Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Ergebnisse filtern in GuardDuty
<a name="guardduty_filter-findings"></a>

Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole oder mit der [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API mithilfe von JSON erstellen. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter [Unterdrückungsregeln in GuardDuty](findings_suppression-rule.md).

Beachten Sie bei der Erstellung von Filtern die folgende Liste:
+ Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben. 
+ Wenn Sie den Operator „**Gleich**“ oder „**Entspricht nicht**“ verwenden, um nach einem Attributwert wie der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.
+ Jedes Filterkriterienattribut wird als `AND`-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden als `AND/OR` ausgewertet.
+ Informationen zur maximalen Anzahl von gespeicherten Filtern, die Sie AWS-Konto in jedem Filter erstellen können AWS-Region, finden Sie unter. [GuardDuty Kontingente](guardduty_limits.md)
+ Die Felder unter `service.additionalInfo` werden mit ihrem vollständigen JSON-Pfad angegeben, genau wie jedes andere Feld. Beispiel: `{ "service.additionalInfo.sample": { "Equals": ["true"] } }`.
+ Timestamp-Felder akzeptieren Werte im Millisekundenformat von Unix Epoch (z. B.). `1486685375000` Eine vollständige Liste der Timestamp-Felder finden Sie in der Anmerkung unten.

Die folgenden Abschnitte enthalten Anweisungen zum Erstellen und Speichern von Filtern mithilfe von GuardDuty Konsolen-, API- und CLI-Befehlen. Wählen Sie Ihre bevorzugte Zugriffsmethode, um fortzufahren.

## Filtersatz in der GuardDuty Konsole erstellen und speichern
<a name="filter_console"></a>

Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.

**Um Filterkriterien zu erstellen und zu speichern (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Wählen Sie im linken Navigationsbereich **Findings** aus.

1. Wählen Sie auf der Seite **Ergebnisse** die Leiste *Ergebnisse filtern* neben dem Menü **Gespeicherte Regeln** aus. Daraufhin wird eine erweiterte Liste von **Eigenschaftenfiltern** angezeigt.  
![Auswahl von Eigenschaftsfiltern zum Filtern der Ergebnisse in der GuardDuty Konsole.](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-console.png)

1. Wählen Sie aus der erweiterten Filterliste ein Attribut aus, auf dessen Grundlage Sie die Ergebnistabelle filtern möchten.

   **Um beispielsweise Ergebnisse anzuzeigen, bei denen es sich bei der potenziell betroffenen Ressource um einen **S3-Bucket** handelt, wählen Sie Ressourcentyp aus.** 

1. Wählen Sie für **Operatoren** einen Operator aus, der Ihnen hilft, die Ergebnisse zu filtern, um das gewünschte Ergebnis zu erzielen. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, wählen Sie **Ressourcentyp =**. Daraufhin wird eine Liste der Ressourcentypen in angezeigt GuardDuty.   
![Wählen Sie den Operator ist gleich oder ungleich, um die Ergebnisse in GuardDuty der Konsole zu filtern.](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)

   **Wenn Ihr Anwendungsfall das Ausschließen bestimmter Ergebnisse erfordert, können Sie „**Entspricht nicht“ oder „\!**“ wählen. **= Operator.

1. Geben Sie den Wert für den ausgewählten Eigenschaftenfilter an. Wählen Sie bei Bedarf **Anwenden**. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, können Sie **S3Bucket** wählen.

   Dadurch werden die Ergebnisse angezeigt, die mit den angewendeten Filtern übereinstimmen.

1. Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 3-6. 

   Eine vollständige Liste der Attribute finden Sie unter[Eigenschaftsfilter in GuardDuty](#filter_criteria).

1. 

**(Optional) Speichern Sie die angegebenen Attribute und Werte als Filter**

   Um diese Filterkombination in future erneut anzuwenden, können Sie die angegebenen Attribute und ihre Werte als Filtersatz speichern.

   1. Nachdem Sie ein Filterkriterium mit einem oder mehreren Eigenschaftsfiltern erstellt haben, wählen Sie den *Pfeil* im Menü **Filter löschen** aus.  
![Speichern Sie einen Filtersatz in der GuardDuty Konsole, um die Ergebnisse erneut filtern zu können.](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)

   1. Geben Sie den **Namen des Filtersatzes ein**. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (\_).

   1. **Die Beschreibung ist optional.** Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein.

   1. Wählen Sie **Erstellen** aus.

## Filtersatz mithilfe von GuardDuty API und CLI erstellen und speichern
<a name="guardduty-creating-filters-using-api-cli"></a>

Sie können die Suchfilter entweder mithilfe von API- oder CLI-Befehlen erstellen und testen. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht. Sie können Filter speichern, um sie später zu erstellen [Unterdrückungsregeln](findings_suppression-rule.md) oder andere Filtervorgänge auszuführen. 

**Um Suchfilter zu erstellen mit API/CLI**
+ Führen Sie die [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API aus, indem Sie die regionale Detektor-ID des AWS-Konto Standorts verwenden, für den Sie einen Filter erstellen möchten. 

  Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
+ Alternativ können Sie die [Create-Filter-CLI verwenden, um den Filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) zu erstellen und zu speichern. Sie können ein oder mehrere Filterkriterien von verwenden. [Eigenschaftsfilter in GuardDuty](#filter_criteria)

