2024/12/02 - Amazon GuardDuty - 1 updated api methods
Changes Add new Multi Domain Correlation findings.
{'Findings': {'AssociatedAttackSequenceArn': 'string',
'Service': {'Detection': {'Sequence': {'Actors': [{'Id': 'string',
'Session': {'CreatedTime': 'timestamp',
'Issuer': 'string',
'MfaStatus': 'ENABLED '
'| '
'DISABLED',
'Uid': 'string'},
'User': {'Account': {'Name': 'string',
'Uid': 'string'},
'CredentialUid': 'string',
'Name': 'string',
'Type': 'string',
'Uid': 'string'}}],
'Description': 'string',
'Endpoints': [{'AutonomousSystem': {'Name': 'string',
'Number': 'integer'},
'Connection': {'Direction': 'INBOUND '
'| '
'OUTBOUND'},
'Domain': 'string',
'Id': 'string',
'Ip': 'string',
'Location': {'City': 'string',
'Country': 'string',
'Latitude': 'double',
'Longitude': 'double'},
'Port': 'integer'}],
'Resources': [{'AccountId': 'string',
'CloudPartition': 'string',
'Data': {'AccessKey': {'PrincipalId': 'string',
'UserName': 'string',
'UserType': 'string'},
'Ec2Instance': {'AvailabilityZone': 'string',
'Ec2NetworkInterfaceUids': ['string'],
'IamInstanceProfile': {'Arn': 'string',
'Id': 'string'},
'ImageDescription': 'string',
'InstanceState': 'string',
'InstanceType': 'string',
'OutpostArn': 'string',
'Platform': 'string',
'ProductCodes': [{'Code': 'string',
'ProductType': 'string'}]},
'Ec2NetworkInterface': {'Ipv6Addresses': ['string'],
'PrivateIpAddresses': [{'PrivateDnsName': 'string',
'PrivateIpAddress': 'string'}],
'PublicIp': 'string',
'SecurityGroups': [{'GroupId': 'string',
'GroupName': 'string'}],
'SubNetId': 'string',
'VpcId': 'string'},
'S3Bucket': {'AccountPublicAccess': {'PublicAclAccess': 'BLOCKED '
'| '
'ALLOWED',
'PublicAclIgnoreBehavior': 'IGNORED '
'| '
'NOT_IGNORED',
'PublicBucketRestrictBehavior': 'RESTRICTED '
'| '
'NOT_RESTRICTED',
'PublicPolicyAccess': 'BLOCKED '
'| '
'ALLOWED'},
'BucketPublicAccess': {'PublicAclAccess': 'BLOCKED '
'| '
'ALLOWED',
'PublicAclIgnoreBehavior': 'IGNORED '
'| '
'NOT_IGNORED',
'PublicBucketRestrictBehavior': 'RESTRICTED '
'| '
'NOT_RESTRICTED',
'PublicPolicyAccess': 'BLOCKED '
'| '
'ALLOWED'},
'CreatedAt': 'timestamp',
'EffectivePermission': 'string',
'EncryptionKeyArn': 'string',
'EncryptionType': 'string',
'OwnerId': 'string',
'PublicReadAccess': 'BLOCKED '
'| '
'ALLOWED',
'PublicWriteAccess': 'BLOCKED '
'| '
'ALLOWED',
'S3ObjectUids': ['string']},
'S3Object': {'ETag': 'string',
'Key': 'string',
'VersionId': 'string'}},
'Name': 'string',
'Region': 'string',
'ResourceType': 'EC2_INSTANCE '
'| '
'EC2_NETWORK_INTERFACE '
'| '
'S3_BUCKET '
'| '
'S3_OBJECT '
'| '
'ACCESS_KEY',
'Service': 'string',
'Tags': [{'Key': 'string',
'Value': 'string'}],
'Uid': 'string'}],
'SequenceIndicators': [{'Key': 'SUSPICIOUS_USER_AGENT '
'| '
'SUSPICIOUS_NETWORK '
'| '
'MALICIOUS_IP '
'| '
'TOR_IP '
'| '
'ATTACK_TACTIC '
'| '
'HIGH_RISK_API '
'| '
'ATTACK_TECHNIQUE '
'| '
'UNUSUAL_API_FOR_ACCOUNT '
'| '
'UNUSUAL_ASN_FOR_ACCOUNT '
'| '
'UNUSUAL_ASN_FOR_USER',
'Title': 'string',
'Values': ['string']}],
'Signals': [{'ActorIds': ['string'],
'Count': 'integer',
