 保護](rds-protection.md)。
GuardDuty 調查結果提供下列可能遭到入侵之資料庫的使用者和身分驗證詳細資訊:
+ **使用者**:用來進行異常登入嘗試的使用者名稱。
+ **應用程式**:用來進行異常登入嘗試的應用程式名稱。
+ **資料庫**:異常登入嘗試所涉及的資料庫執行個體名稱。
+ **SSL**:用於網路的 Secure Socket Layer (SSL) 版本。
+ **驗證方法**:與調查結果中涉及的使用者使用的驗證方法。
如需可能遭到入侵資源的資訊,請參閱 [資源](#findings-resource-affected)。
## 執行時期監控調查結果詳細資訊
**注意**
僅當 GuardDuty 產生 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md) 其中之一時,這些詳細資訊才可用。
本區段包含執行期詳細資訊,例如程序詳細資訊和任何必要的內容。程序詳細資訊說明觀察程序的相關資訊,執行時間內容說明任何有關潛在可疑活動的其他資訊。
**程序詳細資訊**
+ **名稱**:程序的名稱。
+ **可執行路徑**:處理程序可執行檔的絕對路徑。
+ **可執行 SHA-256**:處理程序可執行的 `SHA256` 雜湊值。
+ **命名空間 PID**:主機層級 PID 命名空間以外的次要 PID 命名空間中的程序之程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。
+ **目前的工作目錄**:程序的目前工作目錄。
+ **程序 ID**:由作業系統指派給程序的 ID。
+ **startTime**:程序開始的時間。這是 UTC 日期字串格式 (`2023-03-22T19:37:20.168Z`)。
+ **UUID**:由 GuardDuty 指派給程序的唯一識別碼。
+ **父系 UUID**:父系程序的唯一識別碼。此 ID 會由 GuardDuty 分配給父系程序。
+ **使用者**:執行程序的使用者。
+ **使用者 ID**:執行程序的使用者 ID。
+ **有效使用者 ID**:事件發生時程序的有效使用者 ID。
+ **世系**:程序上階的相關資訊。
+ **程序 ID**:由作業系統指派給程序的 ID。
+ **UUID**:由 GuardDuty 指派給程序的唯一識別碼。
+ **可執行路徑**:處理程序可執行檔的絕對路徑。
+ **有效使用者 ID**:事件發生時程序的有效使用者 ID。
+ **父系 UUID**:父系程序的唯一識別碼。此 ID 會由 GuardDuty 分配給父系程序。
+ **開始時間**:程序開始的時間。
+ **命名空間 PID**:主機層級 PID 命名空間以外的次要 PID 命名空間中的程序之程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。
+ **使用者 ID**:執行程序的使用者的使用者 ID。
+ **名稱**:程序的名稱。
**執行期內容**
從下列欄位中,產生的調查結果可能只包含與調查結果類型相關的欄位。
+ **掛載來源**:由容器掛載的主機路徑。
+ **掛載目標**:對應至主機目錄之容器中的路徑。
+ **檔案系統類型**:代表已掛載檔案系統的類型。
+ **旗標**:代表控制此調查結果所涉及之事件行為的選項。
+ **修改程序**:在執行期的容器內建立或修改二進位、指令碼或程式庫之程序的相關資訊。
+ **修改時間**:程序在執行期建立或修改二進位、指令碼或程式庫的時間戳記。此欄位是 UTC 日期字串格式 (`2023-03-22T19:37:20.168Z`)。
+ **程式庫路徑**:已載入之新程式庫的路徑。
+ **LD 載入前的值**:`LD_PRELOAD` 環境變數的值。
+ **通訊端路徑**:存取 Docker 通訊端的路徑。
+ **Runc 二進位路徑**:`runc` 二進位的路徑。
+ **代理程式版本路徑**:`cgroup` 發行代理程式檔案的路徑。
+ **命令列範例** – 潛在可疑活動中涉及的命令列範例。
+ **工具類別** – 工具所屬的類別。其中一些範例是 Backdoor Tool、Pentest Tool、Network Scanner 和 Network Sniffer。
+ **工具名稱** – 潛在可疑工具的名稱。
+ **指令碼路徑** – 產生問題清單之已執行指令碼的路徑。
+ **威脅檔案路徑** – 找到威脅情報詳細資訊的可疑路徑。
+ **服務名稱** – 已停用的安全服務名稱。
+ **模組名稱** – 載入核心的模組名稱。
+ **模組 SHA256** – 模組的 SHA256 雜湊。
+ **模組檔案路徑** – 載入核心的模組路徑。
