GuardDuty / Client / get_findings
get_findings#
- GuardDuty.Client.get_findings(**kwargs)#
Describes Amazon GuardDuty findings specified by finding IDs.
See also: AWS API Documentation
Request Syntax
response = client.get_findings( DetectorId='string', FindingIds=[ 'string', ], SortCriteria={ 'AttributeName': 'string', 'OrderBy': 'ASC'|'DESC' } )
- Parameters:
DetectorId (string) –
[REQUIRED]
The ID of the detector that specifies the GuardDuty service whose findings you want to retrieve.
To find the
detectorId
in the current Region, see the Settings page in the GuardDuty console, or run the ListDetectors API.FindingIds (list) –
[REQUIRED]
The IDs of the findings that you want to retrieve.
(string) –
SortCriteria (dict) –
Represents the criteria used for sorting findings.
AttributeName (string) –
Represents the finding attribute, such as
accountId
, that sorts the findings.OrderBy (string) –
The order by which the sorted findings are to be displayed.
- Return type:
dict
- Returns:
Response Syntax
{ 'Findings': [ { 'AccountId': 'string', 'Arn': 'string', 'Confidence': 123.0, 'CreatedAt': 'string', 'Description': 'string', 'Id': 'string', 'Partition': 'string', 'Region': 'string', 'Resource': { 'AccessKeyDetails': { 'AccessKeyId': 'string', 'PrincipalId': 'string', 'UserName': 'string', 'UserType': 'string' }, 'S3BucketDetails': [ { 'Arn': 'string', 'Name': 'string', 'Type': 'string', 'CreatedAt': datetime(2015, 1, 1), 'Owner': { 'Id': 'string' }, 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ], 'DefaultServerSideEncryption': { 'EncryptionType': 'string', 'KmsMasterKeyArn': 'string' }, 'PublicAccess': { 'PermissionConfiguration': { 'BucketLevelPermissions': { 'AccessControlList': { 'AllowsPublicReadAccess': True|False, 'AllowsPublicWriteAccess': True|False }, 'BucketPolicy': { 'AllowsPublicReadAccess': True|False, 'AllowsPublicWriteAccess': True|False }, 'BlockPublicAccess': { 'IgnorePublicAcls': True|False, 'RestrictPublicBuckets': True|False, 'BlockPublicAcls': True|False, 'BlockPublicPolicy': True|False } }, 'AccountLevelPermissions': { 'BlockPublicAccess': { 'IgnorePublicAcls': True|False, 'RestrictPublicBuckets': True|False, 'BlockPublicAcls': True|False, 'BlockPublicPolicy': True|False } } }, 'EffectivePermission': 'string' }, 'S3ObjectDetails': [ { 'ObjectArn': 'string', 'Key': 'string', 'ETag': 'string', 'Hash': 'string', 'VersionId': 'string' }, ] }, ], 'InstanceDetails': { 'AvailabilityZone': 'string', 'IamInstanceProfile': { 'Arn': 'string', 'Id': 'string' }, 'ImageDescription': 'string', 'ImageId': 'string', 'InstanceId': 'string', 'InstanceState': 'string', 'InstanceType': 'string', 'OutpostArn': 'string', 'LaunchTime': 'string', 'NetworkInterfaces': [ { 'Ipv6Addresses': [ 'string', ], 'NetworkInterfaceId': 'string', 'PrivateDnsName': 'string', 'PrivateIpAddress': 'string', 'PrivateIpAddresses': [ { 'PrivateDnsName': 'string', 'PrivateIpAddress': 'string' }, ], 'PublicDnsName': 'string', 'PublicIp': 