Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Afficher les résultats filtrés dans GuardDuty
Un filtre de recherche vous permet de visualiser les résultats correspondant aux critères que vous spécifiez et de filtrer les résultats non concordants. Vous pouvez facilement créer des filtres de recherche à l'aide de la GuardDuty console Amazon, ou vous pouvez les créer à l'aide du CreateFilterAPIen utilisantJSON. Consultez les sections suivantes pour comprendre comment créer un filtre dans la console. Pour utiliser ces filtres afin d'archiver automatiquement les résultats entrants, veuillez consulter Règles de suppression dans GuardDuty.
Création de filtres dans la GuardDuty console
Les filtres de recherche peuvent être créés et testés via la GuardDuty console. Vous pouvez enregistrer les filtres créés via la console pour les utiliser dans les règles de suppression ou les futures opérations de filtrage. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur.
Lorsque vous créez des filtres, soyez conscient de ce qui suit :
-
Les filtres n'acceptent pas les caractères génériques.
-
Vous pouvez spécifier un minimum d'un attribut et un maximum de 50 attributs comme critères pour un filtre particulier.
-
Lorsque vous utilisez la condition equal to ou not equal to pour filtrer sur une valeur d'attribut telle que l'ID de compte, vous pouvez spécifier 50 valeurs au maximum.
-
Chaque attribut de critères de filtre est évalué en tant qu'opérateur
AND
. Plusieurs valeurs pour le même attribut sont évaluées commeAND/OR
.
Pour filtrer des résultats (console)
-
Sous Filtrer par attribut, choisissez Ajouter des critères de filtre. Cela vous montrera une liste étendue d'attributs de filtre.
-
Dans la liste étendue des attributs, sélectionnez l'attribut que vous souhaitez spécifier comme critère pour votre filtre, tel que l'ID de compte ou le type d'action.
Pour obtenir la liste complète des attributs, voirAttributs du filtre.
-
Dans le champ de texte affiché, spécifiez une valeur pour l'attribut sélectionné, puis choisissez Appliquer.
-
Pour ajouter plusieurs critères de filtre, répétez les étapes 1 à 3.
-
Par défaut, la liste affiche les résultats correspondant au filtre appliqué. Si vous souhaitez afficher les résultats qui ne correspondent pas à l'attribut du filtre, choisissez Exclure à côté du filtre.
-
Enregistrez les attributs et valeurs spécifiés sous forme de filtres
-
Pour enregistrer les attributs spécifiés et leurs valeurs (critères de filtre) sous forme de filtre, sélectionnez Enregistrer/Modifier.
-
Entrez le nom et la description de la règle de filtrage.
-
Choisissez Save (Enregistrer).
-
Attributs du filtre
Lorsque vous créez des filtres ou que vous triez des résultats à l'aide API des opérations, vous devez spécifier des critères de filtre dansJSON. Ces critères de filtrage sont en corrélation avec les détails JSON d'un résultat. Le tableau suivant contient la liste des noms d'affichage de la console pour les attributs de filtre et leurs noms de JSON champs équivalents.
