Filtrar los hallazgos en GuardDuty - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Filtrar los hallazgos en GuardDuty

Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la CreateFilterAPIusandoJSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte Reglas de supresión en GuardDuty.

Crear y guardar el conjunto de filtros en la GuardDuty consola

Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.

Cuando cree filtros, tenga en cuenta lo siguiente:

  • GuardDuty no admite caracteres comodín como criterios de filtrado.

  • Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.

  • Si utiliza el operador Igual o No es igual a igual para filtrar el valor de un atributo, como el ID de cuenta, puede especificar un máximo de 50 valores.

  • Cada atributo de los criterios de filtro se evalúa como un operador AND. Se evalúan varios valores para el mismo atributo como AND/OR.

Para crear y guardar los criterios de filtro (consola)
  1. Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación izquierdo, elija Resultados.

  3. En la página Hallazgos, selecciona la barra Filtrar hallazgos situada junto al menú Reglas guardadas. Aparecerá una lista ampliada de filtros de propiedades.

    Seleccionar filtros de propiedades para filtrar los resultados en la GuardDuty consola.
  4. En la lista ampliada de filtros, seleccione un atributo en función del cual desee filtrar la tabla de hallazgos.

    Por ejemplo, para ver los hallazgos en los que el recurso potencialmente afectado es un S3Bucket, elija el tipo de recurso.

  5. En el caso de los operadores, elige uno que te ayude a filtrar los resultados para obtener el resultado deseado. Para continuar con el ejemplo del paso anterior, elija Tipo de recurso =. Aparecerá una lista de tipos de recursos en GuardDuty.

    Al seleccionar el operador igual o no igual a igual para filtrar los resultados en GuardDuty la consola.

    Si su caso de uso requiere excluir resultados específicos, puede elegir Does not equal or! = operador.

  6. Especifique el valor del filtro de propiedades seleccionado. Si es necesario, seleccione Aplicar. Para continuar con el ejemplo del paso anterior, puedes elegir S3Bucket.

    Esto mostrará los resultados que coinciden con los filtros aplicados.

  7. Para añadir más de un criterio de filtro, repita los pasos 3 a 6.

    Para obtener una lista completa de los atributos, consulte La propiedad se filtra en GuardDuty.

  8. (Opcional) guarde los atributos y valores especificados como filtros

    Para volver a aplicar esta combinación de filtros en el futuro, puede guardar los atributos especificados y sus valores como un conjunto de filtros.

    1. Tras crear un criterio de filtro con uno o más filtros de propiedades, seleccione la flecha en el menú Borrar filtros.

      Guardar un conjunto de filtros en la GuardDuty consola para poder volver a filtrar los resultados.
    2. Introduzca el nombre del conjunto de filtros. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), guión (-) y guión bajo (_).

    3. La descripción es opcional. Si introduce una descripción, puede tener hasta 512 caracteres.

    4. Seleccione Crear.

La propiedad se filtra en GuardDuty

Al crear filtros u ordenar los resultados mediante las API operaciones, debe especificar los criterios de filtrado enJSON. Estos criterios de filtro se correlacionan con los detalles JSON de un hallazgo. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de JSON campo equivalentes.

Nombre de campo de la consola

Nombre de campo de JSON

ID de cuenta

accountId

ID del resultado

id

Región

region

Gravedad

severity

Puede filtrar los tipos de resultados en función de sus niveles de gravedad. Para obtener más información sobre los valores de gravedad, consulte Niveles de gravedad de los hallazgos GuardDuty . Si se usa severity conAPI, o AWS CLI AWS CloudFormation, se le asigna un valor numérico. Para obtener más información, consulta findingCriteriaAmazon GuardDuty API Reference.

