Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Filtrado de resultados
Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la CreateFilterAPI mediante JSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte Reglas de supresión.
Crear filtros en la GuardDuty consola
Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.
Cuando cree filtros, tenga en cuenta lo siguiente:
-
Los filtros no aceptan comodines.
-
Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.
-
Cuando se utiliza la condición igual que o no es igual que para filtrar por un valor de atributo, como ID de cuenta, se puede especificar un máximo de 50 valores.
-
Cada atributo de los criterios de filtro se evalúa como un operador
AND
. Se evalúan varios valores para el mismo atributo comoAND/OR
.
Filtrado de resultados (consola)
-
Selecciona Añadir criterios de filtro sobre la lista de GuardDuty resultados que se muestra.
-
En la lista de atributos ampliada, seleccione los atributos que desea especificar como criterios del filtro, como ID de cuenta o Tipo de acción.
nota
Para obtener una lista de atributos que puede utilizar para crear criterios de filtro, consulte la tabla de atributos de filtro que se muestra en esta página.
-
En el campo de texto que se muestra, especifique un valor para cada atributo seleccionado y, a continuación, seleccione Aplicar.
nota
Después de aplicar un filtro, para convertirlo a fin de excluir los resultados que coincidan con él, elija el punto negro que aparece a la izquierda del nombre del filtro. Lo que sucede en realidad es que se crea un filtro "distinto de" para el atributo seleccionado.
-
Para guardar los atributos especificados y sus valores (criterios de filtro) como un filtro, seleccione Save (Guardar). Introduzca el nombre y la descripción del filtro y, a continuación, elija Listo.
Filtro de atributos
Al crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criterios de filtro en JSON. Estos criterios de filtro se correlacionan con el JSON de los detalles de un resultado. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de campo JSON equivalentes.
Nombre de campo de la consola |
Nombre del campo JSON |
---|---|
ID de cuenta |
accountId |
ID del resultado |
id |
Región |
región |
Gravedad |
severity Si lo usas |
Tipo de búsqueda |
type |
Actualizado a las |
updatedAt |
ID de clave de acceso) |
recurso. accessKeyDetails. accessKeyId |
ID principal |
recurso. accessKeyDetails. ID principal |
Nombre de usuario |
recurso. accessKeyDetails.nombre de usuario |
Tipo de usuario |
recurso. accessKeyDetails.Tipo de usuario |
ID del perfil de instancia de IAM |
Resource.Detalles de la instancia. iamInstanceProfile.id |
ID de instancia |
resource.instanceDetails.instanceId |
ID de imagen de la instancia |
resource.instanceDetails.imageId |
Clave de etiqueta de instancia |
resource.instanceDetails.tags.key |
Valor de etiqueta de instancia |
resource.instanceDetails.tags.value |
Dirección IPv6 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
Dirección IPv4 privada |
resource.instanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress |
Nombre DNS público |
Resource.InstanceDetails.Interfaces de red. publicDnsName |
IP pública |
resource.instanceDetails.networkInterfaces.publicIp |
ID de grupo de seguridad |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
Nombre del grupo de seguridad |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
ID de subred |
resource.instanceDetails.networkInterfaces.subnetId |
ID de VPC |
resource.instanceDetails.networkInterfaces.vpcId |
ARN de Outpost |
resource.instanceDetails.outpostARN |
Tipo de recurso |
resource.resourceType |
Permisos de bucket |
resource.s3BucketDetails. Acceso público. Permiso efectivo |
Nombre del bucket |
recurso.s3 BucketDetails .name |
Clave de la etiqueta del bucket |
recurso.s3 BucketDetails .tags.key |
valor de la etiqueta del bucket |
recurso.s3 BucketDetails .tags.value |
Tipo de bucket |
recursos.s3 BucketDetails .type |
Tipo de acción |
service.action.actionType |
API llamada |
servicio.acción. awsApiCallAcción.api |
Tipo de intermediario de la API |
servicio.acción. awsApiCallAction.CallerType |
Código de error de la API |
servicio.acción. awsApiCallAcción. Código de error |
Ciudad del intermediario de la API |
servicio.acción. awsApiCallAcción. remoteIpDetails.city.CityName |
País del intermediario de la API |
service.action. awsApiCallAcción. remoteIpDetails.país.Nombre del país |
Dirección IPv4 del intermediario de la API |
servicio.acción. awsApiCallAcción. remoteIpDetails.Dirección IP V4 |
Dirección IPv6 de la persona que llama a la API |
service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V6 |
ID de ASN del intermediario de la API |
servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn |
Nombre ASN del intermediario de la API |
servicio.acción. awsApiCallAcción. remoteIpDetails.Organización. Asnorg |
Nombre del servicio del intermediario de la API |
servicio.acción. awsApiCallAction.serviceName |
Dominio de la solicitud DNS |
servicio.acción. dnsRequestAction.dominio |
Sufijo de dominio de solicitud de DNS |
service.action. dnsRequestAction. domainWithSuffix |
Conexión de red bloqueada |
servicio.acción. networkConnectionAction.bloqueado |
Dirección de la conexión de red |
servicio.acción. networkConnectionAction. Dirección de conexión |
Puerto local de la conexión de red |
servicio.acción. networkConnectionAction. localPortDetails.port |
Protocolo de conexión de red |
servicio.acción. networkConnectionAction.protocolo |
Ciudad de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.city.nombre de la ciudad |
País de la conexión de red |
service.action. networkConnectionAction. remoteIpDetails. País. Nombre del país |
Dirección IPv4 remota de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.Dirección IP V4 |
Dirección IPv6 remota de conexión de red |
service.action. networkConnectionAction. remoteIpDetails.Dirección IP V6 |
ID de ASN de la IP remota de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn |
Nombre ASN de la IP remota de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails. Organización. Asnorg |
Puerto remoto de la conexión de red |
servicio.acción. networkConnectionAction. remotePortDetails.port |
Cuenta remota afiliada |
servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado |
Dirección IPv4 de la persona que llama a la API de Kubernetes |
servicio.acción. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V4 |
Dirección IPv6 de la persona que llama a la API de Kubernetes |
service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V6 |
Espacio de nombres de Kubernetes |
servicio.acción. kubernetesApiCallAction.namespace |
ID de ASN que llama a la API de Kubernetes |
service.action. kubernetesApiCallAcción. remoteIpDetails.organization.asn |
URI de solicitud de llamada a la API de Kubernetes |
servicio.acción. kubernetesApiCallAcción.URI de solicitud |
Código de estado de la API de Kubernetes |
service.action. kubernetesApiCallAcción. Código de estado |
Dirección IPv4 local de conexión de red |
servicio.acción. networkConnectionAction. localIpDetails.Dirección IP V4 |
Dirección IPv6 local de conexión de red |
service.action. networkConnectionAction. localIpDetails.Dirección IP V6 |
Protocolo |
servicio.acción. networkConnectionAction.protocolo |
Nombre del servicio de llamada a la API |
servicio.acción. awsApiCallAction.serviceName |
ID de cuenta de la persona que llama a la API |
servicio.acción. awsApiCallAcción. remoteAccountDetails. ID de cuenta |
Nombre de la lista de amenazas |
Servicio. Información adicional. threatListName |
Rol de recurso |
service.resourceRole |
Nombre del clúster de EKS |
recurso. eksClusterDetails.nombre |
Nombre de la carga de trabajo de Kubernetes |
resource.Detalles de Kubernetes. kubernetesWorkloadDetails.nombre |
Nombre de espacio de la carga de trabajo de Kubernetes |
resource.Detalles de Kubernetes. kubernetesWorkloadDetails.espacio de nombres |
Nombre de usuario de Kubernetes |
Resource.Detalles de Kubernetes. kubernetesUserDetails.nombre de usuario |
Imagen del contenedor de Kubernetes |
Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.contenedores.imagen |
Prefijo de la imagen del contenedor de Kubernetes |
Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.containers.prefijo de imagen |
ID de análisis |
servicio. ebsVolumeScanDetalles. Scanid |
Nombre de la amenaza |
servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.name |
Gravedad de la amenaza |
servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.Severity |
SHA de archivo |
servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.threatNames.FilePaths.hash |
Nombre del clúster de ECS |
recurso. ecsClusterDetails.nombre |
Imagen del contenedor de ECS |
recurso. ecsClusterDetails.taskDetails.Containers.Image |
ARN de definición de tarea de ECS |
recurso. ecsClusterDetails.taskDetails.definitionARN |
Imagen de contenedor independiente |
resource.containerDetails.image |
ID de instancia de base de datos |
recurso. rdsDbInstanceDetalles. dbInstanceIdentifier |
ID de clúster de base de datos |
recurso. rdsDbInstanceDetalles. dbClusterIdentifier |
Motor de base de datos |
recurso. rdsDbInstanceDetalles. Motor |
Usuario de base de datos |
recurso. rdsDbUserDetalles. Usuario |
Clave de etiqueta de instancia de base de datos |
recurso. rdsDbInstanceDetails.tags.key |
Valor de etiqueta de instancia de base de datos |
recurso. rdsDbInstanceDetalles.Etiquetas.Valor |
SHA-256 ejecutable |
service.runtimeDetails.process.executableSha256 |
Process name (Nombre del proceso) |
service.runtimeDetails.process.name |
Ruta de ejecución |
service.runtimeDetails.process.executablePath |
Nombre de la función Lambda |
resource.lambdaDetails.functionName |
ARN de la función Lambda |
resource.lambdaDetails.functionArn |
Clave de etiqueta de la función de Lambda |
resource.lambdaDetails.tags.key |
Valor de etiqueta de la función de Lambda |
resource.lambdaDetails.tags.value |
Dominio de la solicitud DNS |
servicio.acción. dnsRequestAction. domainWithSuffix |