Kasus penggunaan umum untuk aturan penekanan dan contoh Membuat aturan penekanan Menghapus aturan penekanan

Aturan penekanan

Aturan penekanan adalah satu set kriteria, yang terdiri dari atribut filter yang dipasangkan dengan sebuah nilai, digunakan untuk memfilter temuan dengan secara otomatis mengarsipkan temuan baru yang sesuai dengan kriteria yang ditentukan. Aturan penekanan dapat digunakan untuk memfilter temuan bernilai rendah, temuan positif palsu, atau ancaman yang tidak ingin Anda tindaklanjuti, agar lebih mudah mengenali ancaman keamanan dengan dampak paling besar terhadap lingkungan Anda.

Setelah membuat aturan penekanan, temuan baru yang sesuai dengan kriteria yang ditentukan dalam aturan akan diarsipkan secara otomatis selama aturan penekanan berlaku. Anda dapat menggunakan filter yang ada untuk membuat aturan penekanan atau membuat aturan penekanan dari filter baru yang Anda tentukan. Anda dapat mengonfigurasi aturan penekanan untuk menekan seluruh tipe temuan, atau menentukan kriteria filter yang lebih terperinci guna menekan instans spesifik dari tipe temuan tertentu. Anda dapat mengedit aturan penindasan kapan saja.

Temuan yang ditekan tidak dikirim ke AWS Security Hub Amazon Simple Storage Service, Amazon Detective, atau EventBridge Amazon, sehingga mengurangi tingkat kebisingan jika Anda GuardDuty mengkonsumsi temuan melalui Security Hub, SIEM pihak ketiga, atau aplikasi peringatan dan tiket lainnya. Jika Anda telah mengaktifkanPerlindungan Malware untuk EC2, GuardDuty temuan yang ditekan tidak akan memulai pemindaian malware.

GuardDuty terus menghasilkan temuan bahkan ketika mereka cocok dengan aturan penekanan Anda, namun, temuan tersebut secara otomatis ditandai sebagai diarsipkan. Temuan yang diarsipkan disimpan GuardDuty selama 90 hari dan dapat dilihat kapan saja selama periode tersebut. Anda dapat melihat temuan yang ditekan di GuardDuty konsol dengan memilih Diarsipkan dari tabel temuan, atau melalui GuardDuty API menggunakan ListFindingsAPIdengan findingCriteria kriteria sama dengan benar. service.archived

catatan

Dalam lingkungan multi-akun, hanya GuardDuty administrator yang dapat membuat aturan penindasan.

Kasus penggunaan umum untuk aturan penekanan dan contoh

Jenis temuan berikut memiliki kasus penggunaan umum untuk menerapkan aturan penekanan. Pilih nama temuan untuk mempelajari lebih lanjut tentang temuan itu. Tinjau deskripsi kasus penggunaan untuk memutuskan apakah Anda ingin membuat aturan penekanan untuk tipe temuan tersebut.

penting

GuardDuty merekomendasikan agar Anda membangun aturan penekanan secara reaktif dan hanya untuk temuan yang telah berulang kali Anda identifikasi positif palsu di lingkungan Anda.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— Gunakan aturan penekanan untuk secara otomatis mengarsipkan temuan yang dihasilkan saat VPC jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway lokal dan bukan dari Internet Gateway. VPC

Temuan ini dihasilkan ketika jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway lokal dan bukan dari VPC Internet Gateway (). IGW Konfigurasi umum, seperti menggunakan, atau VPC VPN koneksi AWS Outposts, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, Anda disarankan untuk menggunakan aturan penekanan dan membuat aturan yang terdiri dari dua kriteria filter. Kriteria pertama adalah tipe temuan, yaitu UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kriteria filter kedua adalah IPv4alamat API pemanggil dengan alamat IP atau CIDR rentang gateway internet lokal Anda. Contoh di bawah ini mewakili filter yang akan Anda gunakan untuk menekan jenis temuan ini berdasarkan alamat IP API pemanggil.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
catatan
Untuk menyertakan beberapa API penelepon, IPs Anda dapat menambahkan filter IPv4 alamat API Penelepon baru untuk masing-masing.
Recon:EC2/Portscan – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis saat menggunakan aplikasi penilaian kerentanan.

Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/Portscan. Kriteria filter kedua harus sesuai dengan instans yang menghosting alat penilaian kerentanan ini. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Contoh di bawah ini mewakili filter yang akan Anda gunakan untuk menekan jenis temuan ini berdasarkan instance dengan tertentu. AMI
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans bastion.

Jika target upaya brute force adalah host benteng, ini mungkin mewakili perilaku yang diharapkan untuk lingkungan Anda AWS . Jika demikian, kami menyarakan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/SSHBruteForce. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID citra instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan nilai tanda instans tertentu.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort – Gunakan aturan penekanan untuk mengarsipkan temuan secara otomatis ketika ditargetkan ke instans yang sengaja diekspos.

Mungkin ada kasus di mana instans sengaja diekspos, misalnya jika instans meng-host server web. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/PortProbeUnprotectedPort. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID citra instans atau atribut nilai Tanda, tergantung kriteria yang dapat diidentifikasi dengan instans yang meng-host alat ini. Contoh di bawah ini merupakan filter yang akan Anda gunakan untuk menekan tipe temuan ini berdasarkan instans dengan kunci tanda instans tertentu di konsol.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

Aturan penekanan yang direkomendasikan untuk temuan Runtime Monitoring

PrivilegeEscalation:Runtime/DockerSocketAccesseddihasilkan ketika proses di dalam wadah berkomunikasi dengan soket Docker. Mungkin ada wadah di lingkungan Anda yang mungkin perlu mengakses soket Docker untuk alasan yang sah. Akses dari wadah tersebut akan menghasilkan PrivilegeEscalation:Runtime/DockerSocketAccessed temuan. Jika ini adalah kasus di AWS lingkungan Anda, kami sarankan Anda menyiapkan aturan penekanan untuk jenis temuan ini. Kriteria pertama harus menggunakan bidang Jenis Finding dengan nilai sama denganPrivilegeEscalation:Runtime/DockerSocketAccessed. Kriteria filter kedua adalah bidang jalur yang dapat dieksekusi dengan nilai yang sama dengan proses executablePath dalam temuan yang dihasilkan. Atau, kriteria filter kedua dapat menggunakan bidang Executable SHA -256 dengan nilai yang sama dengan proses executableSha256 dalam temuan yang dihasilkan.
Cluster Kubernetes menjalankan DNS server mereka sendiri sebagai pod, seperti. coredns Oleh karena itu, untuk setiap DNS pencarian dari sebuah pod, GuardDuty menangkap dua DNS peristiwa — satu dari pod dan yang lainnya dari pod server. Ini dapat menghasilkan duplikat untuk DNS temuan berikut:
Temuan duplikat akan mencakup pod, container, dan detail proses yang sesuai dengan pod DNS server Anda. Anda dapat membuat aturan penindasan untuk menekan temuan duplikat ini menggunakan bidang ini. Kriteria filter pertama harus menggunakan bidang Jenis Finding dengan nilai sama dengan tipe DNS temuan dari daftar temuan yang disediakan sebelumnya di bagian ini. Kriteria filter kedua dapat berupa jalur Executable dengan nilai yang sama dengan DNS server Anda executablePath atau Executable SHA -256 dengan nilai yang sama dengan DNS server Anda dalam temuan yang dihasilkan. executableSHA256 Sebagai kriteria filter ketiga opsional, Anda dapat menggunakan kolom image kontainer Kubernetes dengan nilai yang sama dengan image kontainer pod DNS server Anda dalam temuan yang dihasilkan.

Membuat aturan penekanan

Pilih metode akses pilihan Anda untuk membuat aturan penekanan untuk GuardDuty menemukan tipe.

Console

Anda dapat memvisualisasikan, membuat, dan mengelola aturan penekanan menggunakan konsol. GuardDuty Aturan penekanan dibuat dengan cara yang sama seperti filter, dan filter tersimpan yang ada dapat digunakan sebagai aturan penekanan. Untuk informasi selengkapnya tentang membuat filter, lihatMemfilter temuan.

