GuardDuty esempi utilizzando AWS CLI - AWS Command Line Interface
Azioni

Questa documentazione è valida AWS CLI solo per la versione 1. Per la documentazione relativa alla versione 2 di AWS CLI, consulta la Guida per l'utente della versione 2.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty esempi utilizzando AWS CLI

I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface with GuardDuty.

Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Mentre le azioni mostrano come richiamare le singole funzioni di servizio, è possibile visualizzare le azioni nel loro contesto negli scenari correlati.

Ogni esempio include un collegamento al codice sorgente completo, in cui è possibile trovare istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Azioni

Il seguente esempio di codice mostra come utilizzareaccept-invitation.

AWS CLI

Accettare un invito a diventare un account GuardDuty membro nella regione corrente

L'accept-invitationesempio seguente mostra come accettare un invito a diventare un account GuardDuty membro nella regione corrente.

aws guardduty accept-invitation  \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --master-id 123456789111 \
    --invitation-id d6b94fb03a66ff665f7db8764example

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestire GuardDuty gli account tramite invito nella Guida GuardDuty per l'utente.

Il seguente esempio di codice mostra come utilizzarearchive-findings.

AWS CLI

Per archiviare i risultati nella regione corrente

Questo esempio mostra come archiviare i risultati nella regione corrente.

aws guardduty archive-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta la sezione Gestione GuardDuty degli account tramite invito nella Guida GuardDuty per l'utente.

Il seguente esempio di codice mostra come utilizzarecreate-detector.

AWS CLI

Da abilitare GuardDuty nella regione corrente

Questo esempio mostra come creare un nuovo rilevatore, che abiliti GuardDuty, nella regione corrente. :

aws guardduty create-detector \
    --enable

Output:

{
    "DetectorId": "b6b992d6d2f48e64bc59180bfexample"
}

Per ulteriori informazioni, consulta Enable Amazon GuardDuty nella GuardDuty User Guide.

Il seguente esempio di codice mostra come utilizzarecreate-filter.

AWS CLI

Per creare un nuovo filtro per la regione corrente

Questo esempio crea un filtro che corrisponde a tutti i risultati di portscan, ad esempio creati da un'immagine specifica. :

aws guardduty create-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --action ARCHIVE \
    --name myFilter \
    --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

Output:

{
    "Name": "myFilter"
}

Per ulteriori informazioni, consulta Filtraggio dei risultati nella Guida per l'GuardDuty utente.

  • Per API i dettagli, vedere CreateFilterin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarecreate-ip-set.

AWS CLI

Per creare un set IP affidabile

L'create-ip-setesempio seguente crea e attiva un set IP affidabile nella regione corrente.

aws guardduty create-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --name new-ip-set \
    --format TXT
    --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv
    --activate

Output:

{
    "IpSetId": "d4b94fc952d6912b8f3060768example"
}

Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere CreateIpSetin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarecreate-members.

AWS CLI

Per associare un nuovo membro al tuo account GuardDuty principale nella regione corrente.

Questo esempio mostra come associare gli account dei membri che devono essere gestiti dall'account corrente come GuardDuty master.

aws guardduty create-members
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

Output:

{
   "UnprocessedAccounts": []
}

Per ulteriori informazioni, consulta Gestione di più account nella Guida GuardDuty per l'utente.

  • Per API i dettagli, vedere CreateMembersin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarecreate-publishing-destination.

AWS CLI

Per creare una destinazione di pubblicazione in cui esportare i GuardDuty risultati nella regione corrente.

Questo esempio mostra come creare una destinazione di pubblicazione per GuardDuty i risultati.

aws guardduty create-publishing-destination \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --destination-type S3 \
    --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

Output:

{
    "DestinationId": "46b99823849e1bbc242dfbe3cexample"
}

Per ulteriori informazioni, consulta Esportazione dei risultati nella Guida per l'GuardDuty utente.

Il seguente esempio di codice mostra come utilizzarecreate-sample-findings.

AWS CLI

Per creare GuardDuty risultati di esempio nella regione corrente.

Questo esempio mostra come creare un esempio di ricerca dei tipi forniti.

aws guardduty create-sample-findings \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Esempi di risultati nella Guida GuardDuty per l'utente.

