Casos de uso comuns para regras de supressão e exemplos Criar regras de supressão Excluir regras de supressão

Regras de supressão

Uma regra de supressão é um conjunto de critérios, que consistem em um atributo de filtro pareado com um valor, usados para filtrar descobertas arquivando automaticamente novas descobertas que correspondam aos critérios especificados. As regras de supressão podem ser usadas para filtrar descobertas de baixo valor, descobertas de falsos positivos ou ameaças nas quais você não pretende agir, para facilitar o reconhecimento das ameaças à segurança com maior impacto no ambiente.

Depois de criar uma regra de supressão, novas descobertas que correspondem aos critérios definidos na regra serão arquivadas automaticamente, desde que a regra de supressão esteja em vigor. É possível usar um filtro existente para criar uma regra de supressão ou definir um novo filtro para a regra de supressão ao criá-la. É possível configurar regras de supressão para suprimir tipos de descoberta inteiros ou definir critérios de filtro mais granulares para suprimir somente instâncias específicas de um determinado tipo de descoberta. Você pode editar as regras de supressão a qualquer momento.

As descobertas suprimidas não são enviadas para o AWS Security Hub Amazon Simple Storage Service, Amazon Detective ou EventBridge Amazon, reduzindo o nível de ruído de busca se você GuardDuty consumir descobertas por meio do Security Hub, de SIEM terceiros ou de outros aplicativos de alerta e emissão de bilhetes. Se você ativouProteção contra malware para EC2, as GuardDuty descobertas suprimidas não iniciarão uma verificação de malware.

GuardDuty continua gerando descobertas mesmo quando elas correspondem às suas regras de supressão, no entanto, essas descobertas são automaticamente marcadas como arquivadas. A descoberta arquivada é armazenada GuardDuty por 90 dias e pode ser visualizada a qualquer momento durante esse período. Você pode visualizar as descobertas suprimidas no GuardDuty console selecionando Arquivado na tabela de descobertas ou GuardDuty API usando o ListFindingsAPIcom um findingCriteria critério service.archived igual a verdadeiro.

nota

Em um ambiente com várias contas, somente o GuardDuty administrador pode criar regras de supressão.

Casos de uso comuns para regras de supressão e exemplos

Os tipos de descoberta a seguir têm casos de uso comuns para aplicar regras de supressão. Selecione o nome da descoberta para saber mais sobre ela. Analise a descrição do caso de uso para decidir se você deseja criar uma regra de supressão para esse tipo de descoberta.

Importante

GuardDuty recomenda que você crie regras de supressão de forma reativa e somente para descobertas para as quais você identificou repetidamente falsos positivos em seu ambiente.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— use uma regra de supressão para arquivar automaticamente as descobertas geradas quando a VPC rede é configurada para rotear o tráfego da Internet de forma que ele saia de um gateway local em vez de um Gateway da Internet. VPC

Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de forma que ele saia de um gateway local em vez de um Gateway da VPC Internet (). IGW Configurações comuns, como uso ou VPC VPN conexões AWS Outposts, podem resultar em tráfego roteado dessa forma. Se esse for o comportamento esperado, é recomendável usar regras de supressão e criar uma regra que consista em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4endereço API do chamador com o endereço IP ou o CIDR intervalo do seu gateway de internet local. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base no endereço IP do API chamador.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
nota
Para incluir vários API chamadores, IPs você pode adicionar um novo filtro de IPv4 endereço do API chamador para cada um.
Recon:EC2/Portscan: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um aplicativo de avaliação de vulnerabilidade.

A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinadoAMI.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias bastion.

Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinado valor de tag de instância.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort: use uma regra de supressão para arquivar automaticamente as descobertas quando forem elas direcionadas a instâncias intencionalmente expostas.

Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada chave de tag de instância no console.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

Regras de supressão recomendadas para descobertas do Runtime Monitoring

O PrivilegeEscalation:Runtime/DockerSocketAccessed é gerado quando um processo dentro de um contêiner se comunica com o soquete do Docker. Pode haver contêineres em seu ambiente que precisem acessar o soquete do Docker por motivos legítimos. O acesso a partir desses contêineres gerará a descoberta PrivilegeEscalation:Runtime/DockerSocketAccessed. Se esse for um caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para esse tipo de descoberta. O primeiro critério deve usar o campo Tipo de descoberta com um valor igual a PrivilegeEscalation:Runtime/DockerSocketAccessed. O segundo critério de filtro é o campo Caminho executável com valor igual ao do processo executablePath na descoberta gerada. Como alternativa, o segundo critério de filtro pode usar o campo Executável SHA -256 com valor igual ao do processo executableSha256 na descoberta gerada.
Os clusters Kubernetes executam seus próprios DNS servidores como pods, como. coredns Portanto, para cada DNS consulta de um pod, GuardDuty captura dois DNS eventos — um do pod e outro do pod do servidor. Isso pode gerar duplicatas para as seguintes DNS descobertas:
As descobertas duplicadas incluirão detalhes do pod, do contêiner e do processo que correspondem ao pod DNS do seu servidor. Você pode configurar uma regra de supressão para suprimir essas descobertas duplicadas usando esses campos. O primeiro critério de filtro deve usar o campo Tipo de descoberta com valor igual a um tipo de DNS descoberta da lista de descobertas fornecida anteriormente nesta seção. O segundo critério de filtro pode ser Caminho executável com valor igual ao do seu DNS servidor executablePath ou Executável SHA -256 com valor igual ao do seu DNS servidor executableSHA256 na descoberta gerada. Como terceiro critério de filtro opcional, você pode usar o campo de imagem de contêiner do Kubernetes com valor igual à imagem de contêiner do pod do DNS servidor na descoberta gerada.

