GuardDuty Beispiele mit AWS CLI - AWS Command Line Interface

Diese Dokumentation bezieht sich AWS CLI nur auf Version 1 von. Dokumentation zu Version 2 von finden Sie im Benutzerhandbuch für Version 2. AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Beispiele mit AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface with Aktionen ausführen und allgemeine Szenarien implementieren GuardDuty.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Servicefunktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien und serviceübergreifenden Beispiele sehen.

Szenarien sind Codebeispiele, die Ihnen zeigen, wie Sie eine bestimmte Aufgabe ausführen können, indem Sie mehrere Funktionen innerhalb desselben Services aufrufen.

Jedes Beispiel enthält einen Link zu GitHub, wo Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungaccept-invitation.

AWS CLI

Um eine Einladung anzunehmen, ein GuardDuty Mitgliedskonto in der aktuellen Region zu werden

Das folgende accept-invitation Beispiel zeigt, wie Sie eine Einladung annehmen, ein GuardDuty Mitgliedskonto in der aktuellen Region zu werden.

aws guardduty accept-invitation \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --master-id 123456789111 \ --invitation-id d6b94fb03a66ff665f7db8764example

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter GuardDuty Konten auf Einladung verwalten.

  • Einzelheiten zur API finden Sie AcceptInvitationin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungarchive-findings.

AWS CLI

Um Ergebnisse in der aktuellen Region zu archivieren

Dieses Beispiel zeigt, wie Ergebnisse in der aktuellen Region archiviert werden.

aws guardduty archive-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter GuardDuty Konten auf Einladung verwalten.

  • Einzelheiten zur API finden Sie ArchiveFindingsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-detector.

AWS CLI

Um es GuardDuty in der aktuellen Region zu aktivieren

Dieses Beispiel zeigt, wie ein neuer Detektor, der aktiviert wird GuardDuty, in der aktuellen Region erstellt wird. :

aws guardduty create-detector \ --enable

Ausgabe:

{ "DetectorId": "b6b992d6d2f48e64bc59180bfexample" }

Weitere Informationen finden Sie GuardDuty im GuardDuty Benutzerhandbuch unter Amazon aktivieren.

  • Einzelheiten zur API finden Sie CreateDetectorin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-filter.

AWS CLI

Um einen neuen Filter für die aktuelle Region zu erstellen

In diesem Beispiel wird ein Filter erstellt, der allen Portscan-Ergebnissen entspricht, die beispielsweise aus einem bestimmten Bild erstellt wurden. :

aws guardduty create-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --action ARCHIVE \ --name myFilter \ --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

Ausgabe:

{ "Name": "myFilter" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Filtern von Ergebnissen.

  • Einzelheiten zur API finden Sie CreateFilterin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-ip-set.

AWS CLI

Um einen vertrauenswürdigen IP-Satz zu erstellen

Im folgenden create-ip-set Beispiel wird ein vertrauenswürdiger IP-Satz in der aktuellen Region erstellt und aktiviert.

aws guardduty create-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --name new-ip-set \ --format TXT --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv --activate

Ausgabe:

{ "IpSetId": "d4b94fc952d6912b8f3060768example" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Arbeiten mit Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten.

  • Einzelheiten zur API finden Sie CreateIpSetunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-members.

AWS CLI

Um ein neues Mitglied mit Ihrem GuardDuty Hauptkonto in der aktuellen Region zu verknüpfen.

Dieses Beispiel zeigt, wie Mitgliedskonten so verknüpft werden, dass sie vom Girokonto als GuardDuty Hauptkonto verwaltet werden.

aws guardduty create-members --detector-id b6b992d6d2f48e64bc59180bfexample \ --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

Ausgabe:

{ "UnprocessedAccounts": [] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Mehrere Konten verwalten.

  • Einzelheiten zur API finden Sie CreateMembersin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-publishing-destination.

AWS CLI

Um ein Veröffentlichungsziel zu erstellen, in das GuardDuty Ergebnisse in der aktuellen Region exportiert werden sollen.

Dieses Beispiel zeigt, wie ein Veröffentlichungsziel für GuardDuty Ergebnisse erstellt wird.

aws guardduty create-publishing-destination \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --destination-type S3 \ --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

Ausgabe:

{ "DestinationId": "46b99823849e1bbc242dfbe3cexample" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Ergebnisse exportieren.