'string', 'SecurityGroups': [ { 'GroupId': 'string', 'GroupName': 'string' }, ], 'SubnetId': 'string', 'VpcId': 'string' }, ], 'Platform': 'string', 'ProductCodes': [ { 'Code': 'string', 'ProductType': 'string' }, ], 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ] }, 'EksClusterDetails': { 'Name': 'string', 'Arn': 'string', 'VpcId': 'string', 'Status': 'string', 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ], 'CreatedAt': datetime(2015, 1, 1) }, 'KubernetesDetails': { 'KubernetesUserDetails': { 'Username': 'string', 'Uid': 'string', 'Groups': [ 'string', ], 'SessionName': [ 'string', ], 'ImpersonatedUser': { 'Username': 'string', 'Groups': [ 'string', ] } }, 'KubernetesWorkloadDetails': { 'Name': 'string', 'Type': 'string', 'Uid': 'string', 'Namespace': 'string', 'HostNetwork': True|False, 'Containers': [ { 'ContainerRuntime': 'string', 'Id': 'string', 'Name': 'string', 'Image': 'string', 'ImagePrefix': 'string', 'VolumeMounts': [ { 'Name': 'string', 'MountPath': 'string' }, ], 'SecurityContext': { 'Privileged': True|False, 'AllowPrivilegeEscalation': True|False } }, ], 'Volumes': [ { 'Name': 'string', 'HostPath': { 'Path': 'string' } }, ], 'ServiceAccountName': 'string', 'HostIPC': True|False, 'HostPID': True|False } }, 'ResourceType': 'string', 'EbsVolumeDetails': { 'ScannedVolumeDetails': [ { 'VolumeArn': 'string', 'VolumeType': 'string', 'DeviceName': 'string', 'VolumeSizeInGB': 123, 'EncryptionType': 'string', 'SnapshotArn': 'string', 'KmsKeyArn': 'string' }, ], 'SkippedVolumeDetails': [ { 'VolumeArn': 'string', 'VolumeType': 'string', 'DeviceName': 'string', 'VolumeSizeInGB': 123, 'EncryptionType': 'string', 'SnapshotArn': 'string', 'KmsKeyArn': 'string' }, ] }, 'EcsClusterDetails': { 'Name': 'string', 'Arn': 'string', 'Status': 'string', 'ActiveServicesCount': 123, 'RegisteredContainerInstancesCount': 123, 'RunningTasksCount': 123, 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ], 'TaskDetails': { 'Arn': 'string', 'DefinitionArn': 'string', 'Version': 'string', 'TaskCreatedAt': datetime(2015, 1, 1), 'StartedAt': datetime(2015, 1, 1), 'StartedBy': 'string', 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ], 'Volumes': [ { 'Name': 'string', 'HostPath': { 'Path': 'string' } }, ], 'Containers': [ { 'ContainerRuntime': 'string', 'Id': 'string', 'Name': 'string', 'Image': 'string', 'ImagePrefix': 'string', 'VolumeMounts': [ { 'Name': 'string', 'MountPath': 'string' }, ], 'SecurityContext': { 'Privileged': True|False, 'AllowPrivilegeEscalation': True|False } }, ], 'Group': 'string', 'LaunchType': 'string' } }, 'ContainerDetails': { 'ContainerRuntime': 'string', 'Id': 'string', 'Name': 'string', 'Image': 'string', 'ImagePrefix': 'string', 'VolumeMounts': [ { 'Name': 'string', 'MountPath': 'string' }, ], 'SecurityContext': { 'Privileged': True|False, 'AllowPrivilegeEscalation': True|False } }, 'RdsDbInstanceDetails': { 'DbInstanceIdentifier': 'string', 'Engine': 'string', 'EngineVersion': 'string', 