本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
調查結果篩選條件可讓您檢視符合您指定準則的調查結果,並篩選出任何不相符的調查結果。您可以使用 Amazon GuardDuty 主控台輕鬆建立問題清單篩選條件,也可以使用 建立問題清單篩選條件 CreateFilter API 使用 JSON。請檢閱下列各節,以了解如何在主控台中建立篩選條件。若要使用這些篩選條件自動封存傳入的調查結果,請參閱 中的隱藏規則 GuardDuty。
在 GuardDuty 主控台中建立和儲存篩選條件集
可以透過 GuardDuty 主控台建立和測試尋找篩選條件。您可儲存透過主控台建立的篩選條件,以便用於抑制規則或未來的篩選條件操作。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。
當您建立新的篩選條件時,請注意下列事項:
-
GuardDuty 不支援用於篩選條件的萬用字元。
-
您可以指定最少一個屬性或最多 50 個屬性,作為特定篩選條件的準則。
-
當您使用等於或不等於運算子來篩選屬性值時,例如帳戶 ID,您可以指定最多 50 個值。
-
每個篩選條件準則屬性都會作為
AND
運算子予以評估。相同屬性的多個值會作為AND/OR
予以評估。
建立和儲存篩選條件 (主控台)
登入 AWS Management Console 並在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/
。 -
在左側導覽窗格中,選擇調查結果。
-
在調查結果頁面上,選取已儲存規則功能表旁的篩選調查結果列。這會顯示展開的屬性篩選條件清單。
-
從展開的篩選條件清單中,選取您要根據其篩選問題清單的屬性。
例如,若要檢視可能受影響的資源為 S3Bucket 的調查結果,請選擇資源類型。
-
對於運算子,請選擇可協助您篩選問題清單以取得所需結果的項目。若要繼續上一步的範例,請選擇資源類型 =。這會顯示其中的資源類型清單 GuardDuty。
如果您的使用案例需要排除特定問題清單,您可以選擇不等於 或 != 運算子。
-
指定所選屬性篩選條件的值。如有需要,請選擇套用。若要繼續上一個步驟的範例,您可以選擇 S3Bucket。
這會顯示符合所套用篩選條件的調查結果。
-
若要新增多個篩選條件,請重複步驟 3-6。
如需屬性的完整清單,請參閱 中的屬性篩選條件 GuardDuty。
-
(選用) 將指定的屬性和值儲存為篩選條件
若要在未來再次套用此篩選條件組合,您可以將指定的屬性及其值儲存為篩選條件集。
-
使用一或多個屬性篩選條件建立篩選條件之後,請在清除篩選條件功能表中選取箭頭。
-
輸入篩選條件集名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句點 (.)、連字號 (-) 和底線 (_)。
-
描述為選用。如果您輸入描述,最多可以有 512 個字元。
-
選擇 Create (建立)。
-
中的屬性篩選條件 GuardDuty
當您使用 API操作建立篩選條件或排序問題清單時,您必須在 中指定篩選條件JSON。這些篩選條件與調查結果的詳細資訊相關JSON。下表包含篩選屬性的主控台顯示名稱清單及其同等JSON欄位名稱。
主控台欄位名稱 |
JSON 欄位名稱 |
---|---|
帳戶 ID |
accountId |
問題清單 ID |
id |
區域 |
region |
嚴重性 |
severity 您可以根據問題清單類型的嚴重性層級來篩選問題清單類型。如需嚴重性值的詳細資訊,請參閱 GuardDuty 問題清單的嚴重性層級。如果您 |
調查結果類型 |
type |
更新時間 |
updatedAt |
存取金鑰 ID |
資源accessKeyDetails。accessKeyId |
委託人 ID |
資源accessKeyDetails。principalId |
使用者名稱 |
資源accessKeyDetails。userName |
使用者類型 |
資源accessKeyDetails。userType |
IAM 執行個體設定檔 ID |
resource.instanceDetails.iamInstanceProfile.id |
執行個體 ID |
資源instanceDetails。instanceId |
執行個體影像 ID |
資源instanceDetails。imageId |
執行個體標籤索引鍵 |
resource.instanceDetails.tags.key |
執行個體標籤值 |
resource.instanceDetails.tags.value |
IPv6 地址 |
resource.instanceDetails.networkInterfacesipv6Addresses |
私有IPv4地址 |
resource.instanceDetailsnetworkInterfaces.privateIpAddresses.privateIpAddress |
公有DNS名稱 |
resource.instanceDetailsnetworkInterfaces.publicDnsName |
公有 IP |
資源.instanceDetailsnetworkInterfaces.publicIp |
安全群組 ID |
resource.instanceDetailsnetworkInterfaces.securityGroups.groupId |
安全群組名稱 |
resource.instanceDetailsnetworkInterfaces.securityGroups.groupName |
子網路 ID |
資源.instanceDetailsnetworkInterfaces.subnetId |
VPC ID |
resource.instanceDetailsnetworkInterfaces.vpcId |
Outpost ARN |
resource.instanceDetails.outpostARN |
資源類型 |
資源。resourceType |
儲存貯體許可 |
resource.s3BucketDetailspublicAccess.effectivePermission |
儲存貯體名稱 |
resource.s3BucketDetails.name |
儲存貯體標籤金鑰 |
resource.s3BucketDetails.tags.key |
儲存貯體標籤值 |
resource.s3BucketDetails.tags.value |
儲存貯體類型 |
resource.s3BucketDetails.type |
動作類型 |
service.action。actionType |
API 已呼叫 |
service.action.awsApiCallAction.api |
API 呼叫者類型 |
service.action.awsApiCallAction。callerType |
API 錯誤碼 |
service.action.awsApiCallAction。errorCode |
API 呼叫者城市 |
service.action.awsApiCallAction.remoteIpDetails.city。cityName |
API 呼叫者國家 |
service.action.awsApiCallAction.remoteIpDetails.country。countryName |
API 呼叫者IPv4地址 |
service.action.awsApiCallActionremoteIpDetails.。ipAddressV4 |
API 呼叫者IPv6地址 |
service.action.awsApiCallActionremoteIpDetails.。ipAddressV6 |
API 呼叫者 ASN ID |
service.action.awsApiCallAction.remoteIpDetails.organization.asn |
API 呼叫者ASN名稱 |
service.action.awsApiCallAction.remoteIpDetails.organization。asnOrg |
API 呼叫者服務名稱 |
service.action.awsApiCallAction。serviceName |
DNS 請求網域 |
service.action.dnsRequestAction.domain |
DNS 請求網域尾碼 |
service.actiondnsRequestAction.domainWithSuffix |
已封鎖網路連線 |
service.action.networkConnectionAction.blocked |
網路連線方向 |
service.actionnetworkConnectionAction.connectionDirection |
網路連線本機連接埠 |
service.action.networkConnectionActionlocalPortDetails.port |
網路連線通訊協定 |
service.action.networkConnectionAction.protocol |
網路連線城市 |
service.action.networkConnectionActionremoteIpDetails.city。cityName |
網路連線國家/地區 |
service.action.networkConnectionActionremoteIpDetails.country。countryName |
網路連線遠端IPv4地址 |
service.actionnetworkConnectionAction.remoteIpDetails.ipAddressV4 |
網路連線遠端IPv6地址 |
service.actionnetworkConnectionAction.remoteIpDetails.ipAddressV6 |
網路連線遠端 IP ASN ID |
service.action.networkConnectionActionremoteIpDetails.organization.asn |
網路連線遠端 IP ASN名稱 |
service.action.networkConnectionActionremoteIpDetails.organization。asnOrg |
網路連線遠端連接埠 |
service.action.networkConnectionActionremote.PortDetails.port |
附屬的遠端帳戶 |
service.action.awsApiCallAction.remoteAccountDetails.附屬 |
Kubernetes API呼叫者IPv4地址 |
service.action.kubernetesApiCallActionremoteIpDetails.。ipAddressV4 |
Kubernetes API呼叫者IPv6地址 |
service.action.kubernetesApiCallActionremoteIpDetails.。ipAddressV6 |
Kubernetes 命名空間 |
service.action.kubernetesApiCallAction.namespace |
Kubernetes API呼叫者 ASN ID |
service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
Kubernetes API呼叫請求 URI |
service.action.kubernetesApiCallAction。requestUri |
Kubernetes API 狀態碼 |
service.action.kubernetesApiCallAction。statusCode |
網路連線本機IPv4地址 |
service.actionnetworkConnectionAction.localIpDetails.ipAddressV4 |
網路連線本機IPv6地址 |
service.actionnetworkConnectionAction.localIpDetails.ipAddressV6 |
通訊協定 |
service.action.networkConnectionAction.protocol |
API 呼叫服務名稱 |
service.action.awsApiCallAction。serviceName |
API 呼叫者帳戶 ID |
service.action.awsApiCallActionremoteAccountDetails.。accountId |
威脅清單名稱 |
服務.additionalInfo.threatListName |
資源角色 |
服務。resourceRole |
EKS 叢集名稱 |
resource.eksClusterDetails.name |
Kubernetes 工作負載名稱 |
resource.kubernetesDetails.kubernetesWorkloadDetails.name |
Kubernetes 工作負載命名空間 |
resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
Kubernetes 使用者名稱 |
resource.kubernetesDetails.kubernetesUserDetails.username |
Kubernetes 容器映像 |
resource.kubernetesDetailskubernetesWorkloadDetails..containers.image |
Kubernetes 容器映像前綴 |
resource.kubernetesDetails.kubernetesWorkloadDetails.containers。imagePrefix |
掃描 ID |
service.ebsVolumeScanDetails。scanId |
EBS 磁碟區掃描威脅名稱 |
service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNames.name |
S3 物件掃描威脅名稱 |
service.malwareScanDetails.threats.name |
威脅嚴重性 |
service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNames.severity |
檔案 SHA |
service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNamesfilePaths.hash |
ECS 叢集名稱 |
resource.ecsClusterDetails.name |
ECS 容器映像 |
resource.ecsClusterDetails.taskDetails.containers.image |
ECS 任務定義 ARN |
資源.ecsClusterDetailstaskDetails.definitionArn |
獨立容器映像 |
resource.containerDetails.image |
資料庫執行個體 ID |
resource.rdsDbInstanceDetails。dbInstanceIdentifier |
資料庫叢集 ID |
resource.rdsDbInstanceDetails。dbClusterIdentifier |
資料庫引擎 |
resource.rdsDbInstanceDetails.engine |
資料庫使用者 |
resource.rdsDbUserDetails.user |
資料庫執行個體標籤索引鍵 |
resource.rdsDbInstanceDetails.tags.key |
資料庫執行個體標籤值 |
resource.rdsDbInstanceDetails.tags.value |
可執行檔 SHA-256 |
service.runtimeDetails.process.executableSha256 |
程序名稱 |
service.runtimeDetails.process.name |
可執行路徑 |
service.runtimeDetails.process。executablePath |
Lambda 功能名稱 |
資源lambdaDetails。functionName |
Lambda 函數 ARN |
資源lambdaDetails。functionArn |
Lambda 函數標籤索引鍵 |
resource.lambdaDetails.tags.key |
Lambda 函數標籤值 |
resource.lambdaDetails.tags.value |
DNS 請求網域 |
service.actiondnsRequestAction.domainWithSuffix |