  Verwenden Sie die folgenden Beispiele, indem Sie die rot markierten Platzhalterwerte ersetzen.  
**Beispiel 1**: Erstellen Sie einen neuen Filter, um alle Ergebnisse anzuzeigen, die einem bestimmten Befundtyp entsprechen  
Im folgenden Beispiel wird ein Filter erstellt, der allen `PortScan` Ergebnissen für eine Instanz entspricht, die aus einem bestimmten Bild erstellt wurde. Die Platzhalterwerte werden rot angezeigt. Ersetzen Sie diese Werte durch geeignete Werte für Ihr Konto. Ersetzen Sie sie beispielsweise {{12abc34d567e8fa901bc2d34EXAMPLE}} durch Ihre regionale Melder-ID.  

  ```
  aws guardduty create-filter \
  --detector-id {{12abc34d567e8fa901bc2d34EXAMPLE}} \
  --name {{FilterExampleName}} \
  --finding-criteria '{"Criterion": {{{"type": {"Equals": ["{{Recon:EC2/Portscan}}"]}}}, "{{resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}}}} }'
  ```  
**Beispiel 2**: Erstellen Sie einen neuen Filter, um alle Ergebnisse anzuzeigen, die den Schweregraden entsprechen  
Im folgenden Beispiel wird ein Filter erstellt, der allen Ergebnissen entspricht, die mit den `HIGH` Schweregraden verknüpft sind. Die Platzhalterwerte werden rot dargestellt. Ersetzen Sie diese Werte durch geeignete Werte für Ihr Konto. Ersetzen Sie sie beispielsweise {{12abc34d567e8fa901bc2d34EXAMPLE}} durch Ihre regionale Melder-ID.  

  ```
  aws guardduty create-filter \
  --detector-id {{12abc34d567e8fa901bc2d34EXAMPLE}} \
  --name {{FilterExampleName}} \
  --finding-criteria '{"Criterion": {{{"severity": {"Equals": ["{{7}}", "{{8}}"]}}}} }'
  ```
+ Denn API/CLI sie [Schweregrade der Ergebnisse](guardduty_findings-severity.md) werden als Zahlen dargestellt. Verwenden Sie die folgenden Werte, um die Ergebnisse nach Schweregrad zu filtern:
  + Verwenden Sie für `LOW` Schweregrade `{ "severity": { "Equals": ["1", "2", "3"] } }`
  + Verwenden Sie für `MEDIUM` Schweregrade `{ "severity": { "Equals": ["4", "5", "6"] } }`
  + Verwenden Sie für `HIGH` Schweregrade `{ "severity": { "Equals": ["7", "8"] } }`
  + Verwenden Sie für `CRITICAL` Schweregrade `{ "severity": { "Equals": ["9", "10"] } }`
  + Verwenden Sie für Ergebnisse mit mehreren Schweregraden Platzhalterwerte, die dem folgenden Beispiel ähneln: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`

    In diesem Beispiel werden die Ergebnisse angezeigt, die entweder einen `HIGH` oder einen `CRITICAL` Schweregrad haben.
**Anmerkung**  
Wenn Sie ein Beispiel mit nur einem numerischen Wert anstelle aller numerischen Werte angeben, die einem Schweregrad zugeordnet sind, zeigen die API und die CLI möglicherweise die gefilterten Ergebnisse an. Wenn Sie diesen gespeicherten Filtersatz in der GuardDuty Konsole verwenden, funktioniert er nicht wie erwartet. Das liegt daran, dass die GuardDuty Konsole die Filterwerte als`CRITICAL`, `HIGH``MEDIUM`, und betrachtet`LOW`. Beispielsweise wird von einem Filter, der mit einem CLI-Befehl erstellt wurde, der Folgendes enthält, `{ "severity": { "Equals": ["9"] } }` erwartet, dass er eine entsprechende Ausgabe in anzeigt API/CLI. Dieser gespeicherte Filter enthält jedoch bei Verwendung in der GuardDuty Konsole den Schweregrad „Teilschweregrad“ und zeigt keine erwartete Ausgabe an. Dies macht es erforderlich, dass die API und die CLI alle Werte angeben, die jedem Schweregrad zugeordnet sind.

## Eigenschaftsfilter in GuardDuty
<a name="filter_criteria"></a>

Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.


