Exibir resultados filtrados no GuardDuty
Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o console do Amazon GuardDuty ou pode criá-los com a API CreateFilter usando JSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte Regras de supressão no GuardDuty.
Como criar filtros no console do GuardDuty
Os filtros de descobertas podem ser criados e testados pela interface do usuário do GuardDuty. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.
Ao criar filtros, esteja ciente do seguinte:
-
Os filtros não aceitam curingas.
-
Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.
-
Ao usar a condição igual a ou diferente de para filtrar um valor de atributo, como o ID da conta, você pode especificar um máximo de 50 valores.
-
Cada atributo de critério de filtro é avaliado como um operador
AND
. Vários valores para o mesmo atributo são avaliados comoAND/OR
.
Como filtrar descobertas (console)
-
Em Filtrar por atributo, selecione Adicionar critérios de filtro. Isso mostrará uma lista expandida dos atributos do filtro.
-
Na lista expandida de atributos, selecione aqueles que você quer especificar como os critérios para o filtro, como ID da conta ou Tipo de ação.
Para obter uma lista completa de atributos, consulte Atributos do filtro.
-
No campo de texto exibido, especifique um valor do atributo selecionado e, em seguida, selecione Aplicar.
-
Para adicionar mais de um critério de filtro, repita as etapas 1 a 3.
-
Por padrão, a lista mostra as descobertas que correspondem ao filtro aplicado. Para visualizar as descobertas que não correspondem ao atributo do filtro, selecione Excluir ao lado do filtro.
-
Salve os atributos e valores especificados como filtros
-
Para salvar os atributos especificados e os respectivos valores (critérios de filtro) como um filtro, selecione Salvar/Editar.
-
Insira a regra do filtro Nome e Descrição.
-
Escolha Salvar.
-
Atributos do filtro
Ao criar filtros ou classificar descobertas usando as operações da API, você deve especificar critérios de filtro em JSON. Esses critérios de filtro se correlacionam com o JSON dos detalhes de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de campo JSON equivalentes.
Nome do campo do console |
Nome do campo JSON |
---|---|
ID da conta |
accountId |
ID da descoberta |
id |
Região |
região |
Gravidade |
severidade Para filtrar os tipos de descoberta com base no nível de gravidade dos tipos de descoberta. Para obter mais informações sobre valores de severidade, consulte Níveis de gravidade das descobertas do GuardDuty. Se você usar |
Tipo de descoberta |
tipo |
Atualizado em |
updatedAt |
Access Key ID |
resource.accessKeyDetails.accessKeyId |
Principal ID |
resource.accessKeyDetails.principalId |
Nome de usuário |
resource.accessKeyDetails.userName |
Tipo de usuário |
resource.accessKeyDetails.userType |
ID do perfil da instância do IAM |
resource.instanceDetails.iamInstanceProfile.id |
ID da instância |
resource.instanceDetails.instanceId |
ID da imagem da instância |
resource.instanceDetails.imageId |
Chave de tag da instância |
resource.instanceDetails.tags.key |
Valor de tag da instância |
resource.instanceDetails.tags.value |
Endereço IPv6 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
Endereço IPv4 privado |
resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
Nome público do DNS |
resource.instanceDetails.networkInterfaces.publicDnsName |
IP público |
resource.instanceDetails.networkInterfaces.publicIp |
ID do grupo de segurança |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
Nome do security group |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
ID da sub-rede |
resource.instanceDetails.networkInterfaces.subnetId |
ID da VPC |
resource.instanceDetails.networkInterfaces.vpcId |
ARN do Outpost |
resource.instanceDetails.outpostARN |
Tipo de recurso |
resource.resourceType |
Permissões do bucket |
resource.s3BucketDetails.publicAccess.effectivePermissions |
Nome do bucket |
resource.s3BucketDetails.name |
Bucket tag key |
resource.s3BucketDetails.tags.key |
Bucket tag value |
resource.s3BucketDetails.tags.value |
Tipo de bucket |
resource.s3BucketDetails.type |
Tipo de ação |
service.action.actionType |
API chamada |
service.action.awsApiCallAction.api |
Tipo de chamador da API |
service.action.awsApiCallAction.callerType |
Códigos de erro da API |
service.action.awsApiCallAction.errorCode |
Cidade do chamador da API |
service.action.awsApiCallAction.remoteIpDetails.city.cityName |
País do chamador da API |
service.action.awsApiCallAction.remoteIpDetails.country.countryName |
Endereço IPv4 do chamador da API |
service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 do chamador da API |
service.action.awsapiCallaction.remoteIpDetails.IPAddressV6 |
ID de ASN do chamador da API |
service.action.awsApiCallAction.remoteIpDetails.organization.asn |