## EBS 磁碟區掃描詳細資訊
**注意**
本節適用於您在 [EC2 的惡意軟體防護](malware-protection.md) 中啟動 GuardDuty 起始的惡意程式碼掃描時發現的調查結果。
EBS 磁碟區掃描提供有關連接至可能洩露 EC2 執行個體或容器工作負載的 EBS 磁碟區之詳細資訊。
+ **掃描 ID**:惡意程式碼掃描的識別碼。
+ **掃描開始時間**:惡意程式碼掃描開始的日期和時間。
+ **掃描完成時間**:惡意程式碼掃描完成的日期和時間。
+ **觸發調查結果 ID**:起始此惡意程式碼掃描之 GuardDuty 調查結果的調查結果 ID。
+ **來源** – 潛在值為 `Bitdefender`和 `Amazon`。
如需用於偵測惡意軟體之掃描引擎的詳細資訊,請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。
+ **掃描偵測**:每個惡意程式碼掃描的詳細資訊和結果的完整檢視。
+ **掃描項目計數**:已掃描檔案的總數。它提供了詳細資訊,例如 `totalGb`、`files`,和 `volumes`。
+ **偵測到的威脅項目計數**:掃描期間 `files` 偵測到的惡意程式總數。
+ **最高嚴重性威脅詳細資訊**:掃描期間偵測到的最高嚴重性威脅之詳細資訊,以及惡意檔案數目。它提供了詳細資訊,例如 `severity`、`threatName`,和 `count`。
+ **依名稱偵測到的威脅**:容器元素會將所有嚴重性等級的威脅分組。它提供了詳細資訊,例如 `itemCount`、`uniqueThreatNameCount`、`shortened` 和 `threatNames`。
## EC2 調查結果詳細資訊的惡意軟體防護
**注意**
本節適用於您在 [EC2 的惡意軟體防護](malware-protection.md) 中啟動 GuardDuty 起始的惡意程式碼掃描時發現的調查結果。
當 EC2 的惡意軟體防護掃描偵測到惡意軟體時,您可以在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台的**調查結果**頁面上選取對應的調查結果,以檢視掃描詳細資訊。EC2 的惡意軟體防護調查結果的嚴重性取決於 GuardDuty 調查結果的嚴重性。
下列資訊可在詳細資訊面板的**偵測到的威脅**區段下取得。
+ **名稱**:透過偵測將檔案分組而取得的威脅名稱。
+ **嚴重性**:偵測到的威脅嚴重性。
+ **雜湊**:檔案的 SHA-256。
+ **檔案路徑**:惡意檔案在 EBS 磁碟區中的位置。
+ **檔案名稱**:偵測到威脅的檔案名稱。
+ **磁碟區 ARN**:已掃描的 EBS 磁碟區的 ARN。
下列資訊可在詳細資訊面板的**惡意軟體掃描詳細資訊**區段下取得。
+ **掃描 ID**:惡意軟體掃描的掃描 ID。
+ **掃描開始時間**:掃描開始的日期和時間。
+ **掃描完成時間**:掃描完成的日期和時間。
+ **掃描的檔案**:已掃描檔案和目錄的總數。
+ **已掃描的 GB 總數**:程序期間掃描的儲存空間量。
+ **觸發調查結果 ID**:起始此惡意程式碼掃描之 GuardDuty 調查結果的調查結果 ID。
+ 下列資訊可在詳細資訊面板的**磁碟區詳細資訊**區段下取得。
+ **磁碟區 ARN**:磁碟區的 Amazon Resource Name (ARN)。
+ **SnapshotARN**:EBS 磁碟區快照的 ARN。
+ **狀態**:磁碟區的掃描狀態,例如 `Running`、`Skipped` 和 `Completed`。
+ **加密類型**:用來加密磁碟區的加密類型。例如 `CMCMK`。
+ **裝置名稱**:裝置的名稱。例如 `/dev/xvda`。
## S3 的惡意軟體防護調查結果詳細資訊
當您在 中同時啟用 GuardDuty 和 S3 的惡意軟體防護時,可使用下列惡意軟體掃描詳細資訊 AWS 帳戶:
+ **威脅** – 惡意軟體掃描期間偵測到的威脅清單。
**封存檔案中的多個潛在威脅**
如果您的封存檔案可能具有多個威脅,則 S3 的惡意軟體防護只會報告第一個偵測到的威脅。之後,掃描狀態會標示為完成。GuardDuty 會產生相關聯的調查結果類型,也會傳送其產生的 EventBridge 事件。如需使用 EventBridge 事件監控 Amazon S3 物件掃描的詳細資訊,請參閱 中 **THREATS\$1FOUND** 的範例通知結構描述[S3 物件掃描結果](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)。
+ **項目路徑** – 已掃描 S3 物件的巢狀項目路徑和雜湊詳細資訊清單。
+ **巢狀項目路徑** – 偵測到威脅的已掃描 S3 物件的項目路徑。
只有在最上層物件是封存,且在封存內偵測到威脅時,此欄位的值才能使用。
