Esta documentación es AWS CLI únicamente para la versión 1 de la versión. Para ver la documentación relacionada con la versión 2 de AWS CLI, consulte la Guía del usuario de la versión 2.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty ejemplos que utilizan AWS CLI
Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso del AWS Command Line Interface with GuardDuty.
Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.
Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.
Temas
Acciones
En el siguiente ejemplo de código se muestra cómo usarloaccept-invitation
.
- AWS CLI
-
Para aceptar una invitación para convertirse en una cuenta GuardDuty miembro en la región actual
El siguiente
accept-invitation
ejemplo muestra cómo aceptar una invitación para convertirse en una cuenta de GuardDuty miembro en la región actual.aws guardduty accept-invitation \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --master-id123456789111
\ --invitation-idd6b94fb03a66ff665f7db8764example
Este comando no genera ninguna salida.
Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte AcceptInvitation
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloarchive-findings
.
- AWS CLI
-
Para archivar las conclusiones de la región actual
En este ejemplo, se muestra cómo archivar los hallazgos en la región actual.
aws guardduty archive-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-idsd6b94fb03a66ff665f7db8764example
3eb970e0de00c16ec14e6910fexample
Este comando no genera ninguna salida.
Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ArchiveFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-detector
.
- AWS CLI
-
Para habilitar GuardDuty en la región actual
En este ejemplo se muestra cómo crear un nuevo detector, que lo habilite GuardDuty, en la región actual. :
aws guardduty create-detector \ --enable
Salida:
{ "DetectorId": "b6b992d6d2f48e64bc59180bfexample" }
Para obtener más información, consulta Habilitar Amazon GuardDuty en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateDetector
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-filter
.
- AWS CLI
-
Para crear un filtro nuevo para la región actual
En este ejemplo, se crea un filtro que coincide con todos los resultados del escaneo de puertos, por ejemplo, los creados a partir de una imagen específica. :
aws guardduty create-filter \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --actionARCHIVE
\ --namemyFilter
\ --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}
'Salida:
{ "Name": "myFilter" }
Para obtener más información, consulte Filtrar los resultados en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateFilter
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-ip-set
.
- AWS CLI
-
Para crear un conjunto de direcciones IP de confianza
El siguiente
create-ip-set
ejemplo crea y activa un conjunto de direcciones IP de confianza en la región actual.aws guardduty create-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --namenew-ip-set
\ --formatTXT
--locations3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv
--activateSalida:
{ "IpSetId": "d4b94fc952d6912b8f3060768example" }
Para obtener más información, consulte Trabajar con listas de IP confiables y listas de amenazas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateIpSet
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-members
.
- AWS CLI
-
Para asociar un nuevo miembro a su cuenta GuardDuty principal en la región actual.
En este ejemplo se muestra cómo asociar las cuentas de los miembros para que las administre la cuenta corriente como GuardDuty maestra.
aws guardduty create-members --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --account-detailsAccountId=111122223333,Email=first+member@example.com
AccountId=111111111111
,Email=another+member@example.com
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar varias cuentas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-publishing-destination
.
- AWS CLI
-
Para crear un destino de publicación al que exportar GuardDuty los resultados de la región actual.
En este ejemplo se muestra cómo crear un destino de publicación para GuardDuty los hallazgos.
aws guardduty create-publishing-destination \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --destination-typeS3
\ --destination-propertiesDestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example
Salida:
{ "DestinationId": "46b99823849e1bbc242dfbe3cexample" }
Para obtener más información, consulte Exportación de los resultados en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreatePublishingDestination
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-sample-findings
.
- AWS CLI
-
Para crear ejemplos de GuardDuty hallazgos en la región actual.
En este ejemplo se muestra cómo crear un resultado de muestra de los tipos proporcionados.
aws guardduty create-sample-findings \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --finding-typesUnauthorizedAccess:EC2/TorClient
UnauthorizedAccess:EC2/TorRelay
Este comando no genera ninguna salida.
