GuardDuty exemplos usando AWS CLI

Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface with GuardDuty.

Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar funções de serviço individuais, é possível ver as ações no contexto em seus cenários relacionados.

Cada exemplo inclui um link para o código-fonte completo, onde você pode encontrar instruções sobre como configurar e executar o código no contexto.

Tópicos

Ações

Ações

O código de exemplo a seguir mostra como usar accept-invitation.

AWS CLI

Para aceitar um convite para se tornar uma conta GuardDuty membro na região atual

O accept-invitation exemplo a seguir mostra como aceitar um convite para se tornar uma conta GuardDuty membro na região atual.


aws guardduty accept-invitation  \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --master-id 123456789111 \
    --invitation-id d6b94fb03a66ff665f7db8764example

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de GuardDuty contas por convite no Guia GuardDuty do usuário.

Para API obter detalhes, consulte AcceptInvitationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar archive-findings.

AWS CLI

Para arquivar descobertas na região atual

Este exemplo mostra como arquivar descobertas na região atual.


aws guardduty archive-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de GuardDuty contas por convite no Guia GuardDuty do usuário.

Para API obter detalhes, consulte ArchiveFindingsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-detector.

AWS CLI

Para habilitar GuardDuty na região atual

Este exemplo mostra como criar um novo detector, que habilita GuardDuty, na região atual. :


aws guardduty create-detector \
    --enable

Saída:


{
    "DetectorId": "b6b992d6d2f48e64bc59180bfexample"
}

Para obter mais informações, consulte Habilitar a Amazon GuardDuty no Guia GuardDuty do usuário.

Para API obter detalhes, consulte CreateDetectorna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-filter.

AWS CLI

Para criar um novo filtro para a região atual

Este exemplo cria um filtro que corresponde a todas as descobertas do portscan, por exemplo, criadas a partir de uma imagem específica. :


aws guardduty create-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --action ARCHIVE \
    --name myFilter \
    --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

Saída:


{
    "Name": "myFilter"
}

Para obter mais informações, consulte Filtragem de descobertas no Guia do GuardDuty usuário.

Para API obter detalhes, consulte CreateFilterna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-ip-set.

AWS CLI

Para criar um conjunto de IP confiável

O create-ip-set exemplo a seguir cria e ativa um conjunto de IP confiável na região atual.


aws guardduty create-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --name new-ip-set \
    --format TXT
    --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv
    --activate

Saída:


{
    "IpSetId": "d4b94fc952d6912b8f3060768example"
}

Para obter mais informações, consulte Trabalhando com listas de IPs confiáveis e listas de ameaças no Guia GuardDuty do usuário.

Para API obter detalhes, consulte CreateIpSetna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-members.

AWS CLI

Para associar um novo membro à sua conta GuardDuty principal na região atual.

Este exemplo mostra como associar contas de membros a serem gerenciadas pela conta atual como GuardDuty mestre.


aws guardduty create-members
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

Saída:


{
   "UnprocessedAccounts": []
}

Para obter mais informações, consulte Gerenciamento de várias contas no Guia GuardDuty do usuário.

Para API obter detalhes, consulte CreateMembersna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-publishing-destination.

AWS CLI

Para criar um destino de publicação para o GuardDuty qual exportar descobertas na região atual.

Este exemplo mostra como criar um destino de publicação para GuardDuty descobertas.


aws guardduty create-publishing-destination \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --destination-type S3 \
    --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

Saída:


{
    "DestinationId": "46b99823849e1bbc242dfbe3cexample"
}

Para obter mais informações, consulte Exportação de descobertas no Guia do GuardDuty usuário.

Para API obter detalhes, consulte CreatePublishingDestinationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-sample-findings.

AWS CLI

Para criar amostras de GuardDuty resultados na região atual.

Este exemplo mostra como criar uma descoberta de amostra dos tipos fornecidos.


aws guardduty create-sample-findings \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

Este comando não produz saída.

Para obter mais informações, consulte Exemplos de descobertas no Guia GuardDuty do usuário.

Para API obter detalhes, consulte CreateSampleFindingsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-threat-intel-set.

AWS CLI

Para criar um novo conjunto de informações sobre ameaças na região atual.

