選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

在 中篩選問題清單 GuardDuty

焦點模式
在 中篩選問題清單 GuardDuty - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

調查結果篩選條件可讓您檢視符合您指定準則的調查結果,並篩選出任何不相符的調查結果。您可以使用 Amazon GuardDuty 主控台輕鬆建立問題清單篩選條件,也可以使用 建立問題清單篩選條件 CreateFilter API 使用 JSON。請檢閱下列各節,以了解如何在主控台中建立篩選條件。若要使用這些篩選條件自動封存傳入的調查結果,請參閱 中的隱藏規則 GuardDuty

在 GuardDuty 主控台中建立和儲存篩選條件集

可以透過 GuardDuty 主控台建立和測試尋找篩選條件。您可儲存透過主控台建立的篩選條件,以便用於抑制規則或未來的篩選條件操作。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。

當您建立新的篩選條件時,請注意下列事項:

  • GuardDuty 不支援用於篩選條件的萬用字元。

  • 您可以指定最少一個屬性或最多 50 個屬性,作為特定篩選條件的準則。

  • 當您使用等於不等於運算子來篩選屬性值時,例如帳戶 ID,您可以指定最多 50 個值。

  • 每個篩選條件準則屬性都會作為 AND 運算子予以評估。相同屬性的多個值會作為 AND/OR 予以評估。

建立和儲存篩選條件 (主控台)
  1. 登入 AWS Management Console 並在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在左側導覽窗格中,選擇調查結果

  3. 調查結果頁面上,選取已儲存規則功能表旁的篩選調查結果列。這會顯示展開的屬性篩選條件清單。

    選取屬性篩選條件以在 GuardDuty 主控台中篩選問題清單。
  4. 從展開的篩選條件清單中,選取您要根據其篩選問題清單的屬性。

    例如,若要檢視可能受影響的資源為 S3Bucket 的調查結果,請選擇資源類型

  5. 對於運算子,請選擇可協助您篩選問題清單以取得所需結果的項目。若要繼續上一步的範例,請選擇資源類型 =。這會顯示其中的資源類型清單 GuardDuty。

    選取等於或不等於運算子以在 GuardDuty 主控台中篩選問題清單。

    如果您的使用案例需要排除特定問題清單,您可以選擇不等於!= 運算子。

  6. 指定所選屬性篩選條件的值。如有需要,請選擇套用。若要繼續上一個步驟的範例,您可以選擇 S3Bucket

    這會顯示符合所套用篩選條件的調查結果。

  7. 若要新增多個篩選條件,請重複步驟 3-6。

    如需屬性的完整清單,請參閱 中的屬性篩選條件 GuardDuty

  8. (選用) 將指定的屬性和值儲存為篩選條件

    若要在未來再次套用此篩選條件組合,您可以將指定的屬性及其值儲存為篩選條件集。

    1. 使用一或多個屬性篩選條件建立篩選條件之後,請在清除篩選條件功能表中選取箭頭

      在 GuardDuty 主控台中儲存篩選條件集,以便能夠再次篩選問題清單。
    2. 輸入篩選條件集名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句點 (.)、連字號 (-) 和底線 (_)。

    3. 描述為選用。如果您輸入描述,最多可以有 512 個字元。

    4. 選擇 Create (建立)。

中的屬性篩選條件 GuardDuty

當您使用 API操作建立篩選條件或排序問題清單時,您必須在 中指定篩選條件JSON。這些篩選條件與調查結果的詳細資訊相關JSON。下表包含篩選屬性的主控台顯示名稱清單及其同等JSON欄位名稱。

主控台欄位名稱

JSON 欄位名稱

帳戶 ID

accountId

問題清單 ID

id

區域

region

嚴重性

severity

您可以根據問題清單類型的嚴重性層級來篩選問題清單類型。如需嚴重性值的詳細資訊,請參閱 GuardDuty 問題清單的嚴重性層級。如果您severity搭配 API AWS CLI、 或 使用 AWS CloudFormation,則會為其指派數值。如需詳細資訊,請參閱《Amazon GuardDuty API 參考findingCriteria》中的 。

調查結果類型

type

更新時間

updatedAt

存取金鑰 ID

資源accessKeyDetails。accessKeyId

委託人 ID

資源accessKeyDetails。principalId

使用者名稱

資源accessKeyDetails。userName

使用者類型

資源accessKeyDetails。userType

IAM 執行個體設定檔 ID

resource.instanceDetails.iamInstanceProfile.id

執行個體 ID

資源instanceDetails。instanceId

執行個體影像 ID

資源instanceDetails。imageId

執行個體標籤索引鍵

resource.instanceDetails.tags.key

執行個體標籤值

resource.instanceDetails.tags.value

IPv6 地址

resource.instanceDetails.networkInterfacesipv6Addresses

私有IPv4地址

resource.instanceDetailsnetworkInterfaces.privateIpAddresses.privateIpAddress

公有DNS名稱

resource.instanceDetailsnetworkInterfaces.publicDnsName

公有 IP

資源.instanceDetailsnetworkInterfaces.publicIp

安全群組 ID

resource.instanceDetailsnetworkInterfaces.securityGroups.groupId

安全群組名稱

resource.instanceDetailsnetworkInterfaces.securityGroups.groupName

子網路 ID

資源.instanceDetailsnetworkInterfaces.subnetId

VPC ID

resource.instanceDetailsnetworkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