Nome de ASN do chamador da API |
service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
Nome do serviço de chamador da API |
service.action.awsApiCallAction.serviceName |
Domínio de solicitação de DNS |
service.action.dnsRequestAction.domain |
Sufixo de domínio de solicitação de DNS |
service.action.dnsrequestAction.Domain com sufixo |
Conexão de rede bloqueada |
service.action.networkConnectionAction.blocked |
Direção de conexão de rede |
service.action.networkConnectionAction.connectionDirection |
Porta local de conexão de rede |
service.action.networkConnectionAction.localPortDetails.port |
Protocolo de conexão de rede |
service.action.networkConnectionAction.protocol |
Cidade de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.city.cityName |
País de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.country.countryName |
Endereço IPv4 remoto de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 remoto de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.IPAddressV6 |
ID de ASN do IP remoto de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.organization.asn |
Nome de ASN do IP remoto de conexão de rede |
service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
Porta remota de conexão de rede |
service.action.networkConnectionAction.remotePortDetails.port |
Conta remota afiliada |
service.action.awsApiCallAction.remoteAccountDetails.affiliated |
Endereço IPv4 do chamador da API do Kubernetes |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
Endereço IPv6 do chamador da API do Kubernetes |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
Namespace do Kubernetes |
service.action.kubernetesApiCallAction.namespace |
ID ASN do chamador da API Kubernetes |
service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
URI de solicitação de chamada de API do Kubernetes |
service.action.kubernetesApiCallAction.requestUri |
Código de status da API do Kubernetes |
service.action.kubernetesApiCallAction.statusCode |
Endereço IPv4 local da conexão de rede |
service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
Endereço IPv6 local da conexão de rede |
service.action.networkConnectionAction.localIPDetails.IPAddressV6 |
Protocolo |
service.action.networkConnectionAction.protocol |
Nome do serviço de chamada de API |
service.action.awsApiCallAction.serviceName |
ID da conta do chamador da API |
service.action.awsApiCallAction.remoteAccountDetails.accountId |
Nome da lista de ameaças |
service.additionalInfo.threatListName |
Função do recurso |
service.resourceRole |
Nome do cluster do EKS |
resource.eksClusterDetails.name |
Nome da workload do Kubernetes |
resource.kubernetesDetails.kubernetesWorkloadDetails.name |
Namespace de workload do Kubernetes |
resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
Nome de usuário do Kubernetes |
resource.kubernetesDetails.kubernetesUserDetails.username |
Imagem de contêiner do Kubernetes |
resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
Prefixo de imagens de contêiner do Kubernetes |
resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
ID de verificação |
service.ebsVolumeScanDetails.scanId |
Nome da ameaça de escaneamento de volume do EBS |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
Nome da ameaça de verificação do objeto do S3 |
service.malwareScanDetails.threats.name |
Gravidade da ameaça |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
Arquivo SHA |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
Nome do cluster do ECS |
resource.ecsClusterDetails.name |
Imagens de contêiner do ECS |
resource.ecsClusterDetails.taskDetails.containers.image |
ARN da definição de tarefas do ECS |
resource.ecsClusterDetails.taskDetails.definitionArn |
Imagem de contêiner autônoma |
resource.containerDetails.image |
ID da instância de banco de dados |
resource.rdsDbInstanceDetails.dbInstanceIdentifier |
ID do cluster de banco de dados |
resource.rdsDbInstanceDetails.dbClusterIdentifier |
Mecanismo do banco de dados |
resource.rdsDbInstanceDetails.engine |
Usuário do banco de dados |
resource.rdsDbUserDetails.user |
Chave de tags de instâncias de banco |
resource.rdsDbInstanceDetails.tags.key |
Valor de tag de instância de banco de dados |
resource.rdsDbInstanceDetails.tags.value |
SHA-256 executável |
service.runtimeDetails.process.executableSha256 |
Nome do processo |
service.runtimeDetails.process.name |
Caminho executável |
service.runtimeDetails.process.executablePath |
Nome de função do Lambda |
resource.lambdaDetails.functionName |
ARN da função do Lambda. |
resource.lambdaDetails.functionArn |
Chave de tags de funções do Lambda |
resource.lambdaDetails.tags.key |
Valor de tags de funções do Lambda |
resource.lambdaDetails.tags.value |
Domínio de solicitação de DNS |
service.action.dnsrequestAction.Domain com sufixo |