Exibir resultados filtrados no GuardDuty - Amazon GuardDuty

Exibir resultados filtrados no GuardDuty

Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o console do Amazon GuardDuty ou pode criá-los com a API CreateFilter usando JSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte Regras de supressão no GuardDuty.

Como criar filtros no console do GuardDuty

Os filtros de descobertas podem ser criados e testados pela interface do usuário do GuardDuty. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.

Ao criar filtros, esteja ciente do seguinte:

  • Os filtros não aceitam curingas.

  • Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.

  • Ao usar a condição igual a ou diferente de para filtrar um valor de atributo, como o ID da conta, você pode especificar um máximo de 50 valores.

  • Cada atributo de critério de filtro é avaliado como um operador AND. Vários valores para o mesmo atributo são avaliados como AND/OR.

Como filtrar descobertas (console)
  1. Em Filtrar por atributo, selecione Adicionar critérios de filtro. Isso mostrará uma lista expandida dos atributos do filtro.

  2. Na lista expandida de atributos, selecione aqueles que você quer especificar como os critérios para o filtro, como ID da conta ou Tipo de ação.

    Para obter uma lista completa de atributos, consulte Atributos do filtro.

  3. No campo de texto exibido, especifique um valor do atributo selecionado e, em seguida, selecione Aplicar.

  4. Para adicionar mais de um critério de filtro, repita as etapas 1 a 3.

  5. Por padrão, a lista mostra as descobertas que correspondem ao filtro aplicado. Para visualizar as descobertas que não correspondem ao atributo do filtro, selecione Excluir ao lado do filtro.

    Um exemplo para visualizar as descobertas ao selecionar incluir ou excluir com um atributo de filtro.
  6. Salve os atributos e valores especificados como filtros
    1. Para salvar os atributos especificados e os respectivos valores (critérios de filtro) como um filtro, selecione Salvar/Editar.

    2. Insira a regra do filtro Nome e Descrição.

    3. Escolha Salvar.

Atributos do filtro

Ao criar filtros ou classificar descobertas usando as operações da API, você deve especificar critérios de filtro em JSON. Esses critérios de filtro se correlacionam com o JSON dos detalhes de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de campo JSON equivalentes.

Nome do campo do console

Nome do campo JSON

ID da conta

accountId

ID da descoberta

id

Região

região

Gravidade

severidade

Para filtrar os tipos de descoberta com base no nível de gravidade dos tipos de descoberta. Para obter mais informações sobre valores de severidade, consulte Níveis de gravidade das descobertas do GuardDuty. Se você usar severity com a API, AWS CLI ou AWS CloudFormation, ele terá um valor numérico. Para obter mais informações, consulte findingCriteria na Referência da API do Amazon GuardDuty.