| Konsolen-Feldname | JSON-Feldname | 
| --- | --- | 
| Konto-ID | accountId | 
| Die ID des Ergebnisses | id | 
| Region | Region | 
| Schweregrad | severity<br />Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter[Schweregrad der Ergebnisse GuardDuty](guardduty_findings-severity.md). Wenn Sie `severity` zusammen mit API AWS CLI, oder verwenden CloudFormation, wird ihr ein numerischer Wert zugewiesen. Weitere Informationen finden Sie unter [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) in der *Amazon GuardDuty API-Referenz*. | 
| Ergebnistyp | type | 
| Aktualisiert um | updatedAt | 
| Access Key ID | resource.access KeyDetails.accessKeyId | 
| Haupt-ID | resource.access KeyDetails.principalId | 
| Username | resource.access KeyDetails.userName | 
| Benutzertyp | resource.access KeyDetails.userType | 
| ID des IAM-Instance-Profils | resource.instanz Details.iamInstanceProfile.id | 
| Instance-ID | resource.instanz Details.instanceId | 
| ID des Instance-Image | resource.instanz Details.imageId | 
| Instance-Tag-Schlüssel | resource.instanz Details.tags.key | 
| Instance-Tag-Wert | resource.instanz Details.tags.value | 
| IPv6-Adresse | resource.instanz Details.networkInterfaces.ipv6Addresses | 
| Private IPv4-Adresse | resource.instanz Details.networkInterfaces.privateIpAddresses.privateIpAddress | 
| Öffentlicher DNS-Name | resource.instanz Details.networkInterfaces.publicDnsName | 
| Öffentliche IP | resource.instanz Details.networkInterfaces.publicIp | 
| Sicherheitsgruppen-ID | resource.instanz Details.networkInterfaces.securityGroups.groupId | 
| Name der Sicherheitsgruppe | resource.instanz Details.networkInterfaces.securityGroups.groupName | 
| Subnetz-ID | resource.instanz Details.networkInterfaces.subnetId | 
| VPC-ID | resource.instanz Details.networkInterfaces.vpcId | 
| Outpost-ARN | resource.instanz Details.outpostARN | 
| Ressourcentyp | resource.resourceType | 
| Bucket-Berechtigungen | resource.s3 BucketDetails.publicAccess.effectivePermission | 
| Bucket-Name  | ressource.s3 BucketDetails.name | 
| Bucket-Tag-Schlüssel | ressource.s3 BucketDetails.tags.key | 
| Bucket-Tag-Wert | ressource.s3 BucketDetails.tags.value | 
| Bucket-Typ | ressource.s3 BucketDetails.type | 
| Aktionstyp | service.action.actionType | 
| Aufgerufene API | service.action.aws ApiCallAction.api | 
| API-Aufrufertyp | service.action.aws ApiCallAction.callerType | 
| API-Fehlercode | service.action.aws ApiCallAction.errorCode | 
| Stadt des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.city.cityName | 
| Land des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.country.countryName | 
| IPv4-Adresse des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.ipAddressV4 | 
| IPv6-Adresse des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.ipAddressV6 | 
| ASN-ID des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.organization.asn | 
| ASN-Name des API-Aufrufers | service.action.aws ApiCallAction.remoteIpDetails.organization.asnOrg | 
| Servicename des API-Aufrufers | service.action.aws ApiCallAction.serviceName | 
| DNS-Anforderungs-Domain | service.action.dns RequestAction.domain | 
| Domainsuffix der DNS-Anforderung | service.action.dns RequestAction.domainWithSuffix | 
| Netzwerkverbindung blockiert | service.action.network ConnectionAction.blocked | 
| Netzwerkverbindungsrichtung | service.action.netzwerk ConnectionAction.connectionDirection | 
| Netzwerkverbindung lokaler Port | service.action.netzwerk ConnectionAction.localPortDetails.port | 
| Netzwerkverbindungsprotokoll | service.action.netzwerk ConnectionAction.protocol | 
| Netzwerkverbindung Stadt | service.action.netzwerk ConnectionAction.remoteIpDetails.city.cityName | 
| Netzwerkverbindung Land | service.action.netzwerk ConnectionAction.remoteIpDetails.country.countryName | 
| Remote-IPv4-Adresse der Netzwerkverbindung | service.action.netzwerk ConnectionAction.remoteIpDetails.ipAddressV4 | 
| Netzwerkverbindung, Remote-IPv6-Adresse | service.action.network ConnectionAction.remoteIpDetails.ipAddressV6 | 
| Remote IP ASN-ID der Netzwerkverbindung | service.action.netzwerk ConnectionAction.remoteIpDetails.organization.asn | 
| Remote IP ASN-Name der Netzwerkverbindung | service.action.netzwerk ConnectionAction.remoteIpDetails.organization.asnOrg | 
| Remote-Port der Netzwerkverbindung | service.action.netzwerk ConnectionAction.remotePortDetails.port | 
| Remote-Konto zugeordnet | service.action.aws ApiCallAction.remoteAccountDetails.affiliated | 
| IPv4-Adresse des Kubernetes-API-Aufrufers | service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV4 | 
| IPv6-Adresse des Kubernetes-API-Aufrufers | service.action.kubernetes ApiCallAction.remoteIpDetails.ipAddressV6 | 
| Kubernetes-Namespace | service.action.kubernetes ApiCallAction.namespace | 
| ASN-ID des Kubernetes-API-Aufrufers | service.action.kubernetes ApiCallAction.remoteIpDetails.organization.asn | 
| URI für die Kubernetes-API-Aufrufanforderung | service.action.kubernetes ApiCallAction.requestUri | 
| Kubernetes-API-Statuscode | service.action.kubernetes ApiCallAction.statusCode | 
| Lokale IPv4-Adresse der Netzwerkverbindung | service.action.netzwerk ConnectionAction.localIpDetails.ipAddressV4 | 
| Netzwerkverbindung lokale IPv6-Adresse | service.action.network ConnectionAction.localIpDetails.ipAddressV6 | 
| Protocol (Protokoll) | service.action.netzwerk ConnectionAction.protocol | 
| Servicename des API-Aufrufs | service.action.aws ApiCallAction.serviceName | 
| Konto-ID des API-Aufrufers | service.action.aws ApiCallAction.remoteAccountDetails.accountId | 
| Name der Bedrohungsliste | service.zusätzlich Info.threatListName | 
| Ressourcenrolle | service.resourceRole | 
| EKS-Cluster-Name | resource.eks ClusterDetails.name | 
| Name des Kubernetes-Workloads | resource.kubernetes Details.kubernetesWorkloadDetails.name | 
| Namespace des Kubernetes-Workloads | resource.kubernetes Details.kubernetesWorkloadDetails.namespace | 
| Kubernetes-Benutzername | resource.kubernetes Details.kubernetesUserDetails.username | 
| Kubernetes-Container-Image | resource.kubernetes Details.kubernetesWorkloadDetails.containers.image | 
| Kubernetes-Container-Image-Präfix | resource.kubernetes Details.kubernetesWorkloadDetails.containers.imagePrefix | 
| Scan-ID | service.ebs VolumeScanDetails.scanId | 
| Name der EBS-Volume-Scan-Bedrohung | service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name | 
| Name der Bedrohung durch S3-Objektscan | service.malware ScanDetails.threats.name | 
| Schweregrad der Bedrohung | service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity | 
| Datei-SHA | service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash | 
| ECS-Cluster-Name | resource.ecs ClusterDetails.name | 
| ECS-Container-Image | resource.ecs ClusterDetails.taskDetails.containers.image | 
| ARN der ECS-Aufgabendefinition | resource.ecs ClusterDetails.taskDetails.definitionArn | 
| Eigenständiges Container-Image | resource.container Details.image | 
| Datenbank-Instance-ID | resource.rds DbInstanceDetails.dbInstanceIdentifier | 
| Datenbank-Cluster-ID | resource.rds DbInstanceDetails.dbClusterIdentifier | 
| Datenbank-Engine | resource.rds DbInstanceDetails.engine | 
| Datenbankbenutzer | resource.rds DbUserDetails.user | 
| Tag-Schlüssel der Datenbank-Instance | resource.rds DbInstanceDetails.tags.key | 
| Tag-Wert der Datenbank-Instance | resource.rds DbInstanceDetails.tags.value | 
| Ausführbar SHA-256 | service.runtime Details.process.executableSha256 | 
| Prozessname | service.runtime Details.process.name | 
| Pfad der ausführbaren Datei | service.runtime Details.process.executablePath | 
| Lambda-Funktionsname | resource.lambda Details.functionName | 
| ARN der Lambda-Funktion | Ressource.lambda Details.functionArn | 
| Lambda-Funktions-Tag-Schlüssel | Ressource.lambda Details.tags.key | 
| Tag-Wert der Lambda-Funktion | Ressource.lambda Details.tags.value | 
| DNS-Anforderungs-Domain | service.action.dns RequestAction.domainWithSuffix | 

Alle anderen Suchfelder (unten aufgeführt) sind nur als Filterkriterien für Unterdrückungsregeln verfügbar (mit und). [CreateFilter[UpdateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html)](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) Diese Felder werden von anderen API-Vorgängen nicht unterstützt. Unterdrückungsregeln, die diese Felder verwenden, müssen über die API erstellt oder aktualisiert werden. Diese Felder können nur für Filter mit einer `ARCHIVE` Aktion angewendet werden.