'DbClusterIdentifier': 'string', 'DbInstanceArn': 'string', 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ] }, 'RdsLimitlessDbDetails': { 'DbShardGroupIdentifier': 'string', 'DbShardGroupResourceId': 'string', 'DbShardGroupArn': 'string', 'Engine': 'string', 'EngineVersion': 'string', 'DbClusterIdentifier': 'string', 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ] }, 'RdsDbUserDetails': { 'User': 'string', 'Application': 'string', 'Database': 'string', 'Ssl': 'string', 'AuthMethod': 'string' }, 'LambdaDetails': { 'FunctionArn': 'string', 'FunctionName': 'string', 'Description': 'string', 'LastModifiedAt': datetime(2015, 1, 1), 'RevisionId': 'string', 'FunctionVersion': 'string', 'Role': 'string', 'VpcConfig': { 'SubnetIds': [ 'string', ], 'VpcId': 'string', 'SecurityGroups': [ { 'GroupId': 'string', 'GroupName': 'string' }, ] }, 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ] } }, 'SchemaVersion': 'string', 'Service': { 'Action': { 'ActionType': 'string', 'AwsApiCallAction': { 'Api': 'string', 'CallerType': 'string', 'DomainDetails': { 'Domain': 'string' }, 'ErrorCode': 'string', 'UserAgent': 'string', 'RemoteIpDetails': { 'City': { 'CityName': 'string' }, 'Country': { 'CountryCode': 'string', 'CountryName': 'string' }, 'GeoLocation': { 'Lat': 123.0, 'Lon': 123.0 }, 'IpAddressV4': 'string', 'IpAddressV6': 'string', 'Organization': { 'Asn': 'string', 'AsnOrg': 'string', 'Isp': 'string', 'Org': 'string' } }, 'ServiceName': 'string', 'RemoteAccountDetails': { 'AccountId': 'string', 'Affiliated': True|False }, 'AffectedResources': { 'string': 'string' } }, 'DnsRequestAction': { 'Domain': 'string', 'Protocol': 'string', 'Blocked': True|False, 'DomainWithSuffix': 'string' }, 'NetworkConnectionAction': { 'Blocked': True|False, 'ConnectionDirection': 'string', 'LocalPortDetails': { 'Port': 123, 'PortName': 'string' }, 'Protocol': 'string', 'LocalIpDetails': { 'IpAddressV4': 'string', 'IpAddressV6': 'string' }, 'LocalNetworkInterface': 'string', 'RemoteIpDetails': { 'City': { 'CityName': 'string' }, 'Country': { 'CountryCode': 'string', 'CountryName': 'string' }, 'GeoLocation': { 'Lat': 123.0, 'Lon': 123.0 }, 'IpAddressV4': 'string', 'IpAddressV6': 'string', 'Organization': { 'Asn': 'string', 'AsnOrg': 'string', 'Isp': 'string', 'Org': 'string' } }, 'RemotePortDetails': { 'Port': 123, 'PortName': 'string' } }, 'PortProbeAction': { 'Blocked': True|False, 'PortProbeDetails': [ { 'LocalPortDetails': { 'Port': 123, 'PortName': 'string' }, 'LocalIpDetails': { 'IpAddressV4': 'string', 'IpAddressV6': 'string' }, 'RemoteIpDetails': { 'City': { 'CityName': 'string' }, 'Country': { 'CountryCode': 'string', 'CountryName': 'string' }, 'GeoLocation': { 'Lat': 123.0, 'Lon': 123.0 }, 'IpAddressV4': 'string', 'IpAddressV6': 'string', 'Organization': { 'Asn': 'string', 'AsnOrg': 'string', 'Isp': 'string', 'Org': 'string' } } }, ] }, 'KubernetesApiCallAction': { 'RequestUri': 'string', 'Verb': 'string', 'SourceIps': [ 