Regole di soppressione in GuardDuty - Amazon GuardDuty
Casi d'uso comuni per le regole di eliminazione ed esempi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole di soppressione in GuardDuty

Una regola di eliminazione è un insieme di criteri in cui ogni attributo di filtro è abbinato a un valore. Questi criteri vengono utilizzati per filtrare gli esiti, archiviando automaticamente i nuovi esiti che corrispondono ai criteri specificati. Le regole di soppressione possono essere utilizzate per filtrare risultati di basso valore, risultati falsi positivi o minacce su cui non si intende agire, per facilitare il riconoscimento delle minacce alla sicurezza con l'impatto maggiore sull'ambiente.

Dopo aver creato una regola di soppressione, i nuovi risultati che corrispondono ai criteri definiti nella regola vengono archiviati automaticamente finché la regola di soppressione è in vigore. Puoi utilizzare un filtro esistente per creare una regola di eliminazione oppure puoi crearne una a partire da un nuovo filtro definito. È possibile configurare le regole di eliminazione in modo da eliminare interi tipi di risultati oppure definire criteri di filtro più granulari per sopprimere solo istanze specifiche di un particolare tipo di risultato. È possibile modificare le regole di soppressione in qualsiasi momento.

I risultati soppressi non vengono inviati ad AWS Security Hub Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, riducendo il livello di rumore delle ricerche se si utilizzano GuardDuty i risultati tramite Security Hub, una terza parte SIEM o altre applicazioni di avviso e emissione di ticket. Se l'hai abilitatoProtezione da malware per EC2, i GuardDuty risultati soppressi non avvieranno una scansione antimalware.

GuardDuty continua a generare risultati anche quando corrispondono alle regole di soppressione impostate, tuttavia tali risultati vengono automaticamente contrassegnati come archiviati. I risultati archiviati vengono archiviati GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo. È possibile visualizzare i risultati soppressi nella GuardDuty console selezionando Archiviato dalla tabella dei risultati o utilizzando il GuardDuty API ListFindingsAPIcon un findingCriteria criterio uguale a vero. service.archived

Nota

In un ambiente con più account solo l' GuardDuty amministratore può creare regole di soppressione.

Casi d'uso comuni per le regole di eliminazione ed esempi

I seguenti tipi di risultati presentano casi d'uso comuni per l'applicazione delle regole di soppressione. Seleziona il nome del risultato per saperne di più su tale risultato. Esamina la descrizione del caso d'uso per decidere se creare una regola di soppressione per quel tipo di risultato.

Importante

GuardDuty consiglia di creare regole di soppressione in modo reattivo e solo per i risultati per i quali sono stati ripetutamente identificati falsi positivi nel proprio ambiente.

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— Utilizzare una regola di soppressione per archiviare automaticamente i risultati generati quando la VPC rete è configurata per instradare il traffico Internet in modo che esca da un gateway locale anziché da un Internet VPC Gateway.

    Questo risultato viene generato quando la rete è configurata per instradare il traffico Internet in modo che esca da un gateway locale anziché da un VPC Internet Gateway ()IGW. Le configurazioni comuni, ad esempio l'utilizzo o le VPC VPN connessioni AWS Outposts, possono far sì che il traffico venga instradato in questo modo. Se questo è il comportamento previsto, si consiglia di utilizzare regole di soppressione e creare una regola composta da due criteri di filtro. Il primo criterio è trovare il tipo, che dovrebbe essere UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Il secondo criterio di filtro è l'IPv4indirizzo del API chiamante con l'indirizzo IP o l'CIDRintervallo del gateway Internet locale. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di risultato in base all'indirizzo IP del API chiamante.

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    Nota

    Per includere più API chiamanti, IPs puoi aggiungere un nuovo filtro per l'IPv4indirizzo del API chiamante per ciascuno.

  • Recon:EC2/Portscan: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando utilizzi un'applicazione di valutazione della vulnerabilità.

    La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di ricerca in base a istanze con un determinato valore. AMI

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

  • UnauthorizedAccess:EC2/SSHBruteForce: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze di host bastione.

    Se l'obiettivo del tentativo di forza bruta è un bastion host, ciò può rappresentare il comportamento previsto per l'ambiente in uso. AWS In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con un determinato valore del tag dell'istanza.

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

  • Recon:EC2/PortProbeUnprotectedPort: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze esposte intenzionalmente.

    Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con una determinata chiave di tag dell'istanza nella console.

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Regole di soppressione consigliate per i risultati del Runtime Monitoring

  • PrivilegeEscalation:Runtime/DockerSocketAccessed viene generato quando un processo all'interno di un container comunica con il socket Docker. Nel tuo ambiente potrebbero esserci container che devono accedere al socket Docker per motivi legittimi. L'accesso da tali contenitori genererà PrivilegeEscalation:Runtime/DockerSocketAccessed ritrovamento. Se questo è un caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo tipo di risultato. Il primo criterio dovrebbe utilizzare il campo Tipo di risultato con valore uguale a PrivilegeEscalation:Runtime/DockerSocketAccessed. Il secondo criterio di filtro è il campo Percorso eseguibile con valore uguale al executablePath del processo nell'esito generato. In alternativa, il secondo criterio di filtro può utilizzare il campo Executable SHA -256 con un valore uguale a quello del processo executableSha256 nel risultato generato.

  • I cluster Kubernetes gestiscono i propri DNS server come pod, ad esempio. coredns Pertanto, per ogni DNS ricerca da un pod, GuardDuty acquisisce due DNS eventi, uno dal pod e l'altro dal pod del server. Ciò può generare duplicati per i seguenti risultati: DNS

    I risultati duplicati includeranno i dettagli del pod, del contenitore e del processo che corrispondono al pod DNS del server. Puoi impostare una regola di eliminazione per eliminare gli esiti duplicati utilizzando questi campi. Il primo criterio di filtro deve utilizzare il campo Tipo di ricerca con un valore uguale a un tipo di DNS risultato dall'elenco dei risultati fornito in precedenza in questa sezione. Il secondo criterio di filtro potrebbe essere il percorso eseguibile con valore uguale a quello del DNS server executablePath o l'eseguibile SHA -256 con valore uguale a quello del DNS server executableSHA256 nel risultato generato. Come terzo criterio di filtro opzionale, puoi utilizzare il campo di immagine del contenitore Kubernetes con un valore uguale all'immagine del contenitore del pod del tuo DNS server nel risultato generato.