Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Filtro dei risultati
Un filtro per gli esiti ti consente di visualizzare gli esiti che corrispondono ai criteri specificati e di escludere gli esiti non corrispondenti. Puoi creare facilmente filtri di ricerca utilizzando la GuardDuty console Amazon oppure puoi crearli con l'CreateFilterAPI utilizzando JSON. Consulta le sezioni seguenti per capire come creare un filtro nella console. Per utilizzare questi filtri in modo da archiviare automaticamente gli esiti in arrivo, consulta Regole di eliminazione.
Creazione di filtri nella console GuardDuty
I filtri di ricerca possono essere creati e testati tramite la GuardDuty console. Puoi salvare i filtri che hai creato tramite la console per utilizzarli nelle regole di eliminazione o nelle operazioni di filtro future. Un filtro è composto da almeno un criterio di filtro, che consiste in un attributo del filtro abbinato ad almeno un valore.
Quando crei un nuovo utente, tieni in considerazione quanto segue:
-
I filtri non accettano caratteri jolly.
-
Puoi specificare da uno a 50 attributi come criteri per un determinato filtro.
-
Quando utilizzi la condizione uguale a o non uguale a per filtrare in base a un valore di attributo, ad esempio ID account, puoi specificare un massimo di 50 valori.
-
Ogni attributo dei criteri di filtro viene valutato come operatore
AND
. Più valori per lo stesso attributo vengono valutati comeAND/OR
.
Per filtrare i risultati (console)
-
Scegli Aggiungi criteri di filtro sopra l'elenco visualizzato dei GuardDuty risultati.
-
Nell'elenco di attributi espanso, seleziona gli attributi che desideri specificare come criterio di filtro, come ID Account o Tipo di operazione.
Nota
Consulta la tabella sugli attributi del filtro in questa pagina per visualizzare un elenco degli attributi che puoi utilizzare per creare criteri di filtro.
-
Nel campo di testo visualizzato, specifica un valore per ogni attributo selezionato, quindi scegli Applica.
Nota
Dopo aver applicato un filtro, puoi convertirlo per escludere gli esiti che corrispondono al filtro scegliendo il punto nero a sinistra del nome del filtro. In questo modo viene creato un filtro "non uguale" per l'attributo selezionato.
-
Per salvare gli attributi specificati e i relativi valori (criteri di filtro) come filtro, selezionare Salva. Fornisci il nome e la descrizione del filtro, quindi scegli Fatto.
Attributi del filtro
Quando crei filtri o ordini gli esiti utilizzando le operazioni API, devi specificare i criteri di filtro in JSON. Questi criteri di filtro sono correlati al JSON dei dettagli di un esito. La tabella seguente contiene un elenco dei nomi che vengono visualizzati nella console per gli attributi dei filtri e i nomi dei campi JSON equivalenti.
Nome campo console |
Nome campo JSON |
---|---|
ID account |
accountId |
ID risultato |
id |
Regione |
Regione |
Gravità |
severity Puoi filtrare i tipi di risultati in base al livello di gravità dei tipi di risultati. Per ulteriori informazioni sui valori di gravità, vedereLivelli di gravità dei GuardDuty risultati. Se si utilizza |
Tipo di risultato |
tipo |
Ora aggiornamento |
updatedAt |
ID chiave di accesso |
risorsa. accessKeyDetails. accessKeyId |
ID principale |
risorsa. accessKeyDetails. ID principale |
Username |
risorsa. accessKeyDetails.Nome utente |
Tipo di utente |
risorsa. accessKeyDetails.tipo di utente |
ID profilo dell'istanza IAM |
Resource.InstanceDetails. iamInstanceProfile.id |
ID istanza |
resource.instanceDetails.instanceId |
ID immagine istanza |
resource.instanceDetails.imageId |
Chiave di tag dell'istanza |
resource.instanceDetails.tags.key |
Valore del tag dell'istanza |
resource.instanceDetails.tags.value |
Indirizzo IPv6 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
Indirizzo IPv4 privato |
resource.instancedetails.Interfacce di rete. privateIpAddresses. privateIpAddress |
Nome DNS pubblico |
Resource.InstanceDetails.Interfacce di rete. publicDnsName |
IP pubblico |
resource.instanceDetails.networkInterfaces.publicIp |
ID gruppo di sicurezza |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
Nome del gruppo di sicurezza |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
ID sottorete |
resource.instanceDetails.networkInterfaces.subnetId |
ID VPC |
resource.instanceDetails.networkInterfaces.vpcId |
ARN dell'Outpost |
resource.instanceDetails.outpostARN |
Tipo di risorsa |
resource.resourceType |
Autorizzazioni del bucket |
resource.s3.publicAccess.EffectivePermission BucketDetails |
Nome bucket |
risorse.s3 .nome BucketDetails |
Chiave tag bucket |
risorse.s3 .tags.key BucketDetails |
Valore tag bucket |
risorse.s3 .tags.value BucketDetails |
Tipo bucket |
risorse.s3 .type BucketDetails |
Tipo di operazione |
service.action.actionType |
API chiamata |
servizio.azione. awsApiCallAzione.api |
Tipo intermediario API |
servizio.azione. awsApiCallaction.callerType |
Codice di errore API |
servizio.azione. awsApiCallcodice di errore action.error |
Città intermediario API |
servizio.azione. awsApiCallAzione. remoteIpDetails.città.Nome della città |
Paese intermediario API |
servizio.azione. awsApiCallAzione. remoteIpDetails.Paese.CountryName |
Indirizzo IPv4 intermediario API |
servizio.azione. awsApiCallAzione. remoteIpDetails.Indirizzo IP v4 |
Indirizzo IPv6 del chiamante API |