**Anmerkung**  
Die folgenden Felder akzeptieren Zeitstempelwerte im Millisekundenformat der Unix-Epoche (`1262309025000`steht beispielsweise für Freitag, den 1. Januar 2010 um 01:23:45 Uhr GMT):  
createdAt
updatedAt
service.event FirstSeen
Service.Veranstaltung LastSeen
resource.instanz Details.launchTime
resource.lambda Details.lastModifiedAt
resource.s3 BucketDetails.createdAt
resource.eks ClusterDetails.createdAt
resource.ecs ClusterDetails.taskDetails.createdAt
resource.ecs ClusterDetails.taskDetails.startedAt
service.ebs VolumeScanDetails.scanStartedAt
service.ebs VolumeScanDetails.scanCompletedAt
service.runtime Details.context.modifiedAt
service.runtime Details.context.modifyingProcess.startTime
service.runtime Details.context.modifyingProcess.lineage.startTime
service.runtime Details.context.targetProcess.startTime
service.runtime Details.context.targetProcess.lineage.startTime
service.runtime Details.process.startTime
service.runtime Details.process.lineage.startTime
service.detection.sequence.actors.session.createdTime
service.detection.sequence.signals.CreatedAt
service.detection.sequence.signals.updatedat
service.detection.sequence.signals.first SeenAt
service.detection.sequence.signals.last SeenAt
service.detection.sequence.resources.data.s3 Bucket.createdAt
service.detection.sequence.resources.data.ecs Task.createdAt
service.detection.sequence.resources.data.eks Cluster.createdAt


