在 GuardDuty 中建立禁止規則

焦點模式

在 GuardDuty 中建立禁止規則 - Amazon GuardDuty

禁止規則是一組條件，包括使用篩選條件屬性並提供您不希望 GuardDuty 產生問題清單類型的值。符合此條件的調查結果類型會自動封存。為了減少噪音，隱藏的調查結果不會傳送至任何您可以整合 AWS 服務的。如需建立禁止規則之常見使用案例的詳細資訊，請參閱隱藏規則。

您可以使用 GuardDuty 主控台視覺化、建立和管理禁止規則。隱藏規則的產生方式與篩選條件相同，且您現有儲存的篩選條件可用作隱藏規則。如需建立篩選條件的詳細資訊，請參閱在 GuardDuty 中篩選問題清單。

選擇您偏好的存取方法，為 GuardDuty 調查結果類型建立禁止規則。

Console

若要使用主控台建立禁止規則：

開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。
在調查結果頁面上，除非您新增至少一個篩選條件，否則建立禁止規則功能會保持灰色。由於禁止規則會套用至作用中的持續調查結果，請確定狀態功能表設定為目前。
若要新增一或多個篩選條件，請遵循中的步驟 3 到 7Adding filters on Findings page，然後繼續下列步驟。
在您新增篩選條件並確認篩選的結果符合您的需求之後，請選擇建立禁止規則。
輸入隱藏規則的名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句點 (.)、連字號 (-) 和底線 (_)。
描述是選用的。如果您輸入描述，最多可以有 512 個字元。
選擇 Create (建立)。

您也可以從現有儲存的篩選條件建立隱藏規則。如需建立篩選條件的詳細資訊，請參閱在 GuardDuty 中篩選問題清單。

若要從已儲存的篩選條件建立隱藏規則：

開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。
在調查結果頁面上，從已儲存規則功能表中，選取已儲存的篩選條件集規則。這會自動顯示符合條件的篩選條件集和調查結果。
您也可以將更多篩選條件新增至此已儲存規則。如果您不需要其他篩選條件，請略過此步驟。

若要新增一或多個額外的篩選條件，請遵循步驟 2 到上述程序的結尾 - To create a suppression rule using the console。
如果您不需要將其他篩選條件新增至儲存的規則，請遵循步驟 4 到上述程序的結尾 - To create a suppression rule using the console。

API/CLI

使用 API 建立隱藏規則：

您也可以透過 CreateFilter API 建立隱藏規則。若要這麼做，請依照下面詳述的範例格式，在 JSON 檔案中指定篩選條件。以下範例將禁止對test.example.com網域提出 DNS 請求的任何未封存的低嚴重性問題清單。對於中等嚴重性的問題清單，輸入清單將為 ["4", "5", "7"]。對於高嚴重性的調查結果，輸入清單將為 ["6", "7", "8"]。對於關鍵嚴重性調查結果，輸入清單將為 ["9", "10"]。您也可以根據清單中的任何一個值進行篩選。

下列範例新增低嚴重性問題清單的篩選條件。
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
如需 JSON 欄位名稱及其主控台對等值的清單，請參閱GuardDuty 中的屬性篩選條件。

若要測試篩選條件，請在 ListFindings API 中使用相同的 JSON 條件，並確認選取的是正確的調查結果。若要使用測試篩選條件， AWS CLI 請遵循使用您自己的 detectorId 和 .json 檔案的範例。

若要尋找detectorId您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
使用 CreateFilter API，或藉由使用 AWS CLI，依照下列範例，使用您自己的偵測器 ID、隱藏規則的名稱，以及 .json 檔案，上傳篩選條件以作為隱藏規則。

若要尋找detectorId您帳戶和目前區域的，請參閱 https：//https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

您可以使用 ListFilter API，以程式設計方式檢視篩選條件清單。您可以透過向 GetFilter API 提供篩選條件名稱，來檢視個別篩選條件的詳細資訊。使用 UpdateFilter 更新篩選條件，或使用 DeleteFilter API 將其刪除。

anchor anchor

若要使用主控台建立禁止規則：

開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。
在調查結果頁面上，除非您新增至少一個篩選條件，否則建立禁止規則功能會保持灰色。由於禁止規則會套用至作用中的持續調查結果，請確定狀態功能表設定為目前。
若要新增一或多個篩選條件，請遵循中的步驟 3 到 7Adding filters on Findings page，然後繼續下列步驟。
在您新增篩選條件並確認篩選的結果符合您的需求之後，請選擇建立禁止規則。
輸入隱藏規則的名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句點 (.)、連字號 (-) 和底線 (_)。
描述是選用的。如果您輸入描述，最多可以有 512 個字元。
選擇 Create (建立)。

您也可以從現有儲存的篩選條件建立隱藏規則。如需建立篩選條件的詳細資訊，請參閱在 GuardDuty 中篩選問題清單。

若要從已儲存的篩選條件建立隱藏規則：

開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。
在調查結果頁面上，從已儲存規則功能表中，選取已儲存的篩選條件集規則。這會自動顯示符合條件的篩選條件集和調查結果。
您也可以將更多篩選條件新增至此已儲存規則。如果您不需要其他篩選條件，請略過此步驟。

若要新增一或多個額外的篩選條件，請遵循步驟 2 到上述程序的結尾 - To create a suppression rule using the console。
如果您不需要將其他篩選條件新增至儲存的規則，請遵循步驟 4 到上述程序的結尾 - To create a suppression rule using the console。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

隱藏規則

刪除禁止規則

選取您的 Cookie 偏好設定

自訂 Cookie 偏好設定

必要

效能

功能

廣告

無法儲存 Cookie 偏好設定

在 GuardDuty 中建立禁止規則

若要使用主控台建立禁止規則：

若要從已儲存的篩選條件建立隱藏規則：

使用 API 建立隱藏規則：

若要使用主控台建立禁止規則：

若要從已儲存的篩選條件建立隱藏規則：

此頁面是否有幫助？

下一個主題：

上一個主題：

需要協助？