Para obtener más información, consulte Ejemplos de resultados en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateSampleFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-threat-intel-set
.
- AWS CLI
-
Para crear un nuevo conjunto de información sobre amenazas en la región actual.
En este ejemplo se muestra cómo cargar un conjunto de información sobre amenazas GuardDuty y activarlo inmediatamente.
aws guardduty create-threat-intel-set \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --namemyThreatSet
\ --formatTXT
\ --locations3://EXAMPLEBUCKET/threatlist.csv
\ --activateSalida:
{ "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample" }
Para obtener más información, consulte IP de confianza y listas de amenazas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte CreateThreatIntelSet
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodecline-invitations
.
- AWS CLI
-
Rechazar una invitación para que Guardduty sea gestionado por otra cuenta de la región actual.
En este ejemplo se muestra cómo rechazar una invitación de membresía.
aws guardduty decline-invitations \ --account-ids
111122223333
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte DeclineInvitations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodelete-detector
.
- AWS CLI
-
Para eliminar un detector e inhabilitarlo GuardDuty en la región actual.
En este ejemplo se muestra cómo eliminar un detector. Si se elimina correctamente, se desactivará GuardDuty en la región asociada a ese detector.
aws guardduty delete-detector \ --detector-id
b6b992d6d2f48e64bc59180bfexample
Este comando no genera ninguna salida.
Para obtener más información, consulte Suspender o deshabilitar GuardDuty en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte la Referencia DeleteDetector
de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodelete-filter
.
- AWS CLI
-
Para eliminar un filtro existente en la región actual
En este ejemplo se muestra cómo crear y eliminar un filtro.
aws guardduty delete-filter \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --filter-namebyebyeFilter
Este comando no genera ninguna salida.
Para obtener más información, consulte Filtrar los resultados en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte DeleteFilter
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodisable-organization-admin-account
.
- AWS CLI
-
Para eliminar una cuenta como administrador delegado de GuardDuty su organización
En este ejemplo se muestra cómo eliminar una cuenta como administrador delegado de. GuardDuty
aws guardduty disable-organization-admin-account \ --admin-account-id
111122223333
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas con AWS organizaciones en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte DisableOrganizationAdminAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodisassociate-from-master-account
.
- AWS CLI
-
Para desasociarse de su cuenta principal actual en la región actual
El siguiente
disassociate-from-master-account
ejemplo disocia su cuenta de la cuenta GuardDuty maestra actual de la región actual. AWSaws guardduty disassociate-from-master-account \ --detector-id
d4b040365221be2b54a6264dcexample
Este comando no genera ninguna salida.
Para obtener más información, consulte Descripción de la relación entre las cuentas GuardDuty principales y las cuentas de los miembros en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte DisassociateFromMasterAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloget-detector
.
- AWS CLI
-
Para recuperar los detalles de un detector específico
En el siguiente
get-detector
ejemplo, se muestran los detalles de configuración del detector especificado.aws guardduty get-detector \ --detector-id
12abc34d567e8fa901bc2d34eexample
Salida:
{ "Status": "ENABLED", "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Tags": {}, "FindingPublishingFrequency": "SIX_HOURS", "UpdatedAt": "2018-11-07T03:24:22.938Z", "CreatedAt": "2017-12-22T22:51:31.940Z" }
Para obtener más información, consulte Conceptos y terminología en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte GetDetector
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloget-findings
.