Untuk membuat aturan penekanan menggunakan konsol:

Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Pada halaman Temuan, pilih Menekan temuan untuk membuka panel aturan penekanan.
Untuk membuka menu kriteria filter, filter criteria masukkan kriteria Tambahkan filter. Anda dapat memilih kriteria dari daftar. Masukkan nilai yang valid untuk kriteria yang dipilih.

catatan
Untuk menentukan nilai yang valid, lihat tabel temuan dan pilih temuan yang ingin Anda tekan. Tinjau detailnya di panel temuan.

Anda dapat menambahkan beberapa kriteria filter dan memastikan bahwa hanya temuan tersebut yang muncul di tabel yang ingin Anda tekan.
Masukkan Nama dan Deskripsi untuk aturan penindasan. Karakter yang valid termasuk karakter alfanumerik, periode (.), tanda hubung (-), garis bawah (_), dan spasi putih.
Pilih Simpan.

Anda juga dapat membuat aturan penekanan dari filter tersimpan yang ada. Untuk informasi selengkapnya tentang membuat filter, lihatMemfilter temuan.

Untuk membuat aturan penekanan dari filter tersimpan:

Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Pada halaman Temuan, pilih Menekan Temuan untuk membuka panel aturan penekanan.
Dari tarik-turun Aturan tersimpan, pilih filter yang disimpan.
Anda juga dapat menambahkan kriteria filter baru. Jika Anda tidak memerlukan kriteria filter tambahan, lewati langkah ini.

Untuk membuka menu kriteria filter, filter criteria masukkan kriteria Tambahkan filter. Anda dapat memilih kriteria dari daftar. Masukkan nilai yang valid untuk kriteria yang dipilih.

catatan
Untuk menentukan nilai yang valid, lihat tabel temuan dan pilih temuan yang ingin Anda tekan. Tinjau detailnya di panel temuan.
Masukkan Nama dan Deskripsi untuk aturan penindasan. Karakter yang valid termasuk karakter alfanumerik, periode (.), tanda hubung (-), garis bawah (_), dan spasi putih.
Pilih Simpan.

API/CLI

Untuk membuat aturan penindasan menggunakanAPI:

Anda dapat membuat aturan penindasan melalui. CreateFilterAPI Untuk melakukannya, tentukan kriteria filter dalam JSON file mengikuti format contoh yang dirinci di bawah ini. Contoh di bawah ini akan menekan temuan tingkat keparahan rendah yang tidak diarsipkan yang memiliki DNS permintaan ke domain test.example.com. Untuk temuan tingkat keparahan sedang, daftar masukan adalah["4", "5", "7"]. Untuk temuan tingkat keparahan tinggi, daftar masukan adalah["6", "7", "8"]. Anda juga dapat memfilter berdasarkan satu nilai dalam daftar.
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
Untuk daftar nama JSON bidang dan padanan konsol mereka lihatAtribut filter.

Untuk menguji kriteria filter Anda, gunakan JSON kriteria yang sama di ListFindingsAPI, dan konfirmasikan bahwa temuan yang benar telah dipilih. Untuk menguji kriteria filter Anda menggunakan AWS CLI ikuti contoh menggunakan file Anda sendiri detectorId dan .json.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
Unggah filter Anda untuk digunakan sebagai aturan penekanan dengan CreateFilterAPIatau dengan menggunakan contoh AWS CLI berikut ini dengan ID detektor Anda sendiri, nama untuk aturan penekanan, dan file.json.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

Anda dapat melihat daftar filter Anda secara terprogram dengan file. ListFilterAPI Anda dapat melihat detail filter individual dengan memberikan nama filter ke file. GetFilterAPI Perbarui filter menggunakan UpdateFilteratau menghapusnya dengan file DeleteFilterAPI.

Menghapus aturan penekanan

Pilih metode akses pilihan Anda untuk menghapus aturan penekanan untuk GuardDuty menemukan jenis.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memfilter temuan

Daftar IP tepercaya dan daftar ancaman