Nom de champ de console |
Nom de champ JSON |
---|---|
ID de compte |
accountId |
ID de résultat |
id |
Région |
region |
Sévérité |
severity Vous pouvez filtrer les types de résultats en fonction de leur niveau de gravité. Pour plus d'informations sur les valeurs de gravité, consultezNiveaux de gravité des GuardDuty résultats. Si vous utilisez |
Type de résultat |
type |
Mis à jour le |
updatedAt |
ID de clé d'accès |
ressource. accessKeyDetails. accessKeyId |
ID principal |
ressource. accessKeyDetails. principalId |
Nom d’utilisateur |
ressource. accessKeyDetails. userName |
Type utilisateur |
ressource. accessKeyDetails. userType |
IAMID de profil d'instance |
ressource. instanceDetails. iamInstanceProfile.id |
ID d’instance |
ressource. instanceDetails. instanceId |
ID d'image d'instance |
ressource. instanceDetails. imageId |
Clé de balise d'instance |
ressource. instanceDetails.tags .key |
Valeur de balise d'instance |
ressource. instanceDetails.tags .valeur |
IPv6adresse |
ressource. instanceDetails. networkInterfaces. Adresses IPv6 |
IPv4Adresse privée |
ressource. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress |
DNSNom public |
ressource. instanceDetails. networkInterfaces. publicDnsName |
IP publique |
ressource. instanceDetails. networkInterfaces. publicIp |
ID du groupe de sécurité |
ressource. instanceDetails. networkInterfaces. securityGroups. groupId |
Nom du groupe de sécurité |
ressource. instanceDetails. networkInterfaces. securityGroups. groupName |
ID de sous-réseau (subnet) |
ressource. instanceDetails. networkInterfaces. subnetId |
VPCID |
ressource. instanceDetails. networkInterfaces. vpcId |
Avant-poste ARN |
ressource. instanceDetails.avant-poste ARN |
Type de ressource |
ressource. resourceType |
Autorisations du compartiment |
ressource.s3. BucketDetails publicAccess. effectivePermission |
Nom du compartiment |
resource.s3 .name BucketDetails |
Clé de balise du compartiment |
ressource.s3 .tags .key BucketDetails |
Valeur de balise de compartiment |
ressource.s3 .tags .value BucketDetails |
Type de compartiment |
ressource.s3 .type BucketDetails |
Type d'action |
service.action. actionType |
APIappelé |
service.action. awsApiCallAPI d'action |
APItype d'appelant |
service.action. awsApiCallAction. callerType |
APICode d'erreur |
service.action. awsApiCallAction. errorCode |
APIville de l'appelant |
service.action. awsApiCallAction. remoteIpDetails.ville. cityName |
APIpays de l'appelant |
service.action. awsApiCallAction. remoteIpDetails.pays. countryName |
APIadresse de l'appelant IPv4 |
service.action. awsApiCallAction. remoteIpDetails. ipAddressV4 |
APIadresse de l'appelant IPv6 |
service.action. awsApiCallAction. remoteIpDetails. ipAddressV6 |
APIidentification de l'appelant ASN |
service.action. awsApiCallAction. remoteIpDetails.organisation.asn |
APInom de l'appelant ASN |
service.action. awsApiCallAction. remoteIpDetails.organisation. asnOrg |
APInom du service de l'appelant |
service.action. awsApiCallAction. serviceName |
DNSdomaine de demande |
service.action. dnsRequestAction.domaine |
DNSdemander un suffixe de domaine |
service.action. dnsRequestAction. domainWithSuffix |
Connexion réseau bloquée |
service.action. networkConnectionAction.bloqué |
Direction de la connexion réseau |
service.action. networkConnectionAction. connectionDirection |
Port local de la connexion réseau |
service.action. networkConnectionAction. localPortDetails.port |
Protocole de la connexion réseau |
service.action. networkConnectionAction.protocole |
Ville de la connexion réseau |
service.action. networkConnectionAction. remoteIpDetails.ville. cityName |
Pays de la connexion réseau |
service.action. networkConnectionAction. remoteIpDetails.pays. countryName |
IPv4Adresse distante de connexion réseau |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV4 |
IPv6Adresse distante de connexion réseau |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV6 |
ASNID IP distant de connexion réseau |
