GuardDuty contoh menggunakan AWS CLI - AWS SDKContoh Kode
Tindakan

Ada lebih banyak AWS SDK contoh yang tersedia di GitHub repo SDKContoh AWS Dokumen.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty contoh menggunakan AWS CLI

Contoh kode berikut menunjukkan cara melakukan tindakan dan mengimplementasikan skenario umum dengan menggunakan AWS Command Line Interface with GuardDuty.

Tindakan adalah kutipan kode dari program yang lebih besar dan harus dijalankan dalam konteks. Sementara tindakan menunjukkan cara memanggil fungsi layanan individual, Anda dapat melihat tindakan dalam konteks dalam skenario terkait.

Setiap contoh menyertakan tautan ke kode sumber lengkap, di mana Anda dapat menemukan instruksi tentang cara mengatur dan menjalankan kode dalam konteks.

Tindakan

Contoh kode berikut menunjukkan cara menggunakanaccept-invitation.

AWS CLI

Untuk menerima undangan untuk menjadi akun GuardDuty anggota di wilayah saat ini

accept-invitationContoh berikut menunjukkan cara menerima undangan untuk menjadi akun GuardDuty anggota di wilayah saat ini.

aws guardduty accept-invitation  \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --master-id 123456789111 \
    --invitation-id d6b94fb03a66ff665f7db8764example

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Mengelola GuardDuty Akun berdasarkan Undangan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakanarchive-findings.

AWS CLI

Untuk mengarsipkan temuan di wilayah saat ini

Contoh ini menunjukkan cara mengarsipkan temuan di wilayah saat ini.

aws guardduty archive-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Mengelola GuardDuty Akun berdasarkan Undangan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakancreate-detector.

AWS CLI

Untuk mengaktifkan GuardDuty di wilayah saat ini

Contoh ini menunjukkan cara membuat detektor baru, yang memungkinkan GuardDuty, di wilayah saat ini. :

aws guardduty create-detector \
    --enable

Output:

{
    "DetectorId": "b6b992d6d2f48e64bc59180bfexample"
}

Untuk informasi selengkapnya, lihat Mengaktifkan Amazon GuardDuty di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat CreateDetectordi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakancreate-filter.

AWS CLI

Untuk membuat filter baru untuk wilayah saat ini

Contoh ini membuat filter yang cocok dengan semua portscan temuan misalnya dibuat dari gambar tertentu. :

aws guardduty create-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --action ARCHIVE \
    --name myFilter \
    --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

Output:

{
    "Name": "myFilter"
}

Untuk informasi selengkapnya, lihat Memfilter temuan di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat CreateFilterdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakancreate-ip-set.

AWS CLI

Untuk membuat set IP tepercaya

create-ip-setContoh berikut membuat dan mengaktifkan set IP tepercaya di wilayah saat ini.

aws guardduty create-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --name new-ip-set \
    --format TXT
    --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv
    --activate

Output:

{
    "IpSetId": "d4b94fc952d6912b8f3060768example"
}

Untuk informasi selengkapnya, lihat Bekerja dengan Daftar IP Tepercaya dan Daftar Ancaman di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat CreateIpSetdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakancreate-members.

AWS CLI

Untuk mengaitkan anggota baru dengan akun GuardDuty master Anda di wilayah saat ini.

Contoh ini menunjukkan cara mengaitkan akun anggota yang akan dikelola oleh akun saat ini sebagai GuardDuty master.

aws guardduty create-members
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

Output:

{
   "UnprocessedAccounts": []
}

Untuk informasi selengkapnya, lihat Mengelola beberapa akun di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat CreateMembersdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakancreate-publishing-destination.

AWS CLI

Untuk membuat tujuan penerbitan untuk mengekspor GuardDuty temuan di wilayah saat ini ke.

Contoh ini menunjukkan cara membuat tujuan penerbitan untuk GuardDuty temuan.

aws guardduty create-publishing-destination \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --destination-type S3 \
    --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

Output:

{
    "DestinationId": "46b99823849e1bbc242dfbe3cexample"
}

Untuk informasi selengkapnya, lihat Mengekspor temuan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakancreate-sample-findings.

