GuardDuty ejemplos que utilizan AWS CLI - AWS Command Line Interface

Esta documentación es AWS CLI únicamente para la versión 1 de la versión. Para ver la documentación relacionada con la versión 2 de AWS CLI, consulte la Guía del usuario de la versión 2.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty ejemplos que utilizan AWS CLI

Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso del AWS Command Line Interface with GuardDuty.

Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.

Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.

Acciones

En el siguiente ejemplo de código se muestra cómo usarloaccept-invitation.

AWS CLI

Para aceptar una invitación para convertirse en una cuenta GuardDuty miembro en la región actual

El siguiente accept-invitation ejemplo muestra cómo aceptar una invitación para convertirse en una cuenta de GuardDuty miembro en la región actual.

aws guardduty accept-invitation \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --master-id 123456789111 \ --invitation-id d6b94fb03a66ff665f7db8764example

Este comando no genera ninguna salida.

Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte AcceptInvitationla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarloarchive-findings.

AWS CLI

Para archivar las conclusiones de la región actual

En este ejemplo, se muestra cómo archivar los hallazgos en la región actual.

aws guardduty archive-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

Este comando no genera ninguna salida.

Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ArchiveFindingsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-detector.

AWS CLI

Para habilitar GuardDuty en la región actual

En este ejemplo se muestra cómo crear un nuevo detector, que lo habilite GuardDuty, en la región actual. :

aws guardduty create-detector \ --enable

Salida:

{ "DetectorId": "b6b992d6d2f48e64bc59180bfexample" }

Para obtener más información, consulta Habilitar Amazon GuardDuty en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateDetectorla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-filter.

AWS CLI

Para crear un filtro nuevo para la región actual

En este ejemplo, se crea un filtro que coincide con todos los resultados del escaneo de puertos, por ejemplo, los creados a partir de una imagen específica. :

aws guardduty create-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --action ARCHIVE \ --name myFilter \ --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

Salida:

{ "Name": "myFilter" }

Para obtener más información, consulte Filtrar los resultados en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateFilterla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-ip-set.

AWS CLI

Para crear un conjunto de direcciones IP de confianza

El siguiente create-ip-set ejemplo crea y activa un conjunto de direcciones IP de confianza en la región actual.

aws guardduty create-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --name new-ip-set \ --format TXT --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv --activate

Salida:

{ "IpSetId": "d4b94fc952d6912b8f3060768example" }

Para obtener más información, consulte Trabajar con listas de IP confiables y listas de amenazas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateIpSetla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-members.

AWS CLI

Para asociar un nuevo miembro a su cuenta GuardDuty principal en la región actual.

En este ejemplo se muestra cómo asociar las cuentas de los miembros para que las administre la cuenta corriente como GuardDuty maestra.

aws guardduty create-members --detector-id b6b992d6d2f48e64bc59180bfexample \ --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar varias cuentas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateMembersla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-publishing-destination.

AWS CLI

Para crear un destino de publicación al que exportar GuardDuty los resultados de la región actual.

En este ejemplo se muestra cómo crear un destino de publicación para GuardDuty los hallazgos.

aws guardduty create-publishing-destination \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --destination-type S3 \ --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

Salida:

{ "DestinationId": "46b99823849e1bbc242dfbe3cexample" }

Para obtener más información, consulte Exportación de los resultados en la Guía del GuardDuty usuario.

En el siguiente ejemplo de código se muestra cómo usarlocreate-sample-findings.

AWS CLI

Para crear ejemplos de GuardDuty hallazgos en la región actual.

En este ejemplo se muestra cómo crear un resultado de muestra de los tipos proporcionados.

aws guardduty create-sample-findings \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

Este comando no genera ninguna salida.

Para obtener más información, consulte Ejemplos de resultados en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateSampleFindingsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlocreate-threat-intel-set.

AWS CLI

Para crear un nuevo conjunto de información sobre amenazas en la región actual.

En este ejemplo se muestra cómo cargar un conjunto de información sobre amenazas GuardDuty y activarlo inmediatamente.

aws guardduty create-threat-intel-set \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --name myThreatSet \ --format TXT \ --location s3://EXAMPLEBUCKET/threatlist.csv \ --activate

Salida:

{ "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample" }

Para obtener más información, consulte IP de confianza y listas de amenazas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte CreateThreatIntelSetla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlodecline-invitations.

AWS CLI

Rechazar una invitación para que Guardduty sea gestionado por otra cuenta de la región actual.

En este ejemplo se muestra cómo rechazar una invitación de membresía.

aws guardduty decline-invitations \ --account-ids 111122223333

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte DeclineInvitationsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlodelete-detector.

AWS CLI

Para eliminar un detector e inhabilitarlo GuardDuty en la región actual.

En este ejemplo se muestra cómo eliminar un detector. Si se elimina correctamente, se desactivará GuardDuty en la región asociada a ese detector.

aws guardduty delete-detector \ --detector-id b6b992d6d2f48e64bc59180bfexample

Este comando no genera ninguna salida.

Para obtener más información, consulte Suspender o deshabilitar GuardDuty en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte la Referencia DeleteDetectorde AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlodelete-filter.