'string', ], 'UserAgent': 'string', 'RemoteIpDetails': { 'City': { 'CityName': 'string' }, 'Country': { 'CountryCode': 'string', 'CountryName': 'string' }, 'GeoLocation': { 'Lat': 123.0, 'Lon': 123.0 }, 'IpAddressV4': 'string', 'IpAddressV6': 'string', 'Organization': { 'Asn': 'string', 'AsnOrg': 'string', 'Isp': 'string', 'Org': 'string' } }, 'StatusCode': 123, 'Parameters': 'string', 'Resource': 'string', 'Subresource': 'string', 'Namespace': 'string', 'ResourceName': 'string' }, 'RdsLoginAttemptAction': { 'RemoteIpDetails': { 'City': { 'CityName': 'string' }, 'Country': { 'CountryCode': 'string', 'CountryName': 'string' }, 'GeoLocation': { 'Lat': 123.0, 'Lon': 123.0 }, 'IpAddressV4': 'string', 'IpAddressV6': 'string', 'Organization': { 'Asn': 'string', 'AsnOrg': 'string', 'Isp': 'string', 'Org': 'string' } }, 'LoginAttributes': [ { 'User': 'string', 'Application': 'string', 'FailedLoginAttempts': 123, 'SuccessfulLoginAttempts': 123 }, ] }, 'KubernetesPermissionCheckedDetails': { 'Verb': 'string', 'Resource': 'string', 'Namespace': 'string', 'Allowed': True|False }, 'KubernetesRoleBindingDetails': { 'Kind': 'string', 'Name': 'string', 'Uid': 'string', 'RoleRefName': 'string', 'RoleRefKind': 'string' }, 'KubernetesRoleDetails': { 'Kind': 'string', 'Name': 'string', 'Uid': 'string' } }, 'Evidence': { 'ThreatIntelligenceDetails': [ { 'ThreatListName': 'string', 'ThreatNames': [ 'string', ], 'ThreatFileSha256': 'string' }, ] }, 'Archived': True|False, 'Count': 123, 'DetectorId': 'string', 'EventFirstSeen': 'string', 'EventLastSeen': 'string', 'ResourceRole': 'string', 'ServiceName': 'string', 'UserFeedback': 'string', 'AdditionalInfo': { 'Value': 'string', 'Type': 'string' }, 'FeatureName': 'string', 'EbsVolumeScanDetails': { 'ScanId': 'string', 'ScanStartedAt': datetime(2015, 1, 1), 'ScanCompletedAt': datetime(2015, 1, 1), 'TriggerFindingId': 'string', 'Sources': [ 'string', ], 'ScanDetections': { 'ScannedItemCount': { 'TotalGb': 123, 'Files': 123, 'Volumes': 123 }, 'ThreatsDetectedItemCount': { 'Files': 123 }, 'HighestSeverityThreatDetails': { 'Severity': 'string', 'ThreatName': 'string', 'Count': 123 }, 'ThreatDetectedByName': { 'ItemCount': 123, 'UniqueThreatNameCount': 123, 'Shortened': True|False, 'ThreatNames': [ { 'Name': 'string', 'Severity': 'string', 'ItemCount': 123, 'FilePaths': [ { 'FilePath': 'string', 'VolumeArn': 'string', 'Hash': 'string', 'FileName': 'string' }, ] }, ] } }, 'ScanType': 'GUARDDUTY_INITIATED'|'ON_DEMAND' }, 'RuntimeDetails': { 'Process': { 'Name': 'string', 'ExecutablePath': 'string', 'ExecutableSha256': 'string', 'NamespacePid': 123, 'Pwd': 'string', 'Pid': 123, 'StartTime': datetime(2015, 1, 1), 'Uuid': 'string', 'ParentUuid': 'string', 'User': 'string', 'UserId': 123, 'Euid': 123, 'Lineage': [ { 'StartTime': datetime(2015, 1, 1), 'NamespacePid': 123, 'UserId': 123, 'Name': 'string', 'Pid': 123, 'Uuid': 'string', 'ExecutablePath': 'string', 'Euid': 123, 'ParentUuid': 'string' }, ] }, 