'CreatedAt': 'timestamp',
'Description': 'string',
'EndpointIds': ['string'],
'FirstSeenAt': 'timestamp',
'LastSeenAt': 'timestamp',
'Name': 'string',
'ResourceUids': ['string'],
'Severity': 'double',
'SignalIndicators': [{'Key': 'SUSPICIOUS_USER_AGENT '
'| '
'SUSPICIOUS_NETWORK '
'| '
'MALICIOUS_IP '
'| '
'TOR_IP '
'| '
'ATTACK_TACTIC '
'| '
'HIGH_RISK_API '
'| '
'ATTACK_TECHNIQUE '
'| '
'UNUSUAL_API_FOR_ACCOUNT '
'| '
'UNUSUAL_ASN_FOR_ACCOUNT '
'| '
'UNUSUAL_ASN_FOR_USER',
'Title': 'string',
'Values': ['string']}],
'Type': 'FINDING '
'| '
'CLOUD_TRAIL '
'| '
'S3_DATA_EVENTS',
'Uid': 'string',
'UpdatedAt': 'timestamp'}],
'Uid': 'string'}}}}}
Describes Amazon GuardDuty findings specified by finding IDs.
See also: AWS API Documentation
Request Syntax
client.get_findings(
DetectorId='string',
FindingIds=[
'string',
],
SortCriteria={
'AttributeName': 'string',
'OrderBy': 'ASC'|'DESC'
}
)
string
[REQUIRED]
The ID of the detector that specifies the GuardDuty service whose findings you want to retrieve.
To find the detectorId in the current Region, see the Settings page in the GuardDuty console, or run the ListDetectors API.
list
[REQUIRED]
The IDs of the findings that you want to retrieve.
(string) --
dict
Represents the criteria used for sorting findings.
AttributeName (string) --
Represents the finding attribute, such as accountId, that sorts the findings.
OrderBy (string) --
The order by which the sorted findings are to be displayed.
dict
Response Syntax
{
'Findings': [
{
'AccountId': 'string',
'Arn': 'string',
'Confidence': 123.0,
'CreatedAt': 'string',
'Description': 'string',
'Id': 'string',
'Partition': 'string',
'Region': 'string',
'Resource': {
'AccessKeyDetails': {
'AccessKeyId': 'string',
'PrincipalId': 'string',
'UserName': 'string',
'UserType': 'string'
},
'S3BucketDetails': [
{
'Arn': 'string',
'Name': 'string',
'Type': 'string',
'CreatedAt': datetime(2015, 1, 1),
'Owner': {
'Id': 'string'
},
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
],
'DefaultServerSideEncryption': {
'EncryptionType': 'string',
'KmsMasterKeyArn': 'string'
},
'PublicAccess': {
'PermissionConfiguration': {
'BucketLevelPermissions': {
'AccessControlList': {
'AllowsPublicReadAccess': True|False,
'AllowsPublicWriteAccess': True|False
},
'BucketPolicy': {
'AllowsPublicReadAccess': True|False,
'AllowsPublicWriteAccess': True|False
},
'BlockPublicAccess': {
'IgnorePublicAcls': True|False,
'RestrictPublicBuckets': True|False,
'BlockPublicAcls': True|False,
'BlockPublicPolicy': True|False
}
},
'AccountLevelPermissions': {
'BlockPublicAccess': {
'IgnorePublicAcls': True|False,
'RestrictPublicBuckets': True|False,
'BlockPublicAcls': True|False,
'BlockPublicPolicy': True|False
}
}
},
'EffectivePermission': 'string'
},
'S3ObjectDetails': [
{
'ObjectArn': 'string',
'Key': 'string',
'ETag': 'string',
'Hash': 'string',
'VersionId': 'string'
},
]
},
],
'InstanceDetails': {
'AvailabilityZone': 'string',
'IamInstanceProfile': {
'Arn': 'string',
'Id': 'string'
},
'ImageDescription': 'string',
'ImageId': 'string',
