Unterdrückungsregeln erstellen in GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterdrückungsregeln erstellen in GuardDuty

Eine Unterdrückungsregel besteht aus einer Reihe von Kriterien, zu denen die Verwendung von Filterattributen und die Angabe von Werten gehören, für die Sie keinen Befundtyp generieren GuardDuty möchten. Die Befundtypen, die diesen Kriterien entsprechen, werden automatisch archiviert. Um das Rauschen zu reduzieren, werden die unterdrückten Ergebnisse nicht an ein System gesendet, in das Sie integrieren können. AWS-Services Weitere Hinweise zu häufigen Anwendungsfällen für die Erstellung von Unterdrückungsregeln finden Sie unterUnterdrückungsregeln.

Mithilfe der GuardDuty Konsole können Sie Unterdrückungsregeln visualisieren, erstellen und verwalten. Unterdrückungsregeln werden auf die gleiche Weise wie Filter generiert, und Ihre vorhandenen gespeicherten Filter können als Unterdrückungsregeln verwendet werden. Weitere Informationen zum Erstellen von Filtern finden Sie unter Gefilterte Ergebnisse anzeigen in GuardDuty.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu erstellen.

Console
So erstellen Sie eine Unterdrückungsregel mithilfe der Konsole:
  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie auf der Seite Erkenntnisse die Option „Erkenntnisse unterdrücken“, um das Fenster mit den Unterdrückungsregeln zu öffnen.

  3. Um das Menü mit den Filterkriterien zu öffnen, geben Sie filter criteria in Filterkriterien hinzufügen ein. Sie können ein Kriterium aus der Liste auswählen. Geben Sie einen gültigen Wert für das gewählte Kriterium ein.

    Anmerkung

    Um den gültigen Wert zu ermitteln, sehen Sie sich die Erkenntnistabelle an und wählen Sie eine Erkenntnis aus, die Sie unterdrücken möchten. Sehen Sie sich die Einzelheiten im Ergebnisfenster an.

    Sie können mehrere Filterkriterien hinzufügen und sicherstellen, dass nur die Erkenntnisse in der Tabelle erscheinen, die Sie unterdrücken möchten.

  4. Geben Sie einen Namen und eine Beschreibung für die Unterdrückungsregel ein. Gültige Zeichen sind alphanumerische Zeichen, Punkt (.), Bindestrich (-), Unterstrich (_) und Leerzeichen.

  5. Wählen Sie Save (Speichern) aus.

Sie können auch eine Unterdrückungsregel aus einem vorhandenen gespeicherten Filter erstellen. Weitere Informationen zum Erstellen von Filtern finden Sie unter Gefilterte Ergebnisse anzeigen in GuardDuty.

So erstellen Sie eine Unterdrückungsregel aus einem gespeicherten Filter:
  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie auf der Seite Erkenntnisse die Option Erkenntnisse unterdrücken, um das Fenster mit den Unterdrückungsregeln zu öffnen.

  3. Wählen Sie in der Dropdownliste Gespeicherte Regeln einen gespeicherten Filter aus.

  4. Sie können auch neue Filterkriterien hinzufügen. Wenn Sie keine zusätzlichen Filterkriterien benötigen, überspringen Sie diesen Schritt.

    Um das Menü mit den Filterkriterien zu öffnen, geben Sie filter criteria in Filterkriterien hinzufügen ein. Sie können ein Kriterium aus der Liste auswählen. Geben Sie einen gültigen Wert für das gewählte Kriterium ein.

    Anmerkung

    Um den gültigen Wert zu ermitteln, sehen Sie sich die Erkenntnistabelle an und wählen Sie eine Erkenntnis aus, die Sie unterdrücken möchten. Sehen Sie sich die Einzelheiten im Ergebnisfenster an.

  5. Geben Sie einen Namen und eine Beschreibung für die Unterdrückungsregel ein. Gültige Zeichen sind alphanumerische Zeichen, Punkt (.), Bindestrich (-), Unterstrich (_) und Leerzeichen.

  6. Wählen Sie Save (Speichern) aus.

API/CLI
Um eine Unterdrückungsregel zu erstellen, verwenden SieAPI:
  1. Sie können Unterdrückungsregeln erstellen über CreateFilterAPI. Geben Sie dazu die Filterkriterien in einer JSON Datei an, die dem Format des unten beschriebenen Beispiels folgt. Im folgenden Beispiel werden alle nicht archivierten Ergebnisse mit geringem Schweregrad unterdrückt, für die eine DNS Anfrage an die Domain test.example.com gestellt wurde. Bei Erkenntnissen mit mittlerem Schweregrad ist die Eingabeliste ["4", "5", "7"]. Bei Erkenntnissen mit hohem Schweregrad ist die Eingabeliste ["6", "7", "8"]. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern.

    { "Criterion": { "service.archived": { "Eq": [ "false" ] }, "service.action.dnsRequestAction.domain": { "Eq": [ "test.example.com" ] }, "severity": { "Eq": [ "1", "2", "3" ] } } }

    Eine Liste der JSON Feldnamen und ihrer entsprechenden Konsolennamen finden Sie unter. Filterattribute

    Um Ihre Filterkriterien zu testen, verwenden Sie dasselbe JSON Kriterium in ListFindingsAPI, und vergewissern Sie sich, dass die richtigen Ergebnisse ausgewählt wurden. AWS CLI Folgen Sie dem Beispiel, um Ihre Filterkriterien anhand Ihrer eigenen Datei detectorId und einer.json-Datei zu testen.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie den ListDetectors API.

    aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
  2. Laden Sie Ihren Filter hoch, der als Unterdrückungsregel verwendet werden soll, mit dem CreateFilterAPIoder verwenden Sie das AWS CLI folgende Beispiel mit Ihrer eigenen Melder-ID, einem Namen für die Unterdrückungsregel und einer.json-Datei.

    Die Datei detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie den ListDetectors API.

    aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

Sie können eine Liste Ihrer Filter programmgesteuert mit dem ListFilterAPI. Sie können die Details eines einzelnen Filters anzeigen, indem Sie den Filternamen in die GetFilterAPI. Filter aktualisieren mit UpdateFilteroder lösche sie mit dem DeleteFilter API.