AWS CLI

Para eliminar un filtro existente en la región actual

En este ejemplo se muestra cómo crear y eliminar un filtro.

aws guardduty delete-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --filter-name byebyeFilter

Este comando no genera ninguna salida.

Para obtener más información, consulte Filtrar los resultados en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte DeleteFilterla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlodisable-organization-admin-account.

AWS CLI

Para eliminar una cuenta como administrador delegado de GuardDuty su organización

En este ejemplo se muestra cómo eliminar una cuenta como administrador delegado de. GuardDuty

aws guardduty disable-organization-admin-account \ --admin-account-id 111122223333

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas con AWS organizaciones en la Guía del GuardDuty usuario.

En el siguiente ejemplo de código se muestra cómo usarlodisassociate-from-master-account.

AWS CLI

Para desasociarse de su cuenta principal actual en la región actual

El siguiente disassociate-from-master-account ejemplo disocia su cuenta de la cuenta GuardDuty maestra actual de la región actual. AWS

aws guardduty disassociate-from-master-account \ --detector-id d4b040365221be2b54a6264dcexample

Este comando no genera ninguna salida.

Para obtener más información, consulte Descripción de la relación entre las cuentas GuardDuty principales y las cuentas de los miembros en la Guía del GuardDuty usuario.

En el siguiente ejemplo de código se muestra cómo usarloget-detector.

AWS CLI

Para recuperar los detalles de un detector específico

En el siguiente get-detector ejemplo, se muestran los detalles de configuración del detector especificado.

aws guardduty get-detector \ --detector-id 12abc34d567e8fa901bc2d34eexample

Salida:

{ "Status": "ENABLED", "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Tags": {}, "FindingPublishingFrequency": "SIX_HOURS", "UpdatedAt": "2018-11-07T03:24:22.938Z", "CreatedAt": "2017-12-22T22:51:31.940Z" }

Para obtener más información, consulte Conceptos y terminología en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte GetDetectorla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarloget-findings.

AWS CLI

Ejemplo 1: Para recuperar los detalles de un hallazgo específico

En el siguiente get-findings ejemplo, se recuperan todos JSON los detalles de la búsqueda especificada.

aws guardduty get-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-id 1ab92989eaf0e742df4a014d5example

Salida:

{ "Findings": [ { "Resource": { "ResourceType": "AccessKey", "AccessKeyDetails": { "UserName": "testuser", "UserType": "IAMUser", "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE", "AccessKeyId": "ASIASZ4SI7REEEXAMPLE" } }, "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.", "Service": { "Count": 5, "Archived": false, "ServiceName": "guardduty", "EventFirstSeen": "2020-05-26T22:02:24Z", "ResourceRole": "TARGET", "EventLastSeen": "2020-05-26T22:33:55Z", "DetectorId": "d4b040365221be2b54a6264dcexample", "Action": { "ActionType": "AWS_API_CALL", "AwsApiCallAction": { "RemoteIpDetails": { "GeoLocation": { "Lat": 51.5164, "Lon": -0.093 }, "City": { "CityName": "London" }, "IpAddressV4": "52.94.36.7", "Organization": { "Org": "Amazon.com", "Isp": "Amazon.com", "Asn": "16509", "AsnOrg": "AMAZON-02" }, "Country": { "CountryName": "United Kingdom" } }, "Api": "ListPolicyVersions", "ServiceName": "iam.amazonaws.com", "CallerType": "Remote IP" } } }, "Title": "Unusual user permission reconnaissance activity by testuser.", "Type": "Recon:IAMUser/UserPermissions", "Region": "us-east-1", "Partition": "aws", "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example", "UpdatedAt": "2020-05-26T22:55:21.703Z", "SchemaVersion": "2.0", "Severity": 5, "Id": "1ab92989eaf0e742df4a014d5example", "CreatedAt": "2020-05-26T22:21:48.385Z", "AccountId": "111122223333" } ] }

Para obtener más información, consulte las conclusiones de la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte GetFindingsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarloget-ip-set.

AWS CLI

Para obtener una lista, obtenga detalles sobre un conjunto de direcciones IP de confianza específico

El siguiente get-ip-set ejemplo muestra el estado y los detalles del conjunto de direcciones IP de confianza especificado.

aws guardduty get-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example

Salida:

{ "Status": "ACTIVE", "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv", "Tags": {}, "Format": "TXT", "Name": "test-ip-set" }

Para obtener más información, consulte Trabajar con listas de direcciones IP confiables y listas de amenazas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte GetIpSetla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarloget-master-account.

AWS CLI

Para recuperar detalles sobre su cuenta maestra en la región actual

El siguiente get-master-account ejemplo muestra el estado y los detalles de la cuenta maestra asociada al detector en la región actual.

aws guardduty get-master-account \ --detector-id 12abc34d567e8fa901bc2d34eexample

Salida:

{ "Master": { "InvitationId": "04b94d9704854a73f94e061e8example", "InvitedAt": "2020-06-09T22:23:04.970Z", "RelationshipStatus": "Enabled", "AccountId": "123456789111" } }

Para obtener más información, consulte Comprensión de la relación entre las cuentas GuardDuty principales y las cuentas de los miembros en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte GetMasterAccountla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlolist-detectors.

