Filtrado de resultados - Amazon GuardDuty
Crear filtros en la GuardDuty consolaFiltro de atributos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Filtrado de resultados

Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la CreateFilterAPI mediante JSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte Reglas de supresión.

Crear filtros en la GuardDuty consola

Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.

Cuando cree filtros, tenga en cuenta lo siguiente:

  • Los filtros no aceptan comodines.

  • Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.

  • Cuando se utiliza la condición igual que o no es igual que para filtrar por un valor de atributo, como ID de cuenta, se puede especificar un máximo de 50 valores.

  • Cada atributo de los criterios de filtro se evalúa como un operador AND. Se evalúan varios valores para el mismo atributo como AND/OR.

Filtrado de resultados (consola)

  1. Selecciona Añadir criterios de filtro sobre la lista de GuardDuty resultados que se muestra.

  2. En la lista de atributos ampliada, seleccione los atributos que desea especificar como criterios del filtro, como ID de cuenta o Tipo de acción.

    nota

    Para obtener una lista de atributos que puede utilizar para crear criterios de filtro, consulte la tabla de atributos de filtro que se muestra en esta página.

  3. En el campo de texto que se muestra, especifique un valor para cada atributo seleccionado y, a continuación, seleccione Aplicar.

    nota

    Después de aplicar un filtro, para convertirlo a fin de excluir los resultados que coincidan con él, elija el punto negro que aparece a la izquierda del nombre del filtro. Lo que sucede en realidad es que se crea un filtro "distinto de" para el atributo seleccionado.

  4. Para guardar los atributos especificados y sus valores (criterios de filtro) como un filtro, seleccione Save (Guardar). Introduzca el nombre y la descripción del filtro y, a continuación, elija Listo.

Filtro de atributos

Al crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criterios de filtro en JSON. Estos criterios de filtro se correlacionan con el JSON de los detalles de un resultado. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de campo JSON equivalentes.

Nombre de campo de la consola

Nombre del campo JSON

ID de cuenta

accountId

ID del resultado

id

Región

región

Gravedad

severity

Si lo usas severity con la API AWS CLI AWS CloudFormation, o tendrá un valor numérico. Para más información, consulte findingCriteria.

Tipo de búsqueda

type

Actualizado a las

updatedAt

ID de clave de acceso)

recurso. accessKeyDetails. accessKeyId

ID principal

recurso. accessKeyDetails. ID principal

Nombre de usuario

recurso. accessKeyDetails.nombre de usuario

Tipo de usuario

recurso. accessKeyDetails.Tipo de usuario

ID del perfil de instancia de IAM

Resource.Detalles de la instancia. iamInstanceProfile.id

ID de instancia

resource.instanceDetails.instanceId

ID de imagen de la instancia

resource.instanceDetails.imageId

Clave de etiqueta de instancia

resource.instanceDetails.tags.key

Valor de etiqueta de instancia

resource.instanceDetails.tags.value

Dirección IPv6

resource.instanceDetails.networkInterfaces.ipv6Addresses

Dirección IPv4 privada

resource.instanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress

Nombre DNS público

Resource.InstanceDetails.Interfaces de red. publicDnsName

IP pública

resource.instanceDetails.networkInterfaces.publicIp

ID de grupo de seguridad

resource.instanceDetails.networkInterfaces.securityGroups.groupId

Nombre del grupo de seguridad

resource.instanceDetails.networkInterfaces.securityGroups.groupName

ID de subred

resource.instanceDetails.networkInterfaces.subnetId

ID de VPC

resource.instanceDetails.networkInterfaces.vpcId

ARN de Outpost

resource.instanceDetails.outpostARN

Tipo de recurso

resource.resourceType

Permisos de bucket

resource.s3BucketDetails. Acceso público. Permiso efectivo

Nombre del bucket

recurso.s3 BucketDetails .name

Clave de la etiqueta del bucket

recurso.s3 BucketDetails .tags.key

valor de la etiqueta del bucket

recurso.s3 BucketDetails .tags.value

Tipo de bucket

recursos.s3 BucketDetails .type

Tipo de acción

service.action.actionType

API llamada

servicio.acción. awsApiCallAcción.api

Tipo de intermediario de la API

servicio.acción. awsApiCallAction.CallerType

Código de error de la API

servicio.acción. awsApiCallAcción. Código de error

Ciudad del intermediario de la API

servicio.acción. awsApiCallAcción. remoteIpDetails.city.CityName

País del intermediario de la API

service.action. awsApiCallAcción. remoteIpDetails.país.Nombre del país

Dirección IPv4 del intermediario de la API

servicio.acción. awsApiCallAcción. remoteIpDetails.Dirección IP V4

Dirección IPv6 de la persona que llama a la API

service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V6

ID de ASN del intermediario de la API

servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn

Nombre ASN del intermediario de la API

servicio.acción. awsApiCallAcción. remoteIpDetails.Organización. Asnorg

Nombre del servicio del intermediario de la API

servicio.acción. awsApiCallAction.serviceName

Dominio de la solicitud DNS

servicio.acción. dnsRequestAction.dominio

Sufijo de dominio de solicitud de DNS

service.action. dnsRequestAction. domainWithSuffix

Conexión de red bloqueada

servicio.acción. networkConnectionAction.bloqueado

Dirección de la conexión de red

servicio.acción. networkConnectionAction. Dirección de conexión

Puerto local de la conexión de red

servicio.acción. networkConnectionAction. localPortDetails.port

Protocolo de conexión de red

servicio.acción. networkConnectionAction.protocolo

Ciudad de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.city.nombre de la ciudad