| JSON-Feldname | 
| --- | 
| arn | 
| assoziiert AttackSequenceArn | 
| createdAt | 
| description | 
| Partition | 
| resource.access KeyDetails.userIdentity.accessKeyId | 
| resource.access KeyDetails.userIdentity.accountId | 
| resource.access KeyDetails.userIdentity.arn | 
| resource.access KeyDetails.userIdentity.principalId | 
| resource.access KeyDetails.userIdentity.sessionContext.attributes.mfaAuthenticated | 
| resource.access KeyDetails.userIdentity.sessionContext.ec2RoleDelivery | 
| resource.access KeyDetails.userIdentity.sessionContext.invokedBy | 
| resource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.accountId | 
| resource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.arn | 
| resource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.principalId | 
| resource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.type | 
| resource.access KeyDetails.userIdentity.sessionContext.sessionIssuer.userName | 
| resource.access KeyDetails.userIdentity.sessionContext.sourceIdentity | 
| resource.access KeyDetails.userIdentity.sessionContext.webIdFederationData.attributes | 
| resource.access KeyDetails.userIdentity.sessionContext.webIdFederationData.federatedProvider | 
| resource.access KeyDetails.userIdentity.type | 
| resource.access KeyDetails.userIdentity.userName | 
| resource.grundgestein GuardrailDetails.guardrailArn | 
| Ressource. Grundgestein GuardrailDetails.guardrailVersion | 
| resource.container Details.containerRuntime | 
| resource.container Details.imagePrefix | 
| resource.container Details.securityContext.allowPrivilegeEscalation | 
| resource.container Details.securityContext.privileged | 
| resource.container Details.volumeMounts.mountPath | 
| resource.container Details.volumeMounts.name | 
| resource.ebs VolumeDetails.scannedVolumeDetails.deviceName | 
| resource.ebs VolumeDetails.scannedVolumeDetails.encryptionType | 
| resource.ebs VolumeDetails.scannedVolumeDetails.kmsKeyArn | 
| resource.ebs VolumeDetails.scannedVolumeDetails.snapshotArn | 
| resource.ebs VolumeDetails.scannedVolumeDetails.volumeArn | 
| resource.ebs VolumeDetails.scannedVolumeDetails.volumeSizeInGB | 
| resource.ebs VolumeDetails.scannedVolumeDetails.volumeType | 
| resource.ebs VolumeDetails.skippedVolumeDetails.deviceName | 
| resource.ebs VolumeDetails.skippedVolumeDetails.encryptionType | 
| resource.ebs VolumeDetails.skippedVolumeDetails.kmsKeyArn | 
| resource.ebs VolumeDetails.skippedVolumeDetails.snapshotArn | 
| resource.ebs VolumeDetails.skippedVolumeDetails.volumeArn | 
| resource.ebs VolumeDetails.skippedVolumeDetails.volumeSizeInGB | 
| resource.ebs VolumeDetails.skippedVolumeDetails.volumeType | 
| resource.ecs ClusterDetails.activeServicesCount | 
| resource.ecs ClusterDetails.arn | 
| resource.ecs ClusterDetails.registeredContainerInstancesCount | 
| resource.ecs ClusterDetails.runningTasksCount | 
| resource.ecs ClusterDetails.status | 
| resource.ecs ClusterDetails.tags.key | 
| resource.ecs ClusterDetails.tags.value | 
| resource.ecs ClusterDetails.taskDetails.arn | 
| resource.ecs ClusterDetails.taskDetails.containers.containerRuntime | 
| resource.ecs ClusterDetails.taskDetails.containers.id | 
| resource.ecs ClusterDetails.taskDetails.containers.imagePrefix | 
| resource.ecs ClusterDetails.taskDetails.containers.name | 
| resource.ecs ClusterDetails.taskDetails.containers.securityContext.allowPrivilegeEscalation | 
| resource.ecs ClusterDetails.taskDetails.containers.securityContext.privileged | 
| resource.ecs ClusterDetails.taskDetails.containers.volumeMounts.mountPath | 
| resource.ecs ClusterDetails.taskDetails.containers.volumeMounts.name | 
| resource.ecs ClusterDetails.taskDetails.createdAt | 
| resource.ecs ClusterDetails.taskDetails.group | 
| resource.ecs ClusterDetails.taskDetails.launchType | 
| resource.ecs ClusterDetails.taskDetails.startedAt | 
| resource.ecs ClusterDetails.taskDetails.startedBy | 
| resource.ecs ClusterDetails.taskDetails.tags.key | 
| resource.ecs ClusterDetails.taskDetails.tags.value | 
| resource.ecs ClusterDetails.taskDetails.version | 
| resource.ecs ClusterDetails.taskDetails.volumes.hostPath.path | 
| resource.ecs ClusterDetails.taskDetails.volumes.name | 
| resource.eks ClusterDetails.arn | 
| resource.eks ClusterDetails.createdAt | 
| resource.eks ClusterDetails.status | 
| resource.eks ClusterDetails.tags.key | 
| resource.eks ClusterDetails.tags.value | 
| resource.eks ClusterDetails.vpcId | 
| resource.instance Details.iamInstanceProfile.arn | 
| resource.instanz Details.instanceState | 
| resource.instanz Details.instanceType | 
| resource.instanz Details.launchTime | 
| resource.instanz Details.networkInterfaces.networkInterfaceId | 
| resource.instanz Details.networkInterfaces.privateDnsName | 
| resource.instanz Details.networkInterfaces.privateIpAddress | 
| resource.instanz Details.networkInterfaces.privateIpAddresses.privateDnsName | 
| resource.instanz Details.platform | 
| resource.instanz Details.productCodes.productCodeId | 
| resource.instanz Details.productCodes.productCodeType | 
| resource.kubernetes Details.kubernetesUserDetails.groups | 
| resource.kubernetes Details.kubernetesUserDetails.impersonatedUser.groups | 
| resource.kubernetes Details.kubernetesUserDetails.impersonatedUser.username | 
| resource.kubernetes Details.kubernetesUserDetails.sessionName | 
| resource.kubernetes Details.kubernetesUserDetails.uid | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.containerRuntime | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.id | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.name | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.allowPrivilegeEscalation | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.securityContext.privileged | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.mountPath | 
| resource.kubernetes Details.kubernetesWorkloadDetails.containers.volumeMounts.name | 
| resource.kubernetes Details.kubernetesWorkloadDetails.hostIpc | 
| resource.kubernetes Details.kubernetesWorkloadDetails.hostNetwork | 
| resource.kubernetes Details.kubernetesWorkloadDetails.hostPid | 
| resource.kubernetes Details.kubernetesWorkloadDetails.serviceAccountName | 
| resource.kubernetes Details.kubernetesWorkloadDetails.type | 
| resource.kubernetes Details.kubernetesWorkloadDetails.uid | 
| resource.kubernetes Details.kubernetesWorkloadDetails.volumes.hostPath.path | 
| resource.kubernetes Details.kubernetesWorkloadDetails.volumes.name | 
| resource.lambda Details.description | 
| Ressource.lambda Details.lastModifiedAt | 
| Ressource.lambda Details.revisionId | 
| Ressource.lambda Details.vpcConfig.securityGroups.groupId | 
| Ressource.lambda Details.vpcConfig.securityGroups.groupName | 
| Ressource.lambda Details.vpcConfig.subnetIds | 
| Ressource.lambda Details.vpcConfig.vpcId | 
| resource.rds DbInstanceDetails.dbInstanceArn | 
| resource.rds DbInstanceDetails.dbiResourceId | 
| resource.rds DbInstanceDetails.dbSecurityGroups.name | 
| resource.rds DbInstanceDetails.dbSecurityGroups.status | 
| resource.rds DbInstanceDetails.engineVersion | 
| resource.rds DbInstanceDetails.iamDatabaseAuthenticationEnabled | 
| resource.rds DbInstanceDetails.publiclyAccessible | 
| resource.rds DbInstanceDetails.vpcId | 
| resource.rds DbInstanceDetails.vpcSecurityGroups.status | 
| resource.rds DbInstanceDetails.vpcSecurityGroups.vpcSecurityGroupId | 
| resource.rds DbUserDetails.application | 
| resource.rds DbUserDetails.authMethod | 
| resource.rds DbUserDetails.database | 