Este exemplo mostra como fazer o upload de um conjunto de informações sobre ameaças GuardDuty e ativá-lo imediatamente.


aws guardduty create-threat-intel-set \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --name myThreatSet \
    --format TXT \
    --location s3://EXAMPLEBUCKET/threatlist.csv \
    --activate

Saída:


{
    "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample"
}

Para obter mais informações, consulte IP confiável e listas de ameaças no Guia GuardDuty do usuário.

Para API obter detalhes, consulte CreateThreatIntelSetna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar decline-invitations.

AWS CLI

Para recusar um convite para que o Guardduty seja gerenciado por outra conta na região atual.

Este exemplo mostra como recusar um convite de associação.


aws guardduty decline-invitations \
    --account-ids 111122223333

Saída:


{
    "UnprocessedAccounts": []
}

Para obter mais informações, consulte Gerenciamento de GuardDuty contas por convite no Guia GuardDuty do usuário.

Para API obter detalhes, consulte DeclineInvitationsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-detector.

AWS CLI

Para excluir e desativar GuardDuty um detector na região atual.

Este exemplo mostra como excluir um detector. Se for bem-sucedido, isso será desativado GuardDuty na região associada a esse detector.


aws guardduty delete-detector \
    --detector-id b6b992d6d2f48e64bc59180bfexample

Este comando não produz saída.

Para obter mais informações, consulte Suspensão ou desativação GuardDuty no Guia do GuardDuty usuário.

Para API obter detalhes, consulte DeleteDetectorna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-filter.

AWS CLI

Para excluir um filtro existente na região atual

Este exemplo mostra como criar uma exclusão de um filtro.


aws guardduty delete-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --filter-name byebyeFilter

Este comando não produz saída.

Para obter mais informações, consulte Filtragem de descobertas no Guia do GuardDuty usuário.

Para API obter detalhes, consulte DeleteFilterna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar disable-organization-admin-account.

AWS CLI

Para remover uma conta como administrador delegado GuardDuty da sua organização

Este exemplo mostra como remover uma conta como administrador delegado do. GuardDuty


aws guardduty disable-organization-admin-account \
    --admin-account-id 111122223333

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de contas com AWS organizações no Guia GuardDuty do usuário.

Para API obter detalhes, consulte DisableOrganizationAdminAccountna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar disassociate-from-master-account.

AWS CLI

Para se desassociar da sua conta principal atual na região atual

O disassociate-from-master-account exemplo a seguir dissocia sua conta da conta GuardDuty principal atual na região atual. AWS


aws guardduty disassociate-from-master-account \
    --detector-id d4b040365221be2b54a6264dcexample

Este comando não produz saída.

Para obter mais informações, consulte Entendendo a relação entre contas GuardDuty principais e de membros no Guia GuardDuty do usuário.

Para API obter detalhes, consulte DisassociateFromMasterAccountna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-detector.

AWS CLI

Para recuperar detalhes de um detector específico

O get-detector exemplo a seguir exibe os detalhes das configurações do detector especificado.


aws guardduty get-detector \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Saída:


{
    "Status": "ENABLED",
    "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Tags": {},
    "FindingPublishingFrequency": "SIX_HOURS",
    "UpdatedAt": "2018-11-07T03:24:22.938Z",
    "CreatedAt": "2017-12-22T22:51:31.940Z"
}

Para obter mais informações, consulte Conceitos e terminologia no Guia do GuardDuty usuário.

Para API obter detalhes, consulte GetDetectorna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-findings.

