Häufige Anwendungsfälle für Unterdrückungsregeln und Beispiele Regeln zur Unterdrückung erstellen Löschen von Unterdrückungsregeln

Unterdrückungsregeln

Eine Unterdrückungsregel ist eine Reihe von Kriterien, die zum Filtern von Erkenntnissen verwendet werden, indem neue Erkenntnisse, die den angegebenen Kriterien entsprechen, automatisch archiviert werden. Unterdrückungsregeln können verwendet werden, um Ergebnisse mit niedrigem Wert, falsch positive Ergebnisse oder Bedrohungen zu filtern, auf die Sie nicht reagieren möchten, sodass die Sicherheitsbedrohungen mit den meisten Auswirkungen auf Ihre Umgebung leichter zu erkennen sind.

Nachdem Sie eine Unterdrückungsregel erstellt haben, werden neue Ergebnisse, die den in der Regel definierten Kriterien entsprechen, automatisch archiviert, solange die Unterdrückungsregel gültig ist. Sie können einen vorhandenen Filter verwenden, um eine Unterdrückungsregel zu erstellen, oder einen neuen Filter für die Unterdrückungsregel definieren, während Sie sie erstellen. Sie können Unterdrückungsregeln so konfigurieren, dass ganze Ergebnistypen unterdrückt werden, oder detailliertere Filterkriterien definieren, damit nur bestimmte Instances eines bestimmten Ergebnistyps unterdrückt werden. Sie können die Unterdrückungsregeln jederzeit bearbeiten.

Unterdrückte Ergebnisse werden nicht an AWS Security Hub Amazon Simple Storage Service, Amazon Detective oder Amazon gesendet, wodurch der Geräuschpegel reduziert wird EventBridge, wenn Sie GuardDuty Ergebnisse über Security Hub, SIEM eines Drittanbieters oder andere Alarm- und Ticketing-Anwendungen nutzen. Wenn Sie diese Option aktiviert habenGuardDuty Malware-Schutz für EC2, lösen die unterdrückten GuardDuty Ergebnisse keinen Malware-Scan aus.

GuardDuty generiert weiterhin Ergebnisse, auch wenn sie Ihren Unterdrückungsregeln entsprechen. Diese Ergebnisse werden jedoch automatisch als archiviert markiert. Das archivierte Ergebnis wird 90 Tage lang gespeichert und kann in GuardDuty diesem Zeitraum jederzeit eingesehen werden. Sie können unterdrückte Ergebnisse in der GuardDuty Konsole anzeigen, indem Sie in der Tabelle mit den Ergebnissen die Option Archiviert auswählen, oder Sie können die GuardDuty API über die ListFindingsAPI aufrufen, wobei das findingCriteria Kriterium „wahr“ service.archived lautet.

Anmerkung

In einer Umgebung mit mehreren Konten kann nur der GuardDuty Administrator Unterdrückungsregeln erstellen.

Häufige Anwendungsfälle für Unterdrückungsregeln und Beispiele

Die folgenden Findetypen werden häufig für die Anwendung von Unterdrückungsregeln verwendet. Wählen Sie den Namen des Befundes aus, um mehr über dieses Ergebnis zu erfahren. Lesen Sie die Beschreibung des Anwendungsfalls, um zu entscheiden, ob Sie eine Unterdrückungsregel für diesen Befundtyp erstellen möchten.

Wichtig

GuardDuty empfiehlt, dass Sie Unterdrückungsregeln reaktiv und nur für Ergebnisse erstellen, für die Sie in Ihrer Umgebung wiederholt falsch positive Ergebnisse festgestellt haben.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS – Verwenden Sie eine Unterdrückungsregel, die automatisch Erkenntnisse archiviert, die generiert werden, falls das VPC-Netzwerk so konfiguriert ist, dass der Internet-Datenverkehr über ein On-Premises-Gateway anstelle eines VPC-Internet-Gateways weitergeleitet wird.

Diese Erkenntnis wird generiert, wenn das Netzwerk so konfiguriert ist, dass der Internetverkehr von einem On-Premises-Gateway und nicht von einem VPC Internet Gateway (IGW) ausgeht. Geläufige Konfigurationen, z. B. die Verwendung von AWS Outposts, oder VPC-VPN-Verbindungen, können dazu führen, dass Datenverkehr auf diese Weise weitergeleitet wird. Wenn dieses Verhalten zu erwarten ist, empfiehlt es sich, Unterdrückungsregeln zu verwenden und eine Regel zu erstellen, die aus zwei Filterkriterien besteht. Das erste Kriterium ist der Ergebnistyp, der UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS sein sollte. Das zweite Filterkriterium ist die IPv4-Adresse des API-Aufrufers mit der IP-Adresse oder dem CIDR-Bereich Ihres On-Premises-Internet-Gateways. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage der IP-Adresse des API-Aufrufers zu unterdrücken.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
Anmerkung
Um mehrere API-Aufrufer-IPs einzubeziehen, können Sie für jede IPv4-Adressfilter für API-Anrufer einen neuen API-Anrufer-IPv4-Adressfilter hinzufügen.
Recon:EC2/Portscan – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse automatisch zu aktivieren, wenn Sie eine Anwendung für Schwachstellenanalysen verwenden.

Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/Portscan verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten AMI zu unterdrücken.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse, die sich auf Bastion-Instances beziehen, automatisch zu archivieren.

Wenn das Ziel des Brute-Force-Versuchs ein Bastion-Host ist, kann dies ein erwartetes Verhalten für Ihre AWS Umgebung darstellen. In diesem Fall sollten Sie für dieses Ergebnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/SSHBruteForce verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten Instance-Tag-Wert zu unterdrücken.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort – Verwenden Sie eine Unterdrückungsregel, um Erkenntnisse automatisch zu archivieren, wenn sie auf absichtlich exponierte Instances ausgerichtet ist.

In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Web-Server hosten. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/PortProbeUnprotectedPort verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Das folgende Beispiel stellt den Filter dar, den Sie verwenden würden, um diesen Erkenntnistyp auf der Grundlage von Instances mit einem bestimmten Instance-Tag-Schlüssel in der Konsole zu unterdrücken.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

Empfohlene Unterdrückungsregeln für Ergebnisse von Runtime Monitoring

PrivilegeEscalation:Runtime/DockerSocketAccessed wird generiert, wenn ein Prozess in einem Container mit dem Docker-Socket kommuniziert. Möglicherweise gibt es Container in Ihrer Umgebung, die aus legitimen Gründen auf den Docker-Socket zugreifen müssen. Der Zugriff von solchen Containern generiert PrivilegeEscalation:Runtime/DockerSocketAccessed-Erkenntnisse. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für diesen Befundtyp einzurichten. Das erste Kriterium sollte das Attribut Erkenntnistyp mit dem Wert PrivilegeEscalation:Runtime/DockerSocketAccessed verwenden. Das zweite Filterkriterium ist das Feld Ausführbarer Pfad mit einem Wert, der dem Wert des Prozesses executablePath in der generierten Erkenntnis entspricht. Alternativ kann das zweite Filterkriterium das Feld Ausführbare SHA-256 verwenden, dessen Wert dem executableSha256 des Prozesses in der generierten Erkenntnis entspricht.
Kubernetes-Cluster führen ihre eigenen DNS-Server als Pods aus, z. B. coredns. Daher werden bei jeder DNS-Suche in einem Pod zwei DNS-Ereignisse GuardDuty erfasst — eines vom Pod und das andere vom Server-Pod. Dadurch können Duplikate für die folgenden DNS-Erkenntnisse generiert werden:
Die doppelten Erkenntnisse umfassen Pod-, Container- und Prozessdetails, die Ihrem DNS-Server-Pod entsprechen. Sie können mithilfe dieser Felder eine Unterdrückungsregel einrichten, um diese doppelten Erkenntnisse zu unterdrücken. Die ersten Filterkriterien sollten das Feld Erkenntnistyp verwenden, dessen Wert einem DNS-Erkenntnistyp aus der Liste der Erkenntnisse entspricht, die weiter oben in diesem Abschnitt bereitgestellt wurde. Das zweite Filterkriterium könnte entweder ausführbarer Pfad mit einem Wert sein, der dem Wert Ihres DNS-Servers entspricht, executablePath oder Ausführbare SHA-256 mit einem Wert, der dem Wert Ihres DNS-Servers executableSHA256 in der generierten Erkenntnis entspricht. Als optionales drittes Filterkriterium können Sie das Feld Kubernetes-Container-Image verwenden, dessen Wert dem Container-Image Ihres DNS-Server-Pods in der generierten Erkenntnis entspricht.

Regeln zur Unterdrückung erstellen

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu erstellen.

Console

Sie können Unterdrückungsregeln mithilfe der GuardDuty Konsole visualisieren, erstellen und verwalten. Unterdrückungsregeln werden auf die gleiche Weise wie Filter generiert, und Ihre vorhandenen gespeicherten Filter können als Unterdrückungsregeln verwendet werden. Weitere Informationen zum Erstellen von Filtern finden Sie unter Filtern von Ergebnissen.