Il seguente esempio di codice mostra come utilizzarecreate-threat-intel-set.

AWS CLI

Per creare un nuovo set di informazioni sulle minacce nella regione corrente.

Questo esempio mostra come caricare un set di informazioni sulle minacce GuardDuty e attivarlo immediatamente.

aws guardduty create-threat-intel-set \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --name myThreatSet \
    --format TXT \
    --location s3://EXAMPLEBUCKET/threatlist.csv \
    --activate

Output:

{
    "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample"
}

Per ulteriori informazioni, consulta IP attendibili ed elenchi di minacce nella Guida GuardDuty per l'utente.

Il seguente esempio di codice mostra come utilizzaredecline-invitations.

AWS CLI

Per rifiutare un invito a far gestire Guardduty da un altro account nella regione corrente.

Questo esempio mostra come rifiutare un invito all'iscrizione.

aws guardduty decline-invitations \
    --account-ids 111122223333

Output:

{
    "UnprocessedAccounts": []
}

Per ulteriori informazioni, consulta Gestione GuardDuty degli account su invito nella Guida GuardDuty per l'utente.

Il seguente esempio di codice mostra come utilizzaredelete-detector.

AWS CLI

Per eliminare e disattivare GuardDuty un rilevatore nella regione corrente.

Questo esempio mostra come eliminare un rilevatore. In caso di successo, questa operazione verrà disattivata GuardDuty nella regione associata a quel rilevatore.

aws guardduty delete-detector \
    --detector-id b6b992d6d2f48e64bc59180bfexample

Questo comando non produce alcun output.

Per ulteriori informazioni, consultate Sospensione o disabilitazione GuardDuty nella Guida per l'utente. GuardDuty

  • Per API i dettagli, vedere DeleteDetectorin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzaredelete-filter.

AWS CLI

Per eliminare un filtro esistente nella regione corrente

Questo esempio mostra come creare ed eliminare un filtro.

aws guardduty delete-filter \
    --detector-id b6b992d6d2f48e64bc59180bfexample \
    --filter-name byebyeFilter

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Filtraggio dei risultati nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere DeleteFilterin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzaredisable-organization-admin-account.

AWS CLI

Per rimuovere un account come amministratore delegato all' GuardDuty interno dell'organizzazione

Questo esempio mostra come rimuovere un account come amministratore delegato di. GuardDuty

aws guardduty disable-organization-admin-account \
    --admin-account-id 111122223333

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestire gli account con AWS le organizzazioni nella Guida per l'GuardDuty utente.

Il seguente esempio di codice mostra come utilizzaredisassociate-from-master-account.

AWS CLI

Per dissociarsi dal proprio account principale corrente nella regione corrente

L'disassociate-from-master-accountesempio seguente dissocia il tuo account dall'account GuardDuty principale corrente nella regione corrente. AWS 

aws guardduty disassociate-from-master-account \
    --detector-id d4b040365221be2b54a6264dcexample

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.

Il seguente esempio di codice mostra come utilizzareget-detector.

AWS CLI

Per recuperare i dettagli di un rilevatore specifico

L'get-detectoresempio seguente visualizza i dettagli delle configurazioni del rilevatore specificato.

aws guardduty get-detector \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Status": "ENABLED",
    "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Tags": {},
    "FindingPublishingFrequency": "SIX_HOURS",
    "UpdatedAt": "2018-11-07T03:24:22.938Z",
    "CreatedAt": "2017-12-22T22:51:31.940Z"
}

Per ulteriori informazioni, vedere Concetti e terminologia nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere GetDetectorin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzareget-findings.