AWS CLI

Para enumerar los detectores disponibles en la región actual

En el siguiente list-detectors ejemplo, se enumeran los detectores disponibles en AWS la región actual.

aws guardduty list-detectors

Salida:

{ "DetectorIds": [ "12abc34d567e8fa901bc2d34eexample" ] }

Para obtener más información, consulte Conceptos y terminología en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ListDetectorsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlolist-findings.

AWS CLI

Ejemplo 1: Para enumerar todos los resultados de la región actual

En el siguiente list-findings ejemplo, se muestra una lista de todos findingIds los datos de la región actual ordenados por gravedad, de mayor a menor.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

Salida:

{ "FindingIds": [ "04b8ab50fd29c64fc771b232dexample", "5ab8ab50fd21373735c826d3aexample", "90b93de7aba69107f05bbe60bexample", ... ] }

Para obtener más información, consulte las conclusiones de la Guía GuardDuty del usuario.

Ejemplo 2: Para enumerar los hallazgos de la región actual que coincidan con un criterio de hallazgo específico

En el siguiente list-findings ejemplo, se muestra una lista de todos los findingIds que coinciden con un tipo de búsqueda especificado.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

Salida:

{ "FindingIds": [ "90b93de7aba69107f05bbe60bexample", "6eb9430d7023d30774d6f05e3example", "2eb91a2d060ac9a21963a5848example", "44b8ab50fd2b0039a9e48f570example", "9eb8ab4cd2b7e5b66ba4f5e96example", "e0b8ab3a38e9b0312cc390ceeexample" ] }

Para obtener más información, consulte las conclusiones de la Guía GuardDuty del usuario.

Ejemplo 3: Listar los hallazgos de la región actual que coinciden con un conjunto específico de criterios de búsqueda definidos en un JSON archivo

En el siguiente list-findings ejemplo, se muestra una lista de todos los archivos findingIds que no están archivados e incluyen al IAM usuario denominado «testuser», tal como se especifica en un JSON archivo.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria file://myfile.json

Contenidos de myfile.json:

{"Criterion": { "resource.accessKeyDetails.userName":{ "Eq":[ "testuser" ] }, "service.archived": { "Eq": [ "false" ] } } }

Salida:

{ "FindingIds": [ "1ab92989eaf0e742df4a014d5example" ] }

Para obtener más información, consulte las conclusiones de la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ListFindingsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlolist-invitations.

AWS CLI

Para enumerar los detalles de sus invitaciones para convertirse en miembro de la cuenta en la región actual

En el siguiente list-invitations ejemplo, se enumeran los detalles y los estados de sus invitaciones para convertirse en una cuenta de GuardDuty miembro en la región actual.

aws guardduty list-invitations

Salida:

{ "Invitations": [ { "InvitationId": "d6b94fb03a66ff665f7db8764example", "InvitedAt": "2020-06-10T17:56:38.221Z", "RelationshipStatus": "Invited", "AccountId": "123456789111" } ] }

Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ListInvitationsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlolist-ip-sets.

AWS CLI

Para enumerar los conjuntos de IP de confianza de la región actual

En el siguiente list-ip-sets ejemplo, se enumeran los conjuntos de IP de confianza de AWS la región actual.

aws guardduty list-ip-sets \ --detector-id 12abc34d567e8fa901bc2d34eexample

Salida:

{ "IpSetIds": [ "d4b94fc952d6912b8f3060768example" ] }

Para obtener más información, consulte Trabajar con listas de IP confiables y listas de amenazas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ListIpSetsla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarlolist-members.

AWS CLI

Para ver una lista de todos los miembros de la región actual

En el siguiente list-members ejemplo, se enumeran todas las cuentas de los miembros y sus detalles de la región actual.

aws guardduty list-members \ --detector-id 12abc34d567e8fa901bc2d34eexample

Salida:

{ "Members": [ { "RelationshipStatus": "Enabled", "InvitedAt": "2020-06-09T22:49:00.910Z", "MasterId": "123456789111", "DetectorId": "7ab8b2f61b256c87f793f6a86example", "UpdatedAt": "2020-06-09T23:08:22.512Z", "Email": "your+member@example.com", "AccountId": "123456789222" } ] }

Para obtener más información, consulte Descripción de la relación entre las cuentas GuardDuty principales y las de los miembros en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte ListMembersla Referencia de AWS CLI comandos.

En el siguiente ejemplo de código se muestra cómo usarloupdate-ip-set.

AWS CLI

Para actualizar un conjunto de direcciones IP de confianza

El siguiente update-ip-set ejemplo muestra cómo actualizar los detalles de un conjunto de direcciones IP de confianza.

aws guardduty update-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example \ --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

Este comando no genera ninguna salida.

Para obtener más información, consulte Trabajar con listas de direcciones IP confiables y listas de amenazas en la Guía del GuardDuty usuario.

  • Para API obtener más información, consulte UpdateIpSetla Referencia de AWS CLI comandos.