Filtrando descobertas em GuardDuty - Amazon GuardDuty
Criando e salvando o conjunto de filtros no GuardDuty consoleFiltros de propriedades em GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Filtrando descobertas em GuardDuty

Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o GuardDuty console da Amazon ou pode criá-los com o CreateFilterAPIusandoJSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte Regras de supressão em GuardDuty.

Criando e salvando o conjunto de filtros no GuardDuty console

Os filtros de localização podem ser criados e testados por meio do GuardDuty console. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.

Ao criar filtros, esteja ciente do seguinte:

  • GuardDuty não suporta curingas para critérios de filtro.

  • Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.

  • Ao usar o operador Igual ou Não é igual para filtrar um valor de atributo, como ID da conta, você pode especificar no máximo 50 valores.

  • Cada atributo de critério de filtro é avaliado como um operador AND. Vários valores para o mesmo atributo são avaliados como AND/OR.

Para criar e salvar critérios de filtro (console)

  1. Faça login no AWS Management Console e abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação à esquerda, escolha Descobertas.

  3. Na página Descobertas, selecione a barra Filtrar descobertas ao lado do menu Regras salvas. Isso exibirá uma lista expandida de filtros de propriedades.

    Seleção de filtros de propriedades para filtrar descobertas no GuardDuty console.

  4. Na lista expandida de filtros, selecione um atributo com base no qual você deseja filtrar a tabela de descobertas.

    Por exemplo, para ver descobertas sobre as quais o recurso potencialmente afetado é um S3Bucket, escolha Tipo de recurso.

  5. Para operadores, escolha um que o ajude a filtrar as descobertas para obter o resultado desejado. Para continuar o exemplo da etapa anterior, escolha Tipo de recurso =. Isso exibirá uma lista dos tipos de recursos em GuardDuty.

    Selecionar o operador é igual ou não é igual para filtrar as descobertas no console. GuardDuty

    Se seu caso de uso exigir a exclusão de descobertas específicas, você pode escolher Does not equal or! = operador.

  6. Especifique o valor do filtro de propriedade selecionado. Se necessário, escolha Aplicar. Para continuar o exemplo da etapa anterior, você pode escolher o S3Bucket.

    Isso exibirá as descobertas que correspondem aos filtros aplicados.

  7. Para adicionar mais de um critério de filtro, repita as etapas de 3 a 6.

    Para obter uma lista completa de atributos, consulte Filtros de propriedades em GuardDuty.

  8. (Opcional) salve os atributos e valores especificados como filtros

    Para aplicar essa combinação de filtros novamente no futuro, você pode salvar os atributos especificados e seus valores como um conjunto de filtros.

    1. Depois de criar um critério de filtro com um ou mais filtros de propriedade, selecione a seta no menu Limpar filtros.

      Salvando um conjunto de filtros no GuardDuty console para poder filtrar as descobertas novamente.

    2. Insira o nome do conjunto de filtros. O nome deve ter de 3 a 64 caracteres. Os caracteres válidos são a-z, A-Z, 0-9, ponto (.), hífen (-) e sublinhado (_).

    3. A descrição é opcional. Se você inserir uma descrição, ela poderá ter até 512 caracteres.

    4. Escolha Criar.

Filtros de propriedades em GuardDuty

Ao criar filtros ou classificar descobertas usando as API operações, você deve especificar critérios de filtro emJSON. Esses critérios de filtro se correlacionam com os detalhes JSON de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de JSON campo equivalentes.

Nome do campo do console

Nome de campo do JSON

ID da conta

accountId

ID da descoberta

id

Região

região

Gravidade

severidade

Para filtrar os tipos de descoberta com base no nível de gravidade dos tipos de descoberta. Para obter mais informações sobre valores de severidade, consulte Níveis de severidade das GuardDuty descobertas. Se você usar severity comAPI, AWS CLI, ou AWS CloudFormation, ele receberá um valor numérico. Para obter mais informações, consulte findingCriteriana GuardDuty APIReferência da Amazon.

