Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty esempi utilizzando AWS CLI
I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface with GuardDuty.
Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Mentre le azioni mostrano come richiamare le singole funzioni di servizio, è possibile visualizzare le azioni nel loro contesto negli scenari correlati.
Ogni esempio include un collegamento al codice sorgente completo, in cui è possibile trovare istruzioni su come configurare ed eseguire il codice nel contesto.
Argomenti
Azioni
Il seguente esempio di codice mostra come utilizzareaccept-invitation
.
- AWS CLI
-
Accettare un invito a diventare un account GuardDuty membro nella regione corrente
L'
accept-invitation
esempio seguente mostra come accettare un invito a diventare un account GuardDuty membro nella regione corrente.aws guardduty accept-invitation \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --master-id123456789111
\ --invitation-idd6b94fb03a66ff665f7db8764example
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestire GuardDuty gli account tramite invito nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere AcceptInvitation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarearchive-findings
.
- AWS CLI
-
Per archiviare i risultati nella regione corrente
Questo esempio mostra come archiviare i risultati nella regione corrente.
aws guardduty archive-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-idsd6b94fb03a66ff665f7db8764example
3eb970e0de00c16ec14e6910fexample
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta la sezione Gestione GuardDuty degli account tramite invito nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere ArchiveFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-detector
.
- AWS CLI
-
Da abilitare GuardDuty nella regione corrente
Questo esempio mostra come creare un nuovo rilevatore, che abiliti GuardDuty, nella regione corrente. :
aws guardduty create-detector \ --enable
Output:
{ "DetectorId": "b6b992d6d2f48e64bc59180bfexample" }
Per ulteriori informazioni, consulta Enable Amazon GuardDuty nella GuardDuty User Guide.
-
Per API i dettagli, consulta CreateDetector AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-filter
.
- AWS CLI
-
Per creare un nuovo filtro per la regione corrente
Questo esempio crea un filtro che corrisponde a tutti i risultati di portscan, ad esempio creati da un'immagine specifica. :
aws guardduty create-filter \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --actionARCHIVE
\ --namemyFilter
\ --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}
'Output:
{ "Name": "myFilter" }
Per ulteriori informazioni, consulta Filtraggio dei risultati nella Guida per l'GuardDuty utente.
-
Per API i dettagli, vedere CreateFilter
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-ip-set
.
- AWS CLI
-
Per creare un set IP affidabile
L'
create-ip-set
esempio seguente crea e attiva un set IP affidabile nella regione corrente.aws guardduty create-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --namenew-ip-set
\ --formatTXT
--locations3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv
--activateOutput:
{ "IpSetId": "d4b94fc952d6912b8f3060768example" }
Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere CreateIpSet
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-members
.
- AWS CLI
-
Per associare un nuovo membro al tuo account GuardDuty principale nella regione corrente.
Questo esempio mostra come associare gli account dei membri che devono essere gestiti dall'account corrente come GuardDuty master.
aws guardduty create-members --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --account-detailsAccountId=111122223333,Email=first+member@example.com
AccountId=111111111111
,Email=another+member@example.com
Output:
{ "UnprocessedAccounts": [] }
Per ulteriori informazioni, consulta Gestione di più account nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere CreateMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-publishing-destination
.
- AWS CLI
-
Per creare una destinazione di pubblicazione in cui esportare i GuardDuty risultati nella regione corrente.
Questo esempio mostra come creare una destinazione di pubblicazione per GuardDuty i risultati.
aws guardduty create-publishing-destination \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --destination-typeS3
\ --destination-propertiesDestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example
Output:
{ "DestinationId": "46b99823849e1bbc242dfbe3cexample" }
Per ulteriori informazioni, consulta Esportazione dei risultati nella Guida per l'GuardDuty utente.
-
Per API i dettagli, vedere CreatePublishingDestination
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-sample-findings
.
- AWS CLI
-
Per creare GuardDuty risultati di esempio nella regione corrente.