AWS CLI

Esempio 1: Per recuperare i dettagli di un risultato specifico

L'get-findingsesempio seguente recupera i dettagli completi del JSON risultato specificato.

aws guardduty get-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-id 1ab92989eaf0e742df4a014d5example

Output:

{
    "Findings": [
        {
            "Resource": {
                "ResourceType": "AccessKey",
                "AccessKeyDetails": {
                    "UserName": "testuser",
                    "UserType": "IAMUser",
                    "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE",
                    "AccessKeyId": "ASIASZ4SI7REEEXAMPLE"
                }
            },
            "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.",
            "Service": {
                "Count": 5,
                "Archived": false,
                "ServiceName": "guardduty",
                "EventFirstSeen": "2020-05-26T22:02:24Z",
                "ResourceRole": "TARGET",
                "EventLastSeen": "2020-05-26T22:33:55Z",
                "DetectorId": "d4b040365221be2b54a6264dcexample",
                "Action": {
                    "ActionType": "AWS_API_CALL",
                    "AwsApiCallAction": {
                        "RemoteIpDetails": {
                            "GeoLocation": {
                                "Lat": 51.5164,
                                "Lon": -0.093
                            },
                            "City": {
                                "CityName": "London"
                            },
                            "IpAddressV4": "52.94.36.7",
                            "Organization": {
                                "Org": "Amazon.com",
                                "Isp": "Amazon.com",
                                "Asn": "16509",
                                "AsnOrg": "AMAZON-02"
                            },
                            "Country": {
                                "CountryName": "United Kingdom"
                            }
                        },
                        "Api": "ListPolicyVersions",
                        "ServiceName": "iam.amazonaws.com",
                        "CallerType": "Remote IP"
                    }
                }
            },
            "Title": "Unusual user permission reconnaissance activity by testuser.",
            "Type": "Recon:IAMUser/UserPermissions",
            "Region": "us-east-1",
            "Partition": "aws",
            "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example",
            "UpdatedAt": "2020-05-26T22:55:21.703Z",
            "SchemaVersion": "2.0",
            "Severity": 5,
            "Id": "1ab92989eaf0e742df4a014d5example",
            "CreatedAt": "2020-05-26T22:21:48.385Z",
            "AccountId": "111122223333"
        }
    ]
}

Per ulteriori informazioni, vedere Findings nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere GetFindingsin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzareget-ip-set.

AWS CLI

Per elencare, ottieni i dettagli su un set IP affidabile specificato

L'get-ip-setesempio seguente mostra lo stato e i dettagli del set IP affidabile specificato.

aws guardduty get-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example

Output:

{
    "Status": "ACTIVE",
    "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv",
    "Tags": {},
    "Format": "TXT",
    "Name": "test-ip-set"
}

Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere GetIpSetin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzareget-master-account.

AWS CLI

Per recuperare i dettagli sul tuo account principale nella regione corrente

L'get-master-accountesempio seguente mostra lo stato e i dettagli dell'account principale associato al rilevatore nella regione corrente.

aws guardduty get-master-account \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Master": {
        "InvitationId": "04b94d9704854a73f94e061e8example",
        "InvitedAt": "2020-06-09T22:23:04.970Z",
        "RelationshipStatus": "Enabled",
        "AccountId": "123456789111"
    }
}

Per ulteriori informazioni, consulta Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.

Il seguente esempio di codice mostra come utilizzarelist-detectors.

AWS CLI

Per elencare i rilevatori disponibili nella regione corrente

L'list-detectorsesempio seguente elenca i rilevatori disponibili nella regione corrente AWS .

aws guardduty list-detectors

Output:

{
    "DetectorIds": [
        "12abc34d567e8fa901bc2d34eexample"
    ]
}

Per ulteriori informazioni, vedere Concetti e terminologia nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere ListDetectorsin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarelist-findings.

AWS CLI

Esempio 1: Per elencare tutti i risultati per la regione corrente

L'list-findingsesempio seguente visualizza un elenco di tutti i dati findingIds per la regione corrente, ordinati per gravità, dal più alto al più basso.

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

Output:

{
    "FindingIds": [
        "04b8ab50fd29c64fc771b232dexample",
        "5ab8ab50fd21373735c826d3aexample",
        "90b93de7aba69107f05bbe60bexample",
        ...
    ]
}

Per ulteriori informazioni, vedere Findings in the GuardDuty User Guide.

Esempio 2: per elencare i risultati per la regione corrente che corrispondono a criteri di ricerca specifici

L'list-findingsesempio seguente visualizza un elenco di tutti i risultati findingIds che corrispondono a un tipo di risultato specificato.

