Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Filtrar los hallazgos en GuardDuty
Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la CreateFilterAPIusandoJSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte Reglas de supresión en GuardDuty.
Crear y guardar el conjunto de filtros en la GuardDuty consola
Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.
Cuando cree filtros, tenga en cuenta lo siguiente:
-
GuardDuty no admite caracteres comodín como criterios de filtrado.
-
Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.
-
Si utiliza el operador Igual o No es igual a igual para filtrar el valor de un atributo, como el ID de cuenta, puede especificar un máximo de 50 valores.
-
Cada atributo de los criterios de filtro se evalúa como un operador
AND
. Se evalúan varios valores para el mismo atributo comoAND/OR
.
Para crear y guardar los criterios de filtro (consola)
Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
En el panel de navegación izquierdo, elija Resultados.
-
En la página Hallazgos, selecciona la barra Filtrar hallazgos situada junto al menú Reglas guardadas. Aparecerá una lista ampliada de filtros de propiedades.
-
En la lista ampliada de filtros, seleccione un atributo en función del cual desee filtrar la tabla de hallazgos.
Por ejemplo, para ver los hallazgos en los que el recurso potencialmente afectado es un S3Bucket, elija el tipo de recurso.
-
En el caso de los operadores, elige uno que te ayude a filtrar los resultados para obtener el resultado deseado. Para continuar con el ejemplo del paso anterior, elija Tipo de recurso =. Aparecerá una lista de tipos de recursos en GuardDuty.
Si su caso de uso requiere excluir resultados específicos, puede elegir Does not equal or! = operador.
-
Especifique el valor del filtro de propiedades seleccionado. Si es necesario, seleccione Aplicar. Para continuar con el ejemplo del paso anterior, puedes elegir S3Bucket.
Esto mostrará los resultados que coinciden con los filtros aplicados.
-
Para añadir más de un criterio de filtro, repita los pasos 3 a 6.
Para obtener una lista completa de los atributos, consulte La propiedad se filtra en GuardDuty.
-
(Opcional) guarde los atributos y valores especificados como filtros
Para volver a aplicar esta combinación de filtros en el futuro, puede guardar los atributos especificados y sus valores como un conjunto de filtros.
-
Tras crear un criterio de filtro con uno o más filtros de propiedades, seleccione la flecha en el menú Borrar filtros.
-
Introduzca el nombre del conjunto de filtros. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), guión (-) y guión bajo (_).
-
La descripción es opcional. Si introduce una descripción, puede tener hasta 512 caracteres.
-
Seleccione Crear.
-
La propiedad se filtra en GuardDuty
Al crear filtros u ordenar los resultados mediante las API operaciones, debe especificar los criterios de filtrado enJSON. Estos criterios de filtro se correlacionan con los detalles JSON de un hallazgo. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de JSON campo equivalentes.