| resource.rds DbUserDetails.ssl | 
| resource.rds LimitlessDbDetails.dbClusterIdentifier | 
| resource.rds LimitlessDbDetails.dbShardGroupArn | 
| resource.rds LimitlessDbDetails.dbShardGroupIdentifier | 
| resource.rds LimitlessDbDetails.dbShardGroupResourceId | 
| resource.rds LimitlessDbDetails.engine | 
| resource.rds LimitlessDbDetails.engineVersion | 
| resource.rds LimitlessDbDetails.tags.key | 
| resource.rds LimitlessDbDetails.tags.value | 
| resource.s3 BucketDetails.arn | 
| ressource.s3 BucketDetails.createdAt | 
| ressource.s3 BucketDetails.defaultServerSideEncryption.encryptionType | 
| ressource.s3 BucketDetails.defaultServerSideEncryption.kmsMasterKeyArn | 
| ressource.s3 BucketDetails.owner.id | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicAcls | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.blockPublicPolicy | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.ignorePublicAcls | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess.restrictPublicBuckets | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicReadAccess | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList.allowsPublicWriteAccess | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicAcls | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.blockPublicPolicy | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.ignorePublicAcls | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess.restrictPublicBuckets | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicReadAccess | 
| ressource.s3 BucketDetails.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy.allowsPublicWriteAccess | 
| ressource.s3 BucketDetails.s3ObjectDetails.eTag | 
| ressource.s3 BucketDetails.s3ObjectDetails.hash | 
| ressource.s3 BucketDetails.s3ObjectDetails.key | 
| ressource.s3 BucketDetails.s3ObjectDetails.objectArn | 
| ressource.s3 BucketDetails.s3ObjectDetails.versionId | 
| schemaVersion | 
| service.action.aws ApiCallAction.affectedResources | 
| service.action.aws ApiCallAction.domainDetails.domain | 
| service.action.aws ApiCallAction.remoteIpDetails.country.countryCode | 
| service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lat | 
| service.action.aws ApiCallAction.remoteIpDetails.geoLocation.lon | 
| service.action.aws ApiCallAction.remoteIpDetails.organization.isp | 
| service.action.aws ApiCallAction.remoteIpDetails.organization.org | 
| service.action.aws ApiCallAction.userAgent | 
| service.action.dns RequestAction.blocked | 
| service.action.dns RequestAction.protocol | 
| service.action.kubernetes ApiCallAction.parameters | 
| service.action.kubernetes ApiCallAction.remoteIpDetails.country.countryCode | 
| service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lat | 
| service.action.kubernetes ApiCallAction.remoteIpDetails.geoLocation.lon | 
| service.action.kubernetes ApiCallAction.resource | 
| service.action.kubernetes ApiCallAction.resourceName | 
| service.action.kubernetes ApiCallAction.sourceIPs | 
| service.action.kubernetes ApiCallAction.subresource | 
| service.action.kubernetes ApiCallAction.userAgent | 
| service.action.kubernetes ApiCallAction.verb | 
| service.action.kubernetes PermissionCheckedDetails.allowed | 
| service.action.kubernetes PermissionCheckedDetails.namespace | 
| service.action.kubernetes PermissionCheckedDetails.resource | 
| service.action.kubernetes PermissionCheckedDetails.verb | 
| service.action.kubernetes RoleBindingDetails.kind | 
| service.action.kubernetes RoleBindingDetails.name | 
| service.action.kubernetes RoleBindingDetails.roleRefKind | 
| service.action.kubernetes RoleBindingDetails.roleRefName | 
| service.action.kubernetes RoleBindingDetails.uid | 
| service.action.kubernetes RoleDetails.kind | 
| service.action.kubernetes RoleDetails.name | 
| service.action.kubernetes RoleDetails.uid | 
| service.action.netzwerk ConnectionAction.localNetworkInterface | 
| service.action.netzwerk ConnectionAction.localPortDetails.portName | 
| service.action.netzwerk ConnectionAction.remoteIpDetails.country.countryCode | 
| service.action.netzwerk ConnectionAction.remoteIpDetails.geoLocation.lat | 
| service.action.netzwerk ConnectionAction.remoteIpDetails.geoLocation.lon | 
| service.action.netzwerk ConnectionAction.remoteIpDetails.organization.isp | 
| service.action.netzwerk ConnectionAction.remoteIpDetails.organization.org | 
| service.action.netzwerk ConnectionAction.remotePortDetails.portName | 
| service.action.port ProbeAction.blocked | 
| service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV4 | 
| service.action.port ProbeAction.portProbeDetails.localIpDetails.ipAddressV6 | 
| service.action.port ProbeAction.portProbeDetails.localPortDetails.port | 
| service.action.port ProbeAction.portProbeDetails.localPortDetails.portName | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.city.cityName | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryCode | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.country.countryName | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lat | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.geoLocation.lon | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV4 | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.ipAddressV6 | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asn | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.asnOrg | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.isp | 
| service.action.port ProbeAction.portProbeDetails.remoteIpDetails.organization.org | 
| service.action.rds LoginAttemptAction.loginAttributes.application | 
| service.action.rds LoginAttemptAction.loginAttributes.failedLoginAttempts | 
| service.action.rds LoginAttemptAction.loginAttributes.successfulLoginAttempts | 
| service.action.rds LoginAttemptAction.loginAttributes.user | 
| service.action.rds LoginAttemptAction.remoteIpDetails.city.cityName | 
| service.action.rds LoginAttemptAction.remoteIpDetails.country.countryCode | 
| service.action.rds LoginAttemptAction.remoteIpDetails.country.countryName | 
| service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lat | 
| service.action.rds LoginAttemptAction.remoteIpDetails.geoLocation.lon | 
| service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV4 | 
| service.action.rds LoginAttemptAction.remoteIpDetails.ipAddressV6 | 
| service.action.rds LoginAttemptAction.remoteIpDetails.organization.asn | 
| service.action.rds LoginAttemptAction.remoteIpDetails.organization.asnOrg | 
| service.action.rds LoginAttemptAction.remoteIpDetails.organization.isp | 
| service.action.rds LoginAttemptAction.remoteIpDetails.organization.org | 
| service.zusätzlich Info.agentDetails.agentId | 
| Service.zusätzlich Info.agentDetails.agentVersion | 
| Service.zusätzlich Info.anomalies.anomalousAPIs | 
| Service.zusätzlich Info.authenticationMethod | 
| Service.zusätzlich Info.averagePacketSizeIn | 
| Service.zusätzlich Info.averagePacketSizeOut | 
| Service.zusätzlich Info.context | 
| Service.zusätzlich Info.domain | 
| Service.zusätzlich Info.inBytes | 
| Service.zusätzlich Info.localNetworkInterfaceOwner | 
| Service.zusätzlich Info.localPort | 
| Service.zusätzlich Info.outBytes | 
| Service.zusätzlich Info.packetsIn | 
| Service.zusätzlich Info.packetsOut | 
| Service.zusätzlich Info.policyArn | 
| Service.zusätzlich Info.policyName | 
| Service.zusätzlich Info.remotePort | 
| Service.zusätzlich Info.sample | 
| Service.zusätzlich Info.scannedPort | 
| Service.zusätzlich Info.threatFileSha256 | 
| Service.zusätzlich Info.threatName | 
