Visualizzazione dei risultati filtrati in GuardDuty - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione dei risultati filtrati in GuardDuty

Un filtro per gli esiti ti consente di visualizzare gli esiti che corrispondono ai criteri specificati e di escludere gli esiti non corrispondenti. Puoi creare facilmente filtri di ricerca utilizzando la GuardDuty console Amazon oppure puoi crearli con CreateFilterAPIutilizzandoJSON. Consulta le sezioni seguenti per capire come creare un filtro nella console. Per utilizzare questi filtri in modo da archiviare automaticamente gli esiti in arrivo, consulta Regole di soppressione in GuardDuty.

Creazione di filtri nella GuardDuty console

I filtri di ricerca possono essere creati e testati tramite la GuardDuty console. Puoi salvare i filtri che hai creato tramite la console per utilizzarli nelle regole di eliminazione o nelle operazioni di filtro future. Un filtro è composto da almeno un criterio di filtro, che consiste in un attributo del filtro abbinato ad almeno un valore.

Quando crei un nuovo utente, tieni in considerazione quanto segue:

  • I filtri non accettano caratteri jolly.

  • Puoi specificare da uno a 50 attributi come criteri per un determinato filtro.

  • Quando utilizzi la condizione uguale a o non uguale a per filtrare in base a un valore di attributo, ad esempio ID account, puoi specificare un massimo di 50 valori.

  • Ogni attributo dei criteri di filtro viene valutato come operatore AND. Più valori per lo stesso attributo vengono valutati come AND/OR.

Per filtrare i risultati (console)
  1. In Filtra per attributo, scegli Aggiungi criteri di filtro. Verrà visualizzato un elenco esteso di attributi del filtro.

  2. Dall'elenco esteso di attributi, seleziona l'attributo che desideri specificare come criterio per il filtro, ad esempio ID account o Tipo di azione.

    Per un elenco completo degli attributi, consultaAttributi del filtro.

  3. Nel campo di testo visualizzato, specificate un valore per l'attributo selezionato, quindi scegliete Applica.

  4. Per aggiungere più di un criterio di filtro, ripeti i passaggi 1-3.

  5. Per impostazione predefinita, l'elenco mostra i risultati che corrispondono al filtro applicato. Se desideri visualizzare i risultati che non corrispondono all'attributo del filtro, scegli Escludi accanto al filtro.

    Un esempio per visualizzare i risultati scegliendo includi o escludi con un attributo di filtro.
  6. Salva gli attributi e i valori specificati come filtri
    1. Per salvare gli attributi specificati e i relativi valori (criteri di filtro) come filtro, selezionare Salva/Modifica.

    2. Inserite il nome e la descrizione della regola di filtro.

    3. Seleziona Salva.

Attributi del filtro

Quando si creano filtri o si ordinano i risultati utilizzando le API operazioni, è necessario specificare i criteri di filtro inJSON. Questi criteri di filtro sono correlati ai dettagli di un risultatoJSON. La tabella seguente contiene un elenco dei nomi visualizzati sulla console per gli attributi dei filtri e i nomi di JSON campo equivalenti.

Nome campo console

Nome campo JSON

ID account

accountId

ID risultato

id

Regione

Regione

Gravità

severity

È possibile filtrare i tipi di risultati in base al livello di gravità dei tipi di risultati. Per ulteriori informazioni sui valori di gravità, vedereLivelli di gravità dei GuardDuty risultati. Se si utilizza severity with API AWS CLI, o AWS CloudFormation, viene assegnato un valore numerico. Per ulteriori informazioni, findingCriteriaconsulta Amazon GuardDuty API Reference.

