Ergebnisse filtern in GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ergebnisse filtern in GuardDuty

Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole erstellen, oder Sie können sie mit dem CreateFilterAPI mit JSON. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln in GuardDuty.

Filtersatz in der GuardDuty Konsole erstellen und speichern

Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.

Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:

  • GuardDuty unterstützt keine Platzhalter für Filterkriterien.

  • Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.

  • Wenn Sie den Operator „Gleich“ oder „Entspricht nicht“ verwenden, um nach einem Attributwert wie der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.

  • Jedes Filterkriterienattribut wird als AND-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden als AND/OR ausgewertet.

So erstellen und speichern Sie Filterkriterien (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im linken Navigationsbereich Findings aus.

  3. Wählen Sie auf der Seite Ergebnisse die Leiste Ergebnisse filtern neben dem Menü Gespeicherte Regeln aus. Daraufhin wird eine erweiterte Liste von Eigenschaftenfiltern angezeigt.

    Auswahl von Eigenschaftsfiltern zum Filtern der Ergebnisse in der GuardDuty Konsole.
  4. Wählen Sie aus der erweiterten Filterliste ein Attribut aus, auf dessen Grundlage Sie die Ergebnistabelle filtern möchten.

    Um beispielsweise Ergebnisse anzuzeigen, bei denen es sich bei der potenziell betroffenen Ressource um einen S3-Bucket handelt, wählen Sie Ressourcentyp aus.

  5. Wählen Sie für Operatoren einen Operator aus, der Ihnen hilft, die Ergebnisse zu filtern, um das gewünschte Ergebnis zu erzielen. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, wählen Sie Ressourcentyp =. Daraufhin wird eine Liste der Ressourcentypen in angezeigt GuardDuty.

    Wählen Sie den Operator ist gleich oder ungleich, um die Ergebnisse in GuardDuty der Konsole zu filtern.

    Wenn Ihr Anwendungsfall das Ausschließen bestimmter Ergebnisse erfordert, können Sie „Entspricht nicht“ oder „!“ wählen. = Operator.

  6. Geben Sie den Wert für den ausgewählten Eigenschaftenfilter an. Wählen Sie bei Bedarf Anwenden aus. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, können Sie S3Bucket wählen.

    Dadurch werden die Ergebnisse angezeigt, die mit den angewendeten Filtern übereinstimmen.

  7. Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 3-6.

    Eine vollständige Liste der Attribute finden Sie unterEigenschaften filtern in GuardDuty.

  8. (Optional) Speichern Sie die angegebenen Attribute und Werte als Filter

    Um diese Filterkombination in future erneut anzuwenden, können Sie die angegebenen Attribute und ihre Werte als Filtersatz speichern.

    1. Nachdem Sie ein Filterkriterium mit einem oder mehreren Eigenschaftsfiltern erstellt haben, wählen Sie den Pfeil im Menü Filter löschen aus.

      Speichern Sie einen Filtersatz in der GuardDuty Konsole, um die Ergebnisse erneut filtern zu können.
    2. Geben Sie den Namen des Filtersatzes ein. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (_).

    3. Die Beschreibung ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen enthalten.

    4. Wählen Sie Create (Erstellen) aus.

Eigenschaften filtern in GuardDuty

Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.

Konsolen-Feldname

JSON-Feldname

Konto-ID

accountId

Die ID des Ergebnisses

id

Region

Region

Schweregrad

severity

Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unterSchweregrad der Ergebnisse GuardDuty . Wenn Sie severity zusammen mit API AWS CLI, oder verwenden AWS CloudFormation, wird ihr ein numerischer Wert zugewiesen. Weitere Informationen finden Sie unter FindingCriteria in der Amazon GuardDuty API-Referenz.

Ergebnistyp

Typ

Aktualisiert um

updatedAt

Access Key ID

Ressource. accessKeyDetails. accessKeyId

Haupt-ID

Ressource. accessKeyDetails. principalId

Username

Ressource. accessKeyDetails. userName

Benutzertyp

Ressource. accessKeyDetails. Benutzertyp

ID des IAM-Instance-Profils

Ressource.Instanzdetails. iamInstanceProfile.id

Instance-ID

resource.instanceDetails.instanceId

ID des Instance-Image

resource.instanceDetails.imageId

Instance-Tag-Schlüssel

resource.instanceDetails.tags.key

Instance-Tag-Wert

resource.instanceDetails.tags.value

IPv6 Adresse

resource.instanceDetails.networkInterfaces.ipv6Addresses

Private IPv4 Adresse

Resource.Instanzdetails.Netzwerkschnittstellen. privateIpAddresses. privateIpAddress

Öffentlicher DNS-Name

Resource.InstanceDetails.Netzwerkschnittstellen. publicDnsName

Öffentliche IP

resource.instanceDetails.networkInterfaces.publicIp

Sicherheitsgruppen-ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

Name der Sicherheitsgruppe

resource.instanceDetails.networkInterfaces.securityGroups.groupName

Subnetz-ID

resource.instanceDetails.networkInterfaces.subnetId

VPC-ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost-ARN

resource.instanceDetails.outpostARN

Ressourcentyp

resource.resourceType

Bucket-Berechtigungen

resource.s3 .publicAccess.EffectivePermission BucketDetails

Bucket-Name

resource.s3 BucketDetails .name

Bucket-Tag-Schlüssel

resource.s3 BucketDetails .tags.key

Bucket-Tag-Wert

resource.s3 BucketDetails .tags.value

Bucket-Typ

resource.s3 BucketDetails .type

Aktionstyp

service.action.actionType

Aufgerufene API

dienste.aktion. awsApiCallAktion.API

API-Aufrufertyp

Service.Aktion. awsApiCallAktion.Anrufertyp

API-Fehlercode

dienst.aktion. awsApiCallAktion.Fehlercode

Stadt des API-Aufrufers

Service.Aktion. awsApiCallAktion. remoteIpDetails.Stadt.Stadtname

Land des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteIpDetails. Land.Ländername

