Gefilterte Ergebnisse anzeigen in GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gefilterte Ergebnisse anzeigen in GuardDuty

Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole erstellen, oder Sie können sie mit dem CreateFilterAPIverwendenJSON. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln in GuardDuty.

Filter in der GuardDuty Konsole erstellen

Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.

Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:

  • Filter akzeptieren keine Platzhalter.

  • Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.

  • Wenn Sie die Bedingung gleich zu oder ungleich zu verwenden, um nach einem Attributwert wie z. B. der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.

  • Jedes Filterkriterienattribut wird als AND-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden als AND/OR ausgewertet.

So filtern Sie Ergebnisse (Konsole)
  1. Wählen Sie unter Nach Attribut filtern die Option Filterkriterien hinzufügen aus. Daraufhin wird Ihnen eine erweiterte Liste von Filterattributen angezeigt.

  2. Wählen Sie aus der erweiterten Attributliste das Attribut aus, das Sie als Kriterien für Ihren Filter angeben möchten, z. B. Konto-ID oder Aktionstyp.

    Eine vollständige Liste der Attribute finden Sie unterFilterattribute.

  3. Geben Sie im angezeigten Textfeld einen Wert für das ausgewählte Attribut ein und klicken Sie dann auf Anwenden.

  4. Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 1—3.

  5. Standardmäßig werden in der Liste die Ergebnisse angezeigt, die mit dem angewendeten Filter übereinstimmen. Wenn Sie die Ergebnisse anzeigen möchten, die nicht mit dem Filterattribut übereinstimmen, wählen Sie neben dem Filter Ausschließen aus.

    Ein Beispiel für die Anzeige von Ergebnissen, indem Sie mit einem Filterattribut „Einschließen“ oder „Ausschließen“ auswählen.
  6. Speichern Sie die angegebenen Attribute und Werte als Filter
    1. Um die angegebenen Attribute und ihre Werte (Filterkriterien) als Filter zu speichern, wählen Sie Speichern/Bearbeiten.

    2. Geben Sie den Namen und die Beschreibung der Filterregel ein.

    3. Wählen Sie Save (Speichern) aus.

Filterattribute

Wenn Sie Filter erstellen oder Ergebnisse mithilfe der API Operationen sortieren, müssen Sie die Filterkriterien unter angebenJSON. Diese Filterkriterien korrelieren mit den Details JSON eines Ergebnisses. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und der entsprechenden JSON Feldnamen.

Konsolen-Feldname

JSON-Feldname

Konto-ID

accountId

Die ID des Ergebnisses

id

Region

Region

Schweregrad

severity

Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter GuardDuty Schweregrade der Ergebnisse. Wenn Sie severity mitAPI, oder AWS CloudFormation verwenden AWS CLI, wird ihm ein numerischer Wert zugewiesen. Weitere Informationen finden Sie findingCriteriain der GuardDuty APIAmazon-Referenz.