| Service.zusätzlich Info.totalBytesIn | 
| Service.zusätzlich Info.totalBytesOut | 
| Service.zusätzlich Info.type | 
| Service.zusätzlich Info.unusual.asnOrg | 
| Service.zusätzlich Info.unusual.port | 
| Service.zusätzlich Info.unusualProtocol | 
| Service.zusätzlich Info.userAgent.fullUserAgent | 
| Service.zusätzlich Info.userAgent.userAgentCategory | 
| Service.zusätzlich Info.value | 
| Service.zusätzlich Info.vpcOwnerAccountId | 
| service.count | 
| Service.Erkennung.Anomalie.Profile | 
| Service.Erkennung.Anomalie.Ungewöhnliches Verhalten | 
| service.detection.sequence.actors.id | 
| service.detection.sequence.actors.process.name | 
| service.detection.sequence.actors.process.path | 
| service.detection.sequence.actors.process.sha256 | 
| service.detection.sequence.actors.session.createdTime | 
| service.detection.sequence.actors.session.issuer | 
| service.detection.sequence.actors.session.mfaStatus | 
| service.detection.sequence.actors.session.uid | 
| service.detection.sequence.actors.user.account.account | 
| service.detection.sequence.actors.user.account.uid | 
| service.detection.sequence.actors.user.CredentialUid | 
| service.detection.sequence.actors.user.name | 
| service.detection.sequence.actors.user.type | 
| service.detection.sequence.actors.user.uid | 
| service.detection.sequence.additional SequenceTypes | 
| service.detection.sequence.description | 
| service.detection.sequence.endpoints.autonomous System.name | 
| service.detection.sequence.endpoints.autonomous System.number | 
| service.detection.sequence.endpoints.connection.direction | 
| service.detection.sequence.endpoints.domain | 
| service.detection.sequence.endpoints.id | 
| service.detection.sequence.endpoints.ip | 
| service.detection.sequence.endpoints.location.city | 
| service.detection.sequence.endpoints.location.country | 
| service.detection.sequence.endpoints.location.lat | 
| service.detection.sequence.endpoints.location.lon | 
| service.detection.sequence.endpoints.port | 
| service.detection.sequence.resources.Account-ID | 
| service.detection.sequence.resources.CloudPartition | 
| service.detection.sequence.resources.data.access Key.principalId | 
| service.detection.sequence.resources.data.access Key.userName | 
| service.detection.sequence.resources.data.access Key.userType | 
| service.detection.sequence.resources.data.autoscaling AutoScalingGroup.ec2InstanceUids | 
| service.detection.sequence.resources.data.cloudformation Stack.ec2InstanceUids | 
| service.detection.sequence.resources.data.container.image | 
| service.detection.sequence.resources.data.container.imageUID | 
| service.detection.sequence.resources.data.ec2 Image.ec2InstanceUids | 
| service.detection.sequence.resources.data.ec2 Instance.availabilityZone | 
| service.detection.sequence.resources.data.ec2 Instance.ec2NetworkInterfaceUids | 
| service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.arn | 
| service.detection.sequence.resources.data.ec2 Instance.iamInstanceProfile.id | 
| service.detection.sequence.resources.data.ec2 Instance.imageDescription | 
| service.detection.sequence.resources.data.ec2 Instance.instanceState | 
| service.detection.sequence.resources.data.ec2 Instance.instanceType | 
| service.detection.sequence.resources.data.ec2 Instance.outpostArn | 
| service.detection.sequence.resources.data.ec2 Instance.platform | 
| service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeId | 
| service.detection.sequence.resources.data.ec2 Instance.productCodes.productCodeType | 
| service.detection.sequence.resources.data.ec2 LaunchTemplate.ec2InstanceUids | 
| service.detection.sequence.resources.data.ec2 LaunchTemplate.version | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.ipv6Addresses | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateDnsName | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.privateIpAddresses.privateIpAddress | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.publicIp | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupId | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.securityGroups.groupName | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.subNetId | 
| service.detection.sequence.resources.data.ec2 NetworkInterface.vpcId | 
| service.detection.sequence.resources.data.ec2 Vpc.ec2InstanceUids | 
| service.detection.sequence.resources.data.ecs Cluster.ec2InstanceUids | 
| service.detection.sequence.resources.data.ecs Cluster.status | 
| service.detection.sequence.resources.data.ecs Task.containerUids | 
| service.detection.sequence.resources.data.ecs Task.createdAt | 
| service.detection.sequence.resources.data.ecs Task.launchType | 
| service.detection.sequence.resources.data.ecs Task.taskDefinitionArn | 
| service.detection.sequence.resources.data.eks Cluster.arn | 
| service.detection.sequence.resources.data.eks Cluster.createdAt | 
| service.detection.sequence.resources.data.eks Cluster.ec2InstanceUids | 
| service.detection.sequence.resources.data.eks Cluster.status | 
| service.detection.sequence.resources.data.eks Cluster.vpcId | 
| service.detection.sequence.resources.data.iam InstanceProfile.ec2InstanceUids | 
| service.detection.sequence.resources.data.iam InstanceProfile.id | 
| service.detection.sequence.resources.data.kubernetes Workload.containerUids | 
| service.detection.sequence.resources.data.kubernetes Workload.namespace | 
| service.detection.sequence.resources.data.kubernetes Workload.type | 
| service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclAccess | 
| service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicAclIgnoreBehavior | 
| service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicBucketRestrictBehavior | 
| service.detection.sequence.resources.data.s3 Bucket.accountPublicAccess.publicPolicyAccess | 
| service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclAccess | 
| service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicAclIgnoreBehavior | 
| service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicBucketRestrictBehavior | 
| service.detection.sequence.resources.data.s3 Bucket.bucketPublicAccess.publicPolicyAccess | 
| service.detection.sequence.resources.data.s3 Bucket.createdAt | 
| service.detection.sequence.resources.data.s3 Bucket.effectivePermission | 
| service.detection.sequence.resources.data.s3 Bucket.encryptionKeyArn | 
| service.detection.sequence.resources.data.s3 Bucket.encryptionType | 
| service.detection.sequence.resources.data.s3 Bucket.ownerId | 
| service.detection.sequence.resources.data.s3 Bucket.publicReadAccess | 
| service.detection.sequence.resources.data.s3 Bucket.publicWriteAccess | 
| service.detection.sequence.resources.data.s3 Bucket.s3ObjectUids | 
| service.detection.sequence.resources.data.s3 Object.eTag | 
| service.detection.sequence.resources.data.s3 Object.key | 
| service.detection.sequence.resources.data.s3 Object.versionId | 
| service.detection.sequence.resources.name | 
| service.detection.sequence.resources.region | 
| service.detection.sequence.resources.ResourceType | 
| service.detection.sequence.resources.service | 
| service.detection.sequence.resources.tags.key | 
| service.detection.sequence.resources.tags.value | 
| service.detection.sequence.resources.uid | 
| dienst.erkennung.sequenz.sequenz Indicators.key | 
| dienst.erkennung.sequenz.sequenz Indicators.title | 
| dienst.erkennung.sequenz.sequenz Indicators.values | 
| service.detection.sequence.signals.actorIds | 
| service.detection.sequence.signals.count | 
| service.detection.sequence.signals.CreatedAt | 
