As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uma regra de supressão é um conjunto de critérios, que consistem em um atributo de filtro pareado com um valor, usados para filtrar descobertas arquivando automaticamente novas descobertas que correspondam aos critérios especificados. As regras de supressão podem ser usadas para filtrar descobertas de baixo valor, descobertas de falsos positivos ou ameaças nas quais você não pretende agir, para facilitar o reconhecimento das ameaças à segurança com maior impacto no ambiente.
Depois de criar uma regra de supressão, novas descobertas que correspondem aos critérios definidos na regra serão arquivadas automaticamente, desde que a regra de supressão esteja em vigor. É possível usar um filtro existente para criar uma regra de supressão ou definir um novo filtro para a regra de supressão ao criá-la. É possível configurar regras de supressão para suprimir tipos de descoberta inteiros ou definir critérios de filtro mais granulares para suprimir somente instâncias específicas de um determinado tipo de descoberta. As regras de supressão podem ser editadas a qualquer momento.
As descobertas suprimidas não são enviadas para o AWS Security Hub Amazon Simple Storage Service, o Amazon Detective ou a EventBridge Amazon, reduzindo o nível de ruído da descoberta se você GuardDuty consumir descobertas por meio do Security Hub, de um SIEM de terceiros ou de outros aplicativos de alerta e emissão de bilhetes. Se você ativouProteção contra malware para EC2, as GuardDuty descobertas suprimidas não iniciarão uma verificação de malware.
GuardDuty continua gerando descobertas mesmo quando elas correspondem às suas regras de supressão, no entanto, essas descobertas são automaticamente marcadas como arquivadas. A descoberta arquivada é armazenada GuardDuty por 90 dias e pode ser visualizada a qualquer momento durante esse período. Você pode visualizar as descobertas suprimidas no GuardDuty console selecionando Arquivado na tabela de descobertas ou por meio da GuardDuty API usando o ListFindingsAPI com um findingCriteria critério service.archived igual a verdadeiro.
nota
Em um ambiente com várias contas, somente o GuardDuty administrador pode criar regras de supressão.
Casos de uso comuns para regras de supressão e exemplos
Veja a seguir os tipos de descoberta em casos de uso comuns para aplicar regras de supressão: Escolha o nome da descoberta para aprender mais sobre a descoberta. Revise a descrição do caso de uso para decidir se deseja criar uma regra de supressão para esse tipo de descoberta.
Importante
GuardDuty recomenda que você crie regras de supressão de forma reativa e somente para descobertas para as quais você identificou repetidamente falsos positivos em seu ambiente.
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: use uma regra de supressão para arquivar automaticamente as descobertas geradas quando a rede da VPC é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises, e não de um gateway da Internet da VPC.
Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises e não de um gateway da Internet (IGW) da VPC. Configurações comuns, como usar AWS Outposts, ou conexões de VPN da VPC podem resultar em tráfego roteado dessa maneira. Se esse comportamento for esperado, é recomendável usar regras de supressão no e criar uma regra que consiste em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4 endereço do chamador da API com o endereço IP ou o intervalo CIDR do seu gateway de internet local. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base no endereço IP do chamador da API.Finding type:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSAPI caller IPv4 address:198.51.100.6nota
Para incluir vários chamadores de API, IPs você pode adicionar um novo filtro de IPv4 endereço de chamador de API para cada um.
-
Recon:EC2/Portscan: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um aplicativo de avaliação de vulnerabilidade.
A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada AMI.Finding type:Recon:EC2/PortscanInstance image ID:ami-999999999 -
UnauthorizedAccess:EC2/SSHBruteForce: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias bastion.
Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinado valor de tag de instância.Finding type:UnauthorizedAccess:EC2/SSHBruteForceInstance tag value:devops -
Recon:EC2/PortProbeUnprotectedPort: use uma regra de supressão para arquivar automaticamente as descobertas quando forem elas direcionadas a instâncias intencionalmente expostas.
Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada chave de tag de instância no console.Finding type:Recon:EC2/PortProbeUnprotectedPortInstance tag key:prod
Regras de supressão recomendadas para descobertas do Monitoramento de runtime.
-
O PrivilegeEscalation:Runtime/DockerSocketAccessed é gerado quando um processo dentro de um contêiner se comunica com o soquete do Docker. Pode haver contêineres em seu ambiente que precisem acessar o soquete do Docker por motivos legítimos. O acesso a partir desses contêineres gerará PrivilegeEscalation:Runtime/DockerSocketAccessed encontrando. Se esse for um caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para esse tipo de descoberta. O primeiro critério deve usar o campo Tipo de descoberta com um valor igual a
PrivilegeEscalation:Runtime/DockerSocketAccessed. O segundo critério de filtro é o campo Caminho executável com valor igual ao do processoexecutablePathna descoberta gerada. Como alternativa, o segundo critério de filtro pode usar o campo Executável SHA-256 com valor igual ao do processoexecutableSha256na descoberta gerada. -
Os clusters do Kubernetes executam seus próprios servidores DNS como pods, como
coredns. Portanto, para cada consulta de DNS de um pod, GuardDuty captura dois eventos de DNS — um do pod e outro do pod do servidor. Isso pode gerar duplicatas para as seguintes descobertas de DNS:As descobertas duplicadas incluirão detalhes do pod, do contêiner e do processo que correspondem ao pod do seu servidor DNS. Você pode configurar uma regra de supressão para suprimir essas descobertas duplicadas usando esses campos. O primeiro critério de filtro deve usar o campo Tipo de descoberta com valor igual a um tipo de descoberta de DNS da lista de descobertas fornecida anteriormente nesta seção. O segundo critério de filtro pode ser Caminho executável com valor igual ao
executablePathdo seu servidor DNS ou Executável SHA-256 com valor igual aoexecutableSHA256do seu servidor DNS na descoberta gerada. Como terceiro critério de filtro opcional, é possível usar o campo de imagem de contêiner do Kubernetes com valor igual à imagem de contêiner do seu pod de servidor DNS na descoberta gerada.