'InstanceId': 'string',
'InstanceState': 'string',
'InstanceType': 'string',
'OutpostArn': 'string',
'LaunchTime': 'string',
'NetworkInterfaces': [
{
'Ipv6Addresses': [
'string',
],
'NetworkInterfaceId': 'string',
'PrivateDnsName': 'string',
'PrivateIpAddress': 'string',
'PrivateIpAddresses': [
{
'PrivateDnsName': 'string',
'PrivateIpAddress': 'string'
},
],
'PublicDnsName': 'string',
'PublicIp': 'string',
'SecurityGroups': [
{
'GroupId': 'string',
'GroupName': 'string'
},
],
'SubnetId': 'string',
'VpcId': 'string'
},
],
'Platform': 'string',
'ProductCodes': [
{
'Code': 'string',
'ProductType': 'string'
},
],
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
]
},
'EksClusterDetails': {
'Name': 'string',
'Arn': 'string',
'VpcId': 'string',
'Status': 'string',
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
],
'CreatedAt': datetime(2015, 1, 1)
},
'KubernetesDetails': {
'KubernetesUserDetails': {
'Username': 'string',
'Uid': 'string',
'Groups': [
'string',
],
'SessionName': [
'string',
],
'ImpersonatedUser': {
'Username': 'string',
'Groups': [
'string',
]
}
},
'KubernetesWorkloadDetails': {
'Name': 'string',
'Type': 'string',
'Uid': 'string',
'Namespace': 'string',
'HostNetwork': True|False,
'Containers': [
{
'ContainerRuntime': 'string',
'Id': 'string',
'Name': 'string',
'Image': 'string',
'ImagePrefix': 'string',
'VolumeMounts': [
{
'Name': 'string',
'MountPath': 'string'
},
],
'SecurityContext': {
'Privileged': True|False,
'AllowPrivilegeEscalation': True|False
}
},
],
'Volumes': [
{
'Name': 'string',
'HostPath': {
'Path': 'string'
}
},
],
'ServiceAccountName': 'string',
'HostIPC': True|False,
'HostPID': True|False
}
},
'ResourceType': 'string',
'EbsVolumeDetails': {
'ScannedVolumeDetails': [
{
'VolumeArn': 'string',
'VolumeType': 'string',
'DeviceName': 'string',
'VolumeSizeInGB': 123,
'EncryptionType': 'string',
'SnapshotArn': 'string',
'KmsKeyArn': 'string'
},
],
'SkippedVolumeDetails': [
{
'VolumeArn': 'string',
'VolumeType': 'string',
'DeviceName': 'string',
'VolumeSizeInGB': 123,
'EncryptionType': 'string',
'SnapshotArn': 'string',
'KmsKeyArn': 'string'
},
]
},
'EcsClusterDetails': {
'Name': 'string',
'Arn': 'string',
'Status': 'string',
'ActiveServicesCount': 123,
'RegisteredContainerInstancesCount': 123,
'RunningTasksCount': 123,
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
],
'TaskDetails': {
'Arn': 'string',
'DefinitionArn': 'string',
'Version': 'string',
'TaskCreatedAt': datetime(2015, 1, 1),
'StartedAt': datetime(2015, 1, 1),
'StartedBy': 'string',
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
],
'Volumes': [
{
'Name': 'string',
'HostPath': {
'Path': 'string'
}
},
],
'Containers': [
{
'ContainerRuntime': 'string',
'Id': 'string',
'Name': 'string',
'Image': 'string',
'ImagePrefix': 'string',
'VolumeMounts': [
{
'Name': 'string',
'MountPath': 'string'
},
],
'SecurityContext': {
'Privileged': True|False,
'AllowPrivilegeEscalation': True|False
}
},
],
'Group': 'string',
'LaunchType': 'string'
}
},
'ContainerDetails': {
'ContainerRuntime': 'string',
'Id': 'string',
