Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gefilterte Ergebnisse anzeigen in GuardDuty
Mit einem Erkenntnisfilter können Sie Erkenntnisse anzeigen, die den von Ihnen angegebenen Kriterien entsprechen, und alle nicht übereinstimmenden Erkenntnisse herausfiltern. Sie können Suchfilter ganz einfach mit der GuardDuty Amazon-Konsole erstellen, oder Sie können sie mit dem CreateFilterAPIverwendenJSON. Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie einen Filter in der Konsole erstellen. Informationen zur Verwendung dieser Filter zur automatischen Archivierung eingehender Erkenntnisse finden Sie unter Unterdrückungsregeln in GuardDuty.
Filter in der GuardDuty Konsole erstellen
Suchfilter können über die GuardDuty Konsole erstellt und getestet werden. Sie können über die Konsole erstellte Filter speichern, um sie in Unterdrückungsregeln oder zukünftigen Filtervorgängen zu verwenden. Ein Filter besteht aus mindestens einem Filterkriterium, das aus einem Filterattribut in Kombination mit mindestens einem Wert besteht.
Beachten Sie beim Anlegen eines neuen Benutzers Folgendes:
-
Filter akzeptieren keine Platzhalter.
-
Sie können mindestens ein Attribut oder maximal 50 Attribute als Kriterien für einen bestimmten Filter angeben.
-
Wenn Sie die Bedingung gleich zu oder ungleich zu verwenden, um nach einem Attributwert wie z. B. der Konto-ID zu filtern, können Sie maximal 50 Werte angeben.
-
Jedes Filterkriterienattribut wird als
AND
-Operator ausgewertet. Mehrere Werte für dasselbe Attribut werden alsAND/OR
ausgewertet.
So filtern Sie Ergebnisse (Konsole)
-
Wählen Sie unter Nach Attribut filtern die Option Filterkriterien hinzufügen aus. Daraufhin wird Ihnen eine erweiterte Liste von Filterattributen angezeigt.
-
Wählen Sie aus der erweiterten Attributliste das Attribut aus, das Sie als Kriterien für Ihren Filter angeben möchten, z. B. Konto-ID oder Aktionstyp.
Eine vollständige Liste der Attribute finden Sie unterFilterattribute.
-
Geben Sie im angezeigten Textfeld einen Wert für das ausgewählte Attribut ein und klicken Sie dann auf Anwenden.
-
Um mehr als ein Filterkriterium hinzuzufügen, wiederholen Sie die Schritte 1—3.
-
Standardmäßig werden in der Liste die Ergebnisse angezeigt, die mit dem angewendeten Filter übereinstimmen. Wenn Sie die Ergebnisse anzeigen möchten, die nicht mit dem Filterattribut übereinstimmen, wählen Sie neben dem Filter Ausschließen aus.
-
Speichern Sie die angegebenen Attribute und Werte als Filter
-
Um die angegebenen Attribute und ihre Werte (Filterkriterien) als Filter zu speichern, wählen Sie Speichern/Bearbeiten.
-
Geben Sie den Namen und die Beschreibung der Filterregel ein.
-
Wählen Sie Save (Speichern) aus.
-
Filterattribute
Wenn Sie Filter erstellen oder Ergebnisse mithilfe der API Operationen sortieren, müssen Sie die Filterkriterien unter angebenJSON. Diese Filterkriterien korrelieren mit den Details JSON eines Ergebnisses. Die folgende Tabelle enthält eine Liste der Konsolenanzeigenamen für Filterattribute und der entsprechenden JSON Feldnamen.
Konsolen-Feldname |
JSON-Feldname |
---|---|
Konto-ID |
accountId |
Die ID des Ergebnisses |
id |
Region |
Region |
Schweregrad |
severity Sie können die Befundtypen auf der Grundlage des Schweregrads der Befundtypen filtern. Weitere Informationen zu Schweregradwerten finden Sie unter GuardDuty Schweregrade der Ergebnisse. Wenn Sie |
Ergebnistyp |
Typ |
Aktualisiert um |
updatedAt |
Access Key ID |
Ressource. accessKeyDetails. accessKeyId |
Haupt-ID |
Ressource. accessKeyDetails. principalId |
Username |
Ressource. accessKeyDetails. userName |
Benutzertyp |
Ressource. accessKeyDetails. userType |
IAMID des Instanzprofils |
Ressource. instanceDetails. iamInstanceProfile.id |
Instance-ID |
Ressource. instanceDetails. instanceId |
ID des Instance-Image |
Ressource. instanceDetails. imageId |
Instance-Tag-Schlüssel |
Ressource. instanceDetails.tags.key |
Instance-Tag-Wert |
Ressource. instanceDetails.tags.value |
IPv6Adresse |
Ressource. instanceDetails. networkInterfaces. IPv6-Adressen |
Private Adresse IPv4 |
Ressource. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress |
Öffentlicher DNS Name |
Ressource. instanceDetails. networkInterfaces. publicDnsName |
Öffentliche IP |
Ressource. instanceDetails. networkInterfaces. publicIp |
Sicherheitsgruppen-ID |
Ressource. instanceDetails. networkInterfaces. securityGroups. groupId |
Name der Sicherheitsgruppe |
Ressource. instanceDetails. networkInterfaces. securityGroups. groupName |
Subnetz-ID |
Ressource. instanceDetails. networkInterfaces. subnetId |
VPCAusweis |
Ressource. instanceDetails. networkInterfaces. vpcId |
Außenposten ARN |
Ressource. instanceDetails. Außenposten ARN |
Ressourcentyp |
Ressource. resourceType |
Bucket-Berechtigungen |
Ressource.s3BucketDetails. publicAccess. effectivePermission |
Bucket-Name |
resource.s3 .name BucketDetails |
Bucket-Tag-Schlüssel |
resource.s3 BucketDetails .tags.key |
Bucket-Tag-Wert |
resource.s3 BucketDetails .tags.value |
Bucket-Typ |
resource.s3 BucketDetails .type |
Aktionstyp |
dienste.aktion. actionType |
APIgenannt |
service.action. awsApiCallAktion.API |
APITyp des Anrufers |
Service.Aktion. awsApiCallAktion. callerType |
APIFehlercode |
service.action. awsApiCallAktion. errorCode |
APIStadt des Anrufers |
Service. Aktion. awsApiCallAktion. remoteIpDetails. Stadt. cityName |
APILand des Anrufers |
Service. Aktion. awsApiCallAktion. remoteIpDetails. Land. countryName |
APIAdresse des Anrufers IPv4 |
Service.Aktion. awsApiCallAktion. remoteIpDetails. ipAddressV4 |
APIAdresse des Anrufers IPv6 |
Service.Aktion. awsApiCallAktion. remoteIpDetails. ipAddressV6 |
APIAnrufer-ID ASN |
Service.Aktion. awsApiCallAktion. remoteIpDetails.organization.asn |
APIName des Anrufers ASN |
dienst.aktion. awsApiCallAktion. remoteIpDetails. Organisation. asnOrg |
APIName des Anruferdienstes |
dienst.aktion. awsApiCallAktion. serviceName |
DNSDomain anfragen |
service.action. dnsRequestAction.domäne |
DNSDomain-Suffix anfordern |
service.action. dnsRequestAction. domainWithSuffix |
Netzwerkverbindung blockiert |
Service.Aktion. networkConnectionAction. blockiert |
Netzwerkverbindungsrichtung |
Service.Aktion. networkConnectionAction. connectionDirection |
Netzwerkverbindung lokaler Port |
Service.Aktion. networkConnectionAction. localPortDetails. Hafen |
Netzwerkverbindungsprotokoll |
Service.Aktion. networkConnectionAction. Protokoll |
Netzwerkverbindung Stadt |
Service.Aktion. networkConnectionAction. remoteIpDetails. Stadt. cityName |
Netzwerkverbindung Land |
Service.Aktion. networkConnectionAction. remoteIpDetails. Land. countryName |
IPv4Remote-Adresse der Netzwerkverbindung |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV4 |
IPv6Remote-Adresse der Netzwerkverbindung |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV6 |
ASNRemote-IP-ID der Netzwerkverbindung |