資源類型

資源。resourceType

儲存貯體許可

resource.s3BucketDetailspublicAccess.effectivePermission

儲存貯體名稱

resource.s3BucketDetails.name

儲存貯體標籤金鑰

resource.s3BucketDetails.tags.key

儲存貯體標籤值

resource.s3BucketDetails.tags.value

儲存貯體類型

resource.s3BucketDetails.type

動作類型

service.action。actionType

API 已呼叫

service.action.awsApiCallAction.api

API 呼叫者類型

service.action.awsApiCallAction。callerType

API 錯誤碼

service.action.awsApiCallAction。errorCode

API 呼叫者城市

service.action.awsApiCallAction.remoteIpDetails.city。cityName

API 呼叫者國家

service.action.awsApiCallAction.remoteIpDetails.country。countryName

API 呼叫者IPv4地址

service.action.awsApiCallActionremoteIpDetails.。ipAddressV4

API 呼叫者IPv6地址

service.action.awsApiCallActionremoteIpDetails.。ipAddressV6

API 呼叫者 ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 呼叫者ASN名稱

service.action.awsApiCallAction.remoteIpDetails.organization。asnOrg

API 呼叫者服務名稱

service.action.awsApiCallAction。serviceName

DNS 請求網域

service.action.dnsRequestAction.domain

DNS 請求網域尾碼

service.actiondnsRequestAction.domainWithSuffix

已封鎖網路連線

service.action.networkConnectionAction.blocked

網路連線方向

service.actionnetworkConnectionAction.connectionDirection

網路連線本機連接埠

service.action.networkConnectionActionlocalPortDetails.port

網路連線通訊協定

service.action.networkConnectionAction.protocol

網路連線城市

service.action.networkConnectionActionremoteIpDetails.city。cityName

網路連線國家/地區

service.action.networkConnectionActionremoteIpDetails.country。countryName

網路連線遠端IPv4地址

service.actionnetworkConnectionAction.remoteIpDetails.ipAddressV4

網路連線遠端IPv6地址

service.actionnetworkConnectionAction.remoteIpDetails.ipAddressV6

網路連線遠端 IP ASN ID

service.action.networkConnectionActionremoteIpDetails.organization.asn

網路連線遠端 IP ASN名稱

service.action.networkConnectionActionremoteIpDetails.organization。asnOrg

網路連線遠端連接埠

service.action.networkConnectionActionremote.PortDetails.port

附屬的遠端帳戶

service.action.awsApiCallAction.remoteAccountDetails.附屬

Kubernetes API呼叫者IPv4地址

service.action.kubernetesApiCallActionremoteIpDetails.。ipAddressV4

Kubernetes API呼叫者IPv6地址

service.action.kubernetesApiCallActionremoteIpDetails.。ipAddressV6

Kubernetes 命名空間

service.action.kubernetesApiCallAction.namespace

Kubernetes API呼叫者 ASN ID

service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn

Kubernetes API呼叫請求 URI

service.action.kubernetesApiCallAction。requestUri

Kubernetes API 狀態碼

service.action.kubernetesApiCallAction。statusCode

網路連線本機IPv4地址

service.actionnetworkConnectionAction.localIpDetails.ipAddressV4

網路連線本機IPv6地址

service.actionnetworkConnectionAction.localIpDetails.ipAddressV6

通訊協定

service.action.networkConnectionAction.protocol

API 呼叫服務名稱

service.action.awsApiCallAction。serviceName

API 呼叫者帳戶 ID

service.action.awsApiCallActionremoteAccountDetails.。accountId

威脅清單名稱

服務.additionalInfo.threatListName

資源角色

服務。resourceRole

EKS 叢集名稱

resource.eksClusterDetails.name

Kubernetes 工作負載名稱

resource.kubernetesDetails.kubernetesWorkloadDetails.name

Kubernetes 工作負載命名空間

resource.kubernetesDetails.kubernetesWorkloadDetails.namespace

Kubernetes 使用者名稱

resource.kubernetesDetails.kubernetesUserDetails.username

Kubernetes 容器映像

resource.kubernetesDetailskubernetesWorkloadDetails..containers.image

Kubernetes 容器映像前綴

resource.kubernetesDetails.kubernetesWorkloadDetails.containers。imagePrefix

掃描 ID

service.ebsVolumeScanDetails。scanId

EBS 磁碟區掃描威脅名稱

service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNames.name

S3 物件掃描威脅名稱

service.malwareScanDetails.threats.name

威脅嚴重性

service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNames.severity

檔案 SHA

service.ebsVolumeScanDetailsscanDetections.threatDetectedByName.threatNamesfilePaths.hash

ECS 叢集名稱

resource.ecsClusterDetails.name

ECS 容器映像

resource.ecsClusterDetails.taskDetails.containers.image

ECS 任務定義 ARN

資源.ecsClusterDetailstaskDetails.definitionArn

獨立容器映像

resource.containerDetails.image

資料庫執行個體 ID

resource.rdsDbInstanceDetails。dbInstanceIdentifier

資料庫叢集 ID

resource.rdsDbInstanceDetails。dbClusterIdentifier

資料庫引擎

resource.rdsDbInstanceDetails.engine

資料庫使用者

resource.rdsDbUserDetails.user

資料庫執行個體標籤索引鍵

resource.rdsDbInstanceDetails.tags.key

資料庫執行個體標籤值

resource.rdsDbInstanceDetails.tags.value

可執行檔 SHA-256

service.runtimeDetails.process.executableSha256

程序名稱

service.runtimeDetails.process.name

可執行路徑

service.runtimeDetails.process。executablePath

Lambda 功能名稱

資源lambdaDetails。functionName

Lambda 函數 ARN

資源lambdaDetails。functionArn

Lambda 函數標籤索引鍵

resource.lambdaDetails.tags.key

Lambda 函數標籤值

resource.lambdaDetails.tags.value

DNS 請求網域

service.actiondnsRequestAction.domainWithSuffix

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。