'Name': 'string',
'Image': 'string',
'ImagePrefix': 'string',
'VolumeMounts': [
{
'Name': 'string',
'MountPath': 'string'
},
],
'SecurityContext': {
'Privileged': True|False,
'AllowPrivilegeEscalation': True|False
}
},
'RdsDbInstanceDetails': {
'DbInstanceIdentifier': 'string',
'Engine': 'string',
'EngineVersion': 'string',
'DbClusterIdentifier': 'string',
'DbInstanceArn': 'string',
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
]
},
'RdsLimitlessDbDetails': {
'DbShardGroupIdentifier': 'string',
'DbShardGroupResourceId': 'string',
'DbShardGroupArn': 'string',
'Engine': 'string',
'EngineVersion': 'string',
'DbClusterIdentifier': 'string',
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
]
},
'RdsDbUserDetails': {
'User': 'string',
'Application': 'string',
'Database': 'string',
'Ssl': 'string',
'AuthMethod': 'string'
},
'LambdaDetails': {
'FunctionArn': 'string',
'FunctionName': 'string',
'Description': 'string',
'LastModifiedAt': datetime(2015, 1, 1),
'RevisionId': 'string',
'FunctionVersion': 'string',
'Role': 'string',
'VpcConfig': {
'SubnetIds': [
'string',
],
'VpcId': 'string',
'SecurityGroups': [
{
'GroupId': 'string',
'GroupName': 'string'
},
]
},
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
]
}
},
'SchemaVersion': 'string',
'Service': {
'Action': {
'ActionType': 'string',
'AwsApiCallAction': {
'Api': 'string',
'CallerType': 'string',
'DomainDetails': {
'Domain': 'string'
},
'ErrorCode': 'string',
'UserAgent': 'string',
'RemoteIpDetails': {
'City': {
'CityName': 'string'
},
'Country': {
'CountryCode': 'string',
'CountryName': 'string'
},
'GeoLocation': {
'Lat': 123.0,
'Lon': 123.0
},
'IpAddressV4': 'string',
'IpAddressV6': 'string',
'Organization': {
'Asn': 'string',
'AsnOrg': 'string',
'Isp': 'string',
'Org': 'string'
}
},
'ServiceName': 'string',
'RemoteAccountDetails': {
'AccountId': 'string',
'Affiliated': True|False
},
'AffectedResources': {
'string': 'string'
}
},
'DnsRequestAction': {
'Domain': 'string',
'Protocol': 'string',
'Blocked': True|False,
'DomainWithSuffix': 'string'
},
'NetworkConnectionAction': {
'Blocked': True|False,
'ConnectionDirection': 'string',
'LocalPortDetails': {
'Port': 123,
'PortName': 'string'
},
'Protocol': 'string',
'LocalIpDetails': {
'IpAddressV4': 'string',
'IpAddressV6': 'string'
},
'LocalNetworkInterface': 'string',
'RemoteIpDetails': {
'City': {
'CityName': 'string'
},
'Country': {
'CountryCode': 'string',
'CountryName': 'string'
},
'GeoLocation': {
'Lat': 123.0,
'Lon': 123.0
},
'IpAddressV4': 'string',
'IpAddressV6': 'string',
'Organization': {
'Asn': 'string',
'AsnOrg': 'string',
'Isp': 'string',
'Org': 'string'
}
},
'RemotePortDetails': {
'Port': 123,
'PortName': 'string'
}
},
'PortProbeAction': {
'Blocked': True|False,
'PortProbeDetails': [
{
'LocalPortDetails': {
'Port': 123,
'PortName': 'string'
},
'LocalIpDetails': {
'IpAddressV4': 'string',
'IpAddressV6': 'string'
},
'RemoteIpDetails': {
'City': {
'CityName': 'string'
},
'Country': {
'CountryCode': 'string',
'CountryName': 'string'
},
'GeoLocation': {
'Lat': 123.0,