service.action. networkConnectionAction. remoteIpDetails.organisation.asn |
ASNNom IP distant de la connexion réseau |
service.action. networkConnectionAction. remoteIpDetails.organisation. asnOrg |
Port distant de la connexion réseau |
service.action. networkConnectionAction. remotePortDetails.port |
Compte distant affilié |
service.action. awsApiCallAction. remoteAccountDetails.affilié |
Adresse de l'appelant Kubernetes API IPv4 |
service.action. kubernetesApiCallAction. remoteIpDetails. ipAddressV4 |
Adresse de l'appelant Kubernetes API IPv6 |
service.action. kubernetesApiCallAction. remoteIpDetails. ipAddressV6 |
Espace de noms Kubernetes |
service.action. kubernetesApiCallAction.Namespace |
Identifiant de l'appelant Kubernetes API ASN |
service.action. kubernetesApiCallAction. remoteIpDetails.organisation.asn |
Demande d'appel Kubernetes API URI |
service.action. kubernetesApiCallAction. requestUri |
Code d'état de Kubernetes API |
service.action. kubernetesApiCallAction. statusCode |
IPv4Adresse locale de connexion réseau |
service.action. networkConnectionAction. localIpDetails. ipAddressV4 |
IPv6Adresse locale de connexion réseau |
service.action. networkConnectionAction. localIpDetails. ipAddressV6 |
Protocole |
service.action. networkConnectionAction.protocole |
APInom du service d'appel |
service.action. awsApiCallAction. serviceName |
APIID du compte de l'appelant |
service.action. awsApiCallAction. remoteAccountDetails. accountId |
Nom de la liste des menaces |
service. additionalInfo. threatListName |
Rôle de ressource |
service. resourceRole |
EKSnom du cluster |
ressource. eksClusterDetails.nom |
Nom de charge de travail Kubernetes |
ressource. kubernetesDetails. kubernetesWorkloadDetails.nom |
Espace de noms de charge de travail Kubernetes |
ressource. kubernetesDetails. kubernetesWorkloadDetails.namespace |
Nom d'utilisateur Kubernetes |
ressource. kubernetesDetails. kubernetesUserDetails.nom d'utilisateur |
Image de conteneur Kubernetes |
ressource. kubernetesDetails. kubernetesWorkloadDetails.conteneurs.image |
Préfixe de l'image de conteneur Kubernetes |
ressource. kubernetesDetails. kubernetesWorkloadDetails.conteneurs. imagePrefix |
ID de numérisation |
service. ebsVolumeScanDétails. scanId |
EBSnom de la menace d'analyse des volumes |
service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames.nom |
Nom de la menace de scan d'objets S3 |
service. malwareScanDetails.threats .name |
Gravité de la menace |
service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames.gravité |
Dossier SHA |
service. ebsVolumeScanDétails. scanDetections. threatDetectedByNom. threatNames. filePaths.hachage |
ECSnom du cluster |
ressource. ecsClusterDetails.nom |
ECSimage du conteneur |
ressource. ecsClusterDetails. taskDetails.conteneurs.image |
ECSdéfinition de la tâche ARN |
ressource. ecsClusterDetails. taskDetails. definitionArn |
Image de conteneur autonome |
ressource. containerDetails.image |
ID d'instance de base de données |
ressource. rdsDbInstanceDétails. dbInstanceIdentifier |
ID de cluster de base de données |
ressource. rdsDbInstanceDétails. dbClusterIdentifier |
Moteur de base de données |
ressource. rdsDbInstanceDétails. Moteur |
Utilisateur de la base de donnée |
ressource. rdsDbUserDetails.user |
Clé de balise d'instance de base de données |
ressource. rdsDbInstanceDetails.tags.key |
Valeur de balise d'instance de base de données |
ressource. rdsDbInstanceDetails.tags.value |
Exécutable SHA -256 |
service. runtimeDetails.processus. executableSha256 |
Nom du processus |
service. runtimeDetails.process.name |
Chemin exécutable |
service. runtimeDetails.processus. executablePath |
Nom de fonction Lambda |
ressource. lambdaDetails. functionName |
Fonction Lambda ARN |
ressource. lambdaDetails. functionArn |
Clé de balise de fonction Lambda |
ressource. lambdaDetails.tags .key |
Valeur de balise de fonction Lambda |
ressource. lambdaDetails.tags .valeur |
DNSdomaine de demande |
service.action. dnsRequestAction. domainWithSuffix |