本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
隱藏規則
隱藏規則是一組條件 (由與值配對的篩選屬性組成),用於自動封存符合指定條件的新調查結果來篩選調查結果。隱藏規則可用來篩選低價值的問題清單、誤判問題清單,或您不打算採取行動的威脅,以便更容易辨識對環境影響最大的安全威脅。
建立隱藏規則後,只要有隱藏規則,就會自動封存符合規則中定義之條件的新問題清單。您可以使用既有的篩選條件來建立隱藏規則,或從定義的新篩選條件中建立隱藏規則。您可以設定隱藏規則以隱藏整個問題清單類型,或定義更細微的篩選條件,而僅隱藏特定問題清單類型的特定例項。您可以隨時編輯抑制規則。
抑制的發現不會傳送至 AWS Security Hub Amazon 簡易儲存服務、Amazon Detective 或 Amazon,如果您透過 Security Hub EventBridge、第三方或其他警示和票務應用程式消耗發 GuardDuty 現結果SIEM,可降低尋找雜訊等級。如果您已啟用惡意軟體防護 EC2,則抑制的 GuardDuty 發現項目將不會起始惡意軟體掃描。
GuardDuty 即使發現項目符合您的抑制規則,仍會繼續產生搜尋結果,不過,這些發現項目會自動標示為已封存。封存的發現項目會儲存 90 天,並可在 GuardDuty 該期間的任何時間進行檢視。您可以在 GuardDuty 主控台中檢視隱藏的發現項目,方法是從發現項目表格中選取「已存檔」,或 GuardDuty API使用findingCriteria
條件service.archived
等於 true。ListFindingsAPI
注意
在多帳戶環境中,只有 GuardDuty 管理員可以建立抑制規則。
隱藏規則的常用案例和範例
下列尋找項目類型具有套用隱藏規則的常見使用案例。選取發現項目名稱,以深入瞭解該發現項目。複查使用案例說明,以決定是否要為該搜尋結果類型建立隱藏規則。
重要
GuardDuty 建議您以動態方式建立抑制規則,並且僅針對您在環境中重複識別出誤判的發現項目建立抑制規則。
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 使用抑制規則自動封存網路設定為VPC路由網際網路流量時產生的發現項目,使其從內部部署閘道而非 VPC Internet Gateway 輸出。
當網路設定為路由網際網路流量,使其從內部部署閘道而非從網際 Internet Gateway 路閘道輸出時,就會產生此發現項目 (IGW)。VPC一般組態 (例如使用AWS Outposts或VPCVPN連線) 可能會導致以這種方式路由傳送流量。如果這是預期的行為,建議您使用抑制規則並建立由兩個篩選準則組成的規則。第一個條件是 finding type (問題清單類型),應該是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
。第二個篩選條件是具有內部部署網際網路閘道 IP 位址或CIDR範圍的API來電者IPv4地址。下面的範例代表您將用來根據API呼叫者 IP 位址隱藏此尋找類型的篩選器。Finding type:
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
API caller IPv4 address:198.51.100.6
注意
要包含多個API呼叫者,IPs您可以為每個呼叫者添加新的API呼叫者IPv4地址過濾器。
-
Recon:EC2/Portscan:使用漏洞評估應用程式時,使用隱藏規則以自動封存調查結果。
隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
Recon:EC2/Portscan
。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您將用來根據具有特定例證抑制此尋找類型的篩選器AMI。Finding type:
Recon:EC2/Portscan
Instance image ID:ami-999999999
-
UnauthorizedAccess:EC2/SSHBruteForce:使用隱藏規則,在調查結果目標為堡壘執行個體時,自動封存調查結果。
如果蠻力嘗試的目標是堡壘主機,這可能代表您 AWS 環境的預期行為。如果是這種情況,我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
UnauthorizedAccess:EC2/SSHBruteForce
。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。Finding type:
UnauthorizedAccess:EC2/SSHBruteForce
Instance tag value:devops
-
Recon:EC2/PortProbeUnprotectedPort:使用隱藏規則,在調查結果目標為刻意公開的執行個體時,自動封存調查結果。
在某些情況下,可能會刻意暴露執行個體,例如,若是託管在 Web 伺服器上。如果您的 AWS 環境是這種情況,建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
Recon:EC2/PortProbeUnprotectedPort
。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的準則而定。下面的範例表示您根據具有主控台中特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。Finding type:
Recon:EC2/PortProbeUnprotectedPort
Instance tag key:prod
執行階段監視發現項目的建議抑制
當容器內的程序與 Docker 通訊端通訊時便會產生 PrivilegeEscalation:Runtime/DockerSocketAccessed。由於正當原因,環境中存在可能需要存取 Docker 通訊端的容器。從這類容器存取將產生 PrivilegeEscalation:Runtime/DockerSocketAccessed 調查結果。如果您的 AWS 環境是這種情況,建議您為此尋找項目類型設定隱藏規則。第一個條件應該使用調查結果類型欄位,其值等於
PrivilegeEscalation:Runtime/DockerSocketAccessed
。第二個篩選條件是可執行檔路徑欄位,其值等於產生的調查結果中程序的executablePath
。或者,第二個篩選條件可以使用可執行檔 SHA -256 欄位,其值等於產生的發現項目executableSha256
中處理程序的值。Kubernetes 叢集會以網繭的形式執行自己的DNS伺服器,例如。
coredns
因此,對於來自網繭的每個DNS查閱,都會 GuardDuty 擷取兩個DNS事件-一個來自網繭,另一個來自伺服器網繭。這可能會產生下列DNS發現項目的重複項目:重複的發現項目將包括與您的DNS伺服器網繭對應的網繭、容器和處理序詳細資料。您可以使用這些欄位設定隱藏規則,以隱藏這些重複的調查結果。第一個篩選條件應使用「發現項目類型」欄位,其值等於本節稍早提供之發現項目清單中的DNS尋找項目類型。第二個篩選條件可以是值等於DNS伺服器的可執行檔路徑,
executablePath
或可執行檔 SHA -256,其值等於產生的發現項目executableSHA256
中的DNS伺服器。作為選用的第三個篩選條件,您可以在產生的尋找項目中使用 Kubernetes 容器映像欄位的值等於DNS伺服器網繭的容器映像。
建立抑制規則
選擇您偏好的存取方式,以建立 GuardDuty 搜尋型態的隱藏規則。
刪除抑制規則
選擇您偏好的存取方式,以刪除 GuardDuty 搜尋型態的隱藏規則。