'Lon': 123.0
},
'IpAddressV4': 'string',
'IpAddressV6': 'string',
'Organization': {
'Asn': 'string',
'AsnOrg': 'string',
'Isp': 'string',
'Org': 'string'
}
}
},
]
},
'KubernetesApiCallAction': {
'RequestUri': 'string',
'Verb': 'string',
'SourceIps': [
'string',
],
'UserAgent': 'string',
'RemoteIpDetails': {
'City': {
'CityName': 'string'
},
'Country': {
'CountryCode': 'string',
'CountryName': 'string'
},
'GeoLocation': {
'Lat': 123.0,
'Lon': 123.0
},
'IpAddressV4': 'string',
'IpAddressV6': 'string',
'Organization': {
'Asn': 'string',
'AsnOrg': 'string',
'Isp': 'string',
'Org': 'string'
}
},
'StatusCode': 123,
'Parameters': 'string',
'Resource': 'string',
'Subresource': 'string',
'Namespace': 'string',
'ResourceName': 'string'
},
'RdsLoginAttemptAction': {
'RemoteIpDetails': {
'City': {
'CityName': 'string'
},
'Country': {
'CountryCode': 'string',
'CountryName': 'string'
},
'GeoLocation': {
'Lat': 123.0,
'Lon': 123.0
},
'IpAddressV4': 'string',
'IpAddressV6': 'string',
'Organization': {
'Asn': 'string',
'AsnOrg': 'string',
'Isp': 'string',
'Org': 'string'
}
},
'LoginAttributes': [
{
'User': 'string',
'Application': 'string',
'FailedLoginAttempts': 123,
'SuccessfulLoginAttempts': 123
},
]
},
'KubernetesPermissionCheckedDetails': {
'Verb': 'string',
'Resource': 'string',
'Namespace': 'string',
'Allowed': True|False
},
'KubernetesRoleBindingDetails': {
'Kind': 'string',
'Name': 'string',
'Uid': 'string',
'RoleRefName': 'string',
'RoleRefKind': 'string'
},
'KubernetesRoleDetails': {
'Kind': 'string',
'Name': 'string',
'Uid': 'string'
}
},
'Evidence': {
'ThreatIntelligenceDetails': [
{
'ThreatListName': 'string',
'ThreatNames': [
'string',
],
'ThreatFileSha256': 'string'
},
]
},
'Archived': True|False,
'Count': 123,
'DetectorId': 'string',
'EventFirstSeen': 'string',
'EventLastSeen': 'string',
'ResourceRole': 'string',
'ServiceName': 'string',
'UserFeedback': 'string',
'AdditionalInfo': {
'Value': 'string',
'Type': 'string'
},
'FeatureName': 'string',
'EbsVolumeScanDetails': {
'ScanId': 'string',
'ScanStartedAt': datetime(2015, 1, 1),
'ScanCompletedAt': datetime(2015, 1, 1),
'TriggerFindingId': 'string',
'Sources': [
'string',
],
'ScanDetections': {
'ScannedItemCount': {
'TotalGb': 123,
'Files': 123,
'Volumes': 123
},
'ThreatsDetectedItemCount': {
'Files': 123
},
'HighestSeverityThreatDetails': {
'Severity': 'string',
'ThreatName': 'string',
'Count': 123
},
'ThreatDetectedByName': {
'ItemCount': 123,
'UniqueThreatNameCount': 123,
'Shortened': True|False,
'ThreatNames': [
{
'Name': 'string',
'Severity': 'string',
'ItemCount': 123,
'FilePaths': [
{
'FilePath': 'string',
'VolumeArn': 'string',
'Hash': 'string',
'FileName': 'string'
},
]
},
]
}
},
'ScanType': 'GUARDDUTY_INITIATED'|'ON_DEMAND'
},
'RuntimeDetails': {
'Process': {
'Name': 'string',
'ExecutablePath': 'string',
'ExecutableSha256': 'string',
'NamespacePid': 123,
'Pwd': 'string',
'Pid': 123,
'StartTime': datetime(2015, 1, 1),
'Uuid': 'string',
'ParentUuid': 'string',
'User': 'string',
'UserId': 123,
'Euid': 123,
'Lineage': [
{
