Filtern von Ergebnissen - Amazon GuardDuty
Filter in der GuardDuty Konsole erstellenFilterattribute

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Filtern von Ergebnissen

Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole oder mit der CreateFilterAPI mithilfe von JSON erstellen. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln.

Filter in der GuardDuty Konsole erstellen

Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.

Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:

  • Filter akzeptieren keine Platzhalter.

  • Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.

  • Wenn Sie die Bedingung gleich zu oder ungleich zu verwenden, um nach einem Attributwert wie z. B. der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.

  • Jedes Filterkriterienattribut wird als AND-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden als AND/OR ausgewertet.

So filtern Sie Ergebnisse (Konsole)

  1. Wählen Sie oberhalb der angezeigten Ergebnisliste die Option Filterkriterien hinzufügen GuardDuty aus.

  2. Wählen Sie in der erweiterten Liste der Attribute die Attribute aus, die Sie als Kriterien für Ihren Filter angeben möchten, wie z. B. Konto-ID oder Aktionstyp.

    Anmerkung

    Eine Liste der Attribute, die Sie als Filterkriterien angeben können, finden Sie in der Tabelle der Filterkriterien auf dieser Seite.

  3. Geben Sie im angezeigten Textfeld für jedes ausgewählte Attribut einen Wert ein und wählen Sie dann Anwenden.

    Anmerkung

    Nachdem Sie einen Filter angewendet haben, können Sie ihn so konvertieren, dass er Erkenntnisse ausschließt, die mit dem Filter übereinstimmen, indem Sie den schwarzen Punkt links neben dem Filternamen auswählen. Dadurch wird für das ausgewählte Attribut eigentlich der Filter "ungleich" erstellt.

  4. Um die angegebenen Attribute und deren Werte (Filterkriterien) als Filter zu speichern, wählen Sie Save (Speichern). Geben Sie den Filternamen und die Filterbeschreibung ein und wählen Sie dann Fertig aus.

Filterattribute

Wenn Sie Filter erstellen oder Erkenntnisse mithilfe der API-Vorgänge sortieren, müssen Sie Filterkriterien in JSON angeben. Diese Filterkriterien korrelieren mit den JSON-Details einer Erkenntnis. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und die entsprechenden JSON-Feldnamen.

Konsolen-Feldname

JSON-Feldname

Konto-ID

accountId

Die ID des Ergebnisses

id

Region

Region

Schweregrad

severity

Sie können die Befundtypen nach dem Schweregrad der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter GuardDuty Schweregrade der Ergebnisse. Wenn Sie severity zusammen mit API AWS CLI, oder verwenden AWS CloudFormation, wird ihr ein numerischer Wert zugewiesen. Weitere Informationen finden Sie unter FindingCriteria in der Amazon GuardDuty API-Referenz.

Ergebnistyp

Typ

Aktualisiert um

updatedAt

Access Key ID

Ressource. accessKeyDetails. accessKeyId

Haupt-ID

Ressource. accessKeyDetails. principalId

Username

Ressource. accessKeyDetails. userName

Benutzertyp

Ressource. accessKeyDetails. Benutzertyp

ID des IAM-Instance-Profils

Ressource.Instanzdetails. iamInstanceProfile.id

Instance-ID

resource.instanceDetails.instanceId

ID des Instance-Image

resource.instanceDetails.imageId

Instance-Tag-Schlüssel

resource.instanceDetails.tags.key

Instance-Tag-Wert

resource.instanceDetails.tags.value

IPv6-Adresse

resource.instanceDetails.networkInterfaces.ipv6Addresses

Private IPv4-Adresse

Ressource.Instanzdetails.Netzwerkschnittstellen. privateIpAddresses. privateIpAddress

Öffentlicher DNS-Name

Resource.InstanceDetails.Netzwerkschnittstellen. publicDnsName

Öffentliche IP

resource.instanceDetails.networkInterfaces.publicIp

Sicherheitsgruppen-ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

Name der Sicherheitsgruppe

resource.instanceDetails.networkInterfaces.securityGroups.groupName

Subnetz-ID

resource.instanceDetails.networkInterfaces.subnetId

VPC-ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost-ARN

resource.instanceDetails.outpostARN

Ressourcentyp

resource.resourceType

Bucket-Berechtigungen

resource.s3 .publicAccess.EffectivePermission BucketDetails

Bucket-Name

resource.s3 BucketDetails .name

Bucket-Tag-Schlüssel

resource.s3 BucketDetails .tags.key

Bucket-Tag-Wert

resource.s3 BucketDetails .tags.value

Bucket-Typ

resource.s3 BucketDetails .type

Aktionstyp

service.action.actionType

Aufgerufene API

dienste.aktion. awsApiCallAktion.API

API-Aufrufertyp

Service.Aktion. awsApiCallAktion.Anrufertyp

API-Fehlercode

dienst.aktion. awsApiCallAktion.Fehlercode

Stadt des API-Aufrufers

Service.Aktion. awsApiCallAktion. remoteIpDetails.Stadt.Stadtname

Land des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteIpDetails. Land.Ländername

IPv4-Adresse des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteIpDetails.IP-Adresse v4

IPv6-Adresse des API-Aufrufers

service.action. awsApiCallAktion. remoteIpDetails.IP-Adresse V6

ASN-ID des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteIpDetails.organization.asn