Nombre de campo de la consola |
Nombre de campo de JSON |
---|---|
ID de cuenta |
accountId |
ID del resultado |
id |
Región |
region |
Gravedad |
severity Puede filtrar los tipos de resultados en función de sus niveles de gravedad. Para obtener más información sobre los valores de gravedad, consulte Niveles de gravedad de los hallazgos GuardDuty . Si se usa |
Tipo de búsqueda |
type |
Actualizado a las |
updatedAt |
ID de clave de acceso |
recurso. accessKeyDetails. accessKeyId |
ID principal |
recurso. accessKeyDetails. principalId |
Nombre de usuario |
recurso. accessKeyDetails. userName |
Tipo de usuario |
recurso. accessKeyDetails. userType |
IAMID de perfil de instancia |
recurso. instanceDetails. iamInstanceProfile.id |
ID de instancia |
recurso. instanceDetails. instanceId |
ID de imagen de la instancia |
recurso. instanceDetails. imageId |
Clave de etiqueta de instancia |
recurso. instanceDetails.tags.key |
Valor de etiqueta de instancia |
recurso. instanceDetails.tags.value |
IPv6dirección |
recurso. instanceDetails. networkInterfacesDirecciones.ipv6 |
Dirección privada IPv4 |
recurso. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress |
DNSNombre público |
recurso. instanceDetails. networkInterfaces. publicDnsName |
IP pública |
recurso. instanceDetails. networkInterfaces. publicIp |
ID de grupo de seguridad |
recurso. instanceDetails. networkInterfaces. securityGroups. groupId |
Nombre del grupo de seguridad |
recurso. instanceDetails. networkInterfaces. securityGroups. groupName |
ID de subred |
recurso. instanceDetails. networkInterfaces. subnetId |
ID de VPC |
recurso. instanceDetails. networkInterfaces. vpcId |
Puesto avanzado ARN |
recurso. instanceDetails.outpost ARN |
Tipo de recurso |
recurso. resourceType |
Permisos de bucket |
recursos.3. BucketDetails publicAccess. effectivePermission |
Nombre del bucket |
recurso.s3 .nombre BucketDetails |
Clave de la etiqueta del bucket |
recurso.s3 BucketDetails .tags.key |
valor de la etiqueta del bucket |
recurso.s3 BucketDetails .tags.value |
Tipo de bucket |
recursos.s3 BucketDetails .type |
Tipo de acción |
servicio.acción. actionType |
APIllamado |
service.action. awsApiCallAcción.api |
APItipo de persona que llama |
servicio.acción. awsApiCallAcción. callerType |
APICódigo de error |
service.action. awsApiCallAcción. errorCode |
APIciudad de la persona que llama |
servicio.acción. awsApiCallAcción. remoteIpDetails.ciudad. cityName |
APIpaís de la persona que llama |
servicio.acción. awsApiCallAcción. remoteIpDetails.país. countryName |
APIdirección de la persona que llama IPv4 |
servicio.acción. awsApiCallAcción. remoteIpDetails. ipAddressV4 |
APIdirección de la persona que llama IPv6 |
servicio.acción. awsApiCallAcción. remoteIpDetails. ipAddressV6 |
APIidentificador de llamadas ASN |
servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn |
APInombre de la persona que llama ASN |
servicio.acción. awsApiCallAcción. remoteIpDetails.organización. asnOrg |
APInombre del servicio de llamadas |
service.action. awsApiCallAcción. serviceName |
DNSsolicitar dominio |
service.action. dnsRequestAction.dominio |
DNSsolicitar sufijo de dominio |
service.action. dnsRequestAction. domainWithSuffix |
Conexión de red bloqueada |
servicio.acción. networkConnectionAction.bloqueado |
Dirección de la conexión de red |
servicio.acción. networkConnectionAction. connectionDirection |
Puerto local de la conexión de red |
servicio.acción. networkConnectionAction. localPortDetails.port |
Protocolo de conexión de red |
servicio.acción. networkConnectionAction.protocolo |
Ciudad de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.ciudad. cityName |
País de la conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.país. countryName |
IPv4Dirección remota de conexión de red |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV4 |
IPv6Dirección remota de conexión de red |
service.action. networkConnectionAction. remoteIpDetails. ipAddressV6 |
ASNID IP remota de conexión de red |
servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn |
Nombre de IP remota de la conexión de red ASN |
service.action. networkConnectionAction. remoteIpDetails.organización. asnOrg |
Puerto remoto de la conexión de red |
servicio.acción. networkConnectionAction. remotePortDetails.port |
Cuenta remota afiliada |
servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado. |
Dirección de llamadas de Kubernetes API IPv4 |
servicio.acción. kubernetesApiCallAcción. remoteIpDetails. ipAddressV4 |
Dirección de llamadas de Kubernetes API IPv6 |
servicio.acción. kubernetesApiCallAcción. remoteIpDetails. ipAddressV6 |
Espacio de nombres de Kubernetes |
servicio.acción. kubernetesApiCallAction.namespace |
Identificador de llamadas de Kubernetes API ASN |
servicio.acción. kubernetesApiCallAcción. remoteIpDetails.organization.asn |
Solicitud de llamada de Kubernetes API URI |
servicio.acción. kubernetesApiCallAcción. requestUri |
Código de estado de Kubernetes API |
service.action. kubernetesApiCallAcción. statusCode |
IPv4Dirección local de conexión de red |
service.action. networkConnectionAction. localIpDetails. ipAddressV4 |
IPv6Dirección local de conexión de red |
service.action. networkConnectionAction. localIpDetails. ipAddressV6 |
Protocolo |
servicio.acción. networkConnectionAction.protocolo |
APInombre del servicio de llamadas |
service.action. awsApiCallAcción. serviceName |
APIID de cuenta de la persona que llama |
service.action. awsApiCallAcción. remoteAccountDetails. accountId |
Nombre de la lista de amenazas |
servicio. additionalInfo. threatListName |
Rol de recurso |
servicio. resourceRole |
EKSnombre del clúster |
recurso. eksClusterDetails.nombre |
Nombre de la carga de trabajo de Kubernetes |
recurso. kubernetesDetails. kubernetesWorkloadDetails.nombre |
Nombre de espacio de la carga de trabajo de Kubernetes |
recurso. kubernetesDetails. kubernetesWorkloadDetails.espacio de nombres |
Nombre de usuario de Kubernetes |
recurso. kubernetesDetails. kubernetesUserDetails.nombre de usuario |
Imagen del contenedor de Kubernetes |
recurso. kubernetesDetails. kubernetesWorkloadDetails.containers.image |
Prefijo de la imagen del contenedor de Kubernetes |
recurso. kubernetesDetails. kubernetesWorkloadDetails.contenedores. imagePrefix |
ID de análisis |
servicio. ebsVolumeScanDetalles. scanId |
EBSnombre de la amenaza de escaneo de volumen |
servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames.nombre |
Nombre de la amenaza de análisis de objetos de S3 |
servicio. malwareScanDetails.threats.name |
Gravedad de la amenaza |
servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames.severidad |
Archivo SHA |
servicio. ebsVolumeScanDetalles. scanDetections. threatDetectedByNombre. threatNames. filePaths.hash |
ECSnombre del clúster |
recurso. ecsClusterDetails.nombre |
Imagen de contenedor de ECS |
recurso. ecsClusterDetails. taskDetails.containers.image |
ECSdefinición de tarea ARN |
recurso. ecsClusterDetails. taskDetails. definitionArn |
Imagen de contenedor independiente |
recurso. containerDetails.imagen |
ID de instancia de base de datos |
recurso. rdsDbInstanceDetalles. dbInstanceIdentifier |
ID de clúster de base de datos |
recurso. rdsDbInstanceDetalles. dbClusterIdentifier |
Motor de base de datos |
recurso. rdsDbInstanceDetalles. Motor |
Usuario de base de datos |
recurso. rdsDbUserDetalles. Usuario |
Clave de etiqueta de instancia de base de datos |
recurso. rdsDbInstanceDetails.tags.key |
Valor de etiqueta de instancia de base de datos |
recurso. rdsDbInstanceDetalles.Etiquetas.Valor |
Ejecutable: 256 SHA |
servicio. runtimeDetails.proceso. executableSha256 |
Process name (Nombre del proceso) |
servicio. runtimeDetails.process.name |
Ruta de ejecución |
servicio. runtimeDetails.proceso. executablePath |
Nombre de la función Lambda |
recurso. lambdaDetails. functionName |
Función Lambda ARN |
recurso. lambdaDetails. functionArn |
Clave de etiqueta de la función de Lambda |
recurso. lambdaDetails.tags.key |
Valor de etiqueta de la función de Lambda |
recurso. lambdaDetails.tags.value |
DNSsolicitar dominio |
service.action. dnsRequestAction. domainWithSuffix |