'Context': { 'ModifyingProcess': { 'Name': 'string', 'ExecutablePath': 'string', 'ExecutableSha256': 'string', 'NamespacePid': 123, 'Pwd': 'string', 'Pid': 123, 'StartTime': datetime(2015, 1, 1), 'Uuid': 'string', 'ParentUuid': 'string', 'User': 'string', 'UserId': 123, 'Euid': 123, 'Lineage': [ { 'StartTime': datetime(2015, 1, 1), 'NamespacePid': 123, 'UserId': 123, 'Name': 'string', 'Pid': 123, 'Uuid': 'string', 'ExecutablePath': 'string', 'Euid': 123, 'ParentUuid': 'string' }, ] }, 'ModifiedAt': datetime(2015, 1, 1), 'ScriptPath': 'string', 'LibraryPath': 'string', 'LdPreloadValue': 'string', 'SocketPath': 'string', 'RuncBinaryPath': 'string', 'ReleaseAgentPath': 'string', 'MountSource': 'string', 'MountTarget': 'string', 'FileSystemType': 'string', 'Flags': [ 'string', ], 'ModuleName': 'string', 'ModuleFilePath': 'string', 'ModuleSha256': 'string', 'ShellHistoryFilePath': 'string', 'TargetProcess': { 'Name': 'string', 'ExecutablePath': 'string', 'ExecutableSha256': 'string', 'NamespacePid': 123, 'Pwd': 'string', 'Pid': 123, 'StartTime': datetime(2015, 1, 1), 'Uuid': 'string', 'ParentUuid': 'string', 'User': 'string', 'UserId': 123, 'Euid': 123, 'Lineage': [ { 'StartTime': datetime(2015, 1, 1), 'NamespacePid': 123, 'UserId': 123, 'Name': 'string', 'Pid': 123, 'Uuid': 'string', 'ExecutablePath': 'string', 'Euid': 123, 'ParentUuid': 'string' }, ] }, 'AddressFamily': 'string', 'IanaProtocolNumber': 123, 'MemoryRegions': [ 'string', ], 'ToolName': 'string', 'ToolCategory': 'string', 'ServiceName': 'string', 'CommandLineExample': 'string', 'ThreatFilePath': 'string' } }, 'Detection': { 'Anomaly': { 'Profiles': { 'string': { 'string': [ { 'ProfileType': 'FREQUENCY', 'ProfileSubtype': 'FREQUENT'|'INFREQUENT'|'UNSEEN'|'RARE', 'Observations': { 'Text': [ 'string', ] } }, ] } }, 'Unusual': { 'Behavior': { 'string': { 'string': { 'ProfileType': 'FREQUENCY', 'ProfileSubtype': 'FREQUENT'|'INFREQUENT'|'UNSEEN'|'RARE', 'Observations': { 'Text': [ 'string', ] } } } } } }, 'Sequence': { 'Uid': 'string', 'Description': 'string', 'Actors': [ { 'Id': 'string', 'User': { 'Name': 'string', 'Uid': 'string', 'Type': 'string', 'CredentialUid': 'string', 'Account': { 'Uid': 'string', 'Name': 'string' } }, 'Session': { 'Uid': 'string', 'MfaStatus': 'ENABLED'|'DISABLED', 'CreatedTime': datetime(2015, 1, 1), 'Issuer': 'string' } }, ], 'Resources': [ { 'Uid': 'string', 'Name': 'string', 'AccountId': 'string', 'ResourceType': 'EC2_INSTANCE'|'EC2_NETWORK_INTERFACE'|'S3_BUCKET'|'S3_OBJECT'|'ACCESS_KEY', 'Region': 'string', 'Service': 'string', 'CloudPartition': 'string', 'Tags': [ { 'Key': 'string', 'Value': 'string' }, ], 'Data': { 'S3Bucket': { 'OwnerId': 'string', 'CreatedAt': datetime(2015, 1, 1), 'EncryptionType': 'string', 'EncryptionKeyArn': 'string', 'EffectivePermission': 'string', 'PublicReadAccess': 'BLOCKED'|'ALLOWED', 'PublicWriteAccess': 'BLOCKED'|'ALLOWED', 'AccountPublicAccess': { 'PublicAclAccess': 'BLOCKED'|'ALLOWED', 'PublicPolicyAccess': 