Afficher les résultats filtrés dans GuardDuty - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher les résultats filtrés dans GuardDuty

Un filtre de recherche vous permet de visualiser les résultats correspondant aux critères que vous spécifiez et de filtrer les résultats non concordants. Vous pouvez facilement créer des filtres de recherche à l'aide de la GuardDuty console Amazon, ou vous pouvez les créer à l'aide du CreateFilterAPIen utilisantJSON. Consultez les sections suivantes pour comprendre comment créer un filtre dans la console. Pour utiliser ces filtres afin d'archiver automatiquement les résultats entrants, veuillez consulter Règles de suppression dans GuardDuty.

Création de filtres dans la GuardDuty console

Les filtres de recherche peuvent être créés et testés via la GuardDuty console. Vous pouvez enregistrer les filtres créés via la console pour les utiliser dans les règles de suppression ou les futures opérations de filtrage. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur.

Lorsque vous créez des filtres, soyez conscient de ce qui suit :

  • Les filtres n'acceptent pas les caractères génériques.

  • Vous pouvez spécifier un minimum d'un attribut et un maximum de 50 attributs comme critères pour un filtre particulier.

  • Lorsque vous utilisez la condition equal to ou not equal to pour filtrer sur une valeur d'attribut telle que l'ID de compte, vous pouvez spécifier 50 valeurs au maximum.

  • Chaque attribut de critères de filtre est évalué en tant qu'opérateur AND. Plusieurs valeurs pour le même attribut sont évaluées comme AND/OR.

Pour filtrer des résultats (console)
  1. Sous Filtrer par attribut, choisissez Ajouter des critères de filtre. Cela vous montrera une liste étendue d'attributs de filtre.

  2. Dans la liste étendue des attributs, sélectionnez l'attribut que vous souhaitez spécifier comme critère pour votre filtre, tel que l'ID de compte ou le type d'action.

    Pour obtenir la liste complète des attributs, voirAttributs du filtre.

  3. Dans le champ de texte affiché, spécifiez une valeur pour l'attribut sélectionné, puis choisissez Appliquer.

  4. Pour ajouter plusieurs critères de filtre, répétez les étapes 1 à 3.

  5. Par défaut, la liste affiche les résultats correspondant au filtre appliqué. Si vous souhaitez afficher les résultats qui ne correspondent pas à l'attribut du filtre, choisissez Exclure à côté du filtre.

    Exemple d'affichage des résultats en choisissant d'inclure ou d'exclure avec un attribut de filtre.
  6. Enregistrez les attributs et valeurs spécifiés sous forme de filtres
    1. Pour enregistrer les attributs spécifiés et leurs valeurs (critères de filtre) sous forme de filtre, sélectionnez Enregistrer/Modifier.

    2. Entrez le nom et la description de la règle de filtrage.

    3. Choisissez Save (Enregistrer).

Attributs du filtre

Lorsque vous créez des filtres ou que vous triez des résultats à l'aide API des opérations, vous devez spécifier des critères de filtre dansJSON. Ces critères de filtrage sont en corrélation avec les détails JSON d'un résultat. Le tableau suivant contient la liste des noms d'affichage de la console pour les attributs de filtre et leurs noms de JSON champs équivalents.

Nom de champ de console

Nom de champ JSON

ID de compte

accountId

ID de résultat

id

Région

region

Sévérité

severity

Vous pouvez filtrer les types de résultats en fonction de leur niveau de gravité. Pour plus d'informations sur les valeurs de gravité, consultezNiveaux de gravité des GuardDuty résultats. Si vous utilisez severity avec API AWS CLI, ou AWS CloudFormation, une valeur numérique lui est attribuée. Pour plus d'informations, consultez findingCriteriale Amazon GuardDuty API Reference.

