抑制规则

抑制规则是一组标准，由与值配对的筛选器属性组成，用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁，以便更轻松地识别对环境影响最大的安全威胁。

创建抑制规则后，只要使用该规则，就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则，也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型，或者定义更精细的筛选条件，仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。

禁止显示的发现不会发送到亚马逊简单存储服务 AWS Security Hub、Amazon Detective 或亚马逊 EventBridge，如果您通过 Security Hub、第三方或其他警报和票务应用程序使用 GuardDuty 发现SIEM，则会降低查找噪音水平。如果您已启用恶意软件防护 EC2，则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。

GuardDuty 即使搜索结果符合您的禁止规则，也会继续生成结果，但是，这些发现会自动标记为已存档。存档的查找结果将在 GuardDuty 其中存储 90 天，在此期间可以随时查看。您可以在 GuardDuty 控制台中查看隐藏的查找结果，方法是从查找结果表中选择 “已存档”，或者 GuardDuty API使用findingCriteria条件service.archived等于 true 的。ListFindingsAPI

注意

在多账户环境中，只有 GuardDuty 管理员才能创建禁止规则。

抑制规则的常见用例和示例

以下查找类型具有应用抑制规则的常见用例。选择查找结果名称以了解有关该查找结果的更多信息。查看用例描述，决定是否要为该发现类型制定抑制规则。

重要

GuardDuty 建议您以被动方式构建抑制规则，并且仅针对您在环境中反复发现误报的发现建立抑制规则。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 使用抑制规则自动存档在将VPC网络配置为路由 Internet 流量，使其从本地网关而不是从 Internet Gateway 流出时生成的结果。VPC

当网络配置为路由 Internet 流量，使其从本地网关而不是从 Internet Gateway (IGW) 流出时，VPC就会生成此结果。常用配置（例如使用AWS Outposts或VPCVPN连接）可能会导致流量以这种方式路由。如果这是预期行为，建议您使用抑制规则并创建一个包含两个筛选条件的规则。第一个标准是 finding type（调查发现类型），它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是API呼叫者IPv4地址以及您的本地 Internet 网关的 IP 地址或CIDR范围。以下示例显示了用于根据API呼叫者 IP 地址抑制此查找类型的过滤器。
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
注意
要包含多个API来电者，IPs您可以为每个来电者添加一个新的API来电者IPv4地址过滤器。
Recon:EC2/Portscan：使用脆弱性评测应用程序时，使用抑制规则来自动存档调查发现。

抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。以下示例显示了您将使用的过滤器，用于根据具有特定值的实例来抑制此查找类型AMI。
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce：当针对堡垒机实例时，使用抑制规则来自动存档调查发现。

如果暴力攻击的目标是堡垒主机，则这可能代表您的 AWS 环境的预期行为。如果是这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort：当针对有意公开的实例时，使用抑制规则来自动存档调查发现。

这可能是有意暴露实例的情况，例如，在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况，我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

运行时监控结果的推荐抑制规则

当容器内的进程与 Docker 套接字通信时会生成 PrivilegeEscalation:Runtime/DockerSocketAccessed。您的环境中可能有一些容器出于合法原因需要访问 Docker 套接字。从此类容器访问将生成 PrivilegeEscalation:Runtime/DockerSocketAccessed 调查发现。如果您的 AWS 环境中出现这种情况，我们建议您为此发现类型设置抑制规则。第一个条件应使用值等于 PrivilegeEscalation:Runtime/DockerSocketAccessed 的调查发现类型字段。第二个筛选条件是可执行路径字段，其值等于生成的调查发现中进程的 executablePath。或者，第二个筛选条件可以使用 Exec utive SHA -256 字段，其值等于生成的结果executableSha256中流程的值。
Kubernetes 集群将自己的DNS服务器作为 pod 运行，例如。coredns因此，每次从 pod 中DNS查找，都会 GuardDuty 捕获两个DNS事件 — 一个来自 pod，另一个来自服务器 pod。这可能会为以下DNS发现生成重复项：
重复的发现将包括与您的DNS服务器 pod 对应的 pod、容器和进程详细信息。您可以使用这些字段设置抑制规则，以抑制重复的调查发现。第一个筛选条件应使用查找结果类型字段，其值等于本节前面提供的DNS查找结果列表中的查找结果类型。第二个筛选条件可以是值等于DNS服务器的可执行路径，也可以是executablePath可执行文件路径，其值等于生成的查找结果executableSHA256中的DNS服务器值的可执行文件 SHA -256。作为可选的第三个筛选条件，你可以使用 Kubernetes 容器镜像字段，其值等于生成的结果中DNS服务器 Pod 的容器镜像。

创建抑制规则

选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。

Console

您可以使用 GuardDuty 控制台可视化、创建和管理抑制规则。抑制规则的生成方式与筛选条件相同，现有保存的筛选条件可用作抑制规则。有关创建筛选条件的更多信息，请参阅筛选调查发现。

要使用控制台创建抑制规则：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在调查发现页面上，选择抑制调查发现以打开抑制规则面板。
要打开筛选条件菜单，请在添加筛选条件中输入 filter criteria。您可以从列表中选择一个条件。为所选条件输入一个有效值。

注意
要确定有效值，请查看调查发现表，并选择要抑制的调查发现。在调查结果面板中查看其详细信息。

您可以添加多个筛选条件，确保只有那些要抑制的调查发现显示在表中。
输入抑制规则的名称和描述。有效字符包括字母数字字符、句点（.）、破折号（-）、下划线（_）和空格。
选择保存。

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息，请参阅筛选调查发现。

要使用保存的筛选条件创建抑制规则：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在调查发现页面上，选择抑制调查发现以打开抑制规则面板。
从保存的规则下拉列表中，选择保存的筛选条件。
您还可以添加新的筛选条件。如果您不需要其他筛选条件，请跳过此步骤。

要打开筛选条件菜单，请在添加筛选条件中输入 filter criteria。您可以从列表中选择一个条件。为所选条件输入一个有效值。

注意
要确定有效值，请查看调查发现表，并选择要抑制的调查发现。在调查结果面板中查看其详细信息。
输入抑制规则的名称和描述。有效字符包括字母数字字符、句点（.）、破折号（-）、下划线（_）和空格。
选择保存。

API/CLI

要使用API以下方法创建禁止规则，请执行以下操作：

您可以通过创建禁止规则CreateFilterAPI。为此，请按照下面详述的示例格式在JSON文件中指定筛选条件。以下示例将抑制任何DNS请求到 test.example.com 域的未存档的低严重性搜索结果。对于中严重性调查发现，输入列表是 ["4", "5", "7"]。对于高严重性调查发现，输入列表是 ["6", "7", "8"]。您还可以根据列表中的任意一个值进行筛选。
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
有关JSON字段名称及其控制台等效项的列表，请参阅筛选条件属性。

要测试您的筛选条件，请使用中的相同JSON标准 ListFindingsAPI，并确认选择的结果是否正确。要使用您自己的.json 文件来测试您的筛选条件detectorId， AWS CLI 请按照示例进行操作。

要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行ListDetectorsAPI。
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
上传要用作抑制规则的过滤器，CreateFilterAPI或者使用 AWS CLI以下示例，使用您自己的检测器 ID、抑制规则的名称和.json 文件。

要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行ListDetectorsAPI。
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

您可以使用以编程方式查看过滤器列表。ListFilterAPI您可以通过向提供筛选器名称来查看单个筛选器的详细信息GetFilterAPI。使用更新过滤器UpdateFilter或使用将其删除DeleteFilterAPI。

删除抑制规则

选择您的首选访问方法以删除用于 GuardDuty 查找类型的禁止规则。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

筛选调查发现

可信 IP 列表和威胁列表