| service.detection.sequence.signals.description | 
| service.detection.sequence.signals.EndpointIds | 
| service.detection.sequence.signals.first SeenAt | 
| service.detection.sequence.signals.last SeenAt | 
| dienst.erkennung.sequenz.signale.name | 
| service.detection.sequence.signals.ResourceUIDs | 
| service.detection.sequence.signals.severity | 
| service.detection.sequence.signals.signal Indicators.key | 
| dienste.erkennung.sequenz.signale.signal Indicators.title | 
| dienste.erkennung.sequenz.signale.signal Indicators.values | 
| service.detection.sequence.signale.type | 
| service.detection.sequence.signals.uid | 
| service.detection.sequence.signals.Aktualisiert am | 
| service.detection.sequence.uid | 
| service.detectorID | 
| service.ebs VolumeScanDetails.scanCompletedAt | 
| service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.count | 
| service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.severity | 
| service.ebs VolumeScanDetails.scanDetections.highestSeverityThreatDetails.threatName | 
| service.ebs VolumeScanDetails.scanDetections.scannedItemCount.files | 
| service.ebs VolumeScanDetails.scanDetections.scannedItemCount.totalGb | 
| service.ebs VolumeScanDetails.scanDetections.scannedItemCount.volumes | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.itemCount | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.shortened | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.fileName | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.volumeArn | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.threatNames.itemCount | 
| service.ebs VolumeScanDetails.scanDetections.threatDetectedByName.uniqueThreatNameCount | 
| service.ebs VolumeScanDetails.scanDetections.threatsDetectedItemCount.files | 
| service.ebs VolumeScanDetails.scanStartedAt | 
| service.ebs VolumeScanDetails.scanType | 
| service.ebs VolumeScanDetails.sources | 
| service.veranstaltung FirstSeen | 
| Service.Veranstaltung LastSeen | 
| Service.Malware ScanDetails.scanCategory | 
| Service.Malware ScanDetails.scanConfiguration.incrementalScanDetails.baselineResourceArn | 
| Service.Malware ScanDetails.scanConfiguration.triggerType | 
| Service.Malware ScanDetails.threats.count | 
| Service.Malware ScanDetails.threats.hash | 
| Service.Malware ScanDetails.threats.itemDetails.additionalInfo.deviceName | 
| Service.Malware ScanDetails.threats.itemDetails.additionalInfo.versionId | 
| Service.Malware ScanDetails.threats.itemDetails.hash | 
| Service.Malware ScanDetails.threats.itemDetails.itemPath | 
| Service.Malware ScanDetails.threats.itemDetails.resourceArn | 
| Service.Malware ScanDetails.threats.itemPaths.hash | 
| Service.Malware ScanDetails.threats.itemPaths.nestedItemPath | 
| Service.Malware ScanDetails.threats.source | 
| Service.Malware ScanDetails.uniqueThreatCount | 
| service.runtime Details.context.addressFamily | 
| service.runtime Details.context.commandLineExample | 
| service.runtime Details.context.fileSystemType | 
| service.runtime Details.context.flags | 
| service.runtime Details.context.ianaProtocolNumber | 
| service.runtime Details.context.ldPreloadValue | 
| service.runtime Details.context.libraryPath | 
| service.runtime Details.context.memoryRegions | 
| service.runtime Details.context.modifiedAt | 
| service.runtime Details.context.modifyingProcess.euid | 
| service.runtime Details.context.modifyingProcess.executablePath | 
| service.runtime Details.context.modifyingProcess.executableSha256 | 
| service.runtime Details.context.modifyingProcess.lineage.euid | 
| service.runtime Details.context.modifyingProcess.lineage.executablePath | 
| service.runtime Details.context.modifyingProcess.lineage.name | 
| service.runtime Details.context.modifyingProcess.lineage.namespacePid | 
| service.runtime Details.context.modifyingProcess.lineage.parentUuid | 
| service.runtime Details.context.modifyingProcess.lineage.pid | 
| service.runtime Details.context.modifyingProcess.lineage.startTime | 
| service.runtime Details.context.modifyingProcess.lineage.userId | 
| service.runtime Details.context.modifyingProcess.lineage.uuid | 
| service.runtime Details.context.modifyingProcess.name | 
| service.runtime Details.context.modifyingProcess.namespacePid | 
| service.runtime Details.context.modifyingProcess.parentUuid | 
| service.runtime Details.context.modifyingProcess.pid | 
| service.runtime Details.context.modifyingProcess.pwd | 
| service.runtime Details.context.modifyingProcess.startTime | 
| service.runtime Details.context.modifyingProcess.user | 
| service.runtime Details.context.modifyingProcess.userId | 
| service.runtime Details.context.modifyingProcess.uuid | 
| service.runtime Details.context.mountSource | 
| service.runtime Details.context.mountTarget | 
| service.runtime Details.context.relatedFilePaths | 
| service.runtime Details.context.releaseAgentPath | 
| service.runtime Details.context.runcBinaryPath | 
| service.runtime Details.context.scriptPath | 
| service.runtime Details.context.serviceName | 
| service.runtime Details.context.shellHistoryFilePath | 
| service.runtime Details.context.socketPath | 
| service.runtime Details.context.targetProcess.euid | 
| service.runtime Details.context.targetProcess.executablePath | 
| service.runtime Details.context.targetProcess.executableSha256 | 
| service.runtime Details.context.targetProcess.lineage.euid | 
| service.runtime Details.context.targetProcess.lineage.executablePath | 
| service.runtime Details.context.targetProcess.lineage.name | 
| service.runtime Details.context.targetProcess.lineage.namespacePid | 
| service.runtime Details.context.targetProcess.lineage.parentUuid | 
| service.runtime Details.context.targetProcess.lineage.pid | 
| service.runtime Details.context.targetProcess.lineage.startTime | 
| service.runtime Details.context.targetProcess.lineage.userId | 
| service.runtime Details.context.targetProcess.lineage.uuid | 
| service.runtime Details.context.targetProcess.name | 
| service.runtime Details.context.targetProcess.namespacePid | 
| service.runtime Details.context.targetProcess.parentUuid | 
| service.runtime Details.context.targetProcess.pid | 
| service.runtime Details.context.targetProcess.pwd | 
| service.runtime Details.context.targetProcess.startTime | 
| service.runtime Details.context.targetProcess.user | 
| service.runtime Details.context.targetProcess.userId | 
| service.runtime Details.context.targetProcess.uuid | 
| service.runtime Details.context.threatFilePath | 
| service.runtime Details.context.toolCategory | 
| service.runtime Details.context.toolName | 
| service.runtime Details.process.euid | 
| service.runtime Details.process.lineage.euid | 
| service.runtime Details.process.lineage.executablePath | 
| service.runtime Details.process.lineage.name | 
| service.runtime Details.process.lineage.namespacePid | 
| service.runtime Details.process.lineage.parentUuid | 
| service.runtime Details.process.lineage.pid | 
| service.runtime Details.process.lineage.startTime | 
| service.runtime Details.process.lineage.userId | 
| service.runtime Details.process.lineage.uuid | 
| service.runtime Details.process.namespacePid | 
| service.runtime Details.process.parentUuid | 
| service.runtime Details.process.pid | 
| service.runtime Details.process.pwd | 
| service.runtime Details.process.startTime | 
| service.runtime Details.process.user | 
| service.runtime Details.process.userId | 
| service.runtime Details.process.uuid | 
| service.Benutzerfeedback | 
| Titel |