So erstellen Sie eine Unterdrückungsregel mithilfe der Konsole:

Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
Wählen Sie auf der Seite Erkenntnisse die Option „Erkenntnisse unterdrücken“, um das Fenster mit den Unterdrückungsregeln zu öffnen.
Um das Menü mit den Filterkriterien zu öffnen, geben Sie filter criteria in Filterkriterien hinzufügen ein. Sie können ein Kriterium aus der Liste auswählen. Geben Sie einen gültigen Wert für das gewählte Kriterium ein.

Anmerkung
Um den gültigen Wert zu ermitteln, sehen Sie sich die Erkenntnistabelle an und wählen Sie eine Erkenntnis aus, die Sie unterdrücken möchten. Sehen Sie sich die Einzelheiten im Ergebnisfenster an.

Sie können mehrere Filterkriterien hinzufügen und sicherstellen, dass nur die Erkenntnisse in der Tabelle erscheinen, die Sie unterdrücken möchten.
Geben Sie einen Namen und eine Beschreibung für die Unterdrückungsregel ein. Gültige Zeichen sind alphanumerische Zeichen, Punkt (.), Bindestrich (-), Unterstrich (_) und Leerzeichen.
Wählen Sie Speichern.

Sie können auch eine Unterdrückungsregel aus einem vorhandenen gespeicherten Filter erstellen. Weitere Informationen zum Erstellen von Filtern finden Sie unter Filtern von Ergebnissen.

So erstellen Sie eine Unterdrückungsregel aus einem gespeicherten Filter:

Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
Wählen Sie auf der Seite Erkenntnisse die Option Erkenntnisse unterdrücken, um das Fenster mit den Unterdrückungsregeln zu öffnen.
Wählen Sie in der Dropdownliste Gespeicherte Regeln einen gespeicherten Filter aus.
Sie können auch neue Filterkriterien hinzufügen. Wenn Sie keine zusätzlichen Filterkriterien benötigen, überspringen Sie diesen Schritt.

Um das Menü mit den Filterkriterien zu öffnen, geben Sie filter criteria in Filterkriterien hinzufügen ein. Sie können ein Kriterium aus der Liste auswählen. Geben Sie einen gültigen Wert für das gewählte Kriterium ein.

Anmerkung
Um den gültigen Wert zu ermitteln, sehen Sie sich die Erkenntnistabelle an und wählen Sie eine Erkenntnis aus, die Sie unterdrücken möchten. Sehen Sie sich die Einzelheiten im Ergebnisfenster an.
Geben Sie einen Namen und eine Beschreibung für die Unterdrückungsregel ein. Gültige Zeichen sind alphanumerische Zeichen, Punkt (.), Bindestrich (-), Unterstrich (_) und Leerzeichen.
Wählen Sie Speichern.

API/CLI

So erstellen Sie eine Unterdrückungsregel mithilfe der API:

Sie können Unterdrückungsregeln auch über die CreateFilter-API erstellen. Geben Sie dazu die Filterkriterien in einer JSON-Datei an und folgen Sie dabei dem Format des unten beschriebenen Beispiels. Im folgenden Beispiel werden alle nicht archivierten Erkenntnisse mit niedrigem Schweregrad unterdrückt, die eine DNS-Anfrage an die Domain test.example.com enthalten. Bei Erkenntnissen mit mittlerem Schweregrad ist die Eingabeliste ["4", "5", "7"]. Bei Erkenntnissen mit hohem Schweregrad ist die Eingabeliste ["6", "7", "8"]. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern.
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
Eine Liste der JSON-Feldnamen und deren Konsolenäquivalent finden Sie unter Filterattribute.

Verwenden Sie zum Testen Ihrer Filterkriterien dasselbe JSON-Kriterium in der ListFindings-API und vergewissern Sie sich, dass die richtigen Erkenntnisse ausgewählt wurden. Um Ihre Filterkriterien zu testen, AWS CLI folgen Sie dem Beispiel mit Ihrer eigenen detectorId- und .json-Datei.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die API aus ListDetectors
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
Laden Sie Ihren Filter, der als Unterdrückungsregel verwendet werden soll, mit der CreateFilter-API oder über die AWS -CLI hoch, indem Sie dem unten stehenden Beispiel folgen und Ihre eigene Detektor-ID, einen Namen für die Unterdrückungsregel und eine JSON-Datei angeben.

Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

Mit der ListFilter-API können Sie sich programmgesteuert eine Liste Ihrer Filter anzeigen lassen. Sie können die Details eines einzelnen Filters anzeigen, indem Sie der GetFilter-API den Filternamen zur Verfügung stellen. Aktualisieren Sie Filter mithilfe von UpdateFilter oder löschen Sie sie mit der DeleteFilter-API.

Löschen von Unterdrückungsregeln

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu löschen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Filtern von Ergebnissen

Vertrauenswürdige IP- und Bedrohungslisten