+ **雜湊**:此調查結果中偵測到的威脅雜湊。
+ **來源** – 潛在值為 `Bitdefender`和 `Amazon`。
如需用於偵測惡意軟體之掃描引擎的詳細資訊,請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。
## Action
調查結果的**動作**提供觸發此調查結果之活動類型的相關詳細資訊。可用資訊會根據動作類型而有所不同。
**動作類型**:調查結果活動類型。這個值可以是**NETWORK\$1CONNECTION**、**PORT\$1PROBE**、**DNS\$1REQUEST**、**AWS\$1API\$1CALL** 或 **RDS\$1LOGIN\$1ATTEMPT**。可用資訊會根據動作類型而有所不同:
+ **NETWORK\$1CONNECTION**:表示已識別的 EC2 執行個體和遠端主機之間的網路流量已進行交換。此動作類型具有以下其他資訊:
+ **連線方向**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線方向。這些值可為下列其中一項:
+ **INBOUND**:表示遠端主機已啟動本機連接埠的連線,該本機連接埠位於您帳戶中的已識別 EC2 執行個體。
+ **OUTBOUND**:表示識別的 EC2 執行個體已啟動到遠端主機的連線。
+ **UNKNOWN**:表示 GuardDuty 無法判斷連線方向。
+ **協定**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線協定。
+ **本機 IP**:觸發調查結果之流量的原始來源 IP 地址。此資訊可以用來區分流量流經之中繼層的 IP 地址,以及觸發調查結果之流量的原始來源 IP 地址。例如,EKS Pod 的 IP 地址,而不是 EKS Pod 執行所在之執行個體的 IP 地址。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **PORT\$1PROBE**:表示遠端主機在多個開放連接埠上探測了已識別的 EC2 執行個體。此動作類型具有以下其他資訊:
+ **本機 IP**:觸發調查結果之流量的原始來源 IP 地址。此資訊可以用來區分流量流經之中繼層的 IP 地址,以及觸發調查結果之流量的原始來源 IP 地址。例如,EKS Pod 的 IP 地址,而不是 EKS Pod 執行所在之執行個體的 IP 地址。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **DNS\$1REQUEST**:表示識別的 EC2 執行個體已查詢網域名稱。此動作類型具有以下其他資訊:
+ **協定**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線協定。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **AWS\$1API\$1CALL**:表示已呼叫 AWS API。此動作類型具有以下其他資訊:
+ **API**:調用的 API 操作名稱,從而提示 GuardDuty 產生此調查結果。
**注意**
這些操作也可以包含 AWS CloudTrail擷取的非 API 活動。如需詳細資訊,請參閱 [Non-API events captured by CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html)。
+ **使用者代理程式**:發出 API 請求的使用者代理程式。此值會告訴您呼叫是從 AWS 管理主控台、 AWS 服務、 AWS SDKs或 進行 AWS CLI。
+ **錯誤代碼**:如果調查結果是由失敗的 API 呼叫觸發,則會顯示該呼叫的錯誤代碼。
+ **服務名稱**:試圖發出觸發此調查結果之 API 呼叫的服務的 DNS 名稱。
+ **RDS\$1LOGIN\$1ATTEMPT**:表示嘗試從遠端 IP 地址登入可能遭到洩露的資料庫。
+ **IP 地址**:用來進行潛在可疑登入嘗試的遠端 IP 地址。
## 執行者或目標
如果**資源角色**是 `TARGET`,則調查結果具有**執行者**區段。這表示可疑活動已將目標鎖定在您的資源,而且**執行者**區段包含了將目標鎖定在執行個體之實體的相關詳細資訊。
如果**資源角色**是 `ACTOR`,則調查結果具有**目標**區段。這表示針對遠端主機之可疑活動涉及了您的資源,而且此區段包含 IP 或資源已鎖定目標之網域的相關資訊。
**執行者**或**目標**區段中的可用資訊可包含下列項目:
+ **附屬**:有關遠端 API 呼叫者 AWS 帳戶是否與您的 GuardDuty 環境相關的詳細資訊。如果此值為 `true`,則 API 呼叫者會以某種方式與您的帳戶相關聯;如果為 `false`,API 呼叫者來自您的環境之外。