AWS CLI

Untuk membuat GuardDuty temuan sampel di wilayah saat ini.

Contoh ini menunjukkan cara membuat temuan sampel dari jenis yang disediakan.

aws guardduty create-sample-findings \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Contoh temuan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakancreate-threat-intel-set.

AWS CLI

Untuk membuat ancaman baru intel ditetapkan di wilayah saat ini.

Contoh ini menunjukkan cara mengunggah intel ancaman yang disetel GuardDuty dan segera mengaktifkannya.

aws guardduty create-threat-intel-set \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --name myThreatSet \
    --format TXT \
    --location s3://EXAMPLEBUCKET/threatlist.csv \
    --activate

Output:

{
    "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample"
}

Untuk informasi selengkapnya, lihat IP tepercaya dan daftar ancaman di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakandecline-invitations.

AWS CLI

Untuk menolak undangan agar Guardduty dikelola oleh akun lain di wilayah saat ini.

Contoh ini menunjukkan cara menolak undangan keanggotaan.

aws guardduty decline-invitations \
    --account-ids 111122223333

Output:

{
    "UnprocessedAccounts": []
}

Untuk informasi selengkapnya, lihat Mengelola GuardDuty akun berdasarkan undangan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakandelete-detector.

AWS CLI

Untuk menghapus detektor, dan menonaktifkan GuardDuty, di wilayah saat ini.

Contoh ini menunjukkan cara menghapus detektor, jika berhasil, ini akan menonaktifkan GuardDuty di wilayah yang terkait dengan detektor itu.

aws guardduty delete-detector \
    --detector-id b6b992d6d2f48e64bc59180bfexample

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Menangguhkan atau menonaktifkan GuardDuty di Panduan Pengguna. GuardDuty

  • Untuk API detailnya, lihat DeleteDetectordi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakandelete-filter.

AWS CLI

Untuk menghapus filter yang ada di wilayah saat ini

Contoh ini menunjukkan cara membuat menghapus filter.

aws guardduty delete-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --filter-name byebyeFilter

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Memfilter temuan di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat DeleteFilterdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakandisable-organization-admin-account.

AWS CLI

Untuk menghapus akun sebagai administrator yang didelegasikan untuk GuardDuty dalam organisasi Anda

Contoh ini menunjukkan cara menghapus akun sebagai administrator yang didelegasikan untuk GuardDuty.

aws guardduty disable-organization-admin-account \
    --admin-account-id 111122223333

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Mengelola akun dengan AWS organisasi di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakandisassociate-from-master-account.

AWS CLI

Untuk memisahkan diri dari akun master Anda saat ini di wilayah saat ini

disassociate-from-master-accountContoh berikut memisahkan akun Anda dari akun GuardDuty master saat ini di wilayah saat ini. AWS 

aws guardduty disassociate-from-master-account \
    --detector-id d4b040365221be2b54a6264dcexample

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Memahami Hubungan antara Akun GuardDuty Master dan Anggota di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakanget-detector.

AWS CLI

Untuk mengambil detail detektor tertentu

get-detectorContoh berikut menampilkan rincian konfigurasi detektor yang ditentukan.

aws guardduty get-detector \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Status": "ENABLED",
    "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Tags": {},
    "FindingPublishingFrequency": "SIX_HOURS",
    "UpdatedAt": "2018-11-07T03:24:22.938Z",
    "CreatedAt": "2017-12-22T22:51:31.940Z"
}

Untuk informasi selengkapnya, lihat Konsep dan Terminologi di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat GetDetectordi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanget-findings.