Criar regras de supressão

Escolha seu método de acesso preferido para criar uma regra de supressão para GuardDuty encontrar tipos.

Console

Você pode visualizar, criar e gerenciar regras de supressão usando o GuardDuty console. As regras de supressão são geradas da mesma forma que os filtros, e seus filtros salvos existentes podem ser usados como regras de supressão. Para obter mais informações sobre como criar ARNs, consulte Filtrar descobertas.

Como criar uma regra de supressão usando o console:

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
Na página Descobertas, escolha Suprimir descobertas para abrir o painel de regras de supressão.
Para abrir o menu de critérios de filtro, insira o filter criteria em Adicionar critérios de filtro. Você pode escolher um critério na lista. Insira um valor válido para o critério escolhido.

nota
Para determinar o valor válido, visualize a tabela de descobertas e escolha uma descoberta que você deseja suprimir. Revise seus detalhes no painel de descobertas.

Você pode adicionar vários critérios de filtro e garantir que somente as descobertas apareçam na tabela que você deseja suprimir.
Insira um Nome e uma Descrição para a regra de supressão. Os caracteres válidos incluem ponto (.), sublinhado (_), traço (-) e caracteres alfanuméricos.
Escolha Salvar.

Também é possível criar uma regra de supressão a partir de um filtro já salvo. Para obter mais informações sobre como criar ARNs, consulte Filtrar descobertas.

Para criar uma regra de supressão a partir de um filtro salvo:

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
Na página Descobertas, escolha Suprimir descobertas para abrir o painel de regras de supressão.
No menu suspenso Regras salvas, escolha um filtro salvo.
Você também pode adicionar novos critérios de filtro. Se você não precisar de critérios de filtro adicionais, pule esta etapa.

Para abrir o menu de critérios de filtro, insira o filter criteria em Adicionar critérios de filtro. Você pode escolher um critério na lista. Insira um valor válido para o critério escolhido.

nota
Para determinar o valor válido, visualize a tabela de descobertas e escolha uma descoberta que você deseja suprimir. Revise seus detalhes no painel de descobertas.
Insira um Nome e uma Descrição para a regra de supressão. Os caracteres válidos incluem ponto (.), sublinhado (_), traço (-) e caracteres alfanuméricos.
Escolha Salvar.

API/CLI

Para criar uma regra de supressão usandoAPI:

Você pode criar regras de supressão por meio do CreateFilterAPI. Para fazer isso, especifique os critérios de filtro em um JSON arquivo seguindo o formato do exemplo detalhado abaixo. O exemplo abaixo suprimirá qualquer descoberta não arquivada de baixa gravidade que tenha uma DNS solicitação para o domínio test.example.com. Para descobertas de gravidade média, a lista de entrada será ["4", "5", "7"]. Para descobertas de alta gravidade, a lista de entrada será ["6", "7", "8"]. Você também pode filtrar com base em qualquer valor na lista.
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
Para obter uma lista de nomes de JSON campo e seus equivalentes no console, consulteAtributos do filtro.

Para testar seus critérios de filtro, use o mesmo JSON critério no ListFindingsAPIe confirme se as descobertas corretas foram selecionadas. Para testar seus critérios de filtro usando, AWS CLI siga o exemplo usando seu próprio arquivo detectorId e o arquivo.json.

Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute ListDetectorsAPIo.
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
Carregue seu filtro para ser usado como regra de supressão com o CreateFilterAPIou usando o AWS CLI seguinte exemplo abaixo com seu próprio ID de detector, um nome para a regra de supressão e um arquivo.json.

Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute ListDetectorsAPIo.
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

Você pode ver uma lista de seus filtros programaticamente com o. ListFilterAPI Você pode visualizar os detalhes de um filtro individual fornecendo o nome do filtro para o. GetFilterAPI Atualize os filtros usando UpdateFilterou exclua-os com DeleteFilterAPIo.

Excluir regras de supressão

Escolha seu método de acesso preferido para excluir uma regra de supressão para GuardDuty encontrar tipos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Filtrar descobertas

Listas de IPs confiáveis e ameaças