Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ergebnisse filtern in GuardDuty
Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole erstellen, oder Sie können sie mit dem CreateFilterAPI mit JSON. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln in GuardDuty.
Filtersatz in der GuardDuty Konsole erstellen und speichern
Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.
Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:
-
GuardDuty unterstützt keine Platzhalter für Filterkriterien.
-
Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.
-
Wenn Sie den Operator „Gleich“ oder „Entspricht nicht“ verwenden, um nach einem Attributwert wie der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.
-
Jedes Filterkriterienattribut wird als
AND
-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden alsAND/OR
ausgewertet.
So erstellen und speichern Sie Filterkriterien (Konsole)
Melden Sie sich bei der an AWS Management Console und öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/
. -
Wählen Sie im linken Navigationsbereich Findings aus.
-
Wählen Sie auf der Seite Ergebnisse die Leiste Ergebnisse filtern neben dem Menü Gespeicherte Regeln aus. Daraufhin wird eine erweiterte Liste von Eigenschaftenfiltern angezeigt.
-
Wählen Sie aus der erweiterten Filterliste ein Attribut aus, auf dessen Grundlage Sie die Ergebnistabelle filtern möchten.
Um beispielsweise Ergebnisse anzuzeigen, bei denen es sich bei der potenziell betroffenen Ressource um einen S3-Bucket handelt, wählen Sie Ressourcentyp aus.
-
Wählen Sie für Operatoren einen Operator aus, der Ihnen hilft, die Ergebnisse zu filtern, um das gewünschte Ergebnis zu erzielen. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, wählen Sie Ressourcentyp =. Daraufhin wird eine Liste der Ressourcentypen in angezeigt GuardDuty.
Wenn Ihr Anwendungsfall das Ausschließen bestimmter Ergebnisse erfordert, können Sie „Entspricht nicht“ oder „!“ wählen. = Operator.
-
Geben Sie den Wert für den ausgewählten Eigenschaftenfilter an. Wählen Sie bei Bedarf Anwenden aus. Um mit dem Beispiel aus dem vorherigen Schritt fortzufahren, können Sie S3Bucket wählen.
Dadurch werden die Ergebnisse angezeigt, die mit den angewendeten Filtern übereinstimmen.
-
Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 3-6.
Eine vollständige Liste der Attribute finden Sie unterEigenschaften filtern in GuardDuty.
-
(Optional) Speichern Sie die angegebenen Attribute und Werte als Filter
Um diese Filterkombination in future erneut anzuwenden, können Sie die angegebenen Attribute und ihre Werte als Filtersatz speichern.
-
Nachdem Sie ein Filterkriterium mit einem oder mehreren Eigenschaftsfiltern erstellt haben, wählen Sie den Pfeil im Menü Filter löschen aus.
-
Geben Sie den Namen des Filtersatzes ein. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (_).
-
Die Beschreibung ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen enthalten.
-
Wählen Sie Create (Erstellen) aus.
-
Eigenschaften filtern in GuardDuty
Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.
Konsolen-Feldname |
JSON-Feldname |
---|---|
Konto-ID |
accountId |
Die ID des Ergebnisses |
id |
Region |
Region |
Schweregrad |
severity Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unterSchweregrad der Ergebnisse GuardDuty . Wenn Sie |
Ergebnistyp |
Typ |
Aktualisiert um |
updatedAt |
Access Key ID |
Ressource. accessKeyDetails. accessKeyId |
Haupt-ID |
Ressource. accessKeyDetails. principalId |
Username |
Ressource. accessKeyDetails. userName |
Benutzertyp |
Ressource. accessKeyDetails. Benutzertyp |
ID des IAM-Instance-Profils |
Ressource.Instanzdetails. iamInstanceProfile.id |
Instance-ID |
resource.instanceDetails.instanceId |
ID des Instance-Image |
resource.instanceDetails.imageId |
Instance-Tag-Schlüssel |
resource.instanceDetails.tags.key |
Instance-Tag-Wert |
resource.instanceDetails.tags.value |
IPv6 Adresse |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
Private IPv4 Adresse |
Resource.Instanzdetails.Netzwerkschnittstellen. privateIpAddresses. privateIpAddress |
Öffentlicher DNS-Name |
Resource.InstanceDetails.Netzwerkschnittstellen. publicDnsName |
Öffentliche IP |
resource.instanceDetails.networkInterfaces.publicIp |
Sicherheitsgruppen-ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
Name der Sicherheitsgruppe |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
Subnetz-ID |
resource.instanceDetails.networkInterfaces.subnetId |
VPC-ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost-ARN |
resource.instanceDetails.outpostARN |
Ressourcentyp |
resource.resourceType |
Bucket-Berechtigungen |
resource.s3 .publicAccess.EffectivePermission BucketDetails |
Bucket-Name |
resource.s3 BucketDetails .name |
Bucket-Tag-Schlüssel |
resource.s3 BucketDetails .tags.key |
Bucket-Tag-Wert |
resource.s3 BucketDetails .tags.value |
Bucket-Typ |
resource.s3 BucketDetails .type |
Aktionstyp |
service.action.actionType |
Aufgerufene API |
dienste.aktion. awsApiCallAktion.API |
API-Aufrufertyp |
Service.Aktion. awsApiCallAktion.Anrufertyp |
API-Fehlercode |
dienst.aktion. awsApiCallAktion.Fehlercode |
Stadt des API-Aufrufers |
Service.Aktion. awsApiCallAktion. remoteIpDetails.Stadt.Stadtname |
Land des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteIpDetails. Land.Ländername |