- AWS CLI
-
Ejemplo 1: Para recuperar los detalles de un hallazgo específico
En el siguiente
get-findings
ejemplo, se recuperan todos JSON los detalles de la búsqueda especificada.aws guardduty get-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-id1ab92989eaf0e742df4a014d5example
Salida:
{ "Findings": [ { "Resource": { "ResourceType": "AccessKey", "AccessKeyDetails": { "UserName": "testuser", "UserType": "IAMUser", "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE", "AccessKeyId": "ASIASZ4SI7REEEXAMPLE" } }, "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.", "Service": { "Count": 5, "Archived": false, "ServiceName": "guardduty", "EventFirstSeen": "2020-05-26T22:02:24Z", "ResourceRole": "TARGET", "EventLastSeen": "2020-05-26T22:33:55Z", "DetectorId": "d4b040365221be2b54a6264dcexample", "Action": { "ActionType": "AWS_API_CALL", "AwsApiCallAction": { "RemoteIpDetails": { "GeoLocation": { "Lat": 51.5164, "Lon": -0.093 }, "City": { "CityName": "London" }, "IpAddressV4": "52.94.36.7", "Organization": { "Org": "Amazon.com", "Isp": "Amazon.com", "Asn": "16509", "AsnOrg": "AMAZON-02" }, "Country": { "CountryName": "United Kingdom" } }, "Api": "ListPolicyVersions", "ServiceName": "iam.amazonaws.com", "CallerType": "Remote IP" } } }, "Title": "Unusual user permission reconnaissance activity by testuser.", "Type": "Recon:IAMUser/UserPermissions", "Region": "us-east-1", "Partition": "aws", "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example", "UpdatedAt": "2020-05-26T22:55:21.703Z", "SchemaVersion": "2.0", "Severity": 5, "Id": "1ab92989eaf0e742df4a014d5example", "CreatedAt": "2020-05-26T22:21:48.385Z", "AccountId": "111122223333" } ] }
Para obtener más información, consulte las conclusiones de la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte GetFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloget-ip-set
.
- AWS CLI
-
Para obtener una lista, obtenga detalles sobre un conjunto de direcciones IP de confianza específico
El siguiente
get-ip-set
ejemplo muestra el estado y los detalles del conjunto de direcciones IP de confianza especificado.aws guardduty get-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --ip-set-idd4b94fc952d6912b8f3060768example
Salida:
{ "Status": "ACTIVE", "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv", "Tags": {}, "Format": "TXT", "Name": "test-ip-set" }
Para obtener más información, consulte Trabajar con listas de direcciones IP confiables y listas de amenazas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte GetIpSet
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloget-master-account
.
- AWS CLI
-
Para recuperar detalles sobre su cuenta maestra en la región actual
El siguiente
get-master-account
ejemplo muestra el estado y los detalles de la cuenta maestra asociada al detector en la región actual.aws guardduty get-master-account \ --detector-id
12abc34d567e8fa901bc2d34eexample
Salida:
{ "Master": { "InvitationId": "04b94d9704854a73f94e061e8example", "InvitedAt": "2020-06-09T22:23:04.970Z", "RelationshipStatus": "Enabled", "AccountId": "123456789111" } }
Para obtener más información, consulte Comprensión de la relación entre las cuentas GuardDuty principales y las cuentas de los miembros en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte GetMasterAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-detectors
.
- AWS CLI
-
Para enumerar los detectores disponibles en la región actual
En el siguiente
list-detectors
ejemplo, se enumeran los detectores disponibles en AWS la región actual.aws guardduty list-detectors
Salida:
{ "DetectorIds": [ "12abc34d567e8fa901bc2d34eexample" ] }
Para obtener más información, consulte Conceptos y terminología en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ListDetectors
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-findings
.
- AWS CLI
-
Ejemplo 1: Para enumerar todos los resultados de la región actual
En el siguiente
list-findings
ejemplo, se muestra una lista de todos findingIds los datos de la región actual ordenados por gravedad, de mayor a menor.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}
'Salida:
{ "FindingIds": [ "04b8ab50fd29c64fc771b232dexample", "5ab8ab50fd21373735c826d3aexample", "90b93de7aba69107f05bbe60bexample", ... ] }
Para obtener más información, consulte las conclusiones de la Guía GuardDuty del usuario.