Das folgende Codebeispiel zeigt die Verwendungcreate-sample-findings.

AWS CLI

Um GuardDuty Beispielergebnisse in der aktuellen Region zu erstellen.

Dieses Beispiel zeigt, wie ein Stichprobenergebnis der angegebenen Typen erstellt wird.

aws guardduty create-sample-findings \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Beispielergebnisse im GuardDuty Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-threat-intel-set.

AWS CLI

Um einen neuen Bedrohungsinformationssatz in der aktuellen Region zu erstellen.

Dieses Beispiel zeigt, wie ein Bedrohungsinformations-Set hochgeladen GuardDuty und sofort aktiviert wird.

aws guardduty create-threat-intel-set \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --name myThreatSet \ --format TXT \ --location s3://EXAMPLEBUCKET/threatlist.csv \ --activate

Ausgabe:

{ "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Vertrauenswürdige IP-Adressen und Bedrohungslisten.

Das folgende Codebeispiel zeigt die Verwendungdecline-invitations.

AWS CLI

Um eine Einladung abzulehnen, Guardduty von einem anderen Konto in der aktuellen Region verwalten zu lassen.

Dieses Beispiel zeigt, wie Sie eine Einladung zur Mitgliedschaft ablehnen können.

aws guardduty decline-invitations \ --account-ids 111122223333

Ausgabe:

{ "UnprocessedAccounts": [] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter GuardDuty Konten auf Einladung verwalten.

Das folgende Codebeispiel zeigt die Verwendungdelete-detector.

AWS CLI

Um einen Detektor in der aktuellen Region zu löschen und zu deaktivieren GuardDuty.

Dieses Beispiel zeigt, wie ein Detektor gelöscht wird. Wenn dies erfolgreich ist, wird dies GuardDuty in der Region deaktiviert, die diesem Detektor zugeordnet ist.

aws guardduty delete-detector \ --detector-id b6b992d6d2f48e64bc59180bfexample

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie GuardDuty im GuardDuty Benutzerhandbuch unter Sperren oder Deaktivieren.

  • Einzelheiten zur API finden Sie DeleteDetectorin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-filter.

AWS CLI

Um einen vorhandenen Filter in der aktuellen Region zu löschen

Dieses Beispiel zeigt, wie ein Filter erstellt und gelöscht wird.

aws guardduty delete-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --filter-name byebyeFilter

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Filtern von Ergebnissen.

  • Einzelheiten zur API finden Sie DeleteFilterin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdisable-organization-admin-account.

AWS CLI

Um ein Konto als delegierter Administrator für Ihre GuardDuty Organisation zu entfernen

Dieses Beispiel zeigt, wie Sie ein Konto als delegierter Administrator für entfernen. GuardDuty

aws guardduty disable-organization-admin-account \ --admin-account-id 111122223333

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Konten bei AWS Organisationen verwalten.

Das folgende Codebeispiel zeigt die Verwendungdisassociate-from-master-account.

AWS CLI

Um die Verbindung zu Ihrem aktuellen Hauptkonto in der aktuellen Region zu trennen

Im folgenden disassociate-from-master-account Beispiel wird Ihr Konto vom aktuellen GuardDuty Hauptkonto in der aktuellen AWS Region getrennt.

aws guardduty disassociate-from-master-account \ --detector-id d4b040365221be2b54a6264dcexample

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Grundlegendes zur Beziehung zwischen GuardDuty Master- und Mitgliedskonten.

Das folgende Codebeispiel zeigt die Verwendungget-detector.

AWS CLI

Um Details zu einem bestimmten Detektor abzurufen

Im folgenden get-detector Beispiel werden die Konfigurationsdetails des angegebenen Detektors angezeigt.

aws guardduty get-detector \ --detector-id 12abc34d567e8fa901bc2d34eexample

Ausgabe:

{ "Status": "ENABLED", "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Tags": {}, "FindingPublishingFrequency": "SIX_HOURS", "UpdatedAt": "2018-11-07T03:24:22.938Z", "CreatedAt": "2017-12-22T22:51:31.940Z" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Konzepte und Terminologie.

  • Einzelheiten zur API finden Sie GetDetectorin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-findings.