Tipo de descoberta

tipo

Atualizado em

updatedAt

Access Key ID

resource.accessKeyDetails.accessKeyId

Principal ID

resource.accessKeyDetails.principalId

Nome de usuário

resource.accessKeyDetails.userName

Tipo de usuário

resource.accessKeyDetails.userType

ID do perfil da instância do IAM

resource.instanceDetails.iamInstanceProfile.id

ID da instância

resource.instanceDetails.instanceId

ID da imagem da instância

resource.instanceDetails.imageId

Chave de tag da instância

resource.instanceDetails.tags.key

Valor de tag da instância

resource.instanceDetails.tags.value

Endereço IPv6

resource.instanceDetails.networkInterfaces.ipv6Addresses

Endereço IPv4 privado

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

Nome público do DNS

resource.instanceDetails.networkInterfaces.publicDnsName

IP público

resource.instanceDetails.networkInterfaces.publicIp

ID do grupo de segurança

resource.instanceDetails.networkInterfaces.securityGroups.groupId

Nome do security group

resource.instanceDetails.networkInterfaces.securityGroups.groupName

ID da sub-rede

resource.instanceDetails.networkInterfaces.subnetId

ID da VPC

resource.instanceDetails.networkInterfaces.vpcId

ARN do Outpost

resource.instanceDetails.outpostARN

Tipo de recurso

resource.resourceType

Permissões do bucket

resource.s3BucketDetails.publicAccess.effectivePermissions

Nome do bucket

resource.s3BucketDetails.name

Bucket tag key

resource.s3BucketDetails.tags.key

Bucket tag value

resource.s3BucketDetails.tags.value

Tipo de bucket

resource.s3BucketDetails.type

Tipo de ação

service.action.actionType

API chamada

service.action.awsApiCallAction.api

Tipo de chamador da API

service.action.awsApiCallAction.callerType

Códigos de erro da API

service.action.awsApiCallAction.errorCode

Cidade do chamador da API

service.action.awsApiCallAction.remoteIpDetails.city.cityName

País do chamador da API

service.action.awsApiCallAction.remoteIpDetails.country.countryName

Endereço IPv4 do chamador da API

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

Endereço IPv6 do chamador da API

service.action.awsapiCallaction.remoteIpDetails.IPAddressV6

ID de ASN do chamador da API

service.action.awsApiCallAction.remoteIpDetails.organization.asn

Nome de ASN do chamador da API

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

Nome do serviço de chamador da API

service.action.awsApiCallAction.serviceName

Domínio de solicitação de DNS

service.action.dnsRequestAction.domain

Sufixo de domínio de solicitação de DNS

service.action.dnsrequestAction.Domain com sufixo

Conexão de rede bloqueada

service.action.networkConnectionAction.blocked

Direção de conexão de rede

service.action.networkConnectionAction.connectionDirection

Porta local de conexão de rede

service.action.networkConnectionAction.localPortDetails.port

Protocolo de conexão de rede

service.action.networkConnectionAction.protocol

Cidade de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.city.cityName

País de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.country.countryName

Endereço IPv4 remoto de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

Endereço IPv6 remoto de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.IPAddressV6

ID de ASN do IP remoto de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.organization.asn

Nome de ASN do IP remoto de conexão de rede

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

Porta remota de conexão de rede

service.action.networkConnectionAction.remotePortDetails.port

Conta remota afiliada

service.action.awsApiCallAction.remoteAccountDetails.affiliated

Endereço IPv4 do chamador da API do Kubernetes

service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4

Endereço IPv6 do chamador da API do Kubernetes

service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6

Namespace do Kubernetes

service.action.kubernetesApiCallAction.namespace

ID ASN do chamador da API Kubernetes

service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn

URI de solicitação de chamada de API do Kubernetes

service.action.kubernetesApiCallAction.requestUri

Código de status da API do Kubernetes

service.action.kubernetesApiCallAction.statusCode

Endereço IPv4 local da conexão de rede

service.action.networkConnectionAction.localIpDetails.ipAddressV4

Endereço IPv6 local da conexão de rede

service.action.networkConnectionAction.localIPDetails.IPAddressV6

Protocolo

service.action.networkConnectionAction.protocol

Nome do serviço de chamada de API

service.action.awsApiCallAction.serviceName

ID da conta do chamador da API

service.action.awsApiCallAction.remoteAccountDetails.accountId

Nome da lista de ameaças

service.additionalInfo.threatListName

Função do recurso

service.resourceRole

Nome do cluster do EKS

resource.eksClusterDetails.name

Nome da workload do Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.name

Namespace de workload do Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.namespace

Nome de usuário do Kubernetes

resource.kubernetesDetails.kubernetesUserDetails.username

Imagem de contêiner do Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image

Prefixo de imagens de contêiner do Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix

ID de verificação

service.ebsVolumeScanDetails.scanId

Nome da ameaça de escaneamento de volume do EBS

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name

Nome da ameaça de verificação do objeto do S3

service.malwareScanDetails.threats.name

Gravidade da ameaça

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity

Arquivo SHA

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash

Nome do cluster do ECS

resource.ecsClusterDetails.name

Imagens de contêiner do ECS

resource.ecsClusterDetails.taskDetails.containers.image

ARN da definição de tarefas do ECS

resource.ecsClusterDetails.taskDetails.definitionArn

Imagem de contêiner autônoma

resource.containerDetails.image

ID da instância de banco de dados

resource.rdsDbInstanceDetails.dbInstanceIdentifier

ID do cluster de banco de dados

resource.rdsDbInstanceDetails.dbClusterIdentifier

Mecanismo do banco de dados

resource.rdsDbInstanceDetails.engine

Usuário do banco de dados

resource.rdsDbUserDetails.user

Chave de tags de instâncias de banco

resource.rdsDbInstanceDetails.tags.key

Valor de tag de instância de banco de dados

resource.rdsDbInstanceDetails.tags.value

SHA-256 executável

service.runtimeDetails.process.executableSha256

Nome do processo

service.runtimeDetails.process.name

Caminho executável

service.runtimeDetails.process.executablePath

Nome de função do Lambda

resource.lambdaDetails.functionName

ARN da função do Lambda.

resource.lambdaDetails.functionArn

Chave de tags de funções do Lambda

resource.lambdaDetails.tags.key

Valor de tags de funções do Lambda

resource.lambdaDetails.tags.value

Domínio de solicitação de DNS

service.action.dnsrequestAction.Domain com sufixo