Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Filtern von Ergebnissen
Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole oder mit der CreateFilterAPI mithilfe von JSON erstellen. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln.
Filter in der GuardDuty Konsole erstellen
Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.
Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:
-
Filter akzeptieren keine Platzhalter.
-
Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.
-
Wenn Sie die Bedingung gleich zu oder ungleich zu verwenden, um nach einem Attributwert wie z. B. der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.
-
Jedes Filterkriterienattribut wird als
AND
-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden alsAND/OR
ausgewertet.
So filtern Sie Ergebnisse (Konsole)
-
Wählen Sie oberhalb der angezeigten Ergebnisliste die Option Filterkriterien hinzufügen GuardDuty aus.
-
Wählen Sie in der erweiterten Liste der Attribute die Attribute aus, die Sie als Kriterien für Ihren Filter angeben möchten, wie z. B. Konto-ID oder Aktionstyp.
Anmerkung
Eine Liste der Attribute, die Sie als Filterkriterien angeben können, finden Sie in der Tabelle der Filterkriterien auf dieser Seite.
-
Geben Sie im angezeigten Textfeld für jedes ausgewählte Attribut einen Wert ein und wählen Sie dann Anwenden.
Anmerkung
Nachdem Sie einen Filter angewendet haben, können Sie ihn so konvertieren, dass er Erkenntnisse ausschließt, die mit dem Filter übereinstimmen, indem Sie den schwarzen Punkt links neben dem Filternamen auswählen. Dadurch wird für das ausgewählte Attribut eigentlich der Filter "ungleich" erstellt.
-
Um die angegebenen Attribute und deren Werte (Filterkriterien) als Filter zu speichern, wählen Sie Save (Speichern). Geben Sie den Filternamen und die Filterbeschreibung ein und wählen Sie dann Fertig aus.
Filterattribute
Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.
Konsolen-Feldname |
JSON-Feldname |
---|---|
Konto-ID |
accountId |
Die ID des Ergebnisses |
id |
Region |
Region |
Schweregrad |
severity Sie können die Befundtypen nach dem Schweregrad der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter GuardDuty Schweregrade der Ergebnisse. Wenn Sie |
Ergebnistyp |
Typ |
Aktualisiert um |
updatedAt |
Access Key ID |
Ressource. accessKeyDetails. accessKeyId |
Haupt-ID |
Ressource. accessKeyDetails. principalId |
Username |
Ressource. accessKeyDetails. userName |
Benutzertyp |
Ressource. accessKeyDetails. Benutzertyp |
ID des IAM-Instance-Profils |
Ressource.Instanzdetails. iamInstanceProfile.id |
Instance-ID |
resource.instanceDetails.instanceId |
ID des Instance-Image |
resource.instanceDetails.imageId |
Instance-Tag-Schlüssel |
resource.instanceDetails.tags.key |
Instance-Tag-Wert |
resource.instanceDetails.tags.value |
IPv6-Adresse |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
Private IPv4-Adresse |
Ressource.Instanzdetails.Netzwerkschnittstellen. privateIpAddresses. privateIpAddress |
Öffentlicher DNS-Name |
Resource.InstanceDetails.Netzwerkschnittstellen. publicDnsName |
Öffentliche IP |
resource.instanceDetails.networkInterfaces.publicIp |
Sicherheitsgruppen-ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
Name der Sicherheitsgruppe |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
Subnetz-ID |
resource.instanceDetails.networkInterfaces.subnetId |
VPC-ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost-ARN |
resource.instanceDetails.outpostARN |
Ressourcentyp |
resource.resourceType |
Bucket-Berechtigungen |
resource.s3 .publicAccess.EffectivePermission BucketDetails |
Bucket-Name |
resource.s3 BucketDetails .name |
Bucket-Tag-Schlüssel |
resource.s3 BucketDetails .tags.key |
Bucket-Tag-Wert |
resource.s3 BucketDetails .tags.value |
Bucket-Typ |
resource.s3 BucketDetails .type |
Aktionstyp |
service.action.actionType |
Aufgerufene API |
dienste.aktion. awsApiCallAktion.API |
API-Aufrufertyp |
Service.Aktion. awsApiCallAktion.Anrufertyp |
API-Fehlercode |
dienst.aktion. awsApiCallAktion.Fehlercode |
Stadt des API-Aufrufers |
Service.Aktion. awsApiCallAktion. remoteIpDetails.Stadt.Stadtname |
Land des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteIpDetails. Land.Ländername |
IPv4-Adresse des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteIpDetails.IP-Adresse v4 |
IPv6-Adresse des API-Aufrufers |
service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse V6 |
ASN-ID des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteIpDetails.organization.asn |
ASN-Name des API-Aufrufers |
dienste.aktion. awsApiCallAktion. remoteIpDetails. Organisation. ASNORG |
Servicename des API-Aufrufers |
Service.Aktion. awsApiCallAktion.Dienstname |
DNS-Anforderungs-Domain |
dienst.aktion. dnsRequestAction.domäne |
