As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Regras de supressão em GuardDuty
Uma regra de supressão é um conjunto de critérios, que consistem em um atributo de filtro pareado com um valor, usados para filtrar descobertas arquivando automaticamente novas descobertas que correspondam aos critérios especificados. As regras de supressão podem ser usadas para filtrar descobertas de baixo valor, descobertas de falsos positivos ou ameaças nas quais você não pretende agir, para facilitar o reconhecimento das ameaças à segurança com maior impacto no ambiente.
Depois de criar uma regra de supressão, novas descobertas que correspondem aos critérios definidos na regra serão arquivadas automaticamente, desde que a regra de supressão esteja em vigor. É possível usar um filtro existente para criar uma regra de supressão ou definir um novo filtro para a regra de supressão ao criá-la. É possível configurar regras de supressão para suprimir tipos de descoberta inteiros ou definir critérios de filtro mais granulares para suprimir somente instâncias específicas de um determinado tipo de descoberta. Você pode editar as regras de supressão a qualquer momento.
As descobertas suprimidas não são enviadas para o AWS Security Hub Amazon Simple Storage Service, o Amazon Detective ou a EventBridge Amazon, reduzindo o nível de ruído da descoberta se você GuardDuty consumir descobertas por meio do Security Hub, de SIEM terceiros ou de outros aplicativos de alerta e emissão de bilhetes. Se você ativouProteção contra malware para EC2, as GuardDuty descobertas suprimidas não iniciarão uma verificação de malware.
GuardDuty continua gerando descobertas mesmo quando elas correspondem às suas regras de supressão, no entanto, essas descobertas são automaticamente marcadas como arquivadas. A descoberta arquivada é armazenada GuardDuty por 90 dias e pode ser visualizada a qualquer momento durante esse período. Você pode visualizar as descobertas suprimidas no GuardDuty console selecionando Arquivado na tabela de descobertas ou usando o GuardDuty API ListFindingsAPIcom um findingCriteria critério de service.archived igual a verdadeiro.
nota
Em um ambiente com várias contas, somente o GuardDuty administrador pode criar regras de supressão.
Casos de uso comuns para regras de supressão e exemplos
Os tipos de descoberta a seguir têm casos de uso comuns para aplicar regras de supressão. Selecione o nome da descoberta para saber mais sobre ela. Analise a descrição do caso de uso para decidir se você deseja criar uma regra de supressão para esse tipo de descoberta.
Importante
GuardDuty recomenda que você crie regras de supressão de forma reativa e somente para descobertas para as quais você identificou repetidamente falsos positivos em seu ambiente.
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— use uma regra de supressão para arquivar automaticamente as descobertas geradas quando a VPC rede é configurada para rotear o tráfego da Internet de forma que ele saia de um gateway local em vez de um Gateway da Internet. VPC
Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de forma que ele saia de um gateway local em vez de um Gateway da VPC Internet (). IGW Configurações comuns, como uso ou VPC VPN conexões AWS Outposts, podem resultar em tráfego roteado dessa forma. Se esse for o comportamento esperado, é recomendável usar regras de supressão e criar uma regra que consista em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4endereço API do chamador com o endereço IP ou o CIDR intervalo do seu gateway de internet local. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base no endereço IP do API chamador.Finding type:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSAPI caller IPv4 address:198.51.100.6nota
Para incluir vários API chamadores, IPs você pode adicionar um novo filtro de IPv4 endereço do API chamador para cada um.
-
Recon:EC2/Portscan: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um aplicativo de avaliação de vulnerabilidade.
A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinadoAMI.Finding type:Recon:EC2/PortscanInstance image ID:ami-999999999 -
UnauthorizedAccess:EC2/SSHBruteForce: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias bastion.
Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinado valor de tag de instância.Finding type:UnauthorizedAccess:EC2/SSHBruteForceInstance tag value:devops -
Recon:EC2/PortProbeUnprotectedPort: use uma regra de supressão para arquivar automaticamente as descobertas quando forem elas direcionadas a instâncias intencionalmente expostas.
Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de
Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada chave de tag de instância no console.Finding type:Recon:EC2/PortProbeUnprotectedPortInstance tag key:prod
Regras de supressão recomendadas para descobertas do Runtime Monitoring
-
O PrivilegeEscalation:Runtime/DockerSocketAccessed é gerado quando um processo dentro de um contêiner se comunica com o soquete do Docker. Pode haver contêineres em seu ambiente que precisem acessar o soquete do Docker por motivos legítimos. O acesso a partir desses contêineres gerará PrivilegeEscalation:Runtime/DockerSocketAccessed encontrando. Se esse for um caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para esse tipo de descoberta. O primeiro critério deve usar o campo Tipo de descoberta com um valor igual a
PrivilegeEscalation:Runtime/DockerSocketAccessed. O segundo critério de filtro é o campo Caminho executável com valor igual ao do processoexecutablePathna descoberta gerada. Como alternativa, o segundo critério de filtro pode usar o campo Executável SHA -256 com valor igual ao do processoexecutableSha256na descoberta gerada. -
Os clusters Kubernetes executam seus próprios DNS servidores como pods, como.
corednsPortanto, para cada DNS consulta de um pod, GuardDuty captura dois DNS eventos — um do pod e outro do pod do servidor. Isso pode gerar duplicatas para as seguintes DNS descobertas:As descobertas duplicadas incluirão detalhes do pod, do contêiner e do processo que correspondem ao pod DNS do seu servidor. Você pode configurar uma regra de supressão para suprimir essas descobertas duplicadas usando esses campos. O primeiro critério de filtro deve usar o campo Tipo de descoberta com valor igual a um tipo de DNS descoberta da lista de descobertas fornecida anteriormente nesta seção. O segundo critério de filtro pode ser Caminho executável com valor igual ao do seu DNS servidor
executablePathou Executável SHA -256 com valor igual ao do seu DNS servidorexecutableSHA256na descoberta gerada. Como terceiro critério de filtro opcional, você pode usar o campo de imagem de contêiner do Kubernetes com valor igual à imagem de contêiner do pod do DNS servidor na descoberta gerada.