Ejemplo 2: Para enumerar los hallazgos de la región actual que coincidan con un criterio de hallazgo específico
En el siguiente
list-findings
ejemplo, se muestra una lista de todos los findingIds que coinciden con un tipo de búsqueda especificado.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-criteria '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}
'Salida:
{ "FindingIds": [ "90b93de7aba69107f05bbe60bexample", "6eb9430d7023d30774d6f05e3example", "2eb91a2d060ac9a21963a5848example", "44b8ab50fd2b0039a9e48f570example", "9eb8ab4cd2b7e5b66ba4f5e96example", "e0b8ab3a38e9b0312cc390ceeexample" ] }
Para obtener más información, consulte las conclusiones de la Guía GuardDuty del usuario.
Ejemplo 3: Listar los hallazgos de la región actual que coinciden con un conjunto específico de criterios de búsqueda definidos en un JSON archivo
En el siguiente
list-findings
ejemplo, se muestra una lista de todos los archivos findingIds que no están archivados e incluyen al IAM usuario denominado «testuser», tal como se especifica en un JSON archivo.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-criteriafile://myfile.json
Contenidos de
myfile.json
:{"Criterion": { "resource.accessKeyDetails.userName":{ "Eq":[ "testuser" ] }, "service.archived": { "Eq": [ "false" ] } } }
Salida:
{ "FindingIds": [ "1ab92989eaf0e742df4a014d5example" ] }
Para obtener más información, consulte las conclusiones de la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ListFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-invitations
.
- AWS CLI
-
Para enumerar los detalles de sus invitaciones para convertirse en miembro de la cuenta en la región actual
En el siguiente
list-invitations
ejemplo, se enumeran los detalles y los estados de sus invitaciones para convertirse en una cuenta de GuardDuty miembro en la región actual.aws guardduty list-invitations
Salida:
{ "Invitations": [ { "InvitationId": "d6b94fb03a66ff665f7db8764example", "InvitedAt": "2020-06-10T17:56:38.221Z", "RelationshipStatus": "Invited", "AccountId": "123456789111" } ] }
Para obtener más información, consulte Administración de GuardDuty cuentas mediante invitación en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ListInvitations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-ip-sets
.
- AWS CLI
-
Para enumerar los conjuntos de IP de confianza de la región actual
En el siguiente
list-ip-sets
ejemplo, se enumeran los conjuntos de IP de confianza de AWS la región actual.aws guardduty list-ip-sets \ --detector-id
12abc34d567e8fa901bc2d34eexample
Salida:
{ "IpSetIds": [ "d4b94fc952d6912b8f3060768example" ] }
Para obtener más información, consulte Trabajar con listas de IP confiables y listas de amenazas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ListIpSets
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-members
.
- AWS CLI
-
Para ver una lista de todos los miembros de la región actual
En el siguiente
list-members
ejemplo, se enumeran todas las cuentas de los miembros y sus detalles de la región actual.aws guardduty list-members \ --detector-id
12abc34d567e8fa901bc2d34eexample
Salida:
{ "Members": [ { "RelationshipStatus": "Enabled", "InvitedAt": "2020-06-09T22:49:00.910Z", "MasterId": "123456789111", "DetectorId": "7ab8b2f61b256c87f793f6a86example", "UpdatedAt": "2020-06-09T23:08:22.512Z", "Email": "your+member@example.com", "AccountId": "123456789222" } ] }
Para obtener más información, consulte Descripción de la relación entre las cuentas GuardDuty principales y las de los miembros en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte ListMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupdate-ip-set
.
- AWS CLI
-
Para actualizar un conjunto de direcciones IP de confianza
El siguiente
update-ip-set
ejemplo muestra cómo actualizar los detalles de un conjunto de direcciones IP de confianza.aws guardduty update-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --ip-set-idd4b94fc952d6912b8f3060768example
\ --locationhttps://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv
Este comando no genera ninguna salida.
Para obtener más información, consulte Trabajar con listas de direcciones IP confiables y listas de amenazas en la Guía del GuardDuty usuario.
-
Para API obtener más información, consulte UpdateIpSet
la Referencia de AWS CLI comandos.
-