AWS CLI

Exemplo 1: Para recuperar os detalhes de uma descoberta específica

O get-findings exemplo a seguir recupera os detalhes completos JSON da descoberta especificada.


aws guardduty get-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-id 1ab92989eaf0e742df4a014d5example

Saída:


{
    "Findings": [
        {
            "Resource": {
                "ResourceType": "AccessKey",
                "AccessKeyDetails": {
                    "UserName": "testuser",
                    "UserType": "IAMUser",
                    "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE",
                    "AccessKeyId": "ASIASZ4SI7REEEXAMPLE"
                }
            },
            "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.",
            "Service": {
                "Count": 5,
                "Archived": false,
                "ServiceName": "guardduty",
                "EventFirstSeen": "2020-05-26T22:02:24Z",
                "ResourceRole": "TARGET",
                "EventLastSeen": "2020-05-26T22:33:55Z",
                "DetectorId": "d4b040365221be2b54a6264dcexample",
                "Action": {
                    "ActionType": "AWS_API_CALL",
                    "AwsApiCallAction": {
                        "RemoteIpDetails": {
                            "GeoLocation": {
                                "Lat": 51.5164,
                                "Lon": -0.093
                            },
                            "City": {
                                "CityName": "London"
                            },
                            "IpAddressV4": "52.94.36.7",
                            "Organization": {
                                "Org": "Amazon.com",
                                "Isp": "Amazon.com",
                                "Asn": "16509",
                                "AsnOrg": "AMAZON-02"
                            },
                            "Country": {
                                "CountryName": "United Kingdom"
                            }
                        },
                        "Api": "ListPolicyVersions",
                        "ServiceName": "iam.amazonaws.com",
                        "CallerType": "Remote IP"
                    }
                }
            },
            "Title": "Unusual user permission reconnaissance activity by testuser.",
            "Type": "Recon:IAMUser/UserPermissions",
            "Region": "us-east-1",
            "Partition": "aws",
            "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example",
            "UpdatedAt": "2020-05-26T22:55:21.703Z",
            "SchemaVersion": "2.0",
            "Severity": 5,
            "Id": "1ab92989eaf0e742df4a014d5example",
            "CreatedAt": "2020-05-26T22:21:48.385Z",
            "AccountId": "111122223333"
        }
    ]
}

Para obter mais informações, consulte as descobertas no Guia GuardDuty do usuário.

Para API obter detalhes, consulte GetFindingsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-ip-set.

AWS CLI

Para listar, obtenha detalhes sobre um conjunto de IP confiável especificado

O get-ip-set exemplo a seguir mostra o status e os detalhes do conjunto de IP confiável especificado.


aws guardduty get-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example

Saída:


{
    "Status": "ACTIVE",
    "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv",
    "Tags": {},
    "Format": "TXT",
    "Name": "test-ip-set"
}

Para obter mais informações, consulte Trabalhando com listas de IPs confiáveis e listas de ameaças no Guia GuardDuty do usuário.

Para API obter detalhes, consulte GetIpSetna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-master-account.

AWS CLI

Para recuperar detalhes sobre sua conta principal na região atual

O get-master-account exemplo a seguir exibe o status e os detalhes da conta principal associada ao seu detector na região atual.


aws guardduty get-master-account \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Saída:


{
    "Master": {
        "InvitationId": "04b94d9704854a73f94e061e8example",
        "InvitedAt": "2020-06-09T22:23:04.970Z",
        "RelationshipStatus": "Enabled",
        "AccountId": "123456789111"
    }
}

Para obter mais informações, consulte Entendendo a relação entre contas GuardDuty principais e de membros no Guia GuardDuty do usuário.

Para API obter detalhes, consulte GetMasterAccountna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-detectors.

AWS CLI

Para listar os detectores disponíveis na região atual

O list-detectors exemplo a seguir lista os detectores disponíveis na sua AWS região atual.


aws guardduty list-detectors

Saída:


{
    "DetectorIds": [
        "12abc34d567e8fa901bc2d34eexample"
    ]
}

Para obter mais informações, consulte Conceitos e terminologia no Guia do GuardDuty usuário.

Para API obter detalhes, consulte ListDetectorsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-findings.

AWS CLI

Exemplo 1: Para listar todas as descobertas da região atual

O list-findings exemplo a seguir exibe uma lista de todas findingIds da região atual, classificadas por severidade, da mais alta para a menor.


aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

Saída:


{
    "FindingIds": [
        "04b8ab50fd29c64fc771b232dexample",
        "5ab8ab50fd21373735c826d3aexample",
        "90b93de7aba69107f05bbe60bexample",
        ...
    ]
}

Para obter mais informações, consulte as descobertas no Guia GuardDuty do usuário.