Adresse des API-Anrufers IPv4 |
service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse v4 |
Adresse des API-Anrufers IPv6 |
service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse V6 |
ASN-ID des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteIpDetails.organization.asn |
ASN-Name des API-Aufrufers |
dienste.aktion. awsApiCallAktion. remoteIpDetails. Organisation. ASNORG |
Servicename des API-Aufrufers |
Service.Aktion. awsApiCallAktion.Dienstname |
DNS-Anforderungs-Domain |
dienst.aktion. dnsRequestAction.domäne |
Domainsuffix der DNS-Anforderung |
service.action. dnsRequestAction. domainWithSuffix |
Netzwerkverbindung blockiert |
Service.Aktion. networkConnectionAction. blockiert |
Netzwerkverbindungsrichtung |
Service.Aktion. networkConnectionAction. Verbindungsrichtung |
Netzwerkverbindung lokaler Port |
dienst.aktion. networkConnectionAction. localPortDetails. Hafen |
Netzwerkverbindungsprotokoll |
Service.Aktion. networkConnectionAction. Protokoll |
Netzwerkverbindung Stadt |
Service.Aktion. networkConnectionAction. remoteIpDetails.Stadt.Stadtname |
Netzwerkverbindung Land |
dienst.aktion. networkConnectionAction. remoteIpDetails. Land.Landesname |
Remote-Adresse der Netzwerkverbindung IPv4 |
service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v4 |
Remote-Adresse der Netzwerkverbindung IPv6 |
service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v6 |
Remote IP ASN-ID der Netzwerkverbindung |
dienst.aktion. networkConnectionAction. remoteIpDetails.organisation.asn |
Remote IP ASN-Name der Netzwerkverbindung |
dienste.aktion. networkConnectionAction. remoteIpDetails. Organisation. ASNORG |
Remote-Port der Netzwerkverbindung |
Service.Aktion. networkConnectionAction. remotePortDetails. Hafen |
Remote-Konto zugeordnet |
Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert |
Adresse des Kubernetes-API-Anrufers IPv4 |
service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse v4 |
Adresse des Kubernetes-API-Aufrufers IPv6 |
service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse V6 |
Kubernetes-Namespace |
dienst.aktion. kubernetesApiCallAktion.Namespace |
ASN-ID des Kubernetes-API-Aufrufers |
dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn |
URI für die Kubernetes-API-Aufrufanforderung |
dienste.aktion. kubernetesApiCallAktion.Anforderungs-URI |
Kubernetes-API-Statuscode |
dienst.aktion. kubernetesApiCallAktion.Statuscode |
Lokale Adresse der Netzwerkverbindung IPv4 |
service.action. networkConnectionAction. localIpDetails. IP-Adresse v4 |
Lokale Adresse der Netzwerkverbindung IPv6 |
service.action. networkConnectionAction. localIpDetails. IP-Adresse v6 |
Protokoll |
dienst.aktion. networkConnectionAction. Protokoll |
Servicename des API-Aufrufs |
Service.Aktion. awsApiCallAktion.Dienstname |
Konto-ID des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteAccountDetails. accountId |
Name der Bedrohungsliste |
Service. Zusätzliche Informationen. threatListName |
Ressourcenrolle |
service.resourceRole |
EKS-Cluster-Name |
Ressource. eksClusterDetails.name |
Name des Kubernetes-Workloads |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.name |
Namespace des Kubernetes-Workloads |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails. Namespace |
Kubernetes-Benutzername |
Resource.KubernetesEinzelheiten. kubernetesUserDetails. Nutzername |
Kubernetes-Container-Image |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.image |
Kubernetes-Container-Image-Präfix |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.imagePräfix |
Scan-ID |
Dienst. ebsVolumeScanEinzelheiten. ScanID |
Name der Bedrohung durch EBS Volume Scan |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Name |
Name der Bedrohung durch S3-Objektscan |
Dienst. malwareScanDetails.bedrohungen.name |
Schweregrad der Bedrohung |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Schweregrad |
Datei-SHA |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.FilePaths.Hash |
ECS-Cluster-Name |
Ressource. ecsClusterDetails.name |
ECS-Container-Image |
Ressource. ecsClusterDetails.taskdetails.containers.image |
ARN der ECS-Aufgabendefinition |
Ressource. ecsClusterDetails.taskdetails.definitionARN |
Eigenständiges Container-Image |
resource.containerDetails.image |
Datenbank-Instance-ID |
Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier |
Datenbank-Cluster-ID |
Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier |
Datenbank-Engine |
Ressource. rdsDbInstanceEinzelheiten. Motor |
Datenbankbenutzer |
Ressource. rdsDbUserEinzelheiten. Benutzer |
Tag-Schlüssel der Datenbank-Instance |
Ressource. rdsDbInstancedetails.tags.key |
Tag-Wert der Datenbank-Instance |
Ressource. rdsDbInstanceDetails.Tags.Wert |
Ausführbare SHA-256 |
service.runtimeDetails.process.executableSha256 |
Prozessname |
service.runtimeDetails.process.name |
Pfad der ausführbaren Datei |
service.runtimeDetails.process.executablePath |
Lambda-Funktionsname |
resource.lambdaDetails.functionName |
ARN der Lambda-Funktion |
resource.lambdaDetails.functionArn |
Lambda-Funktions-Tag-Schlüssel |
resource.lambdaDetails.tags.key |
Tag-Wert der Lambda-Funktion |
resource.lambdaDetails.tags.value |
DNS-Anforderungs-Domain |
Service.Aktion. dnsRequestAction. domainWithSuffix |