Tipo de búsqueda

type

Actualizado a las

updatedAt

ID de clave de acceso

recurso. accessKeyDetails. accessKeyId

ID principal

recurso. accessKeyDetails. principalId

Nombre de usuario

recurso. accessKeyDetails. userName

Tipo de usuario

recurso. accessKeyDetails. userType

IAMID de perfil de instancia

recurso. instanceDetails. iamInstanceProfile.id

ID de instancia

recurso. instanceDetails. instanceId

ID de imagen de la instancia

recurso. instanceDetails. imageId

Clave de etiqueta de instancia

recurso. instanceDetails.tags.key

Valor de etiqueta de instancia

recurso. instanceDetails.tags.value

IPv6dirección

recurso. instanceDetails. networkInterfacesDirecciones.ipv6

Dirección privada IPv4

recurso. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

DNSNombre público

recurso. instanceDetails. networkInterfaces. publicDnsName

IP pública

recurso. instanceDetails. networkInterfaces. publicIp

ID de grupo de seguridad

recurso. instanceDetails. networkInterfaces. securityGroups. groupId

Nombre del grupo de seguridad

recurso. instanceDetails. networkInterfaces. securityGroups. groupName

ID de subred

recurso. instanceDetails. networkInterfaces. subnetId

ID de VPC

recurso. instanceDetails. networkInterfaces. vpcId

Puesto avanzado ARN

recurso. instanceDetails.outpost ARN

Tipo de recurso

recurso. resourceType

Permisos de bucket

recursos.3. BucketDetails publicAccess. effectivePermission

Nombre del bucket

recurso.s3 .nombre BucketDetails

Clave de la etiqueta del bucket

recurso.s3 BucketDetails .tags.key

valor de la etiqueta del bucket

recurso.s3 BucketDetails .tags.value

Tipo de bucket

recursos.s3 BucketDetails .type

Tipo de acción

servicio.acción. actionType

APIllamado

service.action. awsApiCallAcción.api

APItipo de persona que llama

servicio.acción. awsApiCallAcción. callerType

APICódigo de error

service.action. awsApiCallAcción. errorCode

APIciudad de la persona que llama

servicio.acción. awsApiCallAcción. remoteIpDetails.ciudad. cityName

APIpaís de la persona que llama

servicio.acción. awsApiCallAcción. remoteIpDetails.país. countryName

APIdirección de la persona que llama IPv4

servicio.acción. awsApiCallAcción. remoteIpDetails. ipAddressV4

APIdirección de la persona que llama IPv6

servicio.acción. awsApiCallAcción. remoteIpDetails. ipAddressV6

APIidentificador de llamadas ASN

servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn

APInombre de la persona que llama ASN

servicio.acción. awsApiCallAcción. remoteIpDetails.organización. asnOrg

APInombre del servicio de llamadas

service.action. awsApiCallAcción. serviceName

DNSsolicitar dominio

service.action. dnsRequestAction.dominio

DNSsolicitar sufijo de dominio

service.action. dnsRequestAction. domainWithSuffix

Conexión de red bloqueada

servicio.acción. networkConnectionAction.bloqueado

Dirección de la conexión de red

servicio.acción. networkConnectionAction. connectionDirection

Puerto local de la conexión de red

servicio.acción. networkConnectionAction. localPortDetails.port

Protocolo de conexión de red

servicio.acción. networkConnectionAction.protocolo

Ciudad de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.ciudad. cityName

País de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.país. countryName

IPv4Dirección remota de conexión de red

service.action. networkConnectionAction. remoteIpDetails. ipAddressV4

IPv6Dirección remota de conexión de red

service.action. networkConnectionAction. remoteIpDetails. ipAddressV6

ASNID IP remota de conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn

Nombre de IP remota de la conexión de red ASN

service.action. networkConnectionAction. remoteIpDetails.organización. asnOrg

Puerto remoto de la conexión de red

servicio.acción. networkConnectionAction. remotePortDetails.port

Cuenta remota afiliada

servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado.

Dirección de llamadas de Kubernetes API IPv4

servicio.acción. kubernetesApiCallAcción. remoteIpDetails. ipAddressV4

Dirección de llamadas de Kubernetes API IPv6

servicio.acción. kubernetesApiCallAcción. remoteIpDetails. ipAddressV6

Espacio de nombres de Kubernetes

servicio.acción. kubernetesApiCallAction.namespace

Identificador de llamadas de Kubernetes API ASN

servicio.acción. kubernetesApiCallAcción. remoteIpDetails.organization.asn

Solicitud de llamada de Kubernetes API URI

servicio.acción. kubernetesApiCallAcción. requestUri

Código de estado de Kubernetes API

service.action. kubernetesApiCallAcción. statusCode

IPv4Dirección local de conexión de red

service.action. networkConnectionAction. localIpDetails. ipAddressV4

IPv6Dirección local de conexión de red

service.action. networkConnectionAction. localIpDetails. ipAddressV6

Protocolo

servicio.acción. networkConnectionAction.protocolo

APInombre del servicio de llamadas

service.action. awsApiCallAcción. serviceName

APIID de cuenta de la persona que llama

service.action. awsApiCallAcción. remoteAccountDetails. accountId

Nombre de la lista de amenazas

servicio. additionalInfo. threatListName

Rol de recurso

servicio. resourceRole

EKSnombre del clúster

recurso. eksClusterDetails.nombre

Nombre de la carga de trabajo de Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.nombre

Nombre de espacio de la carga de trabajo de Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.espacio de nombres

Nombre de usuario de Kubernetes

recurso. kubernetesDetails. kubernetesUserDetails.nombre de usuario

Imagen del contenedor de Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.containers.image

Prefijo de la imagen del contenedor de Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.contenedores. imagePrefix

ID de análisis

servicio. ebsVolumeScanDetalles. scanId

EBSnombre de la amenaza de escaneo de volumen

servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames.nombre

Nombre de la amenaza de análisis de objetos de S3

servicio. malwareScanDetails.threats.name

Gravedad de la amenaza

servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames.severidad

Archivo SHA

servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames. filePaths.hash

ECSnombre del clúster

recurso. ecsClusterDetails.nombre

Imagen de contenedor de ECS

recurso. ecsClusterDetails. taskDetails.containers.image

ECSdefinición de tarea ARN

recurso. ecsClusterDetails. taskDetails. definitionArn

Imagen de contenedor independiente

recurso. containerDetails.imagen

ID de instancia de base de datos

recurso. rdsDbInstanceDetalles. dbInstanceIdentifier

ID de clúster de base de datos

recurso. rdsDbInstanceDetalles. dbClusterIdentifier

Motor de base de datos

recurso. rdsDbInstanceDetalles. Motor

Usuario de base de datos

recurso. rdsDbUserDetalles. Usuario

Clave de etiqueta de instancia de base de datos

recurso. rdsDbInstanceDetails.tags.key

Valor de etiqueta de instancia de base de datos

recurso. rdsDbInstanceDetalles.Etiquetas.Valor

Ejecutable: 256 SHA

servicio. runtimeDetails.proceso. executableSha256

Process name (Nombre del proceso)

servicio. runtimeDetails.process.name

Ruta de ejecución

servicio. runtimeDetails.proceso. executablePath

Nombre de la función Lambda

recurso. lambdaDetails. functionName

Función Lambda ARN

recurso. lambdaDetails. functionArn

Clave de etiqueta de la función de Lambda

recurso. lambdaDetails.tags.key

Valor de etiqueta de la función de Lambda

recurso. lambdaDetails.tags.value

DNSsolicitar dominio

service.action. dnsRequestAction. domainWithSuffix