Exemplo 2: Para listar descobertas da região atual que correspondam a um critério de descoberta específico

O list-findings exemplo a seguir exibe uma lista de todas as findingIds que correspondem a um tipo de descoberta especificado.


aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

Saída:


{
    "FindingIds": [
        "90b93de7aba69107f05bbe60bexample",
        "6eb9430d7023d30774d6f05e3example",
        "2eb91a2d060ac9a21963a5848example",
        "44b8ab50fd2b0039a9e48f570example",
        "9eb8ab4cd2b7e5b66ba4f5e96example",
        "e0b8ab3a38e9b0312cc390ceeexample"
    ]
}

Para obter mais informações, consulte as descobertas no Guia GuardDuty do usuário.

Exemplo 3: Para listar descobertas da região atual que correspondam a um conjunto específico de critérios de busca definidos em um JSON arquivo

O list-findings exemplo a seguir exibe uma lista de todos os findingIds que não estão arquivados e envolve o IAM usuário chamado “testuser”, conforme especificado em um JSON arquivo.


aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  file://myfile.json

Conteúdo de myfile.json:


{"Criterion": {
    "resource.accessKeyDetails.userName":{
                "Eq":[
                    "testuser"
                    ]
                },
    "service.archived": {
                "Eq": [
                    "false"
                ]
            }
        }
}

Saída:


{
    "FindingIds": [
        "1ab92989eaf0e742df4a014d5example"
    ]
}

Para obter mais informações, consulte as descobertas no Guia GuardDuty do usuário.

Para API obter detalhes, consulte ListFindingsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-invitations.

AWS CLI

Para listar detalhes sobre seus convites para se tornar uma conta membro na região atual

O list-invitations exemplo a seguir lista detalhes e status de seus convites para se tornar uma conta GuardDuty membro na região atual.


aws guardduty list-invitations

Saída:


{
    "Invitations": [
        {
            "InvitationId": "d6b94fb03a66ff665f7db8764example",
            "InvitedAt": "2020-06-10T17:56:38.221Z",
            "RelationshipStatus": "Invited",
            "AccountId": "123456789111"
        }
    ]
}

Para obter mais informações, consulte Gerenciamento de GuardDuty contas por convite no Guia GuardDuty do usuário.

Para API obter detalhes, consulte ListInvitationsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-ip-sets.

AWS CLI

Para listar conjuntos de IP confiáveis na região atual

O list-ip-sets exemplo a seguir lista os conjuntos de IP confiáveis na sua AWS região atual.


aws guardduty list-ip-sets \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Saída:


{
    "IpSetIds": [
        "d4b94fc952d6912b8f3060768example"
    ]
}

Para obter mais informações, consulte Trabalhando com listas de IPs confiáveis e listas de ameaças no Guia GuardDuty do usuário.

Para API obter detalhes, consulte ListIpSetsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-members.

AWS CLI

Para listar todos os membros na região atual

O list-members exemplo a seguir lista todas as contas dos membros e seus detalhes para a região atual.


aws guardduty list-members \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Saída:


{
    "Members": [
        {
            "RelationshipStatus": "Enabled",
            "InvitedAt": "2020-06-09T22:49:00.910Z",
            "MasterId": "123456789111",
            "DetectorId": "7ab8b2f61b256c87f793f6a86example",
            "UpdatedAt": "2020-06-09T23:08:22.512Z",
            "Email": "your+member@example.com",
            "AccountId": "123456789222"
        }
    ]
}

Para obter mais informações, consulte Entendendo a relação entre contas GuardDuty principais e de membros no Guia GuardDuty do usuário.

Para API obter detalhes, consulte ListMembersna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-ip-set.

AWS CLI

Para atualizar um conjunto de IP confiável

O update-ip-set exemplo a seguir mostra como atualizar os detalhes de um conjunto de IP confiável.


aws guardduty update-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example \
    --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

Este comando não produz saída.

Para obter mais informações, consulte Trabalhando com listas de IPs confiáveis e listas de ameaças no Guia GuardDuty do usuário.

Para API obter detalhes, consulte UpdateIpSetna Referência de AWS CLI Comandos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Glue

AWS Health