Domainsuffix der DNS-Anforderung |
service.action. dnsRequestAction. domainWithSuffix |
Netzwerkverbindung blockiert |
Service.Aktion. networkConnectionAction. blockiert |
Netzwerkverbindungsrichtung |
Service.Aktion. networkConnectionAction. Verbindungsrichtung |
Netzwerkverbindung lokaler Port |
dienst.aktion. networkConnectionAction. localPortDetails. Hafen |
Netzwerkverbindungsprotokoll |
Service.Aktion. networkConnectionAction. Protokoll |
Netzwerkverbindung Stadt |
Service.Aktion. networkConnectionAction. remoteIpDetails.Stadt.Stadtname |
Netzwerkverbindung Land |
dienst.aktion. networkConnectionAction. remoteIpDetails. Land.Landesname |
Remote-IPv4-Adresse der Netzwerkverbindung |
dienst.aktion. networkConnectionAction. remoteIpDetails. IP-Adresse v4 |
Netzwerkverbindung, Remote-IPv6-Adresse |
service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v6 |
Remote IP ASN-ID der Netzwerkverbindung |
dienst.aktion. networkConnectionAction. remoteIpDetails.organisation.asn |
Remote IP ASN-Name der Netzwerkverbindung |
dienste.aktion. networkConnectionAction. remoteIpDetails. Organisation. ASNORG |
Remote-Port der Netzwerkverbindung |
Service.Aktion. networkConnectionAction. remotePortDetails. Hafen |
Remote-Konto zugeordnet |
Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert |
IPv4-Adresse des Kubernetes-API-Aufrufers |
Service. Aktion. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse v4 |
IPv6-Adresse des Kubernetes-API-Aufrufers |
service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse V6 |
Kubernetes-Namespace |
dienst.aktion. kubernetesApiCallAktion.Namespace |
ASN-ID des Kubernetes-API-Aufrufers |
dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn |
URI für die Kubernetes-API-Aufrufanforderung |
dienste.aktion. kubernetesApiCallAktion.Anforderungs-URI |
Kubernetes-API-Statuscode |
dienst.aktion. kubernetesApiCallAktion.Statuscode |
Lokale IPv4-Adresse der Netzwerkverbindung |
Service.Aktion. networkConnectionAction. localIpDetails. IP-Adresse v4 |
Netzwerkverbindung, lokale IPv6-Adresse |
service.action. networkConnectionAction. localIpDetails. IP-Adresse v6 |
Protokoll |
dienst.aktion. networkConnectionAction. Protokoll |
Servicename des API-Aufrufs |
Service.Aktion. awsApiCallAktion.Dienstname |
Konto-ID des API-Aufrufers |
dienst.aktion. awsApiCallAktion. remoteAccountDetails. accountId |
Name der Bedrohungsliste |
Service. Zusätzliche Informationen. threatListName |
Ressourcenrolle |
service.resourceRole |
EKS-Cluster-Name |
Ressource. eksClusterDetails.name |
Name des Kubernetes-Workloads |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.name |
Namespace des Kubernetes-Workloads |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails. Namespace |
Kubernetes-Benutzername |
Resource.KubernetesEinzelheiten. kubernetesUserDetails. Nutzername |
Kubernetes-Container-Image |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.image |
Kubernetes-Container-Image-Präfix |
Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.imagePräfix |
Scan-ID |
Dienst. ebsVolumeScanEinzelheiten. ScanID |
Name der Bedrohung durch EBS Volume Scan |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Name |
Name der Bedrohung durch S3-Objektscan |
Dienst. malwareScanDetails.bedrohungen.name |
Schweregrad der Bedrohung |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Schweregrad |
Datei-SHA |
Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.FilePaths.Hash |
ECS-Cluster-Name |
Ressource. ecsClusterDetails.name |
ECS-Container-Image |
Ressource. ecsClusterDetails.taskdetails.containers.image |
ARN der ECS-Aufgabendefinition |
Ressource. ecsClusterDetails.taskdetails.definitionARN |
Eigenständiges Container-Image |
resource.containerDetails.image |
Datenbank-Instance-ID |
Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier |
Datenbank-Cluster-ID |
Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier |
Datenbank-Engine |
Ressource. rdsDbInstanceEinzelheiten. Motor |
Datenbankbenutzer |
Ressource. rdsDbUserEinzelheiten. Benutzer |
Tag-Schlüssel der Datenbank-Instance |
Ressource. rdsDbInstancedetails.tags.key |
Tag-Wert der Datenbank-Instance |
Ressource. rdsDbInstanceDetails.Tags.Wert |
Ausführbare SHA-256 |
service.runtimeDetails.process.executableSha256 |
Prozessname |
service.runtimeDetails.process.name |
Pfad der ausführbaren Datei |
service.runtimeDetails.process.executablePath |
Lambda-Funktionsname |
resource.lambdaDetails.functionName |
ARN der Lambda-Funktion |
resource.lambdaDetails.functionArn |
Lambda-Funktions-Tag-Schlüssel |
resource.lambdaDetails.tags.key |
Tag-Wert der Lambda-Funktion |
resource.lambdaDetails.tags.value |
DNS-Anforderungs-Domain |
Service.Aktion. dnsRequestAction. domainWithSuffix |