Adresse des API-Anrufers IPv4

service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse v4

Adresse des API-Anrufers IPv6

service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse V6

ASN-ID des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteIpDetails.organization.asn

ASN-Name des API-Aufrufers

dienste.aktion. awsApiCallAktion. remoteIpDetails. Organisation. ASNORG

Servicename des API-Aufrufers

Service.Aktion. awsApiCallAktion.Dienstname

DNS-Anforderungs-Domain

dienst.aktion. dnsRequestAction.domäne

Domainsuffix der DNS-Anforderung

service.action. dnsRequestAction. domainWithSuffix

Netzwerkverbindung blockiert

Service.Aktion. networkConnectionAction. blockiert

Netzwerkverbindungsrichtung

Service.Aktion. networkConnectionAction. Verbindungsrichtung

Netzwerkverbindung lokaler Port

dienst.aktion. networkConnectionAction. localPortDetails. Hafen

Netzwerkverbindungsprotokoll

Service.Aktion. networkConnectionAction. Protokoll

Netzwerkverbindung Stadt

Service.Aktion. networkConnectionAction. remoteIpDetails.Stadt.Stadtname

Netzwerkverbindung Land

dienst.aktion. networkConnectionAction. remoteIpDetails. Land.Landesname

Remote-Adresse der Netzwerkverbindung IPv4

service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v4

Remote-Adresse der Netzwerkverbindung IPv6

service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v6

Remote IP ASN-ID der Netzwerkverbindung

dienst.aktion. networkConnectionAction. remoteIpDetails.organisation.asn

Remote IP ASN-Name der Netzwerkverbindung

dienste.aktion. networkConnectionAction. remoteIpDetails. Organisation. ASNORG

Remote-Port der Netzwerkverbindung

Service.Aktion. networkConnectionAction. remotePortDetails. Hafen

Remote-Konto zugeordnet

Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert

Adresse des Kubernetes-API-Anrufers IPv4

service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse v4

Adresse des Kubernetes-API-Aufrufers IPv6

service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse V6

Kubernetes-Namespace

dienst.aktion. kubernetesApiCallAktion.Namespace

ASN-ID des Kubernetes-API-Aufrufers

dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn

URI für die Kubernetes-API-Aufrufanforderung

dienste.aktion. kubernetesApiCallAktion.Anforderungs-URI

Kubernetes-API-Statuscode

dienst.aktion. kubernetesApiCallAktion.Statuscode

Lokale Adresse der Netzwerkverbindung IPv4

service.action. networkConnectionAction. localIpDetails. IP-Adresse v4

Lokale Adresse der Netzwerkverbindung IPv6

service.action. networkConnectionAction. localIpDetails. IP-Adresse v6

Protokoll

dienst.aktion. networkConnectionAction. Protokoll

Servicename des API-Aufrufs

Service.Aktion. awsApiCallAktion.Dienstname

Konto-ID des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteAccountDetails. accountId

Name der Bedrohungsliste

Service. Zusätzliche Informationen. threatListName

Ressourcenrolle

service.resourceRole

EKS-Cluster-Name

Ressource. eksClusterDetails.name

Name des Kubernetes-Workloads

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.name

Namespace des Kubernetes-Workloads

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails. Namespace

Kubernetes-Benutzername

Resource.KubernetesEinzelheiten. kubernetesUserDetails. Nutzername

Kubernetes-Container-Image

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.image

Kubernetes-Container-Image-Präfix

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.imagePräfix

Scan-ID

Dienst. ebsVolumeScanEinzelheiten. ScanID

Name der Bedrohung durch EBS Volume Scan

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Name

Name der Bedrohung durch S3-Objektscan

Dienst. malwareScanDetails.bedrohungen.name

Schweregrad der Bedrohung

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Schweregrad

Datei-SHA

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.FilePaths.Hash

ECS-Cluster-Name

Ressource. ecsClusterDetails.name

ECS-Container-Image

Ressource. ecsClusterDetails.taskdetails.containers.image

ARN der ECS-Aufgabendefinition

Ressource. ecsClusterDetails.taskdetails.definitionARN

Eigenständiges Container-Image

resource.containerDetails.image

Datenbank-Instance-ID

Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier

Datenbank-Cluster-ID

Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier

Datenbank-Engine

Ressource. rdsDbInstanceEinzelheiten. Motor

Datenbankbenutzer

Ressource. rdsDbUserEinzelheiten. Benutzer

Tag-Schlüssel der Datenbank-Instance

Ressource. rdsDbInstancedetails.tags.key

Tag-Wert der Datenbank-Instance

Ressource. rdsDbInstanceDetails.Tags.Wert

Ausführbare SHA-256

service.runtimeDetails.process.executableSha256

Prozessname

service.runtimeDetails.process.name

Pfad der ausführbaren Datei

service.runtimeDetails.process.executablePath

Lambda-Funktionsname

resource.lambdaDetails.functionName

ARN der Lambda-Funktion

resource.lambdaDetails.functionArn

Lambda-Funktions-Tag-Schlüssel

resource.lambdaDetails.tags.key

Tag-Wert der Lambda-Funktion

resource.lambdaDetails.tags.value

DNS-Anforderungs-Domain

Service.Aktion. dnsRequestAction. domainWithSuffix