Type de résultat

type

Mis à jour le

updatedAt

ID de clé d'accès

ressource. accessKeyDetails. accessKeyId

ID principal

ressource. accessKeyDetails. principalId

Nom d’utilisateur

ressource. accessKeyDetails. userName

Type utilisateur

ressource. accessKeyDetails. userType

IAMID de profil d'instance

ressource. instanceDetails. iamInstanceProfile.id

ID d’instance

ressource. instanceDetails. instanceId

ID d'image d'instance

ressource. instanceDetails. imageId

Clé de balise d'instance

ressource. instanceDetails.tags .key

Valeur de balise d'instance

ressource. instanceDetails.tags .valeur

IPv6adresse

ressource. instanceDetails. networkInterfaces. Adresses IPv6

IPv4Adresse privée

ressource. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

DNSNom public

ressource. instanceDetails. networkInterfaces. publicDnsName

IP publique

ressource. instanceDetails. networkInterfaces. publicIp

ID du groupe de sécurité

ressource. instanceDetails. networkInterfaces. securityGroups. groupId

Nom du groupe de sécurité

ressource. instanceDetails. networkInterfaces. securityGroups. groupName

ID de sous-réseau (subnet)

ressource. instanceDetails. networkInterfaces. subnetId

VPCID

ressource. instanceDetails. networkInterfaces. vpcId

Avant-poste ARN

ressource. instanceDetails.avant-poste ARN

Type de ressource

ressource. resourceType

Autorisations du compartiment

ressource.s3. BucketDetails publicAccess. effectivePermission

Nom du compartiment

resource.s3 .name BucketDetails

Clé de balise du compartiment

ressource.s3 .tags .key BucketDetails

Valeur de balise de compartiment

ressource.s3 .tags .value BucketDetails

Type de compartiment

ressource.s3 .type BucketDetails

Type d'action

service.action. actionType

APIappelé

service.action. awsApiCallAPI d'action

APItype d'appelant

service.action. awsApiCallAction. callerType

APICode d'erreur

service.action. awsApiCallAction. errorCode

APIville de l'appelant

service.action. awsApiCallAction. remoteIpDetails.ville. cityName

APIpays de l'appelant

service.action. awsApiCallAction. remoteIpDetails.pays. countryName

APIadresse de l'appelant IPv4

service.action. awsApiCallAction. remoteIpDetails. ipAddressV4

APIadresse de l'appelant IPv6

service.action. awsApiCallAction. remoteIpDetails. ipAddressV6

APIidentification de l'appelant ASN

service.action. awsApiCallAction. remoteIpDetails.organisation.asn

APInom de l'appelant ASN

service.action. awsApiCallAction. remoteIpDetails.organisation. asnOrg

APInom du service de l'appelant

service.action. awsApiCallAction. serviceName

DNSdomaine de demande

service.action. dnsRequestAction.domaine

DNSdemander un suffixe de domaine

service.action. dnsRequestAction. domainWithSuffix

Connexion réseau bloquée

service.action. networkConnectionAction.bloqué

Direction de la connexion réseau

service.action. networkConnectionAction. connectionDirection

Port local de la connexion réseau

service.action. networkConnectionAction. localPortDetails.port

Protocole de la connexion réseau

service.action. networkConnectionAction.protocole

Ville de la connexion réseau

service.action. networkConnectionAction. remoteIpDetails.ville. cityName

Pays de la connexion réseau

service.action. networkConnectionAction. remoteIpDetails.pays. countryName

IPv4Adresse distante de connexion réseau

service.action. networkConnectionAction. remoteIpDetails. ipAddressV4

IPv6Adresse distante de connexion réseau

service.action. networkConnectionAction. remoteIpDetails. ipAddressV6

ASNID IP distant de connexion réseau

service.action. networkConnectionAction. remoteIpDetails.organisation.asn

ASNNom IP distant de la connexion réseau

service.action. networkConnectionAction. remoteIpDetails.organisation. asnOrg