AWS CLI

Beispiel 1: Um die Details eines bestimmten Ergebnisses abzurufen

Im folgenden get-findings Beispiel werden die vollständigen JSON-Suchdetails des angegebenen Ergebnisses abgerufen.

aws guardduty get-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-id 1ab92989eaf0e742df4a014d5example

Ausgabe:

{ "Findings": [ { "Resource": { "ResourceType": "AccessKey", "AccessKeyDetails": { "UserName": "testuser", "UserType": "IAMUser", "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE", "AccessKeyId": "ASIASZ4SI7REEEXAMPLE" } }, "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.", "Service": { "Count": 5, "Archived": false, "ServiceName": "guardduty", "EventFirstSeen": "2020-05-26T22:02:24Z", "ResourceRole": "TARGET", "EventLastSeen": "2020-05-26T22:33:55Z", "DetectorId": "d4b040365221be2b54a6264dcexample", "Action": { "ActionType": "AWS_API_CALL", "AwsApiCallAction": { "RemoteIpDetails": { "GeoLocation": { "Lat": 51.5164, "Lon": -0.093 }, "City": { "CityName": "London" }, "IpAddressV4": "52.94.36.7", "Organization": { "Org": "Amazon.com", "Isp": "Amazon.com", "Asn": "16509", "AsnOrg": "AMAZON-02" }, "Country": { "CountryName": "United Kingdom" } }, "Api": "ListPolicyVersions", "ServiceName": "iam.amazonaws.com", "CallerType": "Remote IP" } } }, "Title": "Unusual user permission reconnaissance activity by testuser.", "Type": "Recon:IAMUser/UserPermissions", "Region": "us-east-1", "Partition": "aws", "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example", "UpdatedAt": "2020-05-26T22:55:21.703Z", "SchemaVersion": "2.0", "Severity": 5, "Id": "1ab92989eaf0e742df4a014d5example", "CreatedAt": "2020-05-26T22:21:48.385Z", "AccountId": "111122223333" } ] }

Weitere Informationen finden Sie unter Ergebnisse im GuardDuty Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetFindingsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-ip-set.

AWS CLI

Um die Liste aufzulisten, rufen Sie Details zu einem bestimmten vertrauenswürdigen IP-Satz ab

Das folgende get-ip-set Beispiel zeigt den Status und die Details des angegebenen vertrauenswürdigen IP-Sets.

aws guardduty get-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example

Ausgabe:

{ "Status": "ACTIVE", "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv", "Tags": {}, "Format": "TXT", "Name": "test-ip-set" }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Arbeiten mit Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten.

  • Einzelheiten zur API finden Sie GetIpSetunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-master-account.

AWS CLI

Um Details zu Ihrem Hauptkonto in der aktuellen Region abzurufen

Im folgenden get-master-account Beispiel werden der Status und die Details des Hauptkontos angezeigt, das Ihrem Melder in der aktuellen Region zugeordnet ist.

aws guardduty get-master-account \ --detector-id 12abc34d567e8fa901bc2d34eexample

Ausgabe:

{ "Master": { "InvitationId": "04b94d9704854a73f94e061e8example", "InvitedAt": "2020-06-09T22:23:04.970Z", "RelationshipStatus": "Enabled", "AccountId": "123456789111" } }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Grundlegendes zur Beziehung zwischen GuardDuty Master- und Mitgliedskonten.

  • Einzelheiten zur API finden Sie GetMasterAccountunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-detectors.

AWS CLI

Um die verfügbaren Melder in der aktuellen Region aufzulisten

Das folgende list-detectors Beispiel listet die verfügbaren Melder in Ihrer aktuellen AWS Region auf.

aws guardduty list-detectors

Ausgabe:

{ "DetectorIds": [ "12abc34d567e8fa901bc2d34eexample" ] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Konzepte und Terminologie.

  • Einzelheiten zur API finden Sie ListDetectorsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-findings.

AWS CLI

Beispiel 1: Um alle Ergebnisse für die aktuelle Region aufzulisten

Im folgenden list-findings Beispiel wird eine Liste aller FindingIDs für die aktuelle Region angezeigt, sortiert nach Schweregrad vom höchsten zum niedrigsten.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

Ausgabe:

{ "FindingIds": [ "04b8ab50fd29c64fc771b232dexample", "5ab8ab50fd21373735c826d3aexample", "90b93de7aba69107f05bbe60bexample", ... ] }

Weitere Informationen finden Sie unter Ergebnisse im GuardDuty Benutzerhandbuch.