'StartTime': datetime(2015, 1, 1),
'NamespacePid': 123,
'UserId': 123,
'Name': 'string',
'Pid': 123,
'Uuid': 'string',
'ExecutablePath': 'string',
'Euid': 123,
'ParentUuid': 'string'
},
]
},
'Context': {
'ModifyingProcess': {
'Name': 'string',
'ExecutablePath': 'string',
'ExecutableSha256': 'string',
'NamespacePid': 123,
'Pwd': 'string',
'Pid': 123,
'StartTime': datetime(2015, 1, 1),
'Uuid': 'string',
'ParentUuid': 'string',
'User': 'string',
'UserId': 123,
'Euid': 123,
'Lineage': [
{
'StartTime': datetime(2015, 1, 1),
'NamespacePid': 123,
'UserId': 123,
'Name': 'string',
'Pid': 123,
'Uuid': 'string',
'ExecutablePath': 'string',
'Euid': 123,
'ParentUuid': 'string'
},
]
},
'ModifiedAt': datetime(2015, 1, 1),
'ScriptPath': 'string',
'LibraryPath': 'string',
'LdPreloadValue': 'string',
'SocketPath': 'string',
'RuncBinaryPath': 'string',
'ReleaseAgentPath': 'string',
'MountSource': 'string',
'MountTarget': 'string',
'FileSystemType': 'string',
'Flags': [
'string',
],
'ModuleName': 'string',
'ModuleFilePath': 'string',
'ModuleSha256': 'string',
'ShellHistoryFilePath': 'string',
'TargetProcess': {
'Name': 'string',
'ExecutablePath': 'string',
'ExecutableSha256': 'string',
'NamespacePid': 123,
'Pwd': 'string',
'Pid': 123,
'StartTime': datetime(2015, 1, 1),
'Uuid': 'string',
'ParentUuid': 'string',
'User': 'string',
'UserId': 123,
'Euid': 123,
'Lineage': [
{
'StartTime': datetime(2015, 1, 1),
'NamespacePid': 123,
'UserId': 123,
'Name': 'string',
'Pid': 123,
'Uuid': 'string',
'ExecutablePath': 'string',
'Euid': 123,
'ParentUuid': 'string'
},
]
},
'AddressFamily': 'string',
'IanaProtocolNumber': 123,
'MemoryRegions': [
'string',
],
'ToolName': 'string',
'ToolCategory': 'string',
'ServiceName': 'string',
'CommandLineExample': 'string',
'ThreatFilePath': 'string'
}
},
'Detection': {
'Anomaly': {
'Profiles': {
'string': {
'string': [
{
'ProfileType': 'FREQUENCY',
'ProfileSubtype': 'FREQUENT'|'INFREQUENT'|'UNSEEN'|'RARE',
'Observations': {
'Text': [
'string',
]
}
},
]
}
},
'Unusual': {
'Behavior': {
'string': {
'string': {
'ProfileType': 'FREQUENCY',
'ProfileSubtype': 'FREQUENT'|'INFREQUENT'|'UNSEEN'|'RARE',
'Observations': {
'Text': [
'string',
]
}
}
}
}
}
},
'Sequence': {
'Uid': 'string',
'Description': 'string',
'Actors': [
{
'Id': 'string',
'User': {
'Name': 'string',
'Uid': 'string',
'Type': 'string',
'CredentialUid': 'string',
'Account': {
'Uid': 'string',
'Name': 'string'
}
},
'Session': {
'Uid': 'string',
'MfaStatus': 'ENABLED'|'DISABLED',
'CreatedTime': datetime(2015, 1, 1),
'Issuer': 'string'
}
},
],
'Resources': [
{
'Uid': 'string',
'Name': 'string',
'AccountId': 'string',
'ResourceType': 'EC2_INSTANCE'|'EC2_NETWORK_INTERFACE'|'S3_BUCKET'|'S3_OBJECT'|'ACCESS_KEY',
'Region': 'string',
'Service': 'string',
'CloudPartition': 'string',
'Tags': [
{
'Key': 'string',
'Value': 'string'
},
],
'Data': {
'S3Bucket': {
'OwnerId': 'string',
'CreatedAt': datetime(2015, 1, 1),
'EncryptionType': 'string',
'EncryptionKeyArn': 'string',
'EffectivePermission': 'string',
'PublicReadAccess': 'BLOCKED'|'ALLOWED',
