Regole di eliminazione

Una regola di eliminazione è un insieme di criteri in cui ogni attributo di filtro è abbinato a un valore. Questi criteri vengono utilizzati per filtrare gli esiti, archiviando automaticamente i nuovi esiti che corrispondono ai criteri specificati. Le regole di soppressione possono essere utilizzate per filtrare risultati di basso valore, risultati falsi positivi o minacce su cui non si intende agire, per facilitare il riconoscimento delle minacce alla sicurezza con l'impatto maggiore sull'ambiente.

Dopo aver creato una regola di soppressione, i nuovi risultati che corrispondono ai criteri definiti nella regola vengono archiviati automaticamente finché la regola di soppressione è in vigore. Puoi utilizzare un filtro esistente per creare una regola di eliminazione oppure puoi crearne una a partire da un nuovo filtro definito. È possibile configurare le regole di eliminazione in modo da eliminare interi tipi di risultati oppure definire criteri di filtro più granulari per sopprimere solo istanze specifiche di un particolare tipo di risultato. È possibile modificare le regole di soppressione in qualsiasi momento.

I risultati soppressi non vengono inviati ad AWS Security Hub Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, riducendo il livello di rumore delle ricerche se si utilizzano GuardDuty i risultati tramite Security Hub, un SIEM di terze parti o altre applicazioni di avviso e ticketing. Se l'hai abilitatoGuardDuty Protezione da malware per EC2, i GuardDuty risultati soppressi non avvieranno una scansione antimalware.

GuardDuty continua a generare risultati anche quando corrispondono alle regole di soppressione impostate, tuttavia tali risultati vengono automaticamente contrassegnati come archiviati. I risultati archiviati vengono archiviati GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo. Puoi visualizzare i risultati soppressi nella GuardDuty console selezionando Archiviato dalla tabella dei risultati o tramite l' GuardDuty API utilizzando l'ListFindingsAPI con un findingCriteria criterio uguale a true. service.archived

Nota

In un ambiente con più account solo l' GuardDuty amministratore può creare regole di soppressione.

Casi d'uso comuni per le regole di eliminazione ed esempi

I seguenti tipi di risultati presentano casi d'uso comuni per l'applicazione delle regole di soppressione. Seleziona il nome del risultato per saperne di più su tale risultato. Esamina la descrizione del caso d'uso per decidere se creare una regola di soppressione per quel tipo di risultato.

Importante

GuardDuty consiglia di creare regole di soppressione in modo reattivo e solo per i risultati per i quali sono stati ripetutamente identificati falsi positivi nel proprio ambiente.

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: utilizza una regola di eliminazione per archiviare automaticamente gli esiti generati quando la rete VPC è configurata per instradare il traffico Internet in modo tale che esso esca da un gateway on-premise anziché da un gateway Internet VPC.

  Questo esito viene generato quando la rete è configurata per instradare il traffico Internet in modo tale da uscire da un gateway on-premise anziché da un gateway Internet (IGW) VPC. Configurazioni comuni, come l'utilizzo di AWS Outposts o delle connessioni VPN del VPC, possono instradare il traffico in questo modo. Se questo è il comportamento previsto, si consiglia di utilizzare le regole di soppressione e di creare una regola composta da due criteri di filtro. Il primo criterio è trovare il tipo, che dovrebbe essere UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Il secondo criterio di filtro è l'Indirizzo IPv4 del chiamante API con l'indirizzo IP o l'intervallo CIDR del gateway Internet on-premise. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base all'indirizzo IP del chiamante API.

  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6

  Nota

  Per includere più IP del chiamante API, puoi aggiungere un nuovo filtro di Indirizzo IPv4 del chiamante API per ciascuno.

• Recon:EC2/Portscan: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando utilizzi un'applicazione di valutazione della vulnerabilità.

  La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con determinate AMI.

  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

• UnauthorizedAccess:EC2/SSHBruteForce: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze di host bastione.

  Se l'obiettivo del tentativo di forza bruta è un bastion host, questo potrebbe rappresentare il comportamento previsto per l'ambiente in uso. AWS In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con un determinato valore del tag dell'istanza.