AWS CLI

Contoh 1: Untuk mengambil rincian temuan tertentu

get-findingsContoh berikut mengambil rincian JSON temuan lengkap dari temuan yang ditentukan.

aws guardduty get-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-id 1ab92989eaf0e742df4a014d5example

Output:

{
    "Findings": [
        {
            "Resource": {
                "ResourceType": "AccessKey",
                "AccessKeyDetails": {
                    "UserName": "testuser",
                    "UserType": "IAMUser",
                    "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE",
                    "AccessKeyId": "ASIASZ4SI7REEEXAMPLE"
                }
            },
            "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.",
            "Service": {
                "Count": 5,
                "Archived": false,
                "ServiceName": "guardduty",
                "EventFirstSeen": "2020-05-26T22:02:24Z",
                "ResourceRole": "TARGET",
                "EventLastSeen": "2020-05-26T22:33:55Z",
                "DetectorId": "d4b040365221be2b54a6264dcexample",
                "Action": {
                    "ActionType": "AWS_API_CALL",
                    "AwsApiCallAction": {
                        "RemoteIpDetails": {
                            "GeoLocation": {
                                "Lat": 51.5164,
                                "Lon": -0.093
                            },
                            "City": {
                                "CityName": "London"
                            },
                            "IpAddressV4": "52.94.36.7",
                            "Organization": {
                                "Org": "Amazon.com",
                                "Isp": "Amazon.com",
                                "Asn": "16509",
                                "AsnOrg": "AMAZON-02"
                            },
                            "Country": {
                                "CountryName": "United Kingdom"
                            }
                        },
                        "Api": "ListPolicyVersions",
                        "ServiceName": "iam.amazonaws.com",
                        "CallerType": "Remote IP"
                    }
                }
            },
            "Title": "Unusual user permission reconnaissance activity by testuser.",
            "Type": "Recon:IAMUser/UserPermissions",
            "Region": "us-east-1",
            "Partition": "aws",
            "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example",
            "UpdatedAt": "2020-05-26T22:55:21.703Z",
            "SchemaVersion": "2.0",
            "Severity": 5,
            "Id": "1ab92989eaf0e742df4a014d5example",
            "CreatedAt": "2020-05-26T22:21:48.385Z",
            "AccountId": "111122223333"
        }
    ]
}

Untuk informasi selengkapnya, lihat Temuan di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat GetFindingsdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanget-ip-set.

AWS CLI

Untuk daftar, dapatkan detail pada set IP tepercaya yang ditentukan

get-ip-setContoh berikut menunjukkan status dan detail set IP tepercaya yang ditentukan.

aws guardduty get-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example

Output:

{
    "Status": "ACTIVE",
    "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv",
    "Tags": {},
    "Format": "TXT",
    "Name": "test-ip-set"
}

Untuk informasi selengkapnya, lihat Bekerja dengan Daftar IP Tepercaya dan Daftar Ancaman di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat GetIpSetdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanget-master-account.

AWS CLI

Untuk mengambil detail tentang akun master Anda di wilayah saat ini

get-master-accountContoh berikut menampilkan status dan detail akun master yang terkait dengan detektor Anda di wilayah saat ini.

aws guardduty get-master-account \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Master": {
        "InvitationId": "04b94d9704854a73f94e061e8example",
        "InvitedAt": "2020-06-09T22:23:04.970Z",
        "RelationshipStatus": "Enabled",
        "AccountId": "123456789111"
    }
}

Untuk informasi selengkapnya, lihat Memahami Hubungan antara Akun GuardDuty Master dan Anggota di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakanlist-detectors.

AWS CLI

Untuk membuat daftar detektor yang tersedia di wilayah saat ini

list-detectorsContoh berikut mencantumkan detektor yang tersedia di AWS wilayah Anda saat ini.

aws guardduty list-detectors

Output:

{
    "DetectorIds": [
        "12abc34d567e8fa901bc2d34eexample"
    ]
}

Untuk informasi selengkapnya, lihat Konsep dan Terminologi di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat ListDetectorsdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanlist-findings.

AWS CLI

Contoh 1: Untuk membuat daftar semua temuan untuk wilayah saat ini

list-findingsContoh berikut menampilkan daftar semua findingIds untuk wilayah saat ini diurutkan berdasarkan tingkat keparahan dari tertinggi ke terendah.

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

Output:

{
    "FindingIds": [
        "04b8ab50fd29c64fc771b232dexample",
        "5ab8ab50fd21373735c826d3aexample",
        "90b93de7aba69107f05bbe60bexample",
        ...
    ]
}

Untuk informasi selengkapnya, lihat Temuan di Panduan GuardDuty Pengguna.