'PublicWriteAccess': 'BLOCKED'|'ALLOWED',
'AccountPublicAccess': {
'PublicAclAccess': 'BLOCKED'|'ALLOWED',
'PublicPolicyAccess': 'BLOCKED'|'ALLOWED',
'PublicAclIgnoreBehavior': 'IGNORED'|'NOT_IGNORED',
'PublicBucketRestrictBehavior': 'RESTRICTED'|'NOT_RESTRICTED'
},
'BucketPublicAccess': {
'PublicAclAccess': 'BLOCKED'|'ALLOWED',
'PublicPolicyAccess': 'BLOCKED'|'ALLOWED',
'PublicAclIgnoreBehavior': 'IGNORED'|'NOT_IGNORED',
'PublicBucketRestrictBehavior': 'RESTRICTED'|'NOT_RESTRICTED'
},
'S3ObjectUids': [
'string',
]
},
'Ec2Instance': {
'AvailabilityZone': 'string',
'ImageDescription': 'string',
'InstanceState': 'string',
'IamInstanceProfile': {
'Arn': 'string',
'Id': 'string'
},
'InstanceType': 'string',
'OutpostArn': 'string',
'Platform': 'string',
'ProductCodes': [
{
'Code': 'string',
'ProductType': 'string'
},
],
'Ec2NetworkInterfaceUids': [
'string',
]
},
'AccessKey': {
'PrincipalId': 'string',
'UserName': 'string',
'UserType': 'string'
},
'Ec2NetworkInterface': {
'Ipv6Addresses': [
'string',
],
'PrivateIpAddresses': [
{
'PrivateDnsName': 'string',
'PrivateIpAddress': 'string'
},
],
'PublicIp': 'string',
'SecurityGroups': [
{
'GroupId': 'string',
'GroupName': 'string'
},
],
'SubNetId': 'string',
'VpcId': 'string'
},
'S3Object': {
'ETag': 'string',
'Key': 'string',
'VersionId': 'string'
}
}
},
],
'Endpoints': [
{
'Id': 'string',
'Ip': 'string',
'Domain': 'string',
'Port': 123,
'Location': {
'City': 'string',
'Country': 'string',
'Latitude': 123.0,
'Longitude': 123.0
},
'AutonomousSystem': {
'Name': 'string',
'Number': 123
},
'Connection': {
'Direction': 'INBOUND'|'OUTBOUND'
}
},
],
'Signals': [
{
'Uid': 'string',
'Type': 'FINDING'|'CLOUD_TRAIL'|'S3_DATA_EVENTS',
'Description': 'string',
'Name': 'string',
'CreatedAt': datetime(2015, 1, 1),
'UpdatedAt': datetime(2015, 1, 1),
'FirstSeenAt': datetime(2015, 1, 1),
'LastSeenAt': datetime(2015, 1, 1),
'Severity': 123.0,
'Count': 123,
'ResourceUids': [
'string',
],
'ActorIds': [
'string',
],
'EndpointIds': [
'string',
],
'SignalIndicators': [
{
'Key': 'SUSPICIOUS_USER_AGENT'|'SUSPICIOUS_NETWORK'|'MALICIOUS_IP'|'TOR_IP'|'ATTACK_TACTIC'|'HIGH_RISK_API'|'ATTACK_TECHNIQUE'|'UNUSUAL_API_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_USER',
'Values': [
'string',
],
'Title': 'string'
},
]
},
],
'SequenceIndicators': [
{
'Key': 'SUSPICIOUS_USER_AGENT'|'SUSPICIOUS_NETWORK'|'MALICIOUS_IP'|'TOR_IP'|'ATTACK_TACTIC'|'HIGH_RISK_API'|'ATTACK_TECHNIQUE'|'UNUSUAL_API_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_USER',
'Values': [
'string',
],
'Title': 'string'
},
]
}
},
'MalwareScanDetails': {
'Threats': [
{
'Name': 'string',
'Source': 'string',
'ItemPaths': [
{
'NestedItemPath': 'string',
'Hash': 'string'
},
]
},
]
}
},
'Severity': 123.0,
'Title': 'string',
'Type': 'string',
'UpdatedAt': 'string',
'AssociatedAttackSequenceArn': 'string'
},
]
}
**Response Structure**
::
# This section is too large to render.
# Please see the AWS API Documentation linked below.
`AWS API Documentation <https://docs.aws.amazon.com/goto/WebAPI/guardduty-2017-11-28/GetFindings>`_