Questo esempio mostra come creare un esempio di ricerca dei tipi forniti.
aws guardduty create-sample-findings \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --finding-typesUnauthorizedAccess:EC2/TorClient
UnauthorizedAccess:EC2/TorRelay
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Esempi di risultati nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere CreateSampleFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-threat-intel-set
.
- AWS CLI
-
Per creare un nuovo set di informazioni sulle minacce nella regione corrente.
Questo esempio mostra come caricare un set di informazioni sulle minacce GuardDuty e attivarlo immediatamente.
aws guardduty create-threat-intel-set \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --namemyThreatSet
\ --formatTXT
\ --locations3://EXAMPLEBUCKET/threatlist.csv
\ --activateOutput:
{ "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample" }
Per ulteriori informazioni, consulta IP attendibili ed elenchi di minacce nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere CreateThreatIntelSet
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredecline-invitations
.
- AWS CLI
-
Per rifiutare un invito a far gestire Guardduty da un altro account nella regione corrente.
Questo esempio mostra come rifiutare un invito all'iscrizione.
aws guardduty decline-invitations \ --account-ids
111122223333
Output:
{ "UnprocessedAccounts": [] }
Per ulteriori informazioni, consulta Gestione GuardDuty degli account su invito nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere DeclineInvitations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-detector
.
- AWS CLI
-
Per eliminare e disattivare GuardDuty un rilevatore nella regione corrente.
Questo esempio mostra come eliminare un rilevatore. In caso di successo, questa operazione verrà disattivata GuardDuty nella regione associata a quel rilevatore.
aws guardduty delete-detector \ --detector-id
b6b992d6d2f48e64bc59180bfexample
Questo comando non produce alcun output.
Per ulteriori informazioni, consultate Sospensione o disabilitazione GuardDuty nella Guida per l'utente. GuardDuty
-
Per API i dettagli, vedere DeleteDetector
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-filter
.
- AWS CLI
-
Per eliminare un filtro esistente nella regione corrente
Questo esempio mostra come creare ed eliminare un filtro.
aws guardduty delete-filter \ --detector-id
b6b992d6d2f48e64bc59180bfexample
\ --filter-namebyebyeFilter
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Filtraggio dei risultati nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere DeleteFilter
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-organization-admin-account
.
- AWS CLI
-
Per rimuovere un account come amministratore delegato all' GuardDuty interno dell'organizzazione
Questo esempio mostra come rimuovere un account come amministratore delegato di. GuardDuty
aws guardduty disable-organization-admin-account \ --admin-account-id
111122223333
Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestire gli account con AWS le organizzazioni nella Guida per l'GuardDuty utente.
-
Per API i dettagli, vedere DisableOrganizationAdminAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-from-master-account
.
- AWS CLI
-
Per dissociarsi dal proprio account principale corrente nella regione corrente
L'
disassociate-from-master-account
esempio seguente dissocia il tuo account dall'account GuardDuty principale corrente nella regione corrente. AWSaws guardduty disassociate-from-master-account \ --detector-id
d4b040365221be2b54a6264dcexample
Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere DisassociateFromMasterAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-detector
.
- AWS CLI
-
Per recuperare i dettagli di un rilevatore specifico
L'
get-detector
esempio seguente visualizza i dettagli delle configurazioni del rilevatore specificato.aws guardduty get-detector \ --detector-id
12abc34d567e8fa901bc2d34eexample
Output:
{ "Status": "ENABLED", "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Tags": {}, "FindingPublishingFrequency": "SIX_HOURS", "UpdatedAt": "2018-11-07T03:24:22.938Z", "CreatedAt": "2017-12-22T22:51:31.940Z" }
Per ulteriori informazioni, vedere Concetti e terminologia nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere GetDetector
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-findings
.
