Reglas de supresión

Una regla de supresión es un conjunto de criterios, que consta de un atributo de filtro emparejado con un valor, utilizado para filtrar resultados mediante el archivado automático de resultados nuevos que coinciden con los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajo valor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitar el reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.

Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidos en la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puede utilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de una nuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completos o definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgo determinado. Las reglas de supresión se pueden editar en cualquier momento.

Los hallazgos suprimidos no se envían a AWS Security Hub Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, lo que reduce el ruido de las búsquedas si se consumen GuardDuty los hallazgos a través de Security Hub, un SIEM de terceros u otras aplicaciones de alerta y emisión de tickets. Si la has activadoGuardDuty Protección contra malware, los GuardDuty resultados suprimidos no iniciarán un análisis de software malicioso.

GuardDuty sigue generando hallazgos incluso cuando se ajustan a tus reglas de supresión; sin embargo, esos hallazgos se marcan automáticamente como archivados. El hallazgo archivado se almacena GuardDuty durante 90 días y se puede ver en cualquier momento durante ese período. Para ver los hallazgos suprimidos en la GuardDuty consola, selecciona Archivado en la tabla de hallazgos o a través de la GuardDuty API utilizando la ListFindingsAPI con un findingCriteria criterio de service.archived igual a verdadero.

nota

En un entorno con varias cuentas, solo el GuardDuty administrador puede crear reglas de supresión.

Casos de uso comunes para reglas de supresión y ejemplos

Los siguientes tipos de resultados tienen casos de uso habituales para aplicar reglas de supresión. Seleccione el nombre del resultado para obtener más información sobre él o consulte la información para crear una regla de supresión para ese tipo de resultado desde la consola.

importante

GuardDuty recomienda crear reglas de supresión de forma reactiva y solo para los casos en los que se hayan identificado falsos positivos de forma repetida.

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: utilice una regla de supresión para archivar automáticamente resultados generados cuando se configuran las redes de la VPC para dirigir el tráfico de Internet a fin de que salga desde una puerta de enlace en las instalaciones en lugar de una puerta de enlace de Internet de VPC.

  Este resultado se genera cuando la red está configurada para dirigir el tráfico de Internet de tal forma que salga por una puerta de enlace en las instalaciones y no por una puerta de enlace de Internet (IGW) de la VPC. Las configuraciones comunes, como el uso de AWS Outposts o de conexiones de VPN de la VPC, pueden generar tráfico dirigido de esta manera. Si se trata de un comportamiento esperado, se recomienda utilizar reglas de supresión en y crear una regla que conste de dos criterios de filtro. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro es la Dirección IPv4 de la persona que llama a la API con el rango de direcciones IP o CIDR de su puerta de enlace de Internet en las instalaciones. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de la dirección IP de la persona que llama a la API.

  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6

  nota

  Para incluir varias IP de personas que llaman a la API, puede agregar un nuevo filtro de direcciones IPv4 de las personas que llaman a la API para cada una de ellas.

• Recon:EC2/Portscan: utilice una regla de supresión para archivar automáticamente los resultados cuando utilice una aplicación de evaluación de vulnerabilidades.

  La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada AMI.

  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

• UnauthorizedAccess:EC2/SSHBruteForce: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias de bastión.

  Si el objetivo del intento de fuerza bruta es un bastión anfitrión, esto puede representar el comportamiento esperado en su entorno. AWS Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con un determinado valor de etiqueta de instancia.

  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

• Recon:EC2/PortProbeUnprotectedPort: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias que se hayan visto expuestas de manera intencional.

  Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada clave de etiqueta de instancia en la consola.

  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Reglas de supresión recomendadas para los resultados de la supervisión en tiempo de ejecución de EKS

• PrivilegeEscalation:Runtime/DockerSocketAccessed se genera cuando un proceso dentro de un contenedor se comunica con el socket de Docker. Es posible que haya contenedores de su entorno que necesiten acceso al socket de Docker por motivos legítimos. El acceso desde dichos contenedores generará resultados PrivilegeEscalation:Runtime/DockerSocketAccessed. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este tipo de hallazgo. Los primeros criterios deben utilizar el campo Tipo de resultado con un valor equivalente a PrivilegeEscalation:Runtime/DockerSocketAccessed. El segundo criterio de filtro es el campo Ruta ejecutable con un valor igual al executablePath del proceso en el resultado generado. De manera alternativa, el segundo criterio de filtro puede utilizar el campo SHA-256 ejecutable con un valor igual al executableSha256 del proceso en el resultado generado.

• Los clústeres de Kubernetes ejecutan sus propios servidores DNS como pods; por ejemplo, coredns. Por lo tanto, para cada búsqueda de DNS desde un pod, GuardDuty captura dos eventos de DNS: uno del pod y otro del pod del servidor. Esto puede generar duplicados para los siguientes resultados de DNS:

  • Backdoor:Runtime/C&CActivity.B!DNS

  • CryptoCurrency:Runtime/BitcoinTool.B!DNS

  • Impact:Runtime/AbusedDomainRequest.Reputation

  • Impact:Runtime/BitcoinDomainRequest.Reputation

  • Impact:Runtime/MaliciousDomainRequest.Reputation

  • Impact:Runtime/SuspiciousDomainRequest.Reputation

  • Trojan:Runtime/BlackholeTraffic!DNS

  • Trojan:Runtime/DGADomainRequest.C!DNS

  • Trojan:Runtime/DriveBySourceTraffic!DNS

  • Trojan:Runtime/DropPoint!DNS

  • Trojan:Runtime/PhishingDomainRequest!DNS

  Los resultados duplicados incluirán los detalles del pod, el contenedor y el proceso que corresponden al pod de su servidor DNS. Puede configurar una regla de supresión para suprimir estos resultados duplicados utilizando estos campos. El primer criterio de filtro debe utilizar el campo Tipo de resultado con un valor igual a un tipo de resultado de DNS de la lista de resultados proporcionada anteriormente en esta sección. El segundo criterio de filtro puede ser Ruta ejecutable con un valor igual al executablePath del servidor DNS o SHA-256 ejecutable con un valor igual al executableSHA256 del servidor DNS en el resultado generado. Como tercer criterio de filtro opcional, puede utilizar el campo Imagen del contenedor de Kubernetes con un valor igual al de la imagen del contenedor del pod del servidor DNS en el resultado generado.

Para crear reglas de supresión en GuardDuty

Elija el método de acceso que prefiera para crear o gestionar las reglas de supresión GuardDuty.

Console

Puede visualizar, crear y gestionar las reglas de supresión mediante la GuardDuty consola. Las reglas de supresión se generan de la misma manera que los filtros y los filtros guardados existentes se pueden utilizar como reglas de supresión. Para obtener más información acerca de la creación de filtros, consulte Filtrado de hallazgos.

Para crear una regla de supresión mediante la consola:

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. En la página Resultados, seleccione Suprimir resultados para abrir el panel de reglas de supresión.

3. Para abrir el menú de criterios de filtro, introduzca los filter criteria en el campo Agregar criterios de filtro. Puede elegir un criterio de la lista. Introduzca un valor válido para el criterio elegido.

   nota

   Para determinar el valor válido, consulte la tabla de resultados y elija un resultado que desee suprimir. Revise sus detalles en el panel de resultados.

   Puede agregar varios criterios de filtro y asegurarse de que solo aparezcan en la tabla los resultados que desee suprimir.

4. Escriba un Nombre y una Descripción para la regla de supresión. Los caracteres válidos incluyen los caracteres alfanuméricos, el punto (.), el guion (-), el guion bajo (_) y espacios.

5. Seleccione Guardar.

También puede crear una regla de supresión a partir de un filtro guardado existente. Para obtener más información acerca de la creación de filtros, consulte Filtrado de hallazgos.

Para crear una regla de supresión a partir de un filtro guardado:

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. En la página Resultados, seleccione Suprimir resultados para abrir el panel de reglas de supresión.

3. En el menú desplegable Reglas guardadas, seleccione un filtro guardado.

4. También puede agregar nuevos criterios de filtro. Puede omitir este paso si no necesita criterios de filtro adicionales.

   Para abrir el menú de criterios de filtro, introduzca los filter criteria en el campo Agregar criterios de filtro. Puede elegir un criterio de la lista. Introduzca un valor válido para el criterio elegido.

   nota

   Para determinar el valor válido, consulte la tabla de resultados y elija un resultado que desee suprimir. Revise sus detalles en el panel de resultados.

5. Escriba un Nombre y una Descripción para la regla de supresión. Los caracteres válidos incluyen los caracteres alfanuméricos, el punto (.), el guion (-), el guion bajo (_) y espacios.

6. Seleccione Guardar.

Para eliminar una regla de supresión:

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. En la página Resultados, seleccione Suprimir resultados para abrir el panel de reglas de supresión.

3. En el menú desplegable Reglas guardadas, seleccione un filtro guardado.

4. Elija Delete rule (Eliminar regla).

API/CLI

Para crear una regla de supresión mediante una API:

1. También puede crear reglas de supresión a través de la API CreateFilter. Para ello, especifique los criterios de filtro en un archivo JSON según el formato del ejemplo que se detalla a continuación. El siguiente ejemplo suprimirá cualquier resultado de baja gravedad no archivado que contenga una solicitud de DNS al dominio test.example.com. Para los resultados de gravedad media, la lista de entrada será ["4", "5", "7"]. Para los resultados de gravedad alta, la lista de entrada será ["6", "7", "8"]. También puede filtrar en función de cualquier valor de la lista.

   {
       "Criterion": {
           "service.archived": {
               "Eq": [
                   "false"
               ]
           },
           "service.action.dnsRequestAction.domain": {
               "Eq": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Eq": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }

   Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulte Filtro de atributos.

   Para probar sus criterios de filtro, utilice el mismo criterio de JSON en la API ListFindings y confirme que se hayan seleccionado los resultados correctos. Para probar tus criterios de filtro, AWS CLI sigue el ejemplo con tu propio DetectoriD y un archivo.json.

   Para encontrar los de detectorId tu cuenta y región actuales, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/.

   aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

2. Cargue el filtro para utilizarlo como regla de supresión con la API CreateFilter o mediante la CLI de AWS según el ejemplo siguiente con su propio ID de detector, un nombre para la regla de supresión y un archivo .json.

   Para encontrar la correspondiente detectorId a tu cuenta y a la región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/.

   aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                   

Puede ver una lista de sus filtros mediante programación con la API ListFilter. Para ver los detalles de un filtro individual, proporcione el nombre del filtro a la API GetFilter. Actualice los filtros mediante la API UpdateFilter o elimínelos con ayuda de la API DeleteFilter.