Génération d'échantillons de résultats dans GuardDuty - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération d'échantillons de résultats dans GuardDuty

Vous pouvez générer des exemples de résultats avec Amazon GuardDuty pour vous aider à visualiser et à comprendre les différents types de résultats qui GuardDuty peuvent être générés. Lorsque vous générez des exemples de résultats, GuardDuty remplit votre liste de résultats actuels avec un exemple de résultat pour chaque type de résultat pris en charge.

Les exemples générés sont des approximations renseignées avec des valeurs d'espace réservé. Ces exemples peuvent sembler différents des résultats réels pour votre environnement, mais vous pouvez les utiliser pour tester différentes configurations GuardDuty, telles que vos CloudWatch événements ou vos filtres. Une liste des valeurs disponibles pour les types de résultat est répertoriée dans le tableau Types de résultats.

Pour générer des résultats courants basés sur une activité simulée au sein de votre environnement, veuillez consulter Génération automatique de GuardDuty résultats communs ci-dessous.

Génération d'échantillons de résultats via la GuardDuty console ou l'API

Choisissez votre méthode d'accès préférée pour générer des exemples de résultats.

Note

La méthode de la console génère un résultat de chaque type. Les exemples de résultats uniques ne peuvent être générés que par le biais de l'API.

Console

Utilisez la procédure suivante pour générer des exemples de résultats. Ce processus génère un échantillon de recherche pour chaque type de GuardDuty recherche.

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sur la page Settings, sous Sample findings, choisissez Generate sample findings.

  4. Dans le volet de navigation, choisissez Conclusions. Les exemples de résultats sont affichés sur la page Résultats actuels avec le préfixe [SAMPLE].

API/CLI

Vous pouvez générer un échantillon de recherche unique correspondant à n'importe quel type de GuardDuty recherche via l'CreateSampleFindingsAPI. Les valeurs disponibles pour les types de recherche sont répertoriées dans le Types de résultats tableau.

Cela est utile pour tester les règles relatives aux CloudWatch événements ou pour automatiser les événements en fonction des résultats. L'exemple suivant montre comment générer un exemple de résultat unique du type Backdoor:EC2/DenialOfService.Tcp à l'aide de l'AWS CLI.

Vous pouvez trouver votre propre detectorId pour votre région actuelle sur la page Paramètres de la console https://console.aws.amazon.com/guardduty/.

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

Le titre des exemples de résultats générés par ces méthodes commence toujours par [SAMPLE] dans la console. Les exemples de résultats ont une valeur de "sample": true dans la section additionalInfo des détails JSON du résultat.

Génération automatique de GuardDuty résultats communs

Vous pouvez utiliser les scripts suivants pour générer automatiquement plusieurs GuardDuty résultats courants. Le guardduty-tester.template est utilisé AWS CloudFormation pour créer un environnement isolé avec un hôte bastion, une instance de test Amazon EC2 à laquelle vous pouvez accéder via SSH et deux instances EC2 cibles. Vous pouvez ensuite exécuter guardduty_tester.sh pour démarrer une interaction entre l'instance EC2 du testeur, l'instance Windows EC2 cible et l'instance Linux EC2 cible, afin de simuler cinq types d'attaques courantes capables de détecter les GuardDuty résultats générés et de vous en informer.

  1. Comme condition préalable, vous devez l'activer GuardDuty dans le compte et la région dans lesquels vous souhaitez exécuter guardduty-tester.template et guardduty_tester.sh. Pour plus d'informations sur l'activation GuardDuty, consultezCommencer avec GuardDuty.

    Vous devez également générer une nouvelle paire de clés EC2 ou utiliser une paire existante dans chaque région où vous souhaitez exécuter ces scripts. Cette paire de clés EC2 est utilisée comme paramètre dans le script guardduty-tester.template que vous utilisez pour créer une nouvelle pile. CloudFormation Pour de plus amples informations sur les paires de clés, veuillez consulter Paires de clés Amazon EC2.

  2. Créez une nouvelle CloudFormation pile à l'aide de guardduty-tester.template. Pour de plus amples informations sur la création d'une pile, veuillez consulter Création d'une pile. Avant d'exécuter le script guardduty-tester.template, modifiez-le en fournissant des valeurs pour les paramètres suivants : le nom de la pile pour identifier votre nouvelle pile, la zone de disponibilité dans laquelle vous souhaitez exécuter la pile et la paire de clés que vous pouvez utiliser pour lancer les instances EC2. Vous pouvez ensuite utiliser la clé privée correspondante pour accéder aux instances EC2 via SSH.

    L'exécution complète de guardduty-tester.template prend environ 10 minutes. Il crée votre environnement et copie guardduty_tester.sh sur votre instance EC2 de test.

  3. Dans la AWS CloudFormation console, cochez la case à côté de votre nouvelle AWS CloudFormation pile de course. Dans l'ensemble d'onglets affichés, sélectionnez l'onglet Sortie. Notez les adresses IP attribuées à l'hôte bastion et à l'instance EC2 de test. Vous avez besoin de ces deux adresses IP afin d'accéder à l'instance EC2 via SSH.

  4. Créez l'entrée suivante dans votre fichier ~/.ssh/config pour vous connecter à votre instance via l'hôte bastion.

    Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240

    Vous pouvez désormais appeler $ ssh tester pour vous connecter à l'instance EC2 cible. Pour plus d'informations sur la configuration et la connexion aux instances EC2 via des hôtes bastion, consultez https://aws.amazon.com/blogs/security/ securely-connect-to-linux - instances-running-in-a -private-amazon-vpc/.

  5. Une fois connecté à l'instance EC2 du testeur, exécutez guardduty_tester.sh pour initier une interaction entre votre testeur et les instances EC2 cibles, simuler des attaques et générer des GuardDuty résultats.