Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Création de règles de suppression dans GuardDuty

PDF
RSS
Mode de mise au point
Création de règles de suppression dans GuardDuty - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Une règle de suppression est un ensemble de critères qui inclut l'utilisation d'attributs de filtre et la fourniture de valeurs pour lesquelles vous ne GuardDuty souhaitez pas générer de type de recherche. Les types de recherche qui répondent à ces critères sont automatiquement archivés. Pour réduire le bruit, les résultats supprimés ne sont envoyés à aucun des sites auxquels Services AWS vous pouvez procéder à l'intégration. Pour plus d'informations sur les cas d'utilisation courants relatifs à la création de règles de suppression, consultezRègles de suppression.

Vous pouvez visualiser, créer et gérer des règles de suppression à l'aide de la GuardDuty console. Les règles de suppression sont générées de la même manière que les filtres, et les filtres enregistrés existants peuvent être utilisés comme règles de suppression. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

Choisissez votre méthode d'accès préférée pour créer une règle de suppression permettant de GuardDuty rechercher des types.

Console
Pour créer une règle de suppression à l'aide de la console :

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Résultats, la fonctionnalité Créer une règle de suppression reste grisée sauf si vous ajoutez au moins un critère de filtre. Les règles de suppression étant appliquées aux résultats actifs et en cours, assurez-vous que le menu État est défini sur Actuel.

  3. Pour ajouter un ou plusieurs critères de filtre, suivez les étapes 3 à 7 dansAdding filters on Findings page, puis passez aux étapes suivantes.

  4. Après avoir ajouté les critères de filtre et confirmé que les résultats filtrés répondent à vos exigences, choisissez Créer une règle de suppression.

  5. Entrez un nom pour la règle de suppression. Le nom doit comporter de 3 à 64 caractères. Les caractères valides sont a-z, A-Z, 0-9, point (.), tiret (-) et trait de soulignement (_).

  6. La description est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

  7. Sélectionnez Create (Créer).

Vous pouvez également créer une règle de suppression à partir d'un filtre enregistré existant. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

Pour créer une règle de suppression à partir d'un filtre enregistré :

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Résultats, dans le menu Règles enregistrées, sélectionnez une règle d'ensemble de filtres enregistrée. Cela affichera automatiquement le jeu de filtres et les résultats correspondant aux critères.

  3. Vous pouvez également ajouter d'autres critères de filtre à cette règle enregistrée. Si vous n'avez pas besoin de critères de filtre supplémentaires, ignorez cette étape.

    Pour ajouter un ou plusieurs critères de filtre supplémentaires, suivez les étapes 2 jusqu'à la fin de la procédure précédente -To create a suppression rule using the console.

  4. Si vous n'avez pas besoin d'ajouter de critères de filtre supplémentaires à la règle enregistrée, suivez les étapes 4 jusqu'à la fin de la procédure précédente -To create a suppression rule using the console.

API/CLI
Pour créer une règle de suppression à l'aide de l'API :

  1. Vous pouvez créer des règles de suppression par le biais du CreateFilterAPI. Pour ce faire, spécifiez les critères de filtre dans un fichier JSON en suivant le format de l'exemple détaillé ci-dessous. L'exemple ci-dessous supprimera tous les résultats non archivés de faible gravité contenant une requête DNS adressée au test.example.com domaine. Pour les résultats de gravité moyenne, la liste d'entrée sera["4", "5", "7"]. Pour les résultats de gravité élevée, la liste d'entrée sera["6", "7", "8"]. Pour les constatations de gravité critique, la liste d'entrée sera["9", "10"]. Vous pouvez également filtrer en fonction de n'importe quelle valeur de la liste.

    L'exemple suivant ajoute un filtre pour les résultats de faible gravité.

    {
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    Pour obtenir la liste des noms de champ JSON et leur équivalent dans la console, veuillez consulter Filtres de propriétés dans GuardDuty.

    Pour tester vos critères de filtre, utilisez le même critère JSON dans ListFindingsAPI, et confirmez que les bons résultats ont été sélectionnés. Pour tester vos critères de filtre, AWS CLI suivez l'exemple en utilisant vos propres fichiers DetectoriD et .json.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

  2. Téléchargez votre filtre à utiliser comme règle de suppression avec le CreateFilterAPI ou en utilisant la AWS CLI en suivant l'exemple ci-dessous avec votre propre ID de détecteur, un nom pour la règle de suppression et un fichier .json.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

Vous pouvez consulter la liste de vos filtres par programmation à l'aide du ListFilterAPI. Vous pouvez consulter les détails d'un filtre individuel en fournissant le nom du filtre au GetFilterAPI. Mettez à jour les filtres en utilisant UpdateFilterou supprimez-les à l'aide du DeleteFilterAPI.

anchoranchor
Pour créer une règle de suppression à l'aide de la console :

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Résultats, la fonctionnalité Créer une règle de suppression reste grisée sauf si vous ajoutez au moins un critère de filtre. Les règles de suppression étant appliquées aux résultats actifs et en cours, assurez-vous que le menu État est défini sur Actuel.

  3. Pour ajouter un ou plusieurs critères de filtre, suivez les étapes 3 à 7 dansAdding filters on Findings page, puis passez aux étapes suivantes.

  4. Après avoir ajouté les critères de filtre et confirmé que les résultats filtrés répondent à vos exigences, choisissez Créer une règle de suppression.

  5. Entrez un nom pour la règle de suppression. Le nom doit comporter de 3 à 64 caractères. Les caractères valides sont a-z, A-Z, 0-9, point (.), tiret (-) et trait de soulignement (_).

  6. La description est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

  7. Sélectionnez Create (Créer).

Vous pouvez également créer une règle de suppression à partir d'un filtre enregistré existant. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

Pour créer une règle de suppression à partir d'un filtre enregistré :

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Résultats, dans le menu Règles enregistrées, sélectionnez une règle d'ensemble de filtres enregistrée. Cela affichera automatiquement le jeu de filtres et les résultats correspondant aux critères.

  3. Vous pouvez également ajouter d'autres critères de filtre à cette règle enregistrée. Si vous n'avez pas besoin de critères de filtre supplémentaires, ignorez cette étape.

    Pour ajouter un ou plusieurs critères de filtre supplémentaires, suivez les étapes 2 jusqu'à la fin de la procédure précédente -To create a suppression rule using the console.

  4. Si vous n'avez pas besoin d'ajouter de critères de filtre supplémentaires à la règle enregistrée, suivez les étapes 4 jusqu'à la fin de la procédure précédente -To create a suppression rule using the console.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.