- AWS CLI
-
Esempio 1: Per recuperare i dettagli di un risultato specifico
L'
get-findings
esempio seguente recupera i dettagli completi del JSON risultato specificato.aws guardduty get-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-id1ab92989eaf0e742df4a014d5example
Output:
{ "Findings": [ { "Resource": { "ResourceType": "AccessKey", "AccessKeyDetails": { "UserName": "testuser", "UserType": "IAMUser", "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE", "AccessKeyId": "ASIASZ4SI7REEEXAMPLE" } }, "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.", "Service": { "Count": 5, "Archived": false, "ServiceName": "guardduty", "EventFirstSeen": "2020-05-26T22:02:24Z", "ResourceRole": "TARGET", "EventLastSeen": "2020-05-26T22:33:55Z", "DetectorId": "d4b040365221be2b54a6264dcexample", "Action": { "ActionType": "AWS_API_CALL", "AwsApiCallAction": { "RemoteIpDetails": { "GeoLocation": { "Lat": 51.5164, "Lon": -0.093 }, "City": { "CityName": "London" }, "IpAddressV4": "52.94.36.7", "Organization": { "Org": "Amazon.com", "Isp": "Amazon.com", "Asn": "16509", "AsnOrg": "AMAZON-02" }, "Country": { "CountryName": "United Kingdom" } }, "Api": "ListPolicyVersions", "ServiceName": "iam.amazonaws.com", "CallerType": "Remote IP" } } }, "Title": "Unusual user permission reconnaissance activity by testuser.", "Type": "Recon:IAMUser/UserPermissions", "Region": "us-east-1", "Partition": "aws", "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example", "UpdatedAt": "2020-05-26T22:55:21.703Z", "SchemaVersion": "2.0", "Severity": 5, "Id": "1ab92989eaf0e742df4a014d5example", "CreatedAt": "2020-05-26T22:21:48.385Z", "AccountId": "111122223333" } ] }
Per ulteriori informazioni, vedere Findings nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere GetFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-ip-set
.
- AWS CLI
-
Per elencare, ottieni i dettagli su un set IP affidabile specificato
L'
get-ip-set
esempio seguente mostra lo stato e i dettagli del set IP affidabile specificato.aws guardduty get-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --ip-set-idd4b94fc952d6912b8f3060768example
Output:
{ "Status": "ACTIVE", "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv", "Tags": {}, "Format": "TXT", "Name": "test-ip-set" }
Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere GetIpSet
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-master-account
.
- AWS CLI
-
Per recuperare i dettagli sul tuo account principale nella regione corrente
L'
get-master-account
esempio seguente mostra lo stato e i dettagli dell'account principale associato al rilevatore nella regione corrente.aws guardduty get-master-account \ --detector-id
12abc34d567e8fa901bc2d34eexample
Output:
{ "Master": { "InvitationId": "04b94d9704854a73f94e061e8example", "InvitedAt": "2020-06-09T22:23:04.970Z", "RelationshipStatus": "Enabled", "AccountId": "123456789111" } }
Per ulteriori informazioni, consulta Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere GetMasterAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-detectors
.
- AWS CLI
-
Per elencare i rilevatori disponibili nella regione corrente
L'
list-detectors
esempio seguente elenca i rilevatori disponibili nella regione corrente AWS .aws guardduty list-detectors
Output:
{ "DetectorIds": [ "12abc34d567e8fa901bc2d34eexample" ] }
Per ulteriori informazioni, vedere Concetti e terminologia nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere ListDetectors
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-findings
.
- AWS CLI
-
Esempio 1: Per elencare tutti i risultati per la regione corrente
L'
list-findings
esempio seguente visualizza un elenco di tutti i dati findingIds per la regione corrente, ordinati per gravità, dal più alto al più basso.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}
'Output:
{ "FindingIds": [ "04b8ab50fd29c64fc771b232dexample", "5ab8ab50fd21373735c826d3aexample", "90b93de7aba69107f05bbe60bexample", ... ] }
Per ulteriori informazioni, vedere Findings in the GuardDuty User Guide.