service.action. networkConnectionAction. remoteIpDetails.organisation.asn |
Remote-IP-Name der Netzwerkverbindung ASN |
service.action. networkConnectionAction. remoteIpDetails. Organisation. asnOrg |
Remote-Port der Netzwerkverbindung |
Service.Aktion. networkConnectionAction. remotePortDetails. Hafen |
Remote-Konto zugeordnet |
Service.Aktion. awsApiCallAktion. remoteAccountDetails. angegliedert |
Adresse des Kubernetes-Anrufers API IPv4 |
service.action. kubernetesApiCallAktion. remoteIpDetails. ipAddressV4 |
Adresse des Kubernetes-Anrufers API IPv6 |
service.action. kubernetesApiCallAktion. remoteIpDetails. ipAddressV6 |
Kubernetes-Namespace |
Service. Aktion. kubernetesApiCallAktion.Namespace |
Kubernetes-Anrufer-ID API ASN |
dienst.aktion. kubernetesApiCallAktion. remoteIpDetails.organization.asn |
Kubernetes-Anrufanfrage API URI |
service.action. kubernetesApiCallAktion. requestUri |
Kubernetes-Statuscode API |
service.action. kubernetesApiCallAktion. statusCode |
Lokale IPv4 Adresse der Netzwerkverbindung |
service.action. networkConnectionAction. localIpDetails. ipAddressV4 |
Lokale IPv6 Adresse der Netzwerkverbindung |
service.action. networkConnectionAction. localIpDetails. ipAddressV6 |
Protokoll |
Service. Aktion. networkConnectionAction. Protokoll |
APIDienstname anrufen |
dienst.aktion. awsApiCallAktion. serviceName |
APIKonto-ID des Anrufers |
service.action. awsApiCallAktion. remoteAccountDetails. accountId |
Name der Bedrohungsliste |
Bedienung. additionalInfo. threatListName |
Ressourcenrolle |
Bedienung. resourceRole |
EKSClustername |
Ressource. eksClusterDetails.name |
Name des Kubernetes-Workloads |
Ressource. kubernetesDetails. kubernetesWorkloadDetails. Name |
Namespace des Kubernetes-Workloads |
Ressource. kubernetesDetails. kubernetesWorkloadDetails. Namespace |
Kubernetes-Benutzername |
Ressource. kubernetesDetails. kubernetesUserDetails.benutzername |
Kubernetes-Container-Image |
Ressource. kubernetesDetails. kubernetesWorkloadDetails.containers.image |
Kubernetes-Container-Image-Präfix |
Ressource. kubernetesDetails. kubernetesWorkloadDetails. Behälter. imagePrefix |
Scan-ID |
Bedienung. ebsVolumeScanEinzelheiten. scanId |
EBSName der Volume-Scan-Bedrohung |
Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames.name |
Name der Bedrohung durch S3-Objektscan |
Dienst. malwareScanDetails.bedrohungen.name |
Schweregrad der Bedrohung |
Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames. Schweregrad |
Datei SHA |
Dienst. ebsVolumeScanEinzelheiten. scanDetections. threatDetectedByName. threatNames. filePaths. Hash |
ECSClustername |
Ressource. ecsClusterDetails.name |
ECSContainer-Bild |
Ressource. ecsClusterDetails. taskDetails.containers.image |
ECSAufgabendefinition ARN |
Ressource. ecsClusterDetails. taskDetails. definitionArn |
Eigenständiges Container-Image |
Ressource. containerDetails. Bild |
Datenbank-Instance-ID |
Ressource. rdsDbInstanceEinzelheiten. dbInstanceIdentifier |
Datenbank-Cluster-ID |
Ressource. rdsDbInstanceEinzelheiten. dbClusterIdentifier |
Datenbank-Engine |
Ressource. rdsDbInstanceEinzelheiten. Motor |
Datenbankbenutzer |
Ressource. rdsDbUserEinzelheiten. Benutzer |
Tag-Schlüssel der Datenbank-Instance |
Ressource. rdsDbInstancedetails.tags.key |
Tag-Wert der Datenbank-Instance |
Ressource. rdsDbInstanceDetails.Tags.Wert |
Ausführbar -256 SHA |
Bedienung. runtimeDetails. Prozess. executableSha256 |
Prozessname |
Bedienung. runtimeDetails.prozessname |
Pfad der ausführbaren Datei |
Dienst. runtimeDetails. Prozess. executablePath |
Lambda-Funktionsname |
Ressource. lambdaDetails. functionName |
Lambda-Funktion ARN |
Ressource. lambdaDetails. functionArn |
Lambda-Funktions-Tag-Schlüssel |
Ressource. lambdaDetails.tags.key |
Tag-Wert der Lambda-Funktion |
Ressource. lambdaDetails.tags.value |
DNSDomain anfragen |
service.action. dnsRequestAction. domainWithSuffix |