Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Reglas de supresión
Una regla de supresión es un conjunto de criterios, que consta de un atributo de filtro emparejado con un valor, utilizado para filtrar resultados mediante el archivado automático de resultados nuevos que coinciden con los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajo valor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitar el reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.
Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidos en la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puede utilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de una nuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completos o definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgo determinado. Las reglas de supresión se pueden editar en cualquier momento.
Los hallazgos suprimidos no se envían a AWS Security Hub Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, lo que reduce el ruido de las búsquedas si se consumen GuardDuty los hallazgos a través de Security Hub, un SIEM de terceros u otras aplicaciones de alerta y emisión de tickets. Si la has activadoGuardDuty Protección contra malware, los GuardDuty resultados suprimidos no iniciarán un análisis de software malicioso.
GuardDuty sigue generando hallazgos incluso cuando se ajustan a tus reglas de supresión; sin embargo, esos hallazgos se marcan automáticamente como archivados. El hallazgo archivado se almacena GuardDuty durante 90 días y se puede ver en cualquier momento durante ese período. Para ver los hallazgos suprimidos en la GuardDuty consola, selecciona Archivado en la tabla de hallazgos o a través de la GuardDuty API utilizando la ListFindingsAPI con un findingCriteria
criterio de service.archived
igual a verdadero.
nota
En un entorno con varias cuentas, solo el GuardDuty administrador puede crear reglas de supresión.
Casos de uso comunes para reglas de supresión y ejemplos
Los siguientes tipos de resultados tienen casos de uso habituales para aplicar reglas de supresión. Seleccione el nombre del resultado para obtener más información sobre él o consulte la información para crear una regla de supresión para ese tipo de resultado desde la consola.
importante
GuardDuty recomienda crear reglas de supresión de forma reactiva y solo para los casos en los que se hayan identificado falsos positivos de forma repetida.
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: utilice una regla de supresión para archivar automáticamente resultados generados cuando se configuran las redes de la VPC para dirigir el tráfico de Internet a fin de que salga desde una puerta de enlace en las instalaciones en lugar de una puerta de enlace de Internet de VPC.
Este resultado se genera cuando la red está configurada para dirigir el tráfico de Internet de tal forma que salga por una puerta de enlace en las instalaciones y no por una puerta de enlace de Internet (IGW) de la VPC. Las configuraciones comunes, como el uso de AWS Outposts o de conexiones de VPN de la VPC, pueden generar tráfico dirigido de esta manera. Si se trata de un comportamiento esperado, se recomienda utilizar reglas de supresión en y crear una regla que conste de dos criterios de filtro. El primer criterio es Tipo de resultado, que debería ser
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
. El segundo criterio de filtro es la Dirección IPv4 de la persona que llama a la API con el rango de direcciones IP o CIDR de su puerta de enlace de Internet en las instalaciones. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de la dirección IP de la persona que llama a la API.Finding type:
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
API caller IPv4 address:198.51.100.6
nota
Para incluir varias IP de personas que llaman a la API, puede agregar un nuevo filtro de direcciones IPv4 de las personas que llaman a la API para cada una de ellas.
-
Recon:EC2/Portscan: utilice una regla de supresión para archivar automáticamente los resultados cuando utilice una aplicación de evaluación de vulnerabilidades.
La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de
Recon:EC2/Portscan
. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada AMI.Finding type:
Recon:EC2/Portscan
Instance image ID:ami-999999999
-
UnauthorizedAccess:EC2/SSHBruteForce: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias de bastión.
Si el objetivo del intento de fuerza bruta es un bastión anfitrión, esto puede representar el comportamiento esperado en su entorno. AWS Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de
UnauthorizedAccess:EC2/SSHBruteForce
. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con un determinado valor de etiqueta de instancia.Finding type:
UnauthorizedAccess:EC2/SSHBruteForce
Instance tag value:devops
-
Recon:EC2/PortProbeUnprotectedPort: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias que se hayan visto expuestas de manera intencional.
Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de
Recon:EC2/PortProbeUnprotectedPort
. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada clave de etiqueta de instancia en la consola.Finding type:
Recon:EC2/PortProbeUnprotectedPort
Instance tag key:prod
Reglas de supresión recomendadas para los resultados de la supervisión en tiempo de ejecución de EKS
PrivilegeEscalation:Runtime/DockerSocketAccessed se genera cuando un proceso dentro de un contenedor se comunica con el socket de Docker. Es posible que haya contenedores de su entorno que necesiten acceso al socket de Docker por motivos legítimos. El acceso desde dichos contenedores generará resultados PrivilegeEscalation:Runtime/DockerSocketAccessed. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este tipo de hallazgo. Los primeros criterios deben utilizar el campo Tipo de resultado con un valor equivalente a
PrivilegeEscalation:Runtime/DockerSocketAccessed
. El segundo criterio de filtro es el campo Ruta ejecutable con un valor igual alexecutablePath
del proceso en el resultado generado. De manera alternativa, el segundo criterio de filtro puede utilizar el campo SHA-256 ejecutable con un valor igual alexecutableSha256
del proceso en el resultado generado.Los clústeres de Kubernetes ejecutan sus propios servidores DNS como pods; por ejemplo,
coredns
. Por lo tanto, para cada búsqueda de DNS desde un pod, GuardDuty captura dos eventos de DNS: uno del pod y otro del pod del servidor. Esto puede generar duplicados para los siguientes resultados de DNS:Los resultados duplicados incluirán los detalles del pod, el contenedor y el proceso que corresponden al pod de su servidor DNS. Puede configurar una regla de supresión para suprimir estos resultados duplicados utilizando estos campos. El primer criterio de filtro debe utilizar el campo Tipo de resultado con un valor igual a un tipo de resultado de DNS de la lista de resultados proporcionada anteriormente en esta sección. El segundo criterio de filtro puede ser Ruta ejecutable con un valor igual al
executablePath
del servidor DNS o SHA-256 ejecutable con un valor igual alexecutableSHA256
del servidor DNS en el resultado generado. Como tercer criterio de filtro opcional, puede utilizar el campo Imagen del contenedor de Kubernetes con un valor igual al de la imagen del contenedor del pod del servidor DNS en el resultado generado.
Para crear reglas de supresión en GuardDuty
Elija el método de acceso que prefiera para crear o gestionar las reglas de supresión GuardDuty.