+ **遠端帳戶 ID** – 擁有用於存取最終網路資源之傳出 IP 地址的帳戶 ID。
+ **IP 地址**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址。
+ **位置**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址位置資訊。
+ **組織**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址 ISP 組織資訊。
+ **連接埠**:在提示 GuardDuty 產生調查結果活動時所涉及的連接埠號碼。
+ **網域**:在提示 GuardDuty 產生調查結果活動時所涉及的網域。
+ **具有尾碼的網域**:活動中涉及的第二個和頂層網域,可能會提示 GuardDuty 產生調查結果。如需最上層和第二層網域的清單,請參閱[公有字尾清單](https://publicsuffix.org/)。
## 地理位置詳細資訊
GuardDuty 會使用 MaxMind GeoIP 資料庫來決定請求的位置和網路。MaxMind 會在國家/地區層級報告非常高的資料準確性,但準確性會根據國家/地區和 IP 地址類型等因素而有所不同。
如需 MaxMind 的詳細資訊,請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確,請提交更正請求至 MaxMind at [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)。
## 其他資訊
所有調查結果的**其他資訊**區段可包含以下資訊:
+ **威脅清單名稱** - 包含與活動相關的 IP 地址或網域名稱,並提示 GuardDuty 產生調查結果的威脅清單名稱。
+ **範例**:表示此是否為調查結果範本的 true 或 false 值。
+ **已封存**:表示此調查結果是否已封存的 true 或 false 值。
+ **異常**:在歷史中未觀察到的活動詳細資訊。這些可能包括不尋常 (以前未觀察到) 的使用者、位置、時間、儲存貯體、登入行為或 ASN Org。
+ **不尋常的協定**:在提示 GuardDuty 產生調查結果的活動中涉及的網路連線協定。
+ **代理程式詳細資訊**:目前部署在 AWS 帳戶的 EKS 叢集上的安全代理程式的詳細資訊。這僅適用於 EKS 執行期監控調查結果類型。
+ **代理程式版本**:GuardDuty 安全性代理程式的版本。
+ **代理程式 ID**:GuardDuty 安全性代理程式的唯一識別碼。
## 證據
根據威脅情報的調查結果具有**證據**區段,其中包含下列資訊:
+ **威脅情報詳細資訊** – `Threat name`可辨識的威脅清單名稱。
+ **威脅名稱** – 與威脅相關聯的惡意軟體系列或其他識別符的名稱。
+ 產生調查結果之檔案**的威脅檔案 SHA256** – SHA256。
## 異常行為
以 **AnomalousBehavior** 結尾的調查結果類型表示該調查結果是由 GuardDuty 異常偵測機器學習 (ML) 模型所產生。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的策略相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。
有關 API 請求的哪些因素對於調用該請求的 CloudTrail 使用者身分來說不常見的詳細資訊,請參閱調查結果詳細資訊。身分是由 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)所定義,可能的值為:`Root`、`IAMUser`、`AssumedRole`、`FederatedUser`、`AWSAccount` 或 `AWSService`。
除了可用於所有與 API 活動相關聯的 GuardDuty 調查結果的詳細資訊之外,**AnomalousBehavior** 調查結果還有其他詳細資訊,如下節所述。您可以在主控台中檢視這些詳細資訊,也可以在調查結果的 JSON 中找到。
+ **異常 API**:由與調查結果相關聯的主要 API 請求附近的使用者身分調用的 API 請求清單。此窗格會透過下列方式進一步細分 API 事件的詳細資訊。
+ 列出的第一個 API 是主要 API,這是與觀察到的最高風險活動相關聯的 API 請求。這是觸發調查結果並與調查結果類型的攻擊階段相關的 API。這也是在主控台的**動作**區段下,以及調查結果的 JSON 中詳細說明的 API。