  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

• Recon:EC2/PortProbeUnprotectedPort: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze esposte intenzionalmente.

  Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con una determinata chiave di tag dell'istanza nella console.

  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Regole di soppressione consigliate per i risultati del Runtime Monitoring

• PrivilegeEscalation:Runtime/DockerSocketAccessed viene generato quando un processo all'interno di un container comunica con il socket Docker. Nel tuo ambiente potrebbero esserci container che devono accedere al socket Docker per motivi legittimi. L'accesso da parte di tali container genererà esiti PrivilegeEscalation:Runtime/DockerSocketAccessed. Se questo è un caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo tipo di risultati. Il primo criterio dovrebbe utilizzare il campo Tipo di risultato con valore uguale a PrivilegeEscalation:Runtime/DockerSocketAccessed. Il secondo criterio di filtro è il campo Percorso eseguibile con valore uguale al executablePath del processo nell'esito generato. In alternativa, il secondo criterio di filtro può utilizzare il campo SHA-256 eseguibile con valore uguale al executableSha256 del processo nell'esito generato.

• I cluster Kubernetes gestiscono i propri server DNS come pod, ad esempio. coredns Pertanto, per ogni ricerca DNS da un pod, GuardDuty acquisisce due eventi DNS, uno dal pod e l'altro dal pod del server. Ciò può generare duplicati per i seguenti esiti DNS:

  • Backdoor:Runtime/C&CActivity.B!DNS

  • CryptoCurrency:Runtime/BitcoinTool.B!DNS

  • Impact:Runtime/AbusedDomainRequest.Reputation

  • Impact:Runtime/BitcoinDomainRequest.Reputation

  • Impact:Runtime/MaliciousDomainRequest.Reputation

  • Impact:Runtime/SuspiciousDomainRequest.Reputation

  • Trojan:Runtime/BlackholeTraffic!DNS

  • Trojan:Runtime/DGADomainRequest.C!DNS

  • Trojan:Runtime/DriveBySourceTraffic!DNS

  • Trojan:Runtime/DropPoint!DNS

  • Trojan:Runtime/PhishingDomainRequest!DNS

  Gli esiti duplicati includeranno i dettagli del pod, del container e del processo che corrispondono al pod del server DNS. Puoi impostare una regola di eliminazione per eliminare gli esiti duplicati utilizzando questi campi. Il primo criterio di filtro deve utilizzare il campo Tipo di risultato con valore uguale a un tipo di esito DNS dall'elenco degli esiti fornito in precedenza in questa sezione. Il secondo criterio di filtro può essere Percorso eseguibile con valore uguale a quello del executablePath del server DNS o SHA-256 eseguibile con valore uguale a quello del executableSHA256 del server DNS nell'esito generato. Come terzo criterio di filtro facoltativo, puoi utilizzare il campo Immagine del container di Kubernetes con valore uguale all'immagine del container del pod del server DNS nell'esito generato.

Creazione di regole di soppressione

Scegliete il metodo di accesso preferito per creare una regola di soppressione per la GuardDuty ricerca dei tipi.

Console

È possibile visualizzare, creare e gestire le regole di soppressione utilizzando la console. GuardDuty Le regole di eliminazione vengono generate nello stesso modo dei filtri e i filtri esistenti salvati possono essere utilizzati come regole di eliminazione. Per ulteriori informazioni sulla creazione dei filtri, consulta Filtro dei risultati.

Per creare una regola di eliminazione utilizzando la console:

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nella pagina Risultati, scegli Elimina risultati per aprire il pannello delle regole di eliminazione.

3. Per aprire il menu dei criteri di filtro, inserisci i filter criteria in Aggiungi criteri filtro. Puoi scegliere un criterio dall'elenco. Inserisci un valore valido per il criterio scelto.

   Nota

   Per determinare quale sia il valore valido, visualizza la tabella degli esiti e scegli un esito da eliminare. Consulta i dettagli nel pannello dei risultati.

   Puoi aggiungere più criteri di filtro e assicurarti che nella tabella compaiano solo gli esiti che desideri eliminare.

