Reglas de supresión en GuardDuty - Amazon GuardDuty
Casos de uso comunes para reglas de supresión y ejemplos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Reglas de supresión en GuardDuty

Una regla de supresión es un conjunto de criterios, que consta de un atributo de filtro emparejado con un valor, utilizado para filtrar resultados mediante el archivado automático de resultados nuevos que coinciden con los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajo valor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitar el reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.

Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidos en la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puede utilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de una nuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completos o definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgo determinado. Puede editar las reglas de supresión en cualquier momento.

Los hallazgos suprimidos no se envían a AWS Security Hub Amazon Simple Storage Service, Amazon Detective ni Amazon EventBridge, lo que reduce el ruido de las búsquedas si se GuardDuty utilizan a través de Security Hub, un tercero SIEM u otras aplicaciones de alerta y emisión de tickets. Si la has activadoProtección contra malware para EC2, los GuardDuty resultados suprimidos no iniciarán un análisis de malware.

GuardDuty sigue generando hallazgos incluso cuando se ajustan a tus reglas de supresión; sin embargo, esos hallazgos se marcan automáticamente como archivados. El hallazgo archivado se almacena GuardDuty durante 90 días y se puede ver en cualquier momento durante ese período. Para ver los hallazgos suprimidos en la GuardDuty consola, seleccione Archivado en la tabla de hallazgos o utilice el GuardDuty API ListFindingsAPIcon un findingCriteria criterio de service.archived igual a verdadero.

nota

En un entorno con varias cuentas, solo el GuardDuty administrador puede crear reglas de supresión.

Casos de uso comunes para reglas de supresión y ejemplos

Los siguientes tipos de hallazgos tienen casos de uso comunes para aplicar reglas de supresión. Seleccione el nombre del hallazgo para obtener más información sobre ese hallazgo. Revise la descripción del caso de uso para decidir si desea crear una regla de supresión para ese tipo de hallazgo.

importante

GuardDuty recomienda que cree reglas de supresión de forma reactiva y solo para los hallazgos en los que haya identificado repetidamente falsos positivos en su entorno.

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— Utilice una regla de supresión para archivar automáticamente los hallazgos generados cuando la VPC red está configurada para enrutar el tráfico de Internet de manera que salga de una puerta de enlace local en lugar de desde una puerta de enlace de VPC Internet.

    Este hallazgo se genera cuando la red está configurada para enrutar el tráfico de Internet de manera que salga de una puerta de enlace local en lugar de desde una puerta de enlace de VPC Internet ()IGW. Las configuraciones habituales, como el uso o VPC VPN las conexiones AWS Outposts, pueden hacer que el tráfico se enrute de esta manera. Si este es el comportamiento esperado, se recomienda utilizar reglas de supresión y crear una regla que se componga de dos criterios de filtrado. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro es la IPv4dirección de la persona que API llama con la dirección IP o el CIDR rango de la puerta de enlace a Internet local. El siguiente ejemplo representa el filtro que utilizaría para suprimir este tipo de búsqueda en función de la dirección IP de la API persona que llama.

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    nota

    Para incluir varias API personas que llaman, IPs puede agregar un nuevo filtro de IPv4 direcciones de personas que API llaman para cada una.

  • Recon:EC2/Portscan: utilice una regla de supresión para archivar automáticamente los resultados cuando utilice una aplicación de evaluación de vulnerabilidades.

    La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. El siguiente ejemplo representa el filtro que utilizaría para suprimir este tipo de búsqueda en función de los casos con un valor determinado. AMI

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

  • UnauthorizedAccess:EC2/SSHBruteForce: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias de bastión.

    Si el objetivo del intento de fuerza bruta es un anfitrión de bastión, esto puede representar el comportamiento esperado para su AWS entorno. Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con un determinado valor de etiqueta de instancia.

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

  • Recon:EC2/PortProbeUnprotectedPort: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias que se hayan visto expuestas de manera intencional.

    Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada clave de etiqueta de instancia en la consola.

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Reglas de supresión recomendadas para los hallazgos de Runtime Monitoring

  • PrivilegeEscalation:Runtime/DockerSocketAccessed se genera cuando un proceso dentro de un contenedor se comunica con el socket de Docker. Es posible que haya contenedores de su entorno que necesiten acceso al socket de Docker por motivos legítimos. El acceso desde dichos contenedores generará PrivilegeEscalation:Runtime/DockerSocketAccessed hallazgo. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este tipo de búsqueda. Los primeros criterios deben utilizar el campo Tipo de resultado con un valor equivalente a PrivilegeEscalation:Runtime/DockerSocketAccessed. El segundo criterio de filtro es el campo Ruta ejecutable con un valor igual al executablePath del proceso en el resultado generado. Como alternativa, el segundo criterio de filtro puede utilizar el campo ejecutable SHA -256 con un valor igual al del proceso executableSha256 en la búsqueda generada.

  • Los clústeres de Kubernetes ejecutan sus propios DNS servidores como pods, por ejemplo. coredns Por lo tanto, para cada DNS búsqueda desde un pod, GuardDuty captura dos DNS eventos: uno del pod y otro del pod del servidor. Esto puede generar duplicados para los siguientes DNS hallazgos:

    Los resultados duplicados incluirán los detalles del pod, el contenedor y el proceso que corresponden al pod DNS del servidor. Puede configurar una regla de supresión para suprimir estos resultados duplicados utilizando estos campos. El primer criterio de filtro debe usar el campo Tipo de búsqueda con un valor igual a un tipo de DNS búsqueda de la lista de hallazgos proporcionada anteriormente en esta sección. El segundo criterio de filtro puede ser una ruta ejecutable con un valor igual al DNS del servidor executablePath o un ejecutable SHA -256 con un valor igual al DNS del servidor executableSHA256 en el resultado generado. Como tercer criterio de filtro opcional, puede utilizar el campo de imagen del contenedor de Kubernetes con un valor igual al de la imagen del contenedor del pod del DNS servidor en la búsqueda generada.