Cas d'utilisation courants des règles de suppression et exemples Création de règles de suppression Suppression de règles de suppression

Règles de suppression

Une règle de suppression est un ensemble de critères, composés d'un attribut de filtre associé à une valeur, utilisés pour filtrer les résultats en archivant automatiquement les nouveaux résultats qui correspondent aux critères spécifiés. Les règles de suppression peuvent être utilisées pour filtrer les résultats de faible valeur, les faux positifs ou les menaces sur lesquelles vous n'avez pas l'intention d'agir. Cela facilite la reconnaissance des menaces de sécurité ayant le plus d'impact sur votre environnement.

Après avoir créé une règle de suppression, les nouveaux résultats qui correspondent aux critères définis dans la règle sont automatiquement archivés tant que la règle de suppression est active. Vous pouvez utiliser un filtre existant pour créer une règle de suppression ou créer une règle de suppression à partir d'un nouveau filtre que vous définissez. Vous pouvez configurer des règles de suppression pour supprimer des types de recherche entiers ou définir des critères de filtre plus précis afin de supprimer uniquement des instances spécifiques d'un type de résultat particulier. Vous pouvez modifier les règles de suppression à tout moment.

Les résultats supprimés ne sont pas envoyés à AWS Security Hub Amazon Simple Storage Service, Amazon Detective ou Amazon EventBridge, ce qui réduit le niveau de bruit si vous utilisez les GuardDuty résultats via Security Hub, un SIEM tiers ou d'autres applications d'alerte et de billetterie. Si vous l'avez activéGuardDuty Protection contre les logiciels malveillants pour EC2, les GuardDuty résultats supprimés ne lanceront pas d'analyse des logiciels malveillants.

GuardDuty continue de générer des résultats même s'ils correspondent à vos règles de suppression, mais ces résultats sont automatiquement marqués comme archivés. Les résultats archivés sont conservés GuardDuty pendant 90 jours et peuvent être consultés à tout moment pendant cette période. Vous pouvez afficher les résultats supprimés dans la GuardDuty console en sélectionnant Archivé dans le tableau des résultats, ou via l' GuardDuty API en utilisant l'ListFindingsAPI avec un findingCriteria critère service.archived égal à vrai.

Note

Dans un environnement multi-comptes, seul l' GuardDuty administrateur peut créer des règles de suppression.

Cas d'utilisation courants des règles de suppression et exemples

Les types de recherche suivants présentent des cas d'utilisation courants pour appliquer des règles de suppression. Sélectionnez le nom du résultat pour en savoir plus sur ce résultat. Consultez la description du cas d'utilisation pour décider si vous souhaitez créer une règle de suppression pour ce type de recherche.

Important

GuardDuty recommande de créer des règles de suppression de manière réactive et uniquement pour les résultats pour lesquels vous avez identifié à plusieurs reprises des faux positifs dans votre environnement.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS : utilisez une règle de suppression pour archiver automatiquement les résultats générés lorsque la mise en réseau de VPC est configurée de manière à acheminer le trafic Internet pour qu'il sorte d'une passerelle sur site plutôt que d'une passerelle Internet de VPC.

Ce résultat est généré lorsque la mise en réseau est configurée pour acheminer le trafic Internet de telle sorte qu'il sorte d'une passerelle sur site plutôt que d'une passerelle Internet VPC (IGW). Les configurations courantes, telles que AWS Outposts ou les connexions VPN VPC, peuvent entraîner l'acheminement du trafic de cette façon. Si ce comportement est attendu, il est recommandé d'utiliser des règles de suppression et de créer une règle composée de deux critères de filtrage. Le premier critère est le type de résultat, qui devrait être UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Le deuxième critère de filtre est l'adresse IPv4 de l'appelant d'API avec l'adresse IP ou la plage d'adresses CIDR de votre passerelle Internet sur site. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction de l'adresse IP de l'appelant d'API.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
Note
Pour inclure plusieurs adresses IP d'appelant d'API, vous pouvez ajouter un nouveau filtre d'adresse IPv4 d'appelant d'API pour chacune d'elles.
Recon:EC2/Portscan : utilisez une règle de suppression pour archiver automatiquement les résultats lors de l'utilisation d'une application d'évaluation des vulnérabilités.

La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/Portscan. Le second critère de filtre doit correspondre à l'instance ou aux instances qui hébergent ces outils d'évaluation de vulnérabilité. Vous pouvez utiliser l'attribut ID d'image d'instance ou Valeur de balise en fonction des critères identifiables avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine AMI.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances de bastion.

Si la cible de la tentative de force brute est un hôte bastion, cela peut représenter le comportement attendu de votre AWS environnement. Dans ce cas, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/SSHBruteForce. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine valeur de balise d'instance.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances exposées intentionnellement.

Dans certains cas, les instances peuvent être intentionnellement exposées, par exemple si elles hébergent des serveurs Web. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/PortProbeUnprotectedPort. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine clé de balise d'instance dans la console.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

Règles de suppression recommandées pour les résultats de la surveillance du temps d'exécution

PrivilegeEscalation:Runtime/DockerSocketAccessed est généré lorsqu'un processus à l'intérieur d'un conteneur communique avec le socket Docker. Certains conteneurs de votre environnement peuvent avoir besoin d'accéder au socket Docker pour des raisons légitimes. L'accès à partir de tels conteneurs générera un résultat PrivilegeEscalation:Runtime/DockerSocketAccessed. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce type de recherche. Le premier critère doit utiliser l'attribut Type de résultat avec la valeur PrivilegeEscalation:Runtime/DockerSocketAccessed. Le deuxième critère de filtre est le champ Chemin exécutable dont la valeur est égale à celle du executablePath du processus dans le résultat généré. De même, le deuxième critère de filtre peut utiliser le champ Exécutable SHA-256 dont la valeur est égale à celle du executableSha256 du processus dans le résultat généré.
Les clusters Kubernetes exécutent leurs propres serveurs DNS en tant que pods, comme coredns. Par conséquent, pour chaque recherche DNS à partir d'un module, deux événements DNS sont GuardDuty capturés, l'un provenant du module et l'autre du module serveur. Cela peut générer des doublons pour les résultats DNS suivants :
Les résultats en double incluront les détails du pod, du conteneur et du processus correspondant à votre pod de serveur DNS. Vous pouvez définir une règle de suppression pour supprimer ces résultats en double à l'aide de ces champs. Le premier critère de filtre doit utiliser le champ Type de résultat avec une valeur égale à un type de résultat DNS figurant dans la liste des résultats fournie plus haut dans cette section. Le deuxième critère de filtre peut être soit Chemin exécutable, avec une valeur égale à l'executablePath de votre serveur DNS, soit Exécutable SHA-256, avec une valeur égale à celle de l'executableSHA256 de votre serveur DNS dans le résultat généré. En tant que troisième critère de filtre facultatif, vous pouvez utiliser le champ Image de conteneur Kubernetes avec une valeur égale à l'image de conteneur de votre pod de serveur DNS dans le résultat généré.

Création de règles de suppression

Choisissez votre méthode d'accès préférée pour créer une règle de suppression permettant de GuardDuty rechercher des types.

Console

Vous pouvez visualiser, créer et gérer des règles de suppression à l'aide de la GuardDuty console. Les règles de suppression sont générées de la même manière que les filtres, et les filtres enregistrés existants peuvent être utilisés comme règles de suppression. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrage des résultats.

Pour créer une règle de suppression à l'aide de la console :

Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.
Sur la page Résultats, choisissez Supprimer les résultats pour ouvrir le panneau des règles de suppression.
Pour ouvrir le menu des critères de filtre, entrez le filter criteria dans le champ Ajouter des critères de filtre. Vous pouvez choisir un critère dans la liste. Entrez une valeur valide pour le critère choisi.

Note
Pour déterminer la valeur valide, consultez le tableau des résultats et choisissez le résultat que vous souhaitez supprimer. Passez en revue ses détails dans le panneau des résultats.

Vous pouvez ajouter plusieurs critères de filtre et vous assurer que seuls les résultats que vous souhaitez supprimer apparaissent dans le tableau.
Entrez un nom et une description pour la règle de suppression. Les caractères valides sont le point (.), le trait de soulignement (_), le tiret (-) et les caractères alphanumériques.
Choisissez Enregistrer.

Vous pouvez également créer une règle de suppression à partir d'un filtre enregistré existant. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrage des résultats.

Pour créer une règle de suppression à partir d'un filtre enregistré :

Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.
Sur la page Résultats, choisissez Supprimer les résultats pour ouvrir le panneau des règles de suppression.
Dans le menu déroulant Règles enregistrées, choisissez un filtre enregistré.
Vous pouvez également ajouter de nouveaux critères de filtre. Si vous n'avez pas besoin de critères de filtre supplémentaires, ignorez cette étape.

Pour ouvrir le menu des critères de filtre, entrez le filter criteria dans le champ Ajouter des critères de filtre. Vous pouvez choisir un critère dans la liste. Entrez une valeur valide pour le critère choisi.

Note
Pour déterminer la valeur valide, consultez le tableau des résultats et choisissez le résultat que vous souhaitez supprimer. Passez en revue ses détails dans le panneau des résultats.
Entrez un nom et une description pour la règle de suppression. Les caractères valides sont le point (.), le trait de soulignement (_), le tiret (-) et les caractères alphanumériques.
Choisissez Enregistrer.

API/CLI

Pour créer une règle de suppression à l'aide de l'API :

Vous pouvez créer des règles de suppression via l'API CreateFilter. Pour ce faire, spécifiez les critères de filtre dans un fichier JSON en suivant le format de l'exemple détaillé ci-dessous. L'exemple ci-dessous supprimera tous les résultats non archivés de faible gravité contenant une demande DNS adressée au domaine test.example.com. Pour les résultats de gravité moyenne, la liste d'entrée sera ["4", "5", "7"]. Pour les résultats de gravité élevée, la liste d'entrée sera ["6", "7", "8"]. Vous pouvez également filtrer en fonction de n'importe quelle valeur de la liste.
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
Pour obtenir la liste des noms de champ JSON et leur équivalent dans la console, veuillez consulter Attributs du filtre.

Pour tester vos critères de filtre, utilisez le même critère JSON dans l'API ListFindings et vérifiez que les résultats corrects ont été sélectionnés. Pour tester vos critères de filtre, AWS CLI suivez l'exemple en utilisant vos propres fichiers DetectoriD et .json.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
Téléchargez votre filtre à utiliser en tant que règle de suppression avec l'API CreateFilter ou via l'interface de ligne de commande AWS en suivant l'exemple ci-dessous avec votre ID de détecteur, un nom pour la règle de suppression et votre fichier .json.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

Vous pouvez consulter la liste de vos filtres par programmation à l'aide de l'API ListFilter. Vous pouvez consulter les détails d'un filtre individuel en fournissant le nom du filtre à l'API GetFilter. Mettez à jour les filtres à l'aide de UpdateFilter ou supprimez-les avec l'API DeleteFilter.

Suppression de règles de suppression

Choisissez votre méthode d'accès préférée pour supprimer une règle de suppression permettant de GuardDuty rechercher des types.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Filtrage des résultats

IP approuvées et listes de menaces