servizio.azione. awsApiCallAzione. remoteIpDetails.indirizzo IP v6 |
ID ASN intermediario API |
servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione.asn |
Nome ASN intermediario API |
servizio.azione. awsApiCallAzione. remoteIpDetails.Organizzazione.asnorg |
Nome del servizio intermediario API |
servizio.azione. awsApiCallaction.serviceName |
Dominio richiesta DNS |
servizio.azione. dnsRequestAction.dominio |
Suffisso del dominio richiesta DNS |
servizio.azione. dnsRequestAction. domainWithSuffix |
Connessione di rete bloccata |
servizio.azione. networkConnectionAction.bloccato |
Direzione connessione rete |
servizio.azione. networkConnectionAction. Direzione della connessione |
Porta locale connessione rete |
servizio.azione. networkConnectionAction. localPortDetails.porta |
Protocollo connessione rete |
servizio.azione. networkConnectionAction.protocollo |
Città connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.città. Nome della città |
Paese connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.Paese. Nome del Paese |
Indirizzo IPv4 remoto connessione rete |
servizio.azione. networkConnectionAction. remoteIpDetails.indirizzo IP v4 |
Indirizzo IPv6 remoto della connessione di rete |
servizio.azione. networkConnectionAction. remoteIpDetails.indirizzo IP v6 |
ID ASN IP remoto connessione rete |
servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione.asn |
Nome ASN IP remoto connessione rete |
servizio.azione. networkConnectionAction. remoteIpDetails.Organizzazione.asnorg |
Porta remota connessione rete |
servizio.azione. networkConnectionAction. remotePortDetails.porta |
Account remoto affiliato |
servizio.azione. awsApiCallAzione. remoteAccountDetails.affiliato |
Indirizzo IPv4 chiamante API Kubernetes |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails.Indirizzo IP v4 |
Indirizzo IPv6 del chiamante dell'API Kubernetes |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails.indirizzo IP v6 |
Spazio dei nomi Kubernetes |
servizio.azione. kubernetesApiCallAction.namespace |
ID ASN chiamante API Kubernetes |
servizio.azione. kubernetesApiCallAzione. remoteIpDetails.organizzazione.asn |
URI della richiesta di chiamata API Kubernetes |
servizio.azione. kubernetesApiCallazione. RequestURI |
Codice di stato API Kubernetes |
servizio.azione. kubernetesApiCallcodice action.status |
Indirizzo IPv4 locale della connessione di rete |
servizio.azione. networkConnectionAction. localIpDetails.indirizzo IP v4 |
Indirizzo IPv6 locale della connessione di rete |
servizio.azione. networkConnectionAction. localIpDetails.indirizzo IP v6 |
Protocollo |
servizio.azione. networkConnectionAction.protocollo |
Nome servizio chiamata API |
servizio.azione. awsApiCallaction.serviceName |
ID account chiamante API |
servizio.azione. awsApiCallAzione. remoteAccountDetails.ID account |
Nome elenco minacce |
Servizio. Informazioni aggiuntive. threatListName |
Ruolo risorsa |
service.resourceRole |
Nome del cluster EKS |
risorsa. eksClusterDetails.nome |
Nome del carico di lavoro Kubernetes |
Resource.KubernetesDetails. kubernetesWorkloadDetails.nome |
Spazio dei nomi del carico di lavoro Kubernetes |
Resource.KubernetesDetails. kubernetesWorkloadDetails.namespace |
Nome utente Kubernetes |
Resource.KubernetesDetails. kubernetesUserDetails.nome utente |
Immagine del container di Kubernetes |
Resource.KubernetesDetails. kubernetesWorkloadDetails.contenitori.immagine |
Prefisso dell'immagine del container di Kubernetes |
Resource.kubernetesDetails. kubernetesWorkloadDetails.containers.Image Prefix |
ID scansione |
servizio. ebsVolumeScanDettagli.scanID |
Nome della minaccia di scansione del volume EBS |
servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome.ThreatNames.Name |
Nome della minaccia di scansione degli oggetti S3 |
servizio. malwareScanDetails.threats.name |
Gravità delle minacce |
servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome. Nomi delle minacce. Severità |
File SHA |
servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome.ThreatNames.FilePaths.Hash |
Nome del cluster ECS |
risorsa. ecsClusterDetails.nome |
Immagine del container ECS |
risorsa. ecsClusterDetails.taskdetails.containers.image |
ARN di definizione del processo ECS |
risorsa. ecsClusterDetails.taskdetails.definitionARN |
Immagine del container autonomo |
resource.containerDetails.image |
ID istanza di database |
risorsa. rdsDbInstanceDettagli. dbInstanceIdentifier |
ID del cluster di database |
risorsa. rdsDbInstanceDettagli. dbClusterIdentifier |
Motore di database |
risorsa. rdsDbInstanceDettagli. Motore |
Utente del database |
risorsa. rdsDbUserDettagli. Utente |
Chiave di tag dell'istanza database |
risorsa. rdsDbInstancedetails.tags.key |
Valore del tag dell'istanza database |
risorsa. rdsDbInstancedetails.tags.value |
SHA-256 eseguibile |
service.runtimeDetails.process.executableSha256 |
Process name (Nome del processo) |
service.runtimeDetails.process.name |
Percorso eseguibile |
service.runtimeDetails.process.executablePath |
Nome della funzione Lambda |
resource.lambdaDetails.functionName |
ARN della funzione Lambda |
resource.lambdaDetails.functionArn |
Chiave di tag con funzione Lambda |
resource.lambdaDetails.tags.key |
Valore del tag della funzione lambda |
resource.lambdaDetails.tags.value |
Dominio richiesta DNS |
servizio.azione. dnsRequestAction. domainWithSuffix |