Contoh 2: Untuk membuat daftar temuan untuk wilayah saat ini yang cocok dengan kriteria temuan tertentu

list-findingsContoh berikut menampilkan daftar semua findingIds yang cocok dengan jenis temuan tertentu.

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

Output:

{
    "FindingIds": [
        "90b93de7aba69107f05bbe60bexample",
        "6eb9430d7023d30774d6f05e3example",
        "2eb91a2d060ac9a21963a5848example",
        "44b8ab50fd2b0039a9e48f570example",
        "9eb8ab4cd2b7e5b66ba4f5e96example",
        "e0b8ab3a38e9b0312cc390ceeexample"
    ]
}

Untuk informasi selengkapnya, lihat Temuan di Panduan GuardDuty Pengguna.

Contoh 3: Untuk membuat daftar temuan untuk wilayah saat ini yang cocok dengan serangkaian kriteria temuan tertentu yang ditentukan dalam JSON file

list-findingsContoh berikut menampilkan daftar semua findingIds yang tidak diarsipkan, dan melibatkan IAM pengguna bernama “testuser”, seperti yang ditentukan dalam file. JSON

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  file://myfile.json

Isi dari myfile.json:

{"Criterion": {
    "resource.accessKeyDetails.userName":{
                "Eq":[
                    "testuser"
                    ]
                },
    "service.archived": {
                "Eq": [
                    "false"
                ]
            }
        }
}

Output:

{
    "FindingIds": [
        "1ab92989eaf0e742df4a014d5example"
    ]
}

Untuk informasi selengkapnya, lihat Temuan di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat ListFindingsdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanlist-invitations.

AWS CLI

Untuk mencantumkan detail undangan Anda untuk menjadi akun anggota di wilayah saat ini

list-invitationsContoh berikut mencantumkan detail dan status undangan Anda untuk menjadi akun GuardDuty anggota di wilayah saat ini.

aws guardduty list-invitations

Output:

{
    "Invitations": [
        {
            "InvitationId": "d6b94fb03a66ff665f7db8764example",
            "InvitedAt": "2020-06-10T17:56:38.221Z",
            "RelationshipStatus": "Invited",
            "AccountId": "123456789111"
        }
    ]
}

Untuk informasi selengkapnya, lihat Mengelola GuardDuty Akun berdasarkan Undangan di Panduan GuardDuty Pengguna.

Contoh kode berikut menunjukkan cara menggunakanlist-ip-sets.

AWS CLI

Untuk daftar set IP tepercaya di wilayah saat ini

list-ip-setsContoh berikut mencantumkan set IP tepercaya di AWS wilayah Anda saat ini.

aws guardduty list-ip-sets \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "IpSetIds": [
        "d4b94fc952d6912b8f3060768example"
    ]
}

Untuk informasi selengkapnya, lihat Bekerja dengan Daftar IP Tepercaya dan Daftar Ancaman di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat ListIpSetsdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanlist-members.

AWS CLI

Untuk daftar semua anggota di wilayah saat ini

list-membersContoh berikut mencantumkan semua akun anggota dan detailnya untuk wilayah saat ini.

aws guardduty list-members \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Members": [
        {
            "RelationshipStatus": "Enabled",
            "InvitedAt": "2020-06-09T22:49:00.910Z",
            "MasterId": "123456789111",
            "DetectorId": "7ab8b2f61b256c87f793f6a86example",
            "UpdatedAt": "2020-06-09T23:08:22.512Z",
            "Email": "your+member@example.com",
            "AccountId": "123456789222"
        }
    ]
}

Untuk informasi selengkapnya, lihat Memahami Hubungan antara Akun GuardDuty Master dan Anggota di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat ListMembersdi Referensi AWS CLI Perintah.

Contoh kode berikut menunjukkan cara menggunakanupdate-ip-set.

AWS CLI

Untuk memperbarui set IP tepercaya

update-ip-setContoh berikut menunjukkan cara memperbarui detail set IP tepercaya.

aws guardduty update-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example \
    --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat Bekerja dengan Daftar IP Tepercaya dan Daftar Ancaman di Panduan GuardDuty Pengguna.

  • Untuk API detailnya, lihat UpdateIpSetdi Referensi AWS CLI Perintah.