Filtrado de hallazgos - Amazon GuardDuty
Creación de filtros en la consola de GuardDutyFiltro de atributos

Filtrado de hallazgos

Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puede crear fácilmente filtros de resultados con la consola de Amazon GuardDuty o puede crearlos con la API CreateFilter mediante JSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte Reglas de supresión.

Creación de filtros en la consola de GuardDuty

Los filtros de resultados se pueden crear y probar a través de la consola de GuardDuty. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.

Cuando cree filtros, tenga en cuenta lo siguiente:

  • Los filtros no aceptan comodines.

  • Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.

  • Cuando se utiliza la condición igual que o no es igual que para filtrar por un valor de atributo, como ID de cuenta, se puede especificar un máximo de 50 valores.

  • Cada atributo de los criterios de filtro se evalúa como un operador AND. Se evalúan varios valores para el mismo atributo como AND/OR.

Para filtrar resultados (consola)

  1. Elija Agregar criterios de filtro, situado sobre la lista de los resultados de GuardDuty.

  2. En la lista de atributos ampliada, seleccione los atributos que desea especificar como criterios del filtro, como ID de cuenta o Tipo de acción.

    nota

    Para obtener una lista de atributos que puede utilizar para crear criterios de filtro, consulte la tabla de atributos de filtro que se muestra en esta página.

  3. En el campo de texto que se muestra, especifique un valor para cada atributo seleccionado y, a continuación, seleccione Aplicar.

    nota

    Después de aplicar un filtro, para convertirlo a fin de excluir los resultados que coincidan con él, elija el punto negro que aparece a la izquierda del nombre del filtro. Lo que sucede en realidad es que se crea un filtro "distinto de" para el atributo seleccionado.

  4. Para guardar los atributos especificados y sus valores (criterios de filtro) como un filtro, seleccione Save (Guardar). Introduzca el nombre y la descripción del filtro y, a continuación, elija Listo.

Filtro de atributos

Al crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criterios de filtro en JSON. Estos criterios de filtro se correlacionan con el JSON de los detalles de un resultado. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de campo JSON equivalentes.

Nombre de campo de la consola

Nombre del campo JSON

ID de cuenta

accountId

ID del resultado

id

Región

region

Gravedad

severity

Si se utiliza severity con la API, la AWS CLI o AWS CloudFormation, tendrá un valor numérico. Para más información, consulte findingCriteria.