Port distant de la connexion réseau

service.action. networkConnectionAction. remotePortDetails.port

Compte distant affilié

service.action. awsApiCallAction. remoteAccountDetails.affilié

Adresse de l'appelant Kubernetes API IPv4

service.action. kubernetesApiCallAction. remoteIpDetails. ipAddressV4

Adresse de l'appelant Kubernetes API IPv6

service.action. kubernetesApiCallAction. remoteIpDetails. ipAddressV6

Espace de noms Kubernetes

service.action. kubernetesApiCallAction.Namespace

Identifiant de l'appelant Kubernetes API ASN

service.action. kubernetesApiCallAction. remoteIpDetails.organisation.asn

Demande d'appel Kubernetes API URI

service.action. kubernetesApiCallAction. requestUri

Code d'état de Kubernetes API

service.action. kubernetesApiCallAction. statusCode

IPv4Adresse locale de connexion réseau

service.action. networkConnectionAction. localIpDetails. ipAddressV4

IPv6Adresse locale de connexion réseau

service.action. networkConnectionAction. localIpDetails. ipAddressV6

Protocole

service.action. networkConnectionAction.protocole

APInom du service d'appel

service.action. awsApiCallAction. serviceName

APIID du compte de l'appelant

service.action. awsApiCallAction. remoteAccountDetails. accountId

Nom de la liste des menaces

service. additionalInfo. threatListName

Rôle de ressource

service. resourceRole

EKSnom du cluster

ressource. eksClusterDetails.nom

Nom de charge de travail Kubernetes

ressource. kubernetesDetails. kubernetesWorkloadDetails.nom

Espace de noms de charge de travail Kubernetes

ressource. kubernetesDetails. kubernetesWorkloadDetails.namespace

Nom d'utilisateur Kubernetes

ressource. kubernetesDetails. kubernetesUserDetails.nom d'utilisateur

Image de conteneur Kubernetes

ressource. kubernetesDetails. kubernetesWorkloadDetails.conteneurs.image

Préfixe de l'image de conteneur Kubernetes

ressource. kubernetesDetails. kubernetesWorkloadDetails.conteneurs. imagePrefix

ID de numérisation

service. ebsVolumeScanDétails. scanId

EBSnom de la menace d'analyse des volumes

service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames.nom

Nom de la menace de scan d'objets S3

service. malwareScanDetails.threats .name

Gravité de la menace

service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames.gravité

Dossier SHA

service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames. filePaths.hachage

ECSnom du cluster

ressource. ecsClusterDetails.nom

ECSimage du conteneur

ressource. ecsClusterDetails. taskDetails.conteneurs.image

ECSdéfinition de la tâche ARN

ressource. ecsClusterDetails. taskDetails. definitionArn

Image de conteneur autonome

ressource. containerDetails.image

ID d'instance de base de données

ressource. rdsDbInstanceDétails. dbInstanceIdentifier

ID de cluster de base de données

ressource. rdsDbInstanceDétails. dbClusterIdentifier

Moteur de base de données

ressource. rdsDbInstanceDétails. Moteur

Utilisateur de la base de donnée

ressource. rdsDbUserDetails.user

Clé de balise d'instance de base de données

ressource. rdsDbInstanceDetails.tags.key

Valeur de balise d'instance de base de données

ressource. rdsDbInstanceDetails.tags.value

Exécutable SHA -256

service. runtimeDetails.processus. executableSha256

Nom du processus

service. runtimeDetails.process.name

Chemin exécutable

service. runtimeDetails.processus. executablePath

Nom de fonction Lambda

ressource. lambdaDetails. functionName

Fonction Lambda ARN

ressource. lambdaDetails. functionArn

Clé de balise de fonction Lambda

ressource. lambdaDetails.tags .key

Valeur de balise de fonction Lambda

ressource. lambdaDetails.tags .valeur

DNSdomaine de demande

service.action. dnsRequestAction. domainWithSuffix