4. Inserisci un Nome e una Descrizione per la regola di eliminazione. I caratteri validi includono i caratteri alfanumerici, il punto (.), il trattino (-), il carattere di sottolineatura (_) e gli spazi bianchi.

5. Selezionare Salva.

Puoi anche creare una regola di eliminazione da un filtro esistente salvato. Per ulteriori informazioni sulla creazione dei filtri, consulta Filtro dei risultati.

Per creare una regola di eliminazione da un filtro salvato:

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nella pagina Risultati, scegli Elimina risultati per aprire il pannello delle regole di eliminazione.

3. Dal menu a discesa Regole salvate, scegli un filtro salvato.

4. Puoi anche aggiungere nuovi criteri di filtro. Salta questo passaggio se non sono necessari criteri di filtro aggiuntivi.

   Per aprire il menu dei criteri di filtro, inserisci i filter criteria in Aggiungi criteri filtro. Puoi scegliere un criterio dall'elenco. Inserisci un valore valido per il criterio scelto.

   Nota

   Per determinare quale sia il valore valido, visualizza la tabella degli esiti e scegli un esito da eliminare. Consulta i dettagli nel pannello dei risultati.

5. Inserisci un Nome e una Descrizione per la regola di eliminazione. I caratteri validi includono i caratteri alfanumerici, il punto (.), il trattino (-), il carattere di sottolineatura (_) e gli spazi bianchi.

6. Selezionare Salva.

API/CLI

Per creare una regola di eliminazione tramite API:

1. Puoi creare regole di eliminazione tramite l'API CreateFilter. Per farlo, specifica i criteri di filtro in un file JSON seguendo il formato dell'esempio riportato di seguito. L'esempio seguente eliminerà tutti gli esiti di gravità bassa non archiviati che presentano una richiesta DNS al dominio test.example.com. Per gli esiti di gravità media, l'elenco di input sarà ["4", "5", "7"], mentre per quelli di gravità alta, l'elenco di input sarà ["6", "7", "8"]. Puoi anche applicare filtri in base a qualsiasi valore dell'elenco.

   {
       "Criterion": {
           "service.archived": {
               "Eq": [
                   "false"
               ]
           },
           "service.action.dnsRequestAction.domain": {
               "Eq": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Eq": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }

   Per un elenco dei nomi dei campi JSON e il relativo equivalente della console, vedere Attributi del filtro.

   Per testare i criteri di filtro, utilizza lo stesso criterio JSON nell'API ListFindings e conferma che siano stati selezionati gli esiti corretti. Per testare i criteri di filtro, AWS CLI segui l'esempio utilizzando il tuo detectorID e.json.

   Per trovare i dati relativi detectorId al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

   aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

2. Carica il filtro da utilizzare come regola di eliminazione con l'API CreateFilter o utilizzando la CLI AWS seguendo l'esempio riportato di seguito con il tuo ID rilevatore, un nome per la regola di eliminazione e il file.json.

   Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'ListDetectorsAPI

   aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                   

Puoi visualizzare un elenco dei tuoi filtri in modo programmatico con l'API ListFilter. Puoi visualizzare i dettagli di un singolo filtro fornendo il nome del filtro all'API GetFilter. Aggiorna i filtri utilizzando UpdateFilter o eliminali con l'API DeleteFilter.

Eliminazione delle regole di soppressione

Scegliete il metodo di accesso preferito per eliminare una regola di soppressione per GuardDuty la ricerca dei tipi.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nella pagina Risultati, scegli Elimina risultati per aprire il pannello delle regole di eliminazione.

3. Dal menu a discesa Regole salvate, scegli un filtro salvato.

4. Scegliere Delete rule (Elimina regola).

API/CLI

Eseguire l'API DeleteFilter. Specificate il nome del filtro e l'ID del rilevatore associato per la regione specifica.

In alternativa, è possibile utilizzare il seguente AWS CLI esempio sostituendo i valori formattati in rosso:

aws guardduty delete-filter --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34e56789f0 --filter-name filterName

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors