Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizzazione dei risultati filtrati in GuardDuty
Un filtro per gli esiti ti consente di visualizzare gli esiti che corrispondono ai criteri specificati e di escludere gli esiti non corrispondenti. Puoi creare facilmente filtri di ricerca utilizzando la GuardDuty console Amazon oppure puoi crearli con CreateFilterAPIutilizzandoJSON. Consulta le sezioni seguenti per capire come creare un filtro nella console. Per utilizzare questi filtri in modo da archiviare automaticamente gli esiti in arrivo, consulta Regole di soppressione in GuardDuty.
Creazione di filtri nella GuardDuty console
I filtri di ricerca possono essere creati e testati tramite la GuardDuty console. Puoi salvare i filtri che hai creato tramite la console per utilizzarli nelle regole di eliminazione o nelle operazioni di filtro future. Un filtro è composto da almeno un criterio di filtro, che consiste in un attributo del filtro abbinato ad almeno un valore.
Quando crei un nuovo utente, tieni in considerazione quanto segue:
-
I filtri non accettano caratteri jolly.
-
Puoi specificare da uno a 50 attributi come criteri per un determinato filtro.
-
Quando utilizzi la condizione uguale a o non uguale a per filtrare in base a un valore di attributo, ad esempio ID account, puoi specificare un massimo di 50 valori.
-
Ogni attributo dei criteri di filtro viene valutato come operatore
AND
. Più valori per lo stesso attributo vengono valutati comeAND/OR
.
Per filtrare i risultati (console)
-
In Filtra per attributo, scegli Aggiungi criteri di filtro. Verrà visualizzato un elenco esteso di attributi del filtro.
-
Dall'elenco esteso di attributi, seleziona l'attributo che desideri specificare come criterio per il filtro, ad esempio ID account o Tipo di azione.
Per un elenco completo degli attributi, consultaAttributi del filtro.
-
Nel campo di testo visualizzato, specificate un valore per l'attributo selezionato, quindi scegliete Applica.
-
Per aggiungere più di un criterio di filtro, ripeti i passaggi 1-3.
-
Per impostazione predefinita, l'elenco mostra i risultati che corrispondono al filtro applicato. Se desideri visualizzare i risultati che non corrispondono all'attributo del filtro, scegli Escludi accanto al filtro.
-
Salva gli attributi e i valori specificati come filtri
-
Per salvare gli attributi specificati e i relativi valori (criteri di filtro) come filtro, selezionare Salva/Modifica.
-
Inserite il nome e la descrizione della regola di filtro.
-
Seleziona Salva.
-
Attributi del filtro
Quando si creano filtri o si ordinano i risultati utilizzando le API operazioni, è necessario specificare i criteri di filtro inJSON. Questi criteri di filtro sono correlati ai dettagli di un risultatoJSON. La tabella seguente contiene un elenco dei nomi visualizzati sulla console per gli attributi dei filtri e i nomi di JSON campo equivalenti.
Nome campo console |
Nome campo JSON |
---|---|
ID account |
accountId |
ID risultato |
id |
Regione |
Regione |
Gravità |
severity È possibile filtrare i tipi di risultati in base al livello di gravità dei tipi di risultati. Per ulteriori informazioni sui valori di gravità, vedereLivelli di gravità dei GuardDuty risultati. Se si utilizza |
Tipo di risultato |
tipo |
Ora aggiornamento |
updatedAt |
ID chiave di accesso |
risorsa. accessKeyDetails. accessKeyId |
ID principale |
risorsa. accessKeyDetails. principalId |
Username |
risorsa. accessKeyDetails. userName |
Tipo di utente |
risorsa. accessKeyDetails. userType |
IAMID del profilo di istanza |
risorsa. instanceDetails. iamInstanceProfile.id |
ID istanza |
risorsa. instanceDetails. instanceId |
ID immagine istanza |
risorsa. instanceDetails. imageId |
Chiave di tag dell'istanza |
risorsa. instanceDetails.tags.key |
Valore del tag dell'istanza |
risorsa. instanceDetails.tags.value |
IPv6indirizzo |
risorsa. instanceDetails. networkInterfaces.Indirizzi IPv6 |
Indirizzo privato IPv4 |
risorsa. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress |
DNSNome pubblico |
risorsa. instanceDetails. networkInterfaces. publicDnsName |
IP pubblico |
risorsa. instanceDetails. networkInterfaces. publicIp |
ID gruppo di sicurezza |
risorsa. instanceDetails. networkInterfaces. securityGroups. groupId |
Nome del gruppo di sicurezza |
risorsa. instanceDetails. networkInterfaces. securityGroups. groupName |
ID sottorete |
risorsa. instanceDetails. networkInterfaces. subnetId |
VPCID |
risorsa. instanceDetails. networkInterfaces. vpcId |
Avamposto ARN |
risorsa. instanceDetails.avamposto ARN |
Tipo di risorsa |
risorsa. resourceType |
Autorizzazioni del bucket |
risorse.3BucketDetails. publicAccess. effectivePermission |
Nome bucket |
resource.s3 .name BucketDetails |
Chiave tag bucket |
risorse.s3 .tags.key BucketDetails |
Valore tag bucket |
risorse.s3 .tags.value BucketDetails |
Tipo bucket |
risorse.s3 .type BucketDetails |
Tipo di operazione |
servizio.azione. actionType |
APIchiamato |
servizio.azione. awsApiCallAzione.api |
APItipo di chiamante |
servizio.azione. awsApiCallAzione. callerType |
APICodice di errore |
service.action. awsApiCallAzione. errorCode |
APIcittà chiamante |
servizio. azione. awsApiCallAzione. remoteIpDetails.città. cityName |
APIpaese chiamante |
servizio. azione. awsApiCallAzione. remoteIpDetails.paese. countryName |
APIindirizzo del chiamante IPv4 |