+ 列出的任何其他 API 都是在主要 API 附近觀察到的所列使用者身分的其他異常 API。如果清單上只有一個 API,ML 模型就不會將來自該使用者身分的任何其他 API 請求識別為異常。
+ API 清單會根據是否**成功呼叫 API**,或是否呼叫 API 失敗而劃分,表示收到錯誤回應。收到的錯誤回應類型列在每個未成功呼叫 API 的上面。可能的錯誤回應類型為:`access denied`、`access denied exception`、`auth failure`、`instance limit exceeded`、`invalid permission - duplicate`、`invalid permission - not found` 和 `operation not permitted`。
+ API 按其關聯的服務進行分類。
+ 如需更多內容,請選擇**歷史 API** 以檢視有關頂端 API 的詳細資訊,最多 20 個,通常針對使用者身分和帳戶內的所有使用者顯示。這些 API 被標記為**極少 (每月少於一次)**、**不常 (每月幾次)**或**經常 (每天到每週)**,具體取決於它們在您的帳戶中使用頻率。
+ **異常行為 (帳戶)**:本節提供有關帳戶已分析行為的其他詳細資訊。
**設定檔行為**
GuardDuty 會根據交付的事件,持續了解您帳戶中的活動。這些活動及其觀察到的頻率稱為設定檔行為。
此面板中追蹤的資訊包括:
+ **ASN 組織** – 發出異常 API 呼叫的自治系統編號 (ASN) 組織。
+ **使用者名稱**:進行異常 API 呼叫的使用者名稱。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **使用者類型**:進行異常 API 呼叫的使用者類型。可能值為 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER`、 或 `ROLE`。
+ **儲存貯體**:要存取的 S3 儲存貯體名稱。
+ **異常行為 (使用者身分)**:本節提供調查結果所涉及**使用者身分**之已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間看過此使用者身分以這種方式進行此 API 呼叫。下列有關**使用者身分**的其他詳細資訊:
+ **ASN Org**:發出異常 API 呼叫的 ASN Org。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **儲存貯體**:要存取的 S3 儲存貯體名稱。
+ **異常行為 (儲存貯體)**:本區段提供與調查結果相關聯之 S3 儲存貯體已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間以這種方式看到對此儲存貯體進行的 API 呼叫。本區段追蹤的資訊包括:
+ **ASN Org**:發出異常 API 呼叫的 ASN Org。
+ **使用者名稱**:進行異常 API 呼叫的使用者名稱。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **使用者類型**:進行異常 API 呼叫的使用者類型。可能值為 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER`、 或 `ROLE`。
**注意**
如需有關歷史行為的詳細內容,請在**異常行為 (帳戶)**、**使用者 ID**或**儲存貯體**區段中選擇**歷史行為**,以檢視您帳戶中每個類別預期行為的詳細資訊:**極少 (每月少於一次)**、**不常 (每月幾次)** 或**經常 (每天到每週)**,具體取決於它們在您的帳戶中使用頻率。
+ **異常行為 (資料庫)**:此區段提供與調查結果相關聯之資料庫執行個體已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間看到以這種方式嘗試登入此資料庫執行個體。在調查結果面板中針對此區段所追蹤的資訊包括:
+ **使用者名稱**:用來進行異常登入嘗試的使用者名稱。
+ **ASN Org**:發出異常登入嘗試的 ASN Org。
+ **應用程式名稱**:用來進行異常登入嘗試的應用程式名稱。
+ **資料庫名稱**:異常登入嘗試所涉及的資料庫執行個體名稱。
**歷史行為**區段提供有關之前觀察到的**使用者名稱**、**ASN Org**、**應用程式名稱**和相關聯資料庫的**資料庫名稱**的詳細內容。每個唯一值都有一個相關聯的計數,代表在成功登入事件中觀察到此值的次數。
+ **異常行為 (帳戶 Kubernetes 叢集、Kubernetes 命名空間和 Kubernetes 使用者名稱)**:本區段提供有關 Kubernetes 叢集的已分析行為的其他詳細資訊,以及與調查結果相關聯的命名空間。當行為未識別為歷史行為時,這表示 GuardDuty ML 模型先前未以這種方式觀察過此帳戶、叢集、命名空間或使用者名稱。在調查結果面板中針對此區段所追蹤的資訊包括:
+ **使用者名稱**:呼叫與調查結果相關聯之 Kubernetes API 的使用者。
+ **模擬使用者名稱**:被 `username` 模擬的使用者。
+ **命名空間**:產生動作的 Amazon EKS 叢集內的 Kubernetes 命名空間。
+ **使用者代理程式**:與 Kubernetes API 呼叫相關聯的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `kubectl`。
+ **API**:由 Amazon EKS 叢集內 `username` 呼叫的 Kubernetes API。
+ **ASN 資訊**:與進行此呼叫之使用者 IP 地址相關聯的 ASN 資訊,例如組織和 ISP。
+ **週幾**:進行 Kubernetes API 呼叫時是週幾。
+ **許可** – 正在檢查存取的 Kubernetes 動詞和資源,以指出 是否可以`username`使用 Kubernetes API。
+ **服務帳戶名稱** – 與為工作負載提供身分的 Kubernetes 工作負載相關聯的服務帳戶。
+ **登錄**檔 – 與部署在 Kubernetes 工作負載中的容器映像相關聯的容器登錄檔。
+ **映像** – 在 Kubernetes 工作負載中部署的容器映像,不含相關聯的標籤和摘要。
+ **映像字首組態** – 為使用映像的容器啟用容器和工作負載安全組態的映像字首`privileged`,例如 `hostNetwork`或 。
+ **主旨名稱** – `serviceAccountName`繫結至 或 `user`中參考角色的主旨,例如 `group`、 `RoleBinding`或 `ClusterRoleBinding`。
+ **角色名稱** – 參與建立或修改角色或 `roleBinding` API 的角色名稱。
### S3 磁碟區型異常
本區段詳細說明 S3 磁碟區型異常的關聯式資訊。磁碟區型調查結果 ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) 會監控使用者對 S3 儲存貯體進行的不尋常 S3 API 呼叫次數,以表示可能的資料外洩。下列 S3 API 呼叫會受到監控,以進行磁碟區型的異常偵測。
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
當 IAM 儲存貯體存取 S3 儲存貯體時,以下指標有助於建立常見行為的基準。為了偵測資料外洩,磁碟區型異常偵測調查結果會根據通常的行為基準來評估所有活動。在**異常行為 (使用者身分)**、**觀察到的磁碟區 (使用者身分)**和**觀察到的磁碟區 (儲存貯體)**區段中選擇**歷史行為**,分別檢視下列指標。
+ 過去 24 小時內,IAM 使用者或 IAM 角色調用的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與受影響的 S3 儲存貯體相關聯。
+ 過去 24 小時內,IAM 使用者或 IAM 角色調用的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與所有 S3 儲存貯體相關聯。
+ 過去 24 小時內,在各個 IAM 使用者或 IAM 角色中的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與受影響的 S3 儲存貯體相關聯。
### RDS 登入活動型異常
本區段詳細說明了不尋常執行者執行的登入嘗試次數,並按登入嘗試的結果進行分組。[RDS 保護調查結果類型](findings-rds-protection.md) 透過監控 `successfulLoginCount`、`failedLoginCount` 和 `incompleteConnectionCount` 異常模式的登入事件來識別異常行為。
+ **successfulLoginCount**:此計數器代表不尋常的執行者對資料庫執行個體建立成功連線 (正確登入屬性組合) 的總和。登入屬性包括使用者名稱、密碼和資料庫名稱。
+ **FailedLoginCount**:此計數器代表嘗試登入失敗 (不成功) 嘗試建立與資料庫執行個體之連線的總和。這表示登入組合一個或多個屬性,例如使用者名稱、密碼或資料庫名稱不正確。
+ **incompleteConnectionCount**:此計數器代表無法分類為成功或失敗的連線嘗試次數。這些連接在資料庫提供回應之前關閉。例如,連接埠掃描,其中資料庫連接埠已連接,但沒有任何資訊發送到資料庫,或在成功或失敗的嘗試中登入完成之前連線已中止。