'BLOCKED'|'ALLOWED', 'PublicAclIgnoreBehavior': 'IGNORED'|'NOT_IGNORED', 'PublicBucketRestrictBehavior': 'RESTRICTED'|'NOT_RESTRICTED' }, 'BucketPublicAccess': { 'PublicAclAccess': 'BLOCKED'|'ALLOWED', 'PublicPolicyAccess': 'BLOCKED'|'ALLOWED', 'PublicAclIgnoreBehavior': 'IGNORED'|'NOT_IGNORED', 'PublicBucketRestrictBehavior': 'RESTRICTED'|'NOT_RESTRICTED' }, 'S3ObjectUids': [ 'string', ] }, 'Ec2Instance': { 'AvailabilityZone': 'string', 'ImageDescription': 'string', 'InstanceState': 'string', 'IamInstanceProfile': { 'Arn': 'string', 'Id': 'string' }, 'InstanceType': 'string', 'OutpostArn': 'string', 'Platform': 'string', 'ProductCodes': [ { 'Code': 'string', 'ProductType': 'string' }, ], 'Ec2NetworkInterfaceUids': [ 'string', ] }, 'AccessKey': { 'PrincipalId': 'string', 'UserName': 'string', 'UserType': 'string' }, 'Ec2NetworkInterface': { 'Ipv6Addresses': [ 'string', ], 'PrivateIpAddresses': [ { 'PrivateDnsName': 'string', 'PrivateIpAddress': 'string' }, ], 'PublicIp': 'string', 'SecurityGroups': [ { 'GroupId': 'string', 'GroupName': 'string' }, ], 'SubNetId': 'string', 'VpcId': 'string' }, 'S3Object': { 'ETag': 'string', 'Key': 'string', 'VersionId': 'string' } } }, ], 'Endpoints': [ { 'Id': 'string', 'Ip': 'string', 'Domain': 'string', 'Port': 123, 'Location': { 'City': 'string', 'Country': 'string', 'Latitude': 123.0, 'Longitude': 123.0 }, 'AutonomousSystem': { 'Name': 'string', 'Number': 123 }, 'Connection': { 'Direction': 'INBOUND'|'OUTBOUND' } }, ], 'Signals': [ { 'Uid': 'string', 'Type': 'FINDING'|'CLOUD_TRAIL'|'S3_DATA_EVENTS', 'Description': 'string', 'Name': 'string', 'CreatedAt': datetime(2015, 1, 1), 'UpdatedAt': datetime(2015, 1, 1), 'FirstSeenAt': datetime(2015, 1, 1), 'LastSeenAt': datetime(2015, 1, 1), 'Severity': 123.0, 'Count': 123, 'ResourceUids': [ 'string', ], 'ActorIds': [ 'string', ], 'EndpointIds': [ 'string', ], 'SignalIndicators': [ { 'Key': 'SUSPICIOUS_USER_AGENT'|'SUSPICIOUS_NETWORK'|'MALICIOUS_IP'|'TOR_IP'|'ATTACK_TACTIC'|'HIGH_RISK_API'|'ATTACK_TECHNIQUE'|'UNUSUAL_API_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_USER', 'Values': [ 'string', ], 'Title': 'string' }, ] }, ], 'SequenceIndicators': [ { 'Key': 'SUSPICIOUS_USER_AGENT'|'SUSPICIOUS_NETWORK'|'MALICIOUS_IP'|'TOR_IP'|'ATTACK_TACTIC'|'HIGH_RISK_API'|'ATTACK_TECHNIQUE'|'UNUSUAL_API_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_ACCOUNT'|'UNUSUAL_ASN_FOR_USER', 'Values': [ 'string', ], 'Title': 'string' }, ] } }, 'MalwareScanDetails': { 'Threats': [ { 'Name': 'string', 'Source': 'string', 'ItemPaths': [ { 'NestedItemPath': 'string', 'Hash': 'string' }, ] }, ] } }, 'Severity': 123.0, 'Title': 'string', 'Type': 'string', 'UpdatedAt': 'string', 'AssociatedAttackSequenceArn': 'string' }, ] }
Response Structure
# This section is too large to render. # Please see the AWS API Documentation linked below.
Exceptions
GuardDuty.Client.exceptions.BadRequestException
GuardDuty.Client.exceptions.InternalServerErrorException