Ergebnistyp

Typ

Aktualisiert um

updatedAt

Access Key ID

Ressource. accessKeyDetails. accessKeyId

Haupt-ID

Ressource. accessKeyDetails. principalId

Username

Ressource. accessKeyDetails. userName

Benutzertyp

Ressource. accessKeyDetails. userType

IAMID des Instanzprofils

Ressource. instanceDetails. iamInstanceProfile.id

Instance-ID

Ressource. instanceDetails. instanceId

ID des Instance-Image

Ressource. instanceDetails. imageId

Instance-Tag-Schlüssel

Ressource. instanceDetails.tags.key

Instance-Tag-Wert

Ressource. instanceDetails.tags.value

IPv6Adresse

Ressource. instanceDetails. networkInterfaces. IPv6-Adressen

Private Adresse IPv4

Ressource. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

Öffentlicher DNS Name

Ressource. instanceDetails. networkInterfaces. publicDnsName

Öffentliche IP

Ressource. instanceDetails. networkInterfaces. publicIp

Sicherheitsgruppen-ID

Ressource. instanceDetails. networkInterfaces. securityGroups. groupId

Name der Sicherheitsgruppe

Ressource. instanceDetails. networkInterfaces. securityGroups. groupName

Subnetz-ID

Ressource. instanceDetails. networkInterfaces. subnetId

VPCAusweis

Ressource. instanceDetails. networkInterfaces. vpcId

Außenposten ARN

Ressource. instanceDetails. Außenposten ARN

Ressourcentyp

Ressource. resourceType

Bucket-Berechtigungen

Ressource.s3BucketDetails. publicAccess. effectivePermission

Bucket-Name

resource.s3 .name BucketDetails

Bucket-Tag-Schlüssel

resource.s3 BucketDetails .tags.key

Bucket-Tag-Wert

resource.s3 BucketDetails .tags.value

Bucket-Typ

resource.s3 BucketDetails .type

Aktionstyp

dienste.aktion. actionType

APIgenannt

service.action. awsApiCallAktion.API

APITyp des Anrufers

Service.Aktion. awsApiCallAktion. callerType

APIFehlercode

service.action. awsApiCallAktion. errorCode

APIStadt des Anrufers

Service. Aktion. awsApiCallAktion. remoteIpDetails. Stadt. cityName

APILand des Anrufers

Service. Aktion. awsApiCallAktion. remoteIpDetails. Land. countryName

APIAdresse des Anrufers IPv4

Service.Aktion. awsApiCallAktion. remoteIpDetails. ipAddressV4

APIAdresse des Anrufers IPv6

Service.Aktion. awsApiCallAktion. remoteIpDetails. ipAddressV6

APIAnrufer-ID ASN

Service.Aktion. awsApiCallAktion. remoteIpDetails.organization.asn

APIName des Anrufers ASN

dienst.aktion. awsApiCallAktion. remoteIpDetails. Organisation. asnOrg

APIName des Anruferdienstes

dienst.aktion. awsApiCallAktion. serviceName

DNSDomain anfragen

service.action. dnsRequestAction.domäne

DNSDomain-Suffix anfordern

service.action. dnsRequestAction. domainWithSuffix

Netzwerkverbindung blockiert

Service.Aktion. networkConnectionAction. blockiert

Netzwerkverbindungsrichtung

Service.Aktion. networkConnectionAction. connectionDirection

Netzwerkverbindung lokaler Port

Service.Aktion. networkConnectionAction. localPortDetails. Hafen

Netzwerkverbindungsprotokoll

Service.Aktion. networkConnectionAction. Protokoll

Netzwerkverbindung Stadt

Service.Aktion. networkConnectionAction. remoteIpDetails. Stadt. cityName

Netzwerkverbindung Land

Service.Aktion. networkConnectionAction. remoteIpDetails. Land. countryName

IPv4Remote-Adresse der Netzwerkverbindung

service.action. networkConnectionAction. remoteIpDetails. ipAddressV4

IPv6Remote-Adresse der Netzwerkverbindung

service.action. networkConnectionAction. remoteIpDetails. ipAddressV6

ASNRemote-IP-ID der Netzwerkverbindung

service.action. networkConnectionAction. remoteIpDetails.organisation.asn

Remote-IP-Name der Netzwerkverbindung ASN

service.action. networkConnectionAction. remoteIpDetails. Organisation. asnOrg

Remote-Port der Netzwerkverbindung

Service.Aktion. networkConnectionAction. remotePortDetails. Hafen

Remote-Konto zugeordnet

Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert

Adresse des Kubernetes-Anrufers API IPv4

service.action. kubernetesApiCallAktion. remoteIpDetails. ipAddressV4

Adresse des Kubernetes-Anrufers API IPv6

service.action. kubernetesApiCallAktion. remoteIpDetails. ipAddressV6

Kubernetes-Namespace

Service. Aktion. kubernetesApiCallAktion.Namespace

Kubernetes-Anrufer-ID API ASN

dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn

Kubernetes-Anrufanfrage API URI

service.action. kubernetesApiCallAktion. requestUri

Kubernetes-Statuscode API

service.action. kubernetesApiCallAktion. statusCode

Lokale IPv4 Adresse der Netzwerkverbindung

service.action. networkConnectionAction. localIpDetails. ipAddressV4

Lokale IPv6 Adresse der Netzwerkverbindung

service.action. networkConnectionAction. localIpDetails. ipAddressV6

Protokoll

Service. Aktion. networkConnectionAction. Protokoll

APIDienstname anrufen

dienst.aktion. awsApiCallAktion. serviceName

APIKonto-ID des Anrufers

service.action. awsApiCallAktion. remoteAccountDetails. accountId

Name der Bedrohungsliste

Bedienung. additionalInfo. threatListName

Ressourcenrolle

Bedienung. resourceRole

EKSClustername

Ressource. eksClusterDetails.name

Name des Kubernetes-Workloads

Ressource. kubernetesDetails. kubernetesWorkloadDetails. Name

Namespace des Kubernetes-Workloads

Ressource. kubernetesDetails. kubernetesWorkloadDetails. Namespace

Kubernetes-Benutzername

Ressource. kubernetesDetails. kubernetesUserDetails.benutzername

Kubernetes-Container-Image

Ressource. kubernetesDetails. kubernetesWorkloadDetails.containers.image

Kubernetes-Container-Image-Präfix

Ressource. kubernetesDetails. kubernetesWorkloadDetails. Behälter. imagePrefix

Scan-ID

Bedienung. ebsVolumeScanEinzelheiten. scanId

EBSName der Volume-Scan-Bedrohung

Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames.name

Name der Bedrohung durch S3-Objektscan

Dienst. malwareScanDetails.bedrohungen.name

Schweregrad der Bedrohung

Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames. Schweregrad

Datei SHA

Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames. filePaths. Hash

ECSClustername

Ressource. ecsClusterDetails.name

ECSContainer-Bild

Ressource. ecsClusterDetails. taskDetails.containers.image

ECSAufgabendefinition ARN

Ressource. ecsClusterDetails. taskDetails. definitionArn

Eigenständiges Container-Image

Ressource. containerDetails. Bild

Datenbank-Instance-ID

Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier

Datenbank-Cluster-ID

Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier

Datenbank-Engine

Ressource. rdsDbInstanceEinzelheiten. Motor

Datenbankbenutzer

Ressource. rdsDbUserEinzelheiten. Benutzer

Tag-Schlüssel der Datenbank-Instance

Ressource. rdsDbInstancedetails.tags.key

Tag-Wert der Datenbank-Instance

Ressource. rdsDbInstanceDetails.Tags.Wert

Ausführbar -256 SHA

Bedienung. runtimeDetails. Prozess. executableSha256

Prozessname

Bedienung. runtimeDetails.prozessname

Pfad der ausführbaren Datei

Dienst. runtimeDetails. Prozess. executablePath

Lambda-Funktionsname

Ressource. lambdaDetails. functionName

Lambda-Funktion ARN

Ressource. lambdaDetails. functionArn

Lambda-Funktions-Tag-Schlüssel

Ressource. lambdaDetails.tags.key

Tag-Wert der Lambda-Funktion

Ressource. lambdaDetails.tags.value

DNSDomain anfragen

service.action. dnsRequestAction. domainWithSuffix