ASN-Name des API-Aufrufers

dienste.aktion. awsApiCallAktion. remoteIpDetails. Organisation. ASNORG

Servicename des API-Aufrufers

Service.Aktion. awsApiCallAktion.Dienstname

DNS-Anforderungs-Domain

dienst.aktion. dnsRequestAction.domäne

Domainsuffix der DNS-Anforderung

service.action. dnsRequestAction. domainWithSuffix

Netzwerkverbindung blockiert

Service.Aktion. networkConnectionAction. blockiert

Netzwerkverbindungsrichtung

Service.Aktion. networkConnectionAction. Verbindungsrichtung

Netzwerkverbindung lokaler Port

dienst.aktion. networkConnectionAction. localPortDetails. Hafen

Netzwerkverbindungsprotokoll

Service.Aktion. networkConnectionAction. Protokoll

Netzwerkverbindung Stadt

Service.Aktion. networkConnectionAction. remoteIpDetails.Stadt.Stadtname

Netzwerkverbindung Land

dienst.aktion. networkConnectionAction. remoteIpDetails. Land.Landesname

Remote-IPv4-Adresse der Netzwerkverbindung

dienst.aktion. networkConnectionAction. remoteIpDetails. IP-Adresse v4

Netzwerkverbindung, Remote-IPv6-Adresse

service.action. networkConnectionAction. remoteIpDetails. IP-Adresse v6

Remote IP ASN-ID der Netzwerkverbindung

dienst.aktion. networkConnectionAction. remoteIpDetails.organisation.asn

Remote IP ASN-Name der Netzwerkverbindung

dienste.aktion. networkConnectionAction. remoteIpDetails. Organisation. ASNORG

Remote-Port der Netzwerkverbindung

Service.Aktion. networkConnectionAction. remotePortDetails. Hafen

Remote-Konto zugeordnet

Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert

IPv4-Adresse des Kubernetes-API-Aufrufers

Service. Aktion. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse v4

IPv6-Adresse des Kubernetes-API-Aufrufers

service.action. kubernetesApiCallAktion. remoteIpDetails.IP-Adresse V6

Kubernetes-Namespace

dienst.aktion. kubernetesApiCallAktion.Namespace

ASN-ID des Kubernetes-API-Aufrufers

dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn

URI für die Kubernetes-API-Aufrufanforderung

dienste.aktion. kubernetesApiCallAktion.Anforderungs-URI

Kubernetes-API-Statuscode

dienst.aktion. kubernetesApiCallAktion.Statuscode

Lokale IPv4-Adresse der Netzwerkverbindung

Service.Aktion. networkConnectionAction. localIpDetails. IP-Adresse v4

Netzwerkverbindung, lokale IPv6-Adresse

service.action. networkConnectionAction. localIpDetails. IP-Adresse v6

Protokoll

dienst.aktion. networkConnectionAction. Protokoll

Servicename des API-Aufrufs

Service.Aktion. awsApiCallAktion.Dienstname

Konto-ID des API-Aufrufers

dienst.aktion. awsApiCallAktion. remoteAccountDetails. accountId

Name der Bedrohungsliste

Service. Zusätzliche Informationen. threatListName

Ressourcenrolle

service.resourceRole

EKS-Cluster-Name

Ressource. eksClusterDetails.name

Name des Kubernetes-Workloads

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.name

Namespace des Kubernetes-Workloads

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails. Namespace

Kubernetes-Benutzername

Resource.KubernetesEinzelheiten. kubernetesUserDetails. Nutzername

Kubernetes-Container-Image

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.image

Kubernetes-Container-Image-Präfix

Resource.KubernetesEinzelheiten. kubernetesWorkloadDetails.containers.imagePräfix

Scan-ID

Dienst. ebsVolumeScanEinzelheiten. ScanID

Name der Bedrohung durch EBS Volume Scan

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Name

Name der Bedrohung durch S3-Objektscan

Dienst. malwareScanDetails.bedrohungen.name

Schweregrad der Bedrohung

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.Schweregrad

Datei-SHA

Dienst. ebsVolumeScanEinzelheiten. Erkennungen scannen. threatDetectedByName.Bedrohungsnames.FilePaths.Hash

ECS-Cluster-Name

Ressource. ecsClusterDetails.name

ECS-Container-Image

Ressource. ecsClusterDetails.taskdetails.containers.image

ARN der ECS-Aufgabendefinition

Ressource. ecsClusterDetails.taskdetails.definitionARN

Eigenständiges Container-Image

resource.containerDetails.image

Datenbank-Instance-ID

Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier

Datenbank-Cluster-ID

Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier

Datenbank-Engine

Ressource. rdsDbInstanceEinzelheiten. Motor

Datenbankbenutzer

Ressource. rdsDbUserEinzelheiten. Benutzer

Tag-Schlüssel der Datenbank-Instance

Ressource. rdsDbInstancedetails.tags.key

Tag-Wert der Datenbank-Instance

Ressource. rdsDbInstanceDetails.Tags.Wert

Ausführbare SHA-256

service.runtimeDetails.process.executableSha256

Prozessname

service.runtimeDetails.process.name

Pfad der ausführbaren Datei

service.runtimeDetails.process.executablePath

Lambda-Funktionsname

resource.lambdaDetails.functionName

ARN der Lambda-Funktion

resource.lambdaDetails.functionArn

Lambda-Funktions-Tag-Schlüssel

resource.lambdaDetails.tags.key

Tag-Wert der Lambda-Funktion

resource.lambdaDetails.tags.value

DNS-Anforderungs-Domain

Service.Aktion. dnsRequestAction. domainWithSuffix