Tipo di risultato

tipo

Ora aggiornamento

updatedAt

ID chiave di accesso

risorsa. accessKeyDetails. accessKeyId

ID principale

risorsa. accessKeyDetails. principalId

Username

risorsa. accessKeyDetails. userName

Tipo di utente

risorsa. accessKeyDetails. userType

IAMID del profilo di istanza

risorsa. instanceDetails. iamInstanceProfile.id

ID istanza

risorsa. instanceDetails. instanceId

ID immagine istanza

risorsa. instanceDetails. imageId

Chiave di tag dell'istanza

risorsa. instanceDetails.tags.key

Valore del tag dell'istanza

risorsa. instanceDetails.tags.value

IPv6indirizzo

risorsa. instanceDetails. networkInterfaces.Indirizzi IPv6

Indirizzo privato IPv4

risorsa. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

DNSNome pubblico

risorsa. instanceDetails. networkInterfaces. publicDnsName

IP pubblico

risorsa. instanceDetails. networkInterfaces. publicIp

ID gruppo di sicurezza

risorsa. instanceDetails. networkInterfaces. securityGroups. groupId

Nome del gruppo di sicurezza

risorsa. instanceDetails. networkInterfaces. securityGroups. groupName

ID sottorete

risorsa. instanceDetails. networkInterfaces. subnetId

VPCID

risorsa. instanceDetails. networkInterfaces. vpcId

Avamposto ARN

risorsa. instanceDetails.avamposto ARN

Tipo di risorsa

risorsa. resourceType

Autorizzazioni del bucket

risorse.3BucketDetails. publicAccess. effectivePermission

Nome bucket

resource.s3 .name BucketDetails

Chiave tag bucket

risorse.s3 .tags.key BucketDetails

Valore tag bucket

risorse.s3 .tags.value BucketDetails

Tipo bucket

risorse.s3 .type BucketDetails

Tipo di operazione

servizio.azione. actionType

APIchiamato

servizio.azione. awsApiCallAzione.api

APItipo di chiamante

servizio.azione. awsApiCallAzione. callerType

APICodice di errore

service.action. awsApiCallAzione. errorCode

APIcittà chiamante

servizio. azione. awsApiCallAzione. remoteIpDetails.città. cityName

APIpaese chiamante

servizio. azione. awsApiCallAzione. remoteIpDetails.paese. countryName

APIindirizzo del chiamante IPv4

servizio.azione. awsApiCallAzione. remoteIpDetails. ipAddressV4

APIindirizzo del chiamante IPv6

servizio.azione. awsApiCallAzione. remoteIpDetails. ipAddressV6

APIID chiamante ASN

servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione.asn

APInome del ASN chiamante

servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione. asnOrg

APInome del servizio chiamante

service.action. awsApiCallAzione. serviceName

DNSrichiedi dominio

service.action. dnsRequestAction.dominio

DNSrichiedi il suffisso del dominio

service.action. dnsRequestAction. domainWithSuffix

Connessione di rete bloccata

servizio.azione. networkConnectionAction.bloccato

Direzione connessione rete

servizio.azione. networkConnectionAction. connectionDirection

Porta locale connessione rete

servizio.azione. networkConnectionAction. localPortDetails.porta

Protocollo connessione rete

servizio.azione. networkConnectionAction.protocollo

Città connessione di rete

servizio.azione. networkConnectionAction. remoteIpDetails.città. cityName

Paese connessione di rete

servizio.azione. networkConnectionAction. remoteIpDetails.paese. countryName

IPv4Indirizzo remoto della connessione di rete

servizio.azione. networkConnectionAction. remoteIpDetails. ipAddressV4

Indirizzo remoto IPv6 della connessione di rete

servizio.azione. networkConnectionAction. remoteIpDetails. ipAddressV6

ID IP ASN remoto della connessione di rete

servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione.asn

Nome IP remoto della connessione di rete ASN

servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione. asnOrg

Porta remota connessione rete

