本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
調查結果篩選條件可讓您檢視符合您指定準則的調查結果,並篩選出任何不相符的調查結果。您可以使用 Amazon GuardDuty 主控台輕鬆建立調查結果篩選條件,也可以使用 JSON,以 CreateFilter API 建立調查結果篩選條件。請檢閱下列各節,以了解如何在主控台中建立篩選條件。若要使用這些篩選條件自動封存傳入的調查結果,請參閱 GuardDuty 中的隱藏規則。
在 GuardDuty 主控台中建立和儲存篩選條件集
可透過 GuardDuty 主控台建立及測試調查結果篩選條件。您可儲存透過主控台建立的篩選條件,以便用於抑制規則或未來的篩選條件操作。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。
當您建立新的篩選條件時,請注意下列事項:
-
GuardDuty 不支援用於篩選條件的萬用字元。
-
您可以指定最少一個屬性或最多 50 個屬性,作為特定篩選條件的準則。
-
當您使用等於或不等於運算子來篩選屬性值時,例如帳戶 ID,您可以指定最多 50 個值。
-
每個篩選條件準則屬性都會作為
AND運算子予以評估。相同屬性的多個值會作為AND/OR予以評估。
建立和儲存篩選條件 (主控台)
登入 AWS Management Console ,並在 https://console.aws.amazon.com/guardduty/
:// 開啟 GuardDuty 主控台。 -
在左側導覽窗格中,選擇調查結果。
-
在調查結果頁面上,選取已儲存規則功能表旁的篩選調查結果列。這會顯示展開的屬性篩選條件清單。
-
從展開的篩選條件清單中,選取您要篩選問題清單的屬性。
例如,若要檢視可能受影響的資源是 S3Bucket體的調查結果,請選擇資源類型。
-
對於運算子,請選擇可協助您篩選問題清單以取得所需結果的項目。若要繼續上一步的範例,請選擇資源類型 =。這會顯示 GuardDuty 中的資源類型清單。
如果您的使用案例需要排除特定調查結果,您可以選擇不等於 或 != 運算子。
-
指定所選屬性篩選條件的值。如有需要,請選擇套用。若要繼續上一個步驟的範例,您可以選擇 S3Bucket。
這會顯示符合所套用篩選條件的調查結果。
-
若要新增多個篩選條件,請重複步驟 3-6。
如需屬性的完整清單,請參閱 GuardDuty 中的屬性篩選條件。
-
(選用) 將指定的屬性和值儲存為篩選條件
若要在未來再次套用此篩選條件組合,您可以將指定的屬性及其值儲存為篩選條件集。
-
使用一或多個屬性篩選條件建立篩選條件之後,請在清除篩選條件功能表中選取箭頭。
-
輸入篩選條件集名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句點 (.)、連字號 (-) 和底線 (_)。
-
描述是選用的。如果您輸入描述,最多可以有 512 個字元。
-
選擇 Create (建立)。
-
GuardDuty 中的屬性篩選條件
當您使用 API 操作建立篩選條件或排序調查結果時,您必須在 JSON 中指定篩選條件準則。這些篩選條件準則與調查結果的詳細資訊 JSON 相關聯。下表包含篩選條件屬性及其對等 JSON 欄位名稱的主控台顯示名稱清單。
主控台欄位名稱 |
JSON 欄位名稱 |
|---|---|
帳戶 ID |
accountId |
問題清單 ID |
id |
區域 |
region |
嚴重性 |
severity 您可以根據調查結果類型的嚴重性層級來篩選調查結果類型。如需嚴重性值的詳細資訊,請參閱GuardDuty 調查結果的嚴重性層級。如果您 |
調查結果類型 |
type |
更新時間 |
updatedAt |
存取金鑰 ID |
resource.accessKeyDetails.accessKeyId |
委託人 ID |
resource.accessKeyDetails.principalId |
使用者名稱 |
resource.accessKeyDetails.userName |
使用者類型 |
resource.accessKeyDetails.userType |
IAM 執行個體描述檔 ID |
resource.instanceDetails.iamInstanceProfile.id |
執行個體 ID |
resource.instanceDetails.instanceId |
執行個體影像 ID |
resource.instanceDetails.imageId |
執行個體標籤索引鍵 |
resource.instanceDetails.tags.key |
執行個體標籤值 |
resource.instanceDetails.tags.value |
IPv6 地址 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
私有 IPv4 地址 |
resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
公有 DNS 名稱 |
resource.instanceDetails.networkInterfaces.publicDnsName |
公有 IP |
resource.instanceDetails.networkInterfaces.publicIp |
安全群組 ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
安全群組名稱 |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
子網路 ID |
resource.instanceDetails.networkInterfaces.subnetId |
VPC ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost ARN |
resource.instanceDetails.outpostARN |
資源類型 |
resource.resourceType |
儲存貯體許可 |
resource.s3BucketDetails.publicAccess.effectivePermission |
儲存貯體名稱 |
resource.s3BucketDetails.name |
儲存貯體標籤金鑰 |
resource.s3BucketDetails.tags.key |
儲存貯體標籤值 |
resource.s3BucketDetails.tags.value |
儲存貯體類型 |
resource.s3BucketDetails.type |
動作類型 |
service.action.actionType |
已發出 API 呼叫 |
service.action.awsApiCallAction.api |
API 發起人類型 |
service.action.awsApiCallAction.callerType |
API 錯誤碼 |
service.action.awsApiCallAction.errorCode |
API 發起人城市 |
service.action.awsApiCallAction.remoteIpDetails.city.cityName |
API 發起人國家/地區 |
service.action.awsApiCallAction.remoteIpDetails.country.countryName |
API 發起人 IPv4 地址 |
service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
API 呼叫者 IPv6 地址 |
service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
API 發起人 ASN ID |
service.action.awsApiCallAction.remoteIpDetails.organization.asn |
API 發起人 ASN 名稱 |
service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
API 發起人服務名稱 |
service.action.awsApiCallAction.serviceName |