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

Output:

{
    "FindingIds": [
        "90b93de7aba69107f05bbe60bexample",
        "6eb9430d7023d30774d6f05e3example",
        "2eb91a2d060ac9a21963a5848example",
        "44b8ab50fd2b0039a9e48f570example",
        "9eb8ab4cd2b7e5b66ba4f5e96example",
        "e0b8ab3a38e9b0312cc390ceeexample"
    ]
}

Per ulteriori informazioni, vedere Findings nella Guida GuardDuty per l'utente.

Esempio 3: per elencare i risultati per la regione corrente che corrispondono a una serie specifica di criteri di ricerca definiti all'interno di un JSON file

L'list-findingsesempio seguente visualizza un elenco di tutto ciò findingIds che non è archiviato e coinvolge l'IAMutente denominato «testuser», come specificato in un JSON file.

aws guardduty list-findings \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --finding-criteria  file://myfile.json

Contenuto di myfile.json.

{"Criterion": {
    "resource.accessKeyDetails.userName":{
                "Eq":[
                    "testuser"
                    ]
                },
    "service.archived": {
                "Eq": [
                    "false"
                ]
            }
        }
}

Output:

{
    "FindingIds": [
        "1ab92989eaf0e742df4a014d5example"
    ]
}

Per ulteriori informazioni, vedere Findings in the GuardDuty User Guide.

  • Per API i dettagli, vedere ListFindingsin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarelist-invitations.

AWS CLI

Per elencare i dettagli dei tuoi inviti a diventare un account membro nella regione corrente

L'list-invitationsesempio seguente elenca i dettagli e lo stato degli inviti a diventare un account GuardDuty membro nella regione corrente.

aws guardduty list-invitations

Output:

{
    "Invitations": [
        {
            "InvitationId": "d6b94fb03a66ff665f7db8764example",
            "InvitedAt": "2020-06-10T17:56:38.221Z",
            "RelationshipStatus": "Invited",
            "AccountId": "123456789111"
        }
    ]
}

Per ulteriori informazioni, consulta Gestire GuardDuty gli account tramite invito nella Guida per l' GuardDuty utente.

Il seguente esempio di codice mostra come utilizzarelist-ip-sets.

AWS CLI

Per elencare i set IP affidabili nella regione corrente

L'list-ip-setsesempio seguente elenca i set IP affidabili nella AWS regione corrente.

aws guardduty list-ip-sets \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "IpSetIds": [
        "d4b94fc952d6912b8f3060768example"
    ]
}

Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida GuardDuty per l'utente.

  • Per API i dettagli, vedere ListIpSetsin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzarelist-members.

AWS CLI

Per elencare tutti i membri della regione corrente

L'list-membersesempio seguente elenca tutti gli account membro e i relativi dettagli per l'area corrente.

aws guardduty list-members \
    --detector-id 12abc34d567e8fa901bc2d34eexample

Output:

{
    "Members": [
        {
            "RelationshipStatus": "Enabled",
            "InvitedAt": "2020-06-09T22:49:00.910Z",
            "MasterId": "123456789111",
            "DetectorId": "7ab8b2f61b256c87f793f6a86example",
            "UpdatedAt": "2020-06-09T23:08:22.512Z",
            "Email": "your+member@example.com",
            "AccountId": "123456789222"
        }
    ]
}

Per ulteriori informazioni, vedere Comprensione della relazione tra account GuardDuty principale e account membro nella Guida per l' GuardDuty utente.

  • Per API i dettagli, vedere ListMembersin AWS CLI Command Reference.

Il seguente esempio di codice mostra come utilizzareupdate-ip-set.

AWS CLI

Per aggiornare un set IP affidabile

L'update-ip-setesempio seguente mostra come aggiornare i dettagli di un set IP affidabile.

aws guardduty update-ip-set \
    --detector-id 12abc34d567e8fa901bc2d34eexample \
    --ip-set-id d4b94fc952d6912b8f3060768example \
    --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Utilizzo degli elenchi di IP affidabili e degli elenchi di minacce nella Guida GuardDuty per l'utente.

  • Per API i dettagli, vedere UpdateIpSetin AWS CLI Command Reference.