Tipo de búsqueda

type

Actualizado a las

updatedAt

Access Key ID

resource.accessKeyDetails.accessKeyId

ID principal

resource.accessKeyDetails.principalId

Nombre de usuario

resource.accessKeyDetails.userName

Tipo de usuario

resource.accessKeyDetails.userType

ID del perfil de instancia de IAM

resource.instanceDetails.iamInstanceProfile.id

ID de instancia

resource.instanceDetails.instanceId

ID de imagen de la instancia

resource.instanceDetails.imageId

Clave de etiqueta de instancia

resource.instanceDetails.tags.key

Valor de etiqueta de instancia

resource.instanceDetails.tags.value

Dirección IPv6

resource.instanceDetails.networkInterfaces.ipv6Addresses

Dirección IPv4 privada

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

Nombre DNS público

resource.instanceDetails.networkInterfaces.publicDnsName

IP pública

resource.instanceDetails.networkInterfaces.publicIp

ID de grupo de seguridad

resource.instanceDetails.networkInterfaces.securityGroups.groupId

Nombre del grupo de seguridad

resource.instanceDetails.networkInterfaces.securityGroups.groupName

ID de subred

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

ARN de Outpost

resource.instanceDetails.outpostARN

Tipo de recurso

resource.resourceType

Permisos de bucket

resource.s3BucketDetails.publicAccess.effectivePermission

Nombre del bucket

resource.s3BucketDetails.name

Clave de la etiqueta del bucket

resource.s3BucketDetails.tags.key

valor de la etiqueta del bucket

resource.s3BucketDetails.tags.value

Tipo de bucket

resource.s3BucketDetails.type

Tipo de acción

service.action.actionType

API llamada

service.action.awsApiCallAction.api

Tipo de intermediario de la API

service.action.awsApiCallAction.callerType

Código de error de la API

service.action.awsApiCallAction.errorCode

Ciudad del intermediario de la API

service.action.awsApiCallAction.remoteIpDetails.city.cityName

País del intermediario de la API

service.action.awsApiCallAction.remoteIpDetails.country.countryName

Dirección IPv4 del intermediario de la API

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

ID de ASN del intermediario de la API

service.action.awsApiCallAction.remoteIpDetails.organization.asn

Nombre ASN del intermediario de la API

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

Nombre del servicio del intermediario de la API

service.action.awsApiCallAction.serviceName

Dominio de la solicitud DNS

service.action.dnsRequestAction.domain

Sufijo de dominio de solicitud de DNS

service.action.dnsRequestAction.domainWithSuffix

Conexión de red bloqueada

service.action.networkConnectionAction.blocked

Dirección de la conexión de red

service.action.networkConnectionAction.connectionDirection

Puerto local de la conexión de red

service.action.networkConnectionAction.localPortDetails.port

Protocolo de conexión de red

service.action.networkConnectionAction.protocol

Ciudad de la conexión de red

service.action.networkConnectionAction.remoteIpDetails.city.cityName

País de la conexión de red

service.action.networkConnectionAction.remoteIpDetails.country.countryName

Dirección IPv4 remota de la conexión de red

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ID de ASN de la IP remota de la conexión de red

service.action.networkConnectionAction.remoteIpDetails.organization.asn

Nombre ASN de la IP remota de la conexión de red

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

Puerto remoto de la conexión de red

service.action.networkConnectionAction.remotePortDetails.port

Cuenta remota afiliada

service.action.awsApiCallAction.remoteAccountDetails.affiliated

Dirección IPv4 de la persona que llama a la API de Kubernetes

service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4

URI de solicitud de llamada a la API de Kubernetes

service.action.kubernetesApiCallAction.requestUri

Dirección IPv4 local de conexión de red

service.action.networkConnectionAction.localIpDetails.ipAddressV4

Protocolo

service.action.networkConnectionAction.protocol

Nombre del servicio de llamada a la API

service.action.awsApiCallAction.serviceName

ID de cuenta de la persona que llama a la API

service.action.awsApiCallAction.remoteAccountDetails.accountId

Nombre de la lista de amenazas

service.additionalInfo.threatListName

Rol de recurso

service.resourceRole

Nombre del clúster de EKS

resource.eksClusterDetails.name

Nombre de la carga de trabajo de Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.name

Nombre de espacio de la carga de trabajo de Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.namespace

Nombre de usuario de Kubernetes

resource.kubernetesDetails.kubernetesUserDetails.username

Imagen del contenedor de Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image

Prefijo de la imagen del contenedor de Kubernetes

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix

ID de análisis

service.ebsVolumeScanDetails.scanId

Nombre de la amenaza

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name

Gravedad de la amenaza

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity

SHA de archivo

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash

Nombre del clúster de ECS

resource.ecsClusterDetails.name

Imagen del contenedor de ECS

resource.ecsClusterDetails.taskDetails.containers.image

ARN de definición de tarea de ECS

resource.ecsClusterDetails.taskDetails.definitionArn

Imagen de contenedor independiente

resource.containerDetails.image

ID de instancia de base de datos

resource.rdsDbInstanceDetails.dbInstanceIdentifier

ID de clúster de base de datos

resource.rdsDbInstanceDetails.dbClusterIdentifier

Motor de base de datos

resource.rdsDbInstanceDetails.engine

Usuario de base de datos

resource.rdsDbUserDetails.user

Clave de etiqueta de instancia de base de datos

resource.rdsDbInstanceDetails.tags.key

Valor de etiqueta de instancia de base de datos

resource.rdsDbInstanceDetails.tags.value

SHA-256 ejecutable

service.runtimeDetails.process.executableSha256

Process name (Nombre del proceso)

service.runtimeDetails.process.name

Ruta de ejecución

service.runtimeDetails.process.executablePath

Nombre de la función Lambda

resource.lambdaDetails.functionName

ARN de la función Lambda

resource.lambdaDetails.functionArn

Clave de etiqueta de la función de Lambda

resource.lambdaDetails.tags.key

Valor de etiqueta de la función de Lambda

resource.lambdaDetails.tags.value

Dominio de la solicitud DNS

service.action.dnsRequestAction.domainWithSuffix