DNS 請求網域 |
service.action.dnsRequestAction.domain |
DNS 要求網域尾碼 |
service.action.dnsRequestAction.domainWithSuffix |
已封鎖網路連線 |
service.action.networkConnectionAction.blocked |
網路連線方向 |
service.action.networkConnectionAction.connectionDirection |
網路連線本機連接埠 |
service.action.networkConnectionAction.localPortDetails.port |
網路連線通訊協定 |
service.action.networkConnectionAction.protocol |
網路連線城市 |
service.action.networkConnectionAction.remoteIpDetails.city.cityName |
網路連線國家/地區 |
service.action.networkConnectionAction.remoteIpDetails.country.countryName |
網路連線遠端 IPv4 地址 |
service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
網路連線遠端 IPv6 地址 |
service.action.networkConnectionAction.remoteIpDetails.ipAddressV6 |
網路連線遠端 IP ASN ID |
service.action.networkConnectionAction.remoteIpDetails.organization.asn |
網路連線遠端 IP ASN 名稱 |
service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
網路連線遠端連接埠 |
service.action.networkConnectionAction.remotePortDetails.port |
附屬的遠端帳戶 |
service.action.awsApiCallAction.remoteAccountDetails.affiliated |
Kubernetes API 呼叫者 IPv4 地址 |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
Kubernetes API 呼叫者 IPv6 地址 |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
Kubernetes 命名空間 |
service.action.kubernetesApiCallAction.namespace |
Kubernetes API 呼叫者 ASN ID |
service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
Kubernetes API 呼叫請求 URI |
service.action.kubernetesApiCallAction.requestUri |
Kubernetes API 狀態碼 |
service.action.kubernetesApiCallAction.statusCode |
網路連線本機 IPv4 地址 |
service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
網路連線本機 IPv6 地址 |
service.action.networkConnectionAction.localIpDetails.ipAddressV6 |
通訊協定 |
service.action.networkConnectionAction.protocol |
API 呼叫服務名稱 |
service.action.awsApiCallAction.serviceName |
API 呼叫者帳戶 ID |
service.action.awsApiCallAction.remoteAccountDetails.accountId |
威脅清單名稱 |
service.additionalInfo.threatListName |
資源角色 |
service.resourceRole |
EKS 叢集名稱 |
resource.eksClusterDetails.name |
Kubernetes 工作負載名稱 |
resource.kubernetesDetails.kubernetesWorkloadDetails.name |
Kubernetes 工作負載命名空間 |
resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
Kubernetes 使用者名稱 |
resource.kubernetesDetails.kubernetesUserDetails.username |
Kubernetes 容器映像 |
resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
Kubernetes 容器映像前綴 |
resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
掃描 ID |
service.ebsVolumeScanDetails.scanId |
EBS 磁碟區掃描威脅名稱 |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
S3 物件掃描威脅名稱 |
service.malwareScanDetails.threats.name |
威脅嚴重性 |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
SHA 檔案 |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
ECS 叢集名稱 |
resource.ecsClusterDetails.name |
ECS 容器映像 |
resource.ecsClusterDetails.taskDetails.containers.image |
ECS 任務定義 ARN |
resource.ecsClusterDetails.taskDetails.definitionArn |
獨立容器映像 |
resource.containerDetails.image |
資料庫執行個體 ID |
resource.rdsDbInstanceDetails.dbInstanceIdentifier |
資料庫叢集 ID |
resource.rdsDbInstanceDetails.dbClusterIdentifier |
資料庫引擎 |
resource.rdsDbInstanceDetails.engine |
資料庫使用者 |
resource.rdsDbUserDetails.user |
資料庫執行個體標籤索引鍵 |
resource.rdsDbInstanceDetails.tags.key |
資料庫執行個體標籤值 |
resource.rdsDbInstanceDetails.tags.value |
可執行 SHA-256 |
service.runtimeDetails.process.executableSha256 |
程序名稱 |
service.runtimeDetails.process.name |
可執行路徑 |
service.runtimeDetails.process.executablePath |
Lambda 功能名稱 |
resource.lambdaDetails.functionName |
Lambda 函數 ARN |
resource.lambdaDetails.functionArn |
Lambda 函數標籤索引鍵 |
resource.lambdaDetails.tags.key |
Lambda 函數標籤值 |
resource.lambdaDetails.tags.value |
DNS 請求網域 |
service.action.dnsRequestAction.domainWithSuffix |
