Aturan penindasan di GuardDuty

Aturan penekanan adalah satu set kriteria, yang terdiri dari atribut filter yang dipasangkan dengan sebuah nilai, digunakan untuk memfilter temuan dengan secara otomatis mengarsipkan temuan baru yang sesuai dengan kriteria yang ditentukan. Aturan penekanan dapat digunakan untuk memfilter temuan bernilai rendah, temuan positif palsu, atau ancaman yang tidak ingin Anda tindaklanjuti, agar lebih mudah mengenali ancaman keamanan dengan dampak paling besar terhadap lingkungan Anda.

Setelah membuat aturan penekanan, temuan baru yang sesuai dengan kriteria yang ditentukan dalam aturan akan diarsipkan secara otomatis selama aturan penekanan berlaku. Anda dapat menggunakan filter yang ada untuk membuat aturan penekanan atau membuat aturan penekanan dari filter baru yang Anda tentukan. Anda dapat mengonfigurasi aturan penekanan untuk menekan seluruh tipe temuan, atau menentukan kriteria filter yang lebih terperinci guna menekan instans spesifik dari tipe temuan tertentu. Anda dapat mengedit aturan penindasan kapan saja.

Temuan yang ditekan tidak dikirim ke AWS Security Hub, Amazon Simple Storage Service, Amazon Detective, atau EventBridge Amazon, mengurangi tingkat kebisingan jika Anda GuardDuty mengkonsumsi temuan melalui Security Hub, SIEM pihak ketiga, atau aplikasi peringatan dan tiket lainnya. Jika Anda telah mengaktifkanPerlindungan Malware untuk EC2, GuardDuty temuan yang ditekan tidak akan memulai pemindaian malware.

GuardDuty terus menghasilkan temuan bahkan ketika mereka cocok dengan aturan penekanan Anda, namun, temuan tersebut secara otomatis ditandai sebagai diarsipkan. Temuan yang diarsipkan disimpan GuardDuty selama 90 hari dan dapat dilihat kapan saja selama periode tersebut. Anda dapat melihat temuan yang ditekan di GuardDuty konsol dengan memilih Diarsipkan dari tabel temuan, atau melalui GuardDuty API menggunakan ListFindingsAPI dengan findingCriteria kriteria service.archived sama dengan true.

catatan

Dalam lingkungan multi-akun, hanya GuardDuty administrator yang dapat membuat aturan penindasan.

Kasus penggunaan umum untuk aturan penekanan dan contoh

Jenis temuan berikut memiliki kasus penggunaan umum untuk menerapkan aturan penekanan. Pilih nama temuan untuk mempelajari lebih lanjut tentang temuan itu. Tinjau deskripsi kasus penggunaan untuk memutuskan apakah Anda ingin membuat aturan penekanan untuk tipe temuan tersebut.

penting

GuardDuty merekomendasikan agar Anda membangun aturan penekanan secara reaktif dan hanya untuk temuan yang telah berulang kali Anda identifikasi positif palsu di lingkungan Anda.

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— Gunakan aturan penekanan untuk mengarsipkan temuan yang dihasilkan secara otomatis saat jaringan VPC dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway lokal daripada dari Gateway Internet VPC.

  Temuan ini dibuat saat jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway on-premise, bukan dari Gateway Internet VPC (IGW). Konfigurasi umum, seperti penggunaan AWS Outposts, atau koneksi VPN VPC, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, Anda disarankan untuk menggunakan aturan penekanan dan membuat aturan yang terdiri dari dua kriteria filter. Kriteria pertama adalah tipe temuan, yaitu UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kriteria filter kedua adalah IPv4 alamat pemanggil API dengan alamat IP atau rentang CIDR gateway internet lokal Anda. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan alamat IP pemanggil API.

  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6

  catatan

  Untuk menyertakan beberapa pemanggil API, IPs Anda dapat menambahkan filter IPv4 alamat API Caller baru untuk masing-masing.

• Recon:EC2/Portscan – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis saat menggunakan aplikasi penilaian kerentanan.

  Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/Portscan. Kriteria filter kedua harus sesuai dengan instans yang menghosting alat penilaian kerentanan ini. Anda dapat menggunakan atribut ID citra instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan AMI tertentu.

  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

• UnauthorizedAccess:EC2/SSHBruteForce – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans bastion.

  Jika target upaya brute force adalah host benteng, ini mungkin mewakili perilaku yang diharapkan untuk lingkungan Anda AWS . Jika demikian, kami menyarakan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/SSHBruteForce. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID citra instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan nilai tanda instans tertentu.

  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

• Recon:EC2/PortProbeUnprotectedPort – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans yang sengaja diekspos.

  Mungkin ada kasus di mana instans sengaja diekspos, misalnya jika instans meng-host server web. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/PortProbeUnprotectedPort. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID citra instans atau atribut nilai Tanda, tergantung kriteria yang dapat diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan kunci tanda instans tertentu di konsol.

  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Aturan penekanan yang direkomendasikan untuk temuan Runtime Monitoring

• PrivilegeEscalation:Runtime/DockerSocketAccesseddihasilkan ketika proses di dalam wadah berkomunikasi dengan soket Docker. Mungkin ada wadah di lingkungan Anda yang mungkin perlu mengakses soket Docker untuk alasan yang sah. Akses dari wadah tersebut akan menghasilkan PrivilegeEscalation:Runtime/DockerSocketAccessed menemukan. Jika ini adalah kasus di AWS lingkungan Anda, kami sarankan Anda menyiapkan aturan penekanan untuk jenis temuan ini. Kriteria pertama harus menggunakan bidang Jenis Finding dengan nilai sama denganPrivilegeEscalation:Runtime/DockerSocketAccessed. Kriteria filter kedua adalah bidang jalur yang dapat dieksekusi dengan nilai yang sama dengan proses executablePath dalam temuan yang dihasilkan. Atau, kriteria filter kedua dapat menggunakan bidang Executable SHA-256 dengan nilai yang sama dengan proses executableSha256 dalam temuan yang dihasilkan.

• Cluster Kubernetes menjalankan server DNS mereka sendiri sebagai pod, seperti. coredns Oleh karena itu, untuk setiap pencarian DNS dari sebuah pod, GuardDuty menangkap dua peristiwa DNS — satu dari pod dan yang lainnya dari pod server. Ini dapat menghasilkan duplikat untuk temuan DNS berikut:

  • Backdoor:Runtime/C&CActivity.B!DNS

  • CryptoCurrency:Runtime/BitcoinTool.B!DNS

  • Impact:Runtime/AbusedDomainRequest.Reputation

  • Impact:Runtime/BitcoinDomainRequest.Reputation

  • Impact:Runtime/MaliciousDomainRequest.Reputation

  • Impact:Runtime/SuspiciousDomainRequest.Reputation

  • Trojan:Runtime/BlackholeTraffic!DNS

  • Trojan:Runtime/DGADomainRequest.C!DNS

  • Trojan:Runtime/DriveBySourceTraffic!DNS

  • Trojan:Runtime/DropPoint!DNS

  • Trojan:Runtime/PhishingDomainRequest!DNS

  Temuan duplikat akan mencakup pod, container, dan detail proses yang sesuai dengan pod server DNS Anda. Anda dapat membuat aturan penindasan untuk menekan temuan duplikat ini menggunakan bidang ini. Kriteria filter pertama harus menggunakan bidang jenis Finding dengan nilai sama dengan tipe temuan DNS dari daftar temuan yang disediakan sebelumnya di bagian ini. Kriteria filter kedua dapat berupa jalur Executable dengan nilai yang sama dengan server DNS Anda executablePath atau Executable SHA-256 dengan nilai yang sama dengan server DNS Anda dalam temuan yang dihasilkan. executableSHA256 Sebagai kriteria filter ketiga opsional, Anda dapat menggunakan kolom image kontainer Kubernetes dengan nilai yang sama dengan image kontainer pod server DNS Anda dalam temuan yang dihasilkan.