servizio.azione. awsApiCallAzione. remoteIpDetails. ipAddressV4 |
APIindirizzo del chiamante IPv6 |
servizio.azione. awsApiCallAzione. remoteIpDetails. ipAddressV6 |
APIID chiamante ASN |
servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione.asn |
APInome del ASN chiamante |
servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione. asnOrg |
APInome del servizio chiamante |
service.action. awsApiCallAzione. serviceName |
DNSrichiedi dominio |
service.action. dnsRequestAction.dominio |
DNSrichiedi il suffisso del dominio |
service.action. dnsRequestAction. domainWithSuffix |
Connessione di rete bloccata |
servizio.azione. networkConnectionAction.bloccato |
Direzione connessione rete |
servizio.azione. networkConnectionAction. connectionDirection |
Porta locale connessione rete |
servizio.azione. networkConnectionAction. localPortDetails.porta |
Protocollo connessione rete |
servizio.azione. networkConnectionAction.protocollo |
Città connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.città. cityName |
Paese connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.paese. countryName |
IPv4Indirizzo remoto della connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails. ipAddressV4 |
Indirizzo remoto IPv6 della connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails. ipAddressV6 |
ID IP ASN remoto della connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione.asn |
Nome IP remoto della connessione di rete ASN |
servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione. asnOrg |
Porta remota connessione rete |
servizio.azione. networkConnectionAction. remotePortDetails.porta |
Account remoto affiliato |
servizio.azione. awsApiCallAzione. remoteAccountDetails.affiliato |
Indirizzo del chiamante Kubernetes API IPv4 |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails. ipAddressV4 |
Indirizzo del chiamante Kubernetes API IPv6 |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails. ipAddressV6 |
Spazio dei nomi Kubernetes |
servizio. azione. kubernetesApiCallAction.namespace |
ID chiamante Kubernetes API ASN |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails.organizzazione.asn |
Richiesta di chiamata Kubernetes API URI |
servizio.azione. kubernetesApiCallAzione. requestUri |
Codice di stato Kubernetes API |
servizio.azione. kubernetesApiCallAzione. statusCode |
IPv4Indirizzo locale della connessione di rete |
service.action. networkConnectionAction. localIpDetails. ipAddressV4 |
Indirizzo locale IPv6 della connessione di rete |
service.action. networkConnectionAction. localIpDetails. ipAddressV6 |
Protocollo |
servizio. azione. networkConnectionAction.protocollo |
APInome del servizio di chiamata |
service.action. awsApiCallAzione. serviceName |
APIID dell'account chiamante |
servizio.azione. awsApiCallAzione. remoteAccountDetails. accountId |
Nome elenco minacce |
servizio. additionalInfo. threatListName |
Ruolo risorsa |
servizio. resourceRole |
EKSnome del cluster |
risorsa. eksClusterDetails.nome |
Nome del carico di lavoro Kubernetes |
risorsa. kubernetesDetails. kubernetesWorkloadDetails.nome |
Spazio dei nomi del carico di lavoro Kubernetes |
risorsa. kubernetesDetails. kubernetesWorkloadDetails.namespace |
Nome utente Kubernetes |
risorsa. kubernetesDetails. kubernetesUserDetails.nome utente |
Immagine del container di Kubernetes |
risorsa. kubernetesDetails. kubernetesWorkloadDetails.contenitori.immagine |
Prefisso dell'immagine del container di Kubernetes |
risorsa. kubernetesDetails. kubernetesWorkloadDetails.contenitori. imagePrefix |
ID scansione |
servizio. ebsVolumeScanDettagli. scanId |
EBSnome della minaccia di scansione del volume |
servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames.nome |
nome della minaccia di scansione degli oggetti S3 |
servizio. malwareScanDetails.threats.name |
Gravità delle minacce |
servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames.severità |
File SHA |
servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames. filePaths.hash |
ECSnome del cluster |
risorsa. ecsClusterDetails.nome |
ECSimmagine del contenitore |
risorsa. ecsClusterDetails. taskDetails.contenitori.immagine |
ECSdefinizione dell'attività ARN |
risorsa. ecsClusterDetails. taskDetails. definitionArn |
Immagine del container autonomo |
risorsa. containerDetails.immagine |
ID istanza di database |
risorsa. rdsDbInstanceDettagli. dbInstanceIdentifier |
ID del cluster di database |
risorsa. rdsDbInstanceDettagli. dbClusterIdentifier |
Motore di database |
risorsa. rdsDbInstanceDettagli.Motore |
Utente del database |
risorsa. rdsDbUserDettagli. Utente |
Chiave di tag dell'istanza database |
risorsa. rdsDbInstancedetails.tags.key |
Valore del tag dell'istanza database |
risorsa. rdsDbInstancedetails.tags.value |
Eseguibile -256 SHA |
servizio. runtimeDetails.processo. executableSha256 |
Process name (Nome del processo) |
servizio. runtimeDetails.nome.processo |
Percorso eseguibile |
servizio. runtimeDetails.processo. executablePath |
Nome della funzione Lambda |
risorsa. lambdaDetails. functionName |
Funzione Lambda ARN |
risorsa. lambdaDetails. functionArn |
Chiave di tag con funzione Lambda |
risorsa. lambdaDetails.tags.key |
Valore del tag della funzione lambda |
risorsa. lambdaDetails.tags.value |
DNSrichiedi dominio |
service.action. dnsRequestAction. domainWithSuffix |