本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當 GuardDuty 偵測到符合安全問題模式的活動時,GuardDuty 會產生問題清單。此調查結果與在此活動期間可能已遭入侵的資源類型相關聯。您可以檢視與 GuardDuty 產生的每個調查結果相關聯的詳細資訊。
如果您使用的是 GuardDuty 管理員帳戶,您可以代表成員帳戶檢視產生的調查結果。不過,成員帳戶可以檢視在自己的帳戶中產生的調查結果。成員帳戶無法檢視為其他成員帳戶產生的調查結果。
在 GuardDuty 主控台中檢視問題清單的步驟
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 -
在左側導覽窗格中,選擇調查結果。
GuardDuty 會以表格格式顯示問題清單。根據預設,此資料表會根據上次看到的資料欄值依遞減順序排序,並在最上方顯示最新的問題清單。
具有 sword 圖示 (
) 的調查結果代表攻擊序列調查結果。 -
若要檢視與調查結果相關聯的詳細資訊,請選取其標題。這會開啟調查結果詳細資訊的側邊面板。對於攻擊序列調查結果,此側面板包含攻擊序列的摘要版本,若要展開此檢視,請選擇檢視詳細資訊。
如需此側邊面板中所列欄位的相關資訊,請參閱 調查結果詳細資訊。
(選用) 以下載問題清單 JSON
-
選取問題清單,然後選擇動作功能表。
-
在動作功能表中,選擇檢視和匯出 JSON。
-
在調查結果 JSON 視窗中,選擇下載。
注意
在某些情況下,GuardDuty 會意識到某些調查結果在產生後是誤報。GuardDuty 會在調查結果的 JSON 中提供可信度欄位,並將其值設定為零。GuardDuty 藉此可以讓您知道您可以安全地忽略此類調查結果。
沒有可信度欄位的調查結果不會被視為誤報。
-
瀏覽問題清單頁面
本節提供有關調查結果頁面上各種元素的重要資訊。這將協助您分析產生的調查結果,以進行威脅分析和回應。
下列清單說明調查結果頁面元素,可協助您更深入了解產生的調查結果:
-
威脅類型:
威脅類型包括個別 GuardDuty 調查結果和攻擊序列調查結果。根據預設,頁面會顯示所有問題清單。
若要篩選問題清單檢視,請在威脅類型功能表中選擇其中一個選項:僅限攻擊序列問題清單或僅限個別問題清單。
-
資源和計數資料欄:
問題清單表中的資源欄會顯示可能遭到入侵 AWS 的資源名稱。對於攻擊序列調查結果,此欄會顯示可能遭到入侵 AWS 的資源數量。若要檢視資源名稱,請選取資源欄下方的數字。
計數欄指出 GuardDuty 觀察特定調查結果的次數。當 GuardDuty 偵測到符合先前識別安全問題的活動時,它會增加該特定調查結果的計數。對於攻擊序列調查結果,此資料欄值表示與調查結果產生相關的訊號和調查結果總數。
-
依資料表資料欄排序問題清單:
如果資料欄標頭旁有箭頭,您可以根據資料欄排序問題清單資料表。選取資料欄標頭,以遞增或遞減該資料欄中值的順序排序問題清單。
-
篩選問題清單:
根據特定屬性,例如
Account ID和Resource type,您可以進一步篩選問題清單資料表。如需您可以使用之篩選條件類型的相關資訊,請參閱 篩選 GuardDuty 調查結果。 -
狀態和已儲存規則:
狀態功能表包含兩個值 – 目前值和已封存值。預設檢視是資料表中的目前問題清單。
當您不再希望 GuardDuty 產生符合特定條件的調查結果時,您可以隱藏該調查結果。GuardDuty 會封存該調查結果。當 GuardDuty 再次偵測到此調查結果時,您不會收到此觀察的通知。若要特別檢視封存的問題清單,請在狀態功能表中,選擇封存。
已儲存的規則是一項功能,可協助您自動篩選符合指定條件的問題清單,並對其採取動作。動作可能包括封存問題清單或禁止日後通知。
如需詳細資訊,請參閱隱藏規則。
