Règles de suppression dans GuardDuty - Amazon GuardDuty
Cas d'utilisation courants des règles de suppression et exemples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles de suppression dans GuardDuty

Une règle de suppression est un ensemble de critères, composés d'un attribut de filtre associé à une valeur, utilisés pour filtrer les résultats en archivant automatiquement les nouveaux résultats qui correspondent aux critères spécifiés. Les règles de suppression peuvent être utilisées pour filtrer les résultats de faible valeur, les faux positifs ou les menaces sur lesquelles vous n'avez pas l'intention d'agir. Cela facilite la reconnaissance des menaces de sécurité ayant le plus d'impact sur votre environnement.

Après avoir créé une règle de suppression, les nouveaux résultats qui correspondent aux critères définis dans la règle sont automatiquement archivés tant que la règle de suppression est active. Vous pouvez utiliser un filtre existant pour créer une règle de suppression ou créer une règle de suppression à partir d'un nouveau filtre que vous définissez. Vous pouvez configurer des règles de suppression pour supprimer des types de recherche entiers ou définir des critères de filtre plus précis afin de supprimer uniquement des instances spécifiques d'un type de résultat particulier. Vous pouvez modifier les règles de suppression à tout moment.

Les résultats supprimés ne sont pas envoyés à AWS Security Hub Amazon Simple Storage Service, Amazon Detective ou Amazon EventBridge, ce qui réduit le niveau de bruit si vous consultez GuardDuty les résultats via Security Hub, un tiers SIEM ou d'autres applications d'alerte et de billetterie. Si vous l'avez activéProtection contre les logiciels malveillants pour EC2, les GuardDuty résultats supprimés ne lanceront pas d'analyse des logiciels malveillants.

GuardDuty continue de générer des résultats même s'ils correspondent à vos règles de suppression, mais ces résultats sont automatiquement marqués comme archivés. Les résultats archivés sont conservés GuardDuty pendant 90 jours et peuvent être consultés à tout moment pendant cette période. Vous pouvez afficher les résultats supprimés dans la GuardDuty console en sélectionnant Archivé dans le tableau des résultats ou GuardDuty API en utilisant le ListFindingsAPIavec un findingCriteria critère service.archived égal à vrai.

Note

Dans un environnement multi-comptes, seul l' GuardDuty administrateur peut créer des règles de suppression.

Cas d'utilisation courants des règles de suppression et exemples

Les types de recherche suivants présentent des cas d'utilisation courants pour appliquer des règles de suppression. Sélectionnez le nom du résultat pour en savoir plus sur ce résultat. Consultez la description du cas d'utilisation pour décider si vous souhaitez créer une règle de suppression pour ce type de recherche.

Important

GuardDuty recommande de créer des règles de suppression de manière réactive et uniquement pour les résultats pour lesquels vous avez identifié à plusieurs reprises des faux positifs dans votre environnement.

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— Utilisez une règle de suppression pour archiver automatiquement les résultats générés lorsque le VPC réseau est configuré pour acheminer le trafic Internet de manière à ce qu'il sorte d'une passerelle locale plutôt que d'une passerelle VPC Internet.

    Ce résultat est généré lorsque le réseau est configuré pour acheminer le trafic Internet de manière à ce qu'il sorte d'une passerelle locale plutôt que d'une passerelle VPC Internet ()IGW. Les configurations courantes, telles que l'utilisation AWS Outpostsou VPC VPN les connexions, peuvent entraîner le routage du trafic de cette façon. Si ce comportement est attendu, il est recommandé d'utiliser des règles de suppression et de créer une règle composée de deux critères de filtrage. Le premier critère est le type de résultat, qui devrait être UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Le deuxième critère de filtre est l'IPv4adresse de l'APIappelant avec l'adresse IP ou la CIDR plage de votre passerelle Internet locale. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de recherche en fonction de l'adresse IP de l'APIappelant.

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    Note

    Pour inclure plusieurs API appelants, IPs vous pouvez ajouter un nouveau filtre d'IPv4adresse d'APIappelant pour chacun.

  • Recon:EC2/Portscan : utilisez une règle de suppression pour archiver automatiquement les résultats lors de l'utilisation d'une application d'évaluation des vulnérabilités.

    La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/Portscan. Le second critère de filtre doit correspondre à l'instance ou aux instances qui hébergent ces outils d'évaluation de vulnérabilité. Vous pouvez utiliser l'attribut ID d'image d'instance ou Valeur de balise en fonction des critères identifiables avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de recherche en fonction des instances présentant un certain type de rechercheAMI.

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

  • UnauthorizedAccess:EC2/SSHBruteForce : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances de bastion.

    Si la cible de la tentative de force brute est un hôte bastion, cela peut représenter le comportement attendu de votre AWS environnement. Dans ce cas, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/SSHBruteForce. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine valeur de balise d'instance.

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

  • Recon:EC2/PortProbeUnprotectedPort : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances exposées intentionnellement.

    Dans certains cas, les instances peuvent être intentionnellement exposées, par exemple si elles hébergent des serveurs Web. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/PortProbeUnprotectedPort. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine clé de balise d'instance dans la console.

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Règles de suppression recommandées pour les résultats de la surveillance du temps d'exécution

  • PrivilegeEscalation:Runtime/DockerSocketAccessed est généré lorsqu'un processus à l'intérieur d'un conteneur communique avec le socket Docker. Certains conteneurs de votre environnement peuvent avoir besoin d'accéder au socket Docker pour des raisons légitimes. L'accès à partir de tels conteneurs générera PrivilegeEscalation:Runtime/DockerSocketAccessed découverte. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce type de recherche. Le premier critère doit utiliser l'attribut Type de résultat avec la valeur PrivilegeEscalation:Runtime/DockerSocketAccessed. Le deuxième critère de filtre est le champ Chemin exécutable dont la valeur est égale à celle du executablePath du processus dans le résultat généré. Le deuxième critère de filtre peut également utiliser le champ exécutable SHA -256 avec une valeur égale à celle du processus executableSha256 dans le résultat généré.

  • Les clusters Kubernetes exécutent leurs propres DNS serveurs sous forme de pods, tels que. coredns Par conséquent, pour chaque DNS recherche depuis un module, GuardDuty capture deux DNS événements : l'un provenant du module et l'autre du module du serveur. Cela peut générer des doublons pour les résultats suivants : DNS

    Les résultats dupliqués incluront les détails du pod, du conteneur et du processus correspondant à votre pod de DNS serveur. Vous pouvez définir une règle de suppression pour supprimer ces résultats en double à l'aide de ces champs. Les premiers critères de filtre doivent utiliser le champ Type de recherche dont la valeur est égale à un type de DNS recherche figurant dans la liste des résultats fournie plus haut dans cette section. Le deuxième critère de filtre peut être soit le chemin exécutable avec une valeur égale à celle de votre DNS serveur, executablePath soit l'exécutable SHA -256 avec une valeur égale à celle de votre DNS serveur executableSHA256 dans le résultat généré. En tant que troisième critère de filtre facultatif, vous pouvez utiliser le champ d'image de conteneur Kubernetes avec une valeur égale à l'image de conteneur de votre pod de DNS serveur dans le résultat généré.