País de la conexión de red

service.action. networkConnectionAction. remoteIpDetails. País. Nombre del país

Dirección IPv4 remota de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.Dirección IP V4

Dirección IPv6 remota de conexión de red

service.action. networkConnectionAction. remoteIpDetails.Dirección IP V6

ID de ASN de la IP remota de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn

Nombre ASN de la IP remota de la conexión de red

servicio.acción. networkConnectionAction. remoteIpDetails. Organización. Asnorg

Puerto remoto de la conexión de red

servicio.acción. networkConnectionAction. remotePortDetails.port

Cuenta remota afiliada

servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado

Dirección IPv4 de la persona que llama a la API de Kubernetes

servicio.acción. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V4

Dirección IPv6 de la persona que llama a la API de Kubernetes

service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V6

Espacio de nombres de Kubernetes

servicio.acción. kubernetesApiCallAction.namespace

ID de ASN que llama a la API de Kubernetes

service.action. kubernetesApiCallAcción. remoteIpDetails.organization.asn

URI de solicitud de llamada a la API de Kubernetes

servicio.acción. kubernetesApiCallAcción.URI de solicitud

Código de estado de la API de Kubernetes

service.action. kubernetesApiCallAcción. Código de estado

Dirección IPv4 local de conexión de red

servicio.acción. networkConnectionAction. localIpDetails.Dirección IP V4

Dirección IPv6 local de conexión de red

service.action. networkConnectionAction. localIpDetails.Dirección IP V6

Protocolo

servicio.acción. networkConnectionAction.protocolo

Nombre del servicio de llamada a la API

servicio.acción. awsApiCallAction.serviceName

ID de cuenta de la persona que llama a la API

servicio.acción. awsApiCallAcción. remoteAccountDetails. ID de cuenta

Nombre de la lista de amenazas

Servicio. Información adicional. threatListName

Rol de recurso

service.resourceRole

Nombre del clúster de EKS

recurso. eksClusterDetails.nombre

Nombre de la carga de trabajo de Kubernetes

resource.Detalles de Kubernetes. kubernetesWorkloadDetails.nombre

Nombre de espacio de la carga de trabajo de Kubernetes

resource.Detalles de Kubernetes. kubernetesWorkloadDetails.espacio de nombres

Nombre de usuario de Kubernetes

Resource.Detalles de Kubernetes. kubernetesUserDetails.nombre de usuario

Imagen del contenedor de Kubernetes

Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.contenedores.imagen

Prefijo de la imagen del contenedor de Kubernetes

Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.containers.prefijo de imagen

ID de análisis

servicio. ebsVolumeScanDetalles. Scanid

Nombre de la amenaza

servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.name

Gravedad de la amenaza

servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.Severity

SHA de archivo

servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.threatNames.FilePaths.hash

Nombre del clúster de ECS

recurso. ecsClusterDetails.nombre

Imagen del contenedor de ECS

recurso. ecsClusterDetails.taskDetails.Containers.Image

ARN de definición de tarea de ECS

recurso. ecsClusterDetails.taskDetails.definitionARN

Imagen de contenedor independiente

resource.containerDetails.image

ID de instancia de base de datos

recurso. rdsDbInstanceDetalles. dbInstanceIdentifier

ID de clúster de base de datos

recurso. rdsDbInstanceDetalles. dbClusterIdentifier

Motor de base de datos

recurso. rdsDbInstanceDetalles. Motor

Usuario de base de datos

recurso. rdsDbUserDetalles. Usuario

Clave de etiqueta de instancia de base de datos

recurso. rdsDbInstanceDetails.tags.key

Valor de etiqueta de instancia de base de datos

recurso. rdsDbInstanceDetalles.Etiquetas.Valor

SHA-256 ejecutable

service.runtimeDetails.process.executableSha256

Process name (Nombre del proceso)

service.runtimeDetails.process.name

Ruta de ejecución

service.runtimeDetails.process.executablePath

Nombre de la función Lambda

resource.lambdaDetails.functionName

ARN de la función Lambda

resource.lambdaDetails.functionArn

Clave de etiqueta de la función de Lambda

resource.lambdaDetails.tags.key

Valor de etiqueta de la función de Lambda

resource.lambdaDetails.tags.value

Dominio de la solicitud DNS

servicio.acción. dnsRequestAction. domainWithSuffix