Esempio 2: per elencare i risultati per la regione corrente che corrispondono a criteri di ricerca specifici
L'
list-findings
esempio seguente visualizza un elenco di tutti i risultati findingIds che corrispondono a un tipo di risultato specificato.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-criteria '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}
'Output:
{ "FindingIds": [ "90b93de7aba69107f05bbe60bexample", "6eb9430d7023d30774d6f05e3example", "2eb91a2d060ac9a21963a5848example", "44b8ab50fd2b0039a9e48f570example", "9eb8ab4cd2b7e5b66ba4f5e96example", "e0b8ab3a38e9b0312cc390ceeexample" ] }
Per ulteriori informazioni, vedere Findings nella Guida GuardDuty per l'utente.
Esempio 3: per elencare i risultati per la regione corrente che corrispondono a una serie specifica di criteri di ricerca definiti all'interno di un JSON file
L'
list-findings
esempio seguente visualizza un elenco di tutto ciò findingIds che non è archiviato e coinvolge l'IAMutente denominato «testuser», come specificato in un JSON file.aws guardduty list-findings \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --finding-criteriafile://myfile.json
Contenuto di
myfile.json
.{"Criterion": { "resource.accessKeyDetails.userName":{ "Eq":[ "testuser" ] }, "service.archived": { "Eq": [ "false" ] } } }
Output:
{ "FindingIds": [ "1ab92989eaf0e742df4a014d5example" ] }
Per ulteriori informazioni, vedere Findings in the GuardDuty User Guide.
-
Per API i dettagli, vedere ListFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-invitations
.
- AWS CLI
-
Per elencare i dettagli dei tuoi inviti a diventare un account membro nella regione corrente
L'
list-invitations
esempio seguente elenca i dettagli e lo stato degli inviti a diventare un account GuardDuty membro nella regione corrente.aws guardduty list-invitations
Output:
{ "Invitations": [ { "InvitationId": "d6b94fb03a66ff665f7db8764example", "InvitedAt": "2020-06-10T17:56:38.221Z", "RelationshipStatus": "Invited", "AccountId": "123456789111" } ] }
Per ulteriori informazioni, consulta Gestire GuardDuty gli account tramite invito nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere ListInvitations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-ip-sets
.
- AWS CLI
-
Per elencare i set IP affidabili nella regione corrente
L'
list-ip-sets
esempio seguente elenca i set IP affidabili nella AWS regione corrente.aws guardduty list-ip-sets \ --detector-id
12abc34d567e8fa901bc2d34eexample
Output:
{ "IpSetIds": [ "d4b94fc952d6912b8f3060768example" ] }
Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere ListIpSets
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-members
.
- AWS CLI
-
Per elencare tutti i membri della regione corrente
L'
list-members
esempio seguente elenca tutti gli account membro e i relativi dettagli per l'area corrente.aws guardduty list-members \ --detector-id
12abc34d567e8fa901bc2d34eexample
Output:
{ "Members": [ { "RelationshipStatus": "Enabled", "InvitedAt": "2020-06-09T22:49:00.910Z", "MasterId": "123456789111", "DetectorId": "7ab8b2f61b256c87f793f6a86example", "UpdatedAt": "2020-06-09T23:08:22.512Z", "Email": "your+member@example.com", "AccountId": "123456789222" } ] }
Per ulteriori informazioni, vedere Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.
-
Per API i dettagli, vedere ListMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-ip-set
.
- AWS CLI
-
Per aggiornare un set IP affidabile
L'
update-ip-set
esempio seguente mostra come aggiornare i dettagli di un set IP affidabile.aws guardduty update-ip-set \ --detector-id
12abc34d567e8fa901bc2d34eexample
\ --ip-set-idd4b94fc952d6912b8f3060768example
\ --locationhttps://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv
Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida GuardDuty per l'utente.
-
Per API i dettagli, vedere UpdateIpSet
in AWS CLI Command Reference.
-