servizio.azione. networkConnectionAction. remotePortDetails.porta

Account remoto affiliato

servizio.azione. awsApiCallAzione. remoteAccountDetails.affiliato

Indirizzo del chiamante Kubernetes API IPv4

servizio.azione. kubernetesApiCallAzione. remoteIpDetails. ipAddressV4

Indirizzo del chiamante Kubernetes API IPv6

servizio.azione. kubernetesApiCallAzione. remoteIpDetails. ipAddressV6

Spazio dei nomi Kubernetes

servizio. azione. kubernetesApiCallAction.namespace

ID chiamante Kubernetes API ASN

servizio.azione. kubernetesApiCallAzione. remoteIpDetails.organizzazione.asn

Richiesta di chiamata Kubernetes API URI

servizio.azione. kubernetesApiCallAzione. requestUri

Codice di stato Kubernetes API

servizio.azione. kubernetesApiCallAzione. statusCode

IPv4Indirizzo locale della connessione di rete

service.action. networkConnectionAction. localIpDetails. ipAddressV4

Indirizzo locale IPv6 della connessione di rete

service.action. networkConnectionAction. localIpDetails. ipAddressV6

Protocollo

servizio. azione. networkConnectionAction.protocollo

APInome del servizio di chiamata

service.action. awsApiCallAzione. serviceName

APIID dell'account chiamante

servizio.azione. awsApiCallAzione. remoteAccountDetails. accountId

Nome elenco minacce

servizio. additionalInfo. threatListName

Ruolo risorsa

servizio. resourceRole

EKSnome del cluster

risorsa. eksClusterDetails.nome

Nome del carico di lavoro Kubernetes

risorsa. kubernetesDetails. kubernetesWorkloadDetails.nome

Spazio dei nomi del carico di lavoro Kubernetes

risorsa. kubernetesDetails. kubernetesWorkloadDetails.namespace

Nome utente Kubernetes

risorsa. kubernetesDetails. kubernetesUserDetails.nome utente

Immagine del container di Kubernetes

risorsa. kubernetesDetails. kubernetesWorkloadDetails.contenitori.immagine

Prefisso dell'immagine del container di Kubernetes

risorsa. kubernetesDetails. kubernetesWorkloadDetails.contenitori. imagePrefix

ID scansione

servizio. ebsVolumeScanDettagli. scanId

EBSnome della minaccia di scansione del volume

servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames.nome

nome della minaccia di scansione degli oggetti S3

servizio. malwareScanDetails.threats.name

Gravità delle minacce

servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames.severità

File SHA

servizio. ebsVolumeScanDettagli. scanDetections. threatDetectedByNome. threatNames. filePaths.hash

ECSnome del cluster

risorsa. ecsClusterDetails.nome

ECSimmagine del contenitore

risorsa. ecsClusterDetails. taskDetails.contenitori.immagine

ECSdefinizione dell'attività ARN

risorsa. ecsClusterDetails. taskDetails. definitionArn

Immagine del container autonomo

risorsa. containerDetails.immagine

ID istanza di database

risorsa. rdsDbInstanceDettagli. dbInstanceIdentifier

ID del cluster di database

risorsa. rdsDbInstanceDettagli. dbClusterIdentifier

Motore di database

risorsa. rdsDbInstanceDettagli.Motore

Utente del database

risorsa. rdsDbUserDettagli. Utente

Chiave di tag dell'istanza database

risorsa. rdsDbInstancedetails.tags.key

Valore del tag dell'istanza database

risorsa. rdsDbInstancedetails.tags.value

Eseguibile -256 SHA

servizio. runtimeDetails.processo. executableSha256

Process name (Nome del processo)

servizio. runtimeDetails.nome.processo

Percorso eseguibile

servizio. runtimeDetails.processo. executablePath

Nome della funzione Lambda

risorsa. lambdaDetails. functionName

Funzione Lambda ARN

risorsa. lambdaDetails. functionArn

Chiave di tag con funzione Lambda

risorsa. lambdaDetails.tags.key

Valore del tag della funzione lambda

risorsa. lambdaDetails.tags.value

DNSrichiedi dominio

service.action. dnsRequestAction. domainWithSuffix