Tipo de descoberta

type

Atualizado em

updatedAt

Access Key ID

recurso. accessKeyDetails. accessKeyId

Principal ID

recurso. accessKeyDetails. principalId

Nome de usuário

recurso. accessKeyDetails. userName

Tipo de usuário

recurso. accessKeyDetails. userType

IAMID do perfil da instância

recurso. instanceDetails. iamInstanceProfile.id

ID da instância

recurso. instanceDetails. instanceId

ID da imagem da instância

recurso. instanceDetails. imageId

Chave de tag da instância

recurso. instanceDetails.tags.key

Valor de tag da instância

recurso. instanceDetails.tags.value

IPv6endereço

recurso. instanceDetails. networkInterfaces. Endereços IPv6

IPv4Endereço privado

recurso. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

DNSNome público

recurso. instanceDetails. networkInterfaces. publicDnsName

IP público

recurso. instanceDetails. networkInterfaces. publicIp

ID do grupo de segurança

recurso. instanceDetails. networkInterfaces. securityGroups. groupId

Nome do security group

recurso. instanceDetails. networkInterfaces. securityGroups. groupName

ID da sub-rede

recurso. instanceDetails. networkInterfaces. subnetId

ID da VPC

recurso. instanceDetails. networkInterfaces. vpcId

Posto avançado ARN

recurso. instanceDetails.posto avançado ARN

Tipo de recurso

recurso. resourceType

Permissões do bucket

recursos.3BucketDetails. publicAccess. effectivePermission

Nome do bucket

recursos.3 .name BucketDetails

Bucket tag key

resource.s3 .tags.key BucketDetails

Bucket tag value

resource.s3 .tags.value BucketDetails

Tipo de bucket

recursos.3 .type BucketDetails

Tipo de ação

serviço.ação. actionType

APIchamado

serviço.ação. awsApiCallAction.API

APItipo de chamador

serviço.ação. awsApiCallAção. callerType

APICódigo de erro

serviço.ação. awsApiCallAção. errorCode

APIcidade do chamador

serviço.ação. awsApiCallAção. remoteIpDetails.cidade. cityName

APIpaís do chamador

serviço.ação. awsApiCallAção. remoteIpDetails.país. countryName

APIendereço do chamador IPv4

serviço.ação. awsApiCallAção. remoteIpDetails. ipAddressV4

APIendereço do chamador IPv6

serviço.ação. awsApiCallAção. remoteIpDetails. ipAddressV6

APIID do chamador ASN

serviço.ação. awsApiCallAção. remoteIpDetails.organização.asn

APInome do chamador ASN

serviço.ação. awsApiCallAção. remoteIpDetails.organização. asnOrg

APInome do serviço de chamadas

serviço.ação. awsApiCallAção. serviceName

DNSsolicitar domínio

serviço.ação. dnsRequestAction.domínio

DNSsufixo de domínio de solicitação

serviço.ação. dnsRequestAction. domainWithSuffix

Conexão de rede bloqueada

serviço.ação. networkConnectionAction.bloqueado

Direção de conexão de rede

serviço.ação. networkConnectionAction. connectionDirection

Porta local de conexão de rede

serviço.ação. networkConnectionAction. localPortDetails.porta

Protocolo de conexão de rede

serviço.ação. networkConnectionAction.protocolo

Cidade de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.cidade. cityName

País de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.país. countryName

IPv4Endereço remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails. ipAddressV4

IPv6Endereço remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails. ipAddressV6

ASNID IP remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.organização.asn

ASNNome IP remoto da conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.organização. asnOrg

Porta remota de conexão de rede

serviço.ação. networkConnectionAction. remotePortDetails.porta

Conta remota afiliada

serviço.ação. awsApiCallAção. remoteAccountDetails.afiliado

Endereço do chamador do Kubernetes API IPv4

serviço.ação. kubernetesApiCallAção. remoteIpDetails. ipAddressV4

Endereço do chamador do Kubernetes API IPv6

serviço.ação. kubernetesApiCallAção. remoteIpDetails. ipAddressV6

Namespace do Kubernetes

serviço.ação. kubernetesApiCallAction.namespace

ID de chamadas do Kubernetes API ASN

serviço.ação. kubernetesApiCallAção. remoteIpDetails.organização.asn

Solicitação de chamada do Kubernetes API URI

serviço.ação. kubernetesApiCallAção. requestUri

Código de status do Kubernetes API

serviço.ação. kubernetesApiCallAção. statusCode

IPv4Endereço local da conexão de rede

serviço.ação. networkConnectionAction. localIpDetails. ipAddressV4

IPv6Endereço local da conexão de rede

serviço.ação. networkConnectionAction. localIpDetails. ipAddressV6

Protocolo

serviço.ação. networkConnectionAction.protocolo

APInome do serviço de chamadas

serviço.ação. awsApiCallAção. serviceName

APIID da conta do chamador

serviço.ação. awsApiCallAção. remoteAccountDetails. accountId

Nome da lista de ameaças

serviço. additionalInfo. threatListName

Função do recurso

serviço. resourceRole

EKSnome do cluster

recurso. eksClusterDetails.nome

Nome da workload do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.nome

Namespace de workload do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.namespace

Nome de usuário do Kubernetes

recurso. kubernetesDetails. kubernetesUserDetails.nome de usuário

Imagem de contêiner do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.containers.imagem

Prefixo de imagens de contêiner do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.contêineres. imagePrefix

ID de verificação

serviço. ebsVolumeScanDetalhes. scanId

EBSnome da ameaça de varredura de volume

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames.nome

Nome da ameaça de verificação do objeto do S3

serviço. malwareScanDetails.threats.name

Gravidade da ameaça

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames.severidade

Arquivo SHA

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames. filePaths.hash

ECSnome do cluster

recurso. ecsClusterDetails.nome

Imagem do contêiner do ECS

recurso. ecsClusterDetails. taskDetails.containers.imagem

ECSdefinição de tarefa ARN

recurso. ecsClusterDetails. taskDetails. definitionArn

Imagem de contêiner autônoma

recurso. containerDetails.imagem

ID da instância de banco de dados

recurso. rdsDbInstanceDetalhes. dbInstanceIdentifier

ID do cluster de banco de dados

recurso. rdsDbInstanceDetalhes. dbClusterIdentifier

Mecanismo do banco de dados

recurso. rdsDbInstanceDetalhes.Motor

Usuário do banco de dados

recurso. rdsDbUserDetalhes.Usuário

Chave de tags de instâncias de banco

recurso. rdsDbInstanceDetails.tags.key

Valor de tag de instância de banco de dados

recurso. rdsDbInstanceDetails.tags.value

Executável SHA -256

serviço. runtimeDetails.processo. executableSha256

Nome do processo

serviço. runtimeDetails.nome do processo

Caminho executável

serviço. runtimeDetails.processo. executablePath

Nome de função do Lambda

recurso. lambdaDetails. functionName

Função Lambda ARN

recurso. lambdaDetails. functionArn

Chave de tags de funções do Lambda

recurso. lambdaDetails.tags.key

Valor de tags de funções do Lambda

recurso. lambdaDetails.tags.value

DNSsolicitar domínio

serviço.ação. dnsRequestAction. domainWithSuffix