Beispiel 2: Um Ergebnisse für die aktuelle Region aufzulisten, die bestimmten Suchkriterien entsprechen

Im folgenden list-findings Beispiel wird eine Liste aller FindingIDs angezeigt, die einem bestimmten Suchtyp entsprechen.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

Ausgabe:

{ "FindingIds": [ "90b93de7aba69107f05bbe60bexample", "6eb9430d7023d30774d6f05e3example", "2eb91a2d060ac9a21963a5848example", "44b8ab50fd2b0039a9e48f570example", "9eb8ab4cd2b7e5b66ba4f5e96example", "e0b8ab3a38e9b0312cc390ceeexample" ] }

Weitere Informationen finden Sie unter Ergebnisse im GuardDuty Benutzerhandbuch.

Beispiel 3: Um Ergebnisse für die aktuelle Region aufzulisten, die einem bestimmten Satz von in einer JSON-Datei definierten Suchkriterien entsprechen

Im folgenden list-findings Beispiel wird eine Liste aller FindingIDs angezeigt, die nicht archiviert wurden und an denen der IAM-Benutzer mit dem Namen „testuser“ beteiligt ist, wie in einer JSON-Datei angegeben.

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria file://myfile.json

Inhalt von myfile.json:

{"Criterion": { "resource.accessKeyDetails.userName":{ "Eq":[ "testuser" ] }, "service.archived": { "Eq": [ "false" ] } } }

Ausgabe:

{ "FindingIds": [ "1ab92989eaf0e742df4a014d5example" ] }

Weitere Informationen finden Sie unter Ergebnisse im Benutzerhandbuch. GuardDuty

  • Einzelheiten zur API finden Sie ListFindingsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-invitations.

AWS CLI

Um Details zu Ihren Einladungen aufzulisten, ein Mitgliedskonto in der aktuellen Region zu werden

Im folgenden list-invitations Beispiel werden Details und Status Ihrer Einladungen zur Registrierung als GuardDuty Mitgliedskonto in der aktuellen Region aufgeführt.

aws guardduty list-invitations

Ausgabe:

{ "Invitations": [ { "InvitationId": "d6b94fb03a66ff665f7db8764example", "InvitedAt": "2020-06-10T17:56:38.221Z", "RelationshipStatus": "Invited", "AccountId": "123456789111" } ] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter GuardDuty Konten auf Einladung verwalten.

  • Einzelheiten zur API finden Sie ListInvitationsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-ip-sets.

AWS CLI

Um vertrauenswürdige IP-Sets in der aktuellen Region aufzulisten

Das folgende list-ip-sets Beispiel listet die vertrauenswürdigen IP-Sets in Ihrer aktuellen AWS Region auf.

aws guardduty list-ip-sets \ --detector-id 12abc34d567e8fa901bc2d34eexample

Ausgabe:

{ "IpSetIds": [ "d4b94fc952d6912b8f3060768example" ] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Arbeiten mit Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten.

  • Einzelheiten zur API finden Sie ListIpSetsunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-members.

AWS CLI

Um alle Mitglieder in der aktuellen Region aufzulisten

Das folgende list-members Beispiel listet alle Mitgliedskonten und ihre Details für die aktuelle Region auf.

aws guardduty list-members \ --detector-id 12abc34d567e8fa901bc2d34eexample

Ausgabe:

{ "Members": [ { "RelationshipStatus": "Enabled", "InvitedAt": "2020-06-09T22:49:00.910Z", "MasterId": "123456789111", "DetectorId": "7ab8b2f61b256c87f793f6a86example", "UpdatedAt": "2020-06-09T23:08:22.512Z", "Email": "your+member@example.com", "AccountId": "123456789222" } ] }

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Grundlegendes zur Beziehung zwischen GuardDuty Master- und Mitgliedskonten.

  • Einzelheiten zur API finden Sie ListMembersunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-ip-set.

AWS CLI

Um einen vertrauenswürdigen IP-Satz zu aktualisieren

Das folgende update-ip-set Beispiel zeigt, wie die Details eines vertrauenswürdigen IP-Sets aktualisiert werden.

aws guardduty update-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example \ --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im GuardDuty Benutzerhandbuch unter Arbeiten mit Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten.

  • Einzelheiten zur API finden Sie UpdateIpSetunter AWS CLI Befehlsreferenz.