Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kueri GuardDuty temuan Amazon
Amazon GuardDuty
Untuk informasi selengkapnya tentang Amazon GuardDuty, lihat Panduan GuardDuty Pengguna Amazon.
Prasyarat
-
Aktifkan GuardDuty fitur untuk mengekspor temuan ke Amazon S3. Untuk langkah-langkahnya, lihat Mengekspor temuan di Panduan GuardDuty Pengguna Amazon.
Buat tabel di Athena untuk temuan GuardDuty
Untuk menanyakan GuardDuty temuan Anda dari Athena, Anda harus membuat tabel untuk mereka.
Untuk membuat tabel di Athena untuk temuan GuardDuty
Buka konsol Athena di https://console.aws.amazon.com/athena/
. -
Tempelkan DDL pernyataan berikut ke konsol Athena. Ubah nilai
LOCATION 's3://amzn-s3-demo-bucketuntuk menunjukkan GuardDuty temuan Anda di Amazon S3./AWSLogs/account-id/GuardDuty/'CREATE EXTERNAL TABLE `gd_logs` ( `schemaversion` string, `accountid` string, `region` string, `partition` string, `id` string, `arn` string, `type` string, `resource` string, `service` string, `severity` string, `createdat` string, `updatedat` string, `title` string, `description` string) ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe' LOCATION 's3://amzn-s3-demo-bucket/AWSLogs/account-id/GuardDuty/' TBLPROPERTIES ('has_encrypted_data'='true')catatan
SerDe Mengharapkan setiap JSON dokumen berada pada satu baris teks tanpa karakter penghentian baris yang memisahkan bidang dalam catatan. Jika JSON teks dalam format cetak yang cantik, Anda mungkin menerima pesan kesalahan seperti
HIVE_ CURSOR _ERROR: Baris bukan JSON Objek yang validatauHIVE_ CURSOR _ERROR: JsonParseException: Tidak terduga end-of-input: penanda tutup yang diharapkan OBJECTsaat Anda mencoba menanyakan tabel setelah Anda membuatnya. Untuk informasi selengkapnya, lihat File JSON Datadalam SerDe dokumentasi OpenX pada. GitHub -
Menjalankan kueri di konsol Athena untuk mendaftar
gd_logstabel. Saat kueri selesai, temuan siap bagi Anda untuk mengkueri dari Athena.
Kueri contoh
Contoh berikut menunjukkan cara menanyakan GuardDuty temuan dari Athena.
contoh — DNS eksfiltrasi data
Kueri berikut menampilkan informasi tentang EC2 instans Amazon yang mungkin mengeksfiltrasi data melalui kueri. DNS
SELECT title, severity, type, id AS FindingID, accountid, region, createdat, updatedat, json_extract_scalar(service, '$.count') AS Count, json_extract_scalar(resource, '$.instancedetails.instanceid') AS InstanceID, json_extract_scalar(service, '$.action.actiontype') AS DNS_ActionType, json_extract_scalar(service, '$.action.dnsrequestaction.domain') AS DomainName, json_extract_scalar(service, '$.action.dnsrequestaction.protocol') AS protocol, json_extract_scalar(service, '$.action.dnsrequestaction.blocked') AS blocked FROM gd_logs WHERE type = 'Trojan:EC2/DNSDataExfiltration' ORDER BY severity DESC
contoh — Akses IAM pengguna yang tidak sah
Kueri berikut mengembalikan semua jenis UnauthorizedAccess:IAMUser pencarian untuk IAM Principal dari semua wilayah.
SELECT title, severity, type, id, accountid, region, createdat, updatedat, json_extract_scalar(service, '$.count') AS Count, json_extract_scalar(resource, '$.accesskeydetails.username') AS IAMPrincipal, json_extract_scalar(service,'$.action.awsapicallaction.api') AS APIActionCalled FROM gd_logs WHERE type LIKE '%UnauthorizedAccess:IAMUser%' ORDER BY severity desc;
Kiat untuk menanyakan temuan GuardDuty
Saat Anda membuat kueri Anda, ingatlah hal berikut.
-
Untuk mengekstrak data dari JSON bidang bersarang, gunakan Presto
json_extractataujson_extract_scalarfungsi. Untuk informasi selengkapnya, lihat Ekstrak JSON data dari string. -
Pastikan bahwa semua karakter di JSON bidang dalam huruf kecil.
-
Untuk informasi tentang cara mengunduh hasil kueri, lihat Unduh file hasil kueri menggunakan konsol Athena.
