在中创建抑制规则 GuardDuty

聚焦模式

在中创建抑制规则 GuardDuty - Amazon GuardDuty

抑制规则是一组标准，包括使用筛选器属性和提供您不 GuardDuty 想为其生成查找类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音，抑制的结果不会发送到任何可以 AWS 服务与之集成的结果。要详细了解创建抑制规则的常见应用场景，请参阅抑制规则。

您可以使用 GuardDuty 控制台可视化、创建和管理抑制规则。抑制规则的生成方式与筛选条件相同，现有保存的筛选条件可用作抑制规则。有关创建筛选条件的更多信息，请参阅筛选搜索结果 GuardDuty。

选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。

Console

要使用控制台创建抑制规则，请执行以下操作：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在 “调查结果” 页面上，除非您添加至少一个筛选条件，否则创建抑制规则功能将保持灰色。由于抑制规则适用于正在进行的活动查找结果，因此请确保 “状态” 菜单设置为 “当前”。
要添加一个或多个筛选条件，请按照中的步骤 3 到 7 进行操作Adding filters on Findings page，然后继续执行以下步骤。
添加筛选条件并确认筛选的结果符合您的要求后，选择创建抑制规则。
输入禁止规则的名称。名称必须为 3-64 个字符。有效字符为 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。
描述是可选的。如果输入描述，则描述最多可包含 512 个字符。
选择创建。

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息，请参阅筛选搜索结果 GuardDuty。

要使用保存的筛选条件创建抑制规则：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在 “查找结果” 页面上，从 “已保存的规则” 菜单中，选择已保存的筛选器集规则。这将自动显示筛选器集和符合条件的结果。
您也可以向此已保存的规则添加更多筛选条件。如果您不需要其他筛选条件，请跳过此步骤。

要添加一个或多个其他筛选条件，请按照步骤 2 直到前一个过程的结尾执行操作-To create a suppression rule using the console。
如果您不需要在已保存的规则中添加其他筛选条件，请按照步骤 4 直到前一个过程的结尾执行操作-To create a suppression rule using the console。

API/CLI

要使用 API 创建抑制规则：

您可以通过创建禁止规则 CreateFilterAPI。为此，请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将抑制任何向该域发出 DNS 请求的未存档的低严重性搜索结果。test.example.com对于中等严重性调查结果，输入列表将是["4", "5", "7"]。对于严重性较高的发现，输入列表将是["6", "7", "8"]。对于严重性调查结果，输入列表将是["9", "10"]。您还可以根据列表中的任意一个值进行筛选。

以下示例为低严重性发现添加了一个过滤器。
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
有关 JSON 字段名及其控制台等效项的列表，请参阅中的属性筛选器 GuardDuty。

要测试您的筛选条件，请在中使用相同的 JSON 标准 ListFindingsAPI，并确认已选择正确的调查结果。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件， AWS CLI 请按照示例进行操作。

要查找与您的账户和当前地区detectorId对应的，请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面，或者运行 ListDetectorsAPI。
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
上传您的过滤器以用作抑制规则 CreateFilterAPI 或者按照以下示例使用您自己的检测器 ID、抑制规则的名称和.json 文件的 AWS CLI。

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

您可以使用编程方式查看过滤器列表 ListFilterAPI。您可以通过将筛选器名称提供给来查看单个筛选器的详细信息 GetFilterAPI。使用更新过滤器 UpdateFilter或者使用删除它们 DeleteFilterAPI。

anchor anchor

要使用控制台创建抑制规则，请执行以下操作：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在 “调查结果” 页面上，除非您添加至少一个筛选条件，否则创建抑制规则功能将保持灰色。由于抑制规则适用于正在进行的活动查找结果，因此请确保 “状态” 菜单设置为 “当前”。
要添加一个或多个筛选条件，请按照中的步骤 3 到 7 进行操作Adding filters on Findings page，然后继续执行以下步骤。
添加筛选条件并确认筛选的结果符合您的要求后，选择创建抑制规则。
输入禁止规则的名称。名称必须为 3-64 个字符。有效字符为 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。
描述是可选的。如果输入描述，则描述最多可包含 512 个字符。
选择创建。

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息，请参阅筛选搜索结果 GuardDuty。

要使用保存的筛选条件创建抑制规则：

打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在 “查找结果” 页面上，从 “已保存的规则” 菜单中，选择已保存的筛选器集规则。这将自动显示筛选器集和符合条件的结果。
您也可以向此已保存的规则添加更多筛选条件。如果您不需要其他筛选条件，请跳过此步骤。

要添加一个或多个其他筛选条件，请按照步骤 2 直到前一个过程的结尾执行操作-To create a suppression rule using the console。
如果您不需要在已保存的规则中添加其他筛选条件，请按照步骤 4 直到前一个过程的结尾执行操作-To create a suppression rule using the console。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

抑制规则

删除抑制规则

选择您的 Cookie 首选项

自定义 Cookie 首选项

关键

性能

功能

广告

无法保存 Cookie 首选项

在中创建抑制规则 GuardDuty

要使用控制台创建抑制规则，请执行以下操作：

要使用保存的筛选条件创建抑制规则：

要使用 API 创建抑制规则：

要使用控制台创建抑制规则，请执行以下操作：

要使用保存的筛选条件创建抑制规则：

此页内容对您是否有帮助？

下一主题：

上一主题：

需要帮助吗？