所見のフィルタリング - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

所見のフィルタリング

所見フィルタを使用すると、指定した条件に一致する所見を表示し、一致しない所見を除外できます。所見フィルタは、 Amazon GuardDuty または CreateFilter JSON を使用する API。以下のセクションを確認して、コンソールでフィルタを作成する方法を理解してください。これらのフィルタを使用して、受信した所見を自動的にアーカイブまたは抑制するには、次を参照してください。 抑制ルール.

[ GuardDuty コンソール

所見フィルタは、 GuardDuty コンソール。コンソールから作成したフィルタは、抑制ルールや今後のフィルタ操作で使用するために保存できます。フィルターは、少なくとも 1 つのフィルター条件で構成され、少なくとも 1 つの値とペアになっている 1 つのフィルター属性で構成されます。

フィルタを作成する場合は、次の点に注意してください。

  • フィルタはワイルドカードを受け付けません。

  • 特定のフィルターの基準として、最低 1 つのアトリビュートと最高 50 までのアトリビュートを指定できます。

  • [ 等しい 又は 以下と等しくない 条件を使用して、アカウントIDなどの特性値でフィルタリングする場合、最大50個の値を指定できます。

  • 各フィルター条件アトリビュートは、 AND 演算子。同じアトリビュートの複数の値は、次のように評価されます。 AND/OR.

結果をフィルタリングするには (コンソール)

  1. 選択 フィルタ条件の追加 表示されるリストの上にある GuardDuty 指摘事項。

  2. 展開されたアトリビュートのリストで、フィルターの条件として指定するアトリビュートを選択します。たとえば、 口座ID 又は アクションタイプ.

    注記

    フィルター条件の作成に使用できるアトリビュートのリストは、このページのフィルター アトリビュート テーブルを参照してください。

  3. 表示されたテキスト フィールドで、選択した各アトリビュートの値を指定し、 適用する.

    注記

    フィルタを適用した後、フィルタ名の左側にある黒い点を選択することで、フィルタを変換してフィルタに一致する所見を除外できます。これにより、選択した属性に対