中的禁止规则 GuardDuty - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的禁止规则 GuardDuty

抑制规则是一组标准,由与值配对的筛选器属性组成,用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。

创建抑制规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则,也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型,或者定义更精细的筛选条件,仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。

禁止显示的发现不会发送到亚马逊简单存储服务 AWS Security Hub、Amazon Detective 或亚马逊 EventBridge,如果您通过 Security Hub、第三方 SIEM 或其他警报和票务应用程序使用 GuardDuty 发现,则会降低查找噪音水平。如果您已启用恶意软件防护 EC2,则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。

GuardDuty 即使搜索结果符合您的禁止规则,也会继续生成结果,但是,这些发现会自动标记为已存档。存档的查找结果将保存 90 天,在此期间可以随时查看。 GuardDuty 您可以在 GuardDuty 控制台中查看隐藏的查找结果,方法是从查找结果表中选择 “已存档”,也可以通过 GuardDuty API 使用 ListFindings具有service.archived等于真findingCriteria标准的 API。

注意

在多账户环境中,只有 GuardDuty 管理员才能创建禁止规则。

抑制规则的常见用例和示例

以下调查发现类型具有使用抑制规则的常见应用场景。选择调查发现名称以详细了解该调查发现。检查应用场景描述,确定是否要为该调查发现类型构建抑制规则。

重要

GuardDuty 建议您以被动方式构建抑制规则,并且仅针对您在环境中反复发现误报的发现建立抑制规则。

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS:当 VPC 网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关发出时,使用抑制规则来自动存档生成的调查发现。

    当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 AWS Outposts 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,则建议您使用抑制规则,并创建一个由两个筛选条件组成的规则。第一个标准是 finding type(调查发现类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是 API 呼叫者 IPv4 地址以及本地互联网网关的 IP 地址或 CIDR 范围。以下示例代表了根据 API 调用方 IP 地址抑制此调查发现类型的筛选条件。

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    注意

    要包含多个 API 调用方, IPs 您可以为每个调用方添加一个新的 API 调用方 IPv4地址过滤器。

  • Recon:EC2/Portscan:使用脆弱性评测应用程序时,使用抑制规则来自动存档调查发现。

    抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定 AMI 的实例来抑制此调查发现类型的筛选条件。

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
  • UnauthorizedAccess:EC2/SSHBruteForce:当针对堡垒机实例时,使用抑制规则来自动存档调查发现。

    如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
  • Recon:EC2/PortProbeUnprotectedPort:当针对有意公开的实例时,使用抑制规则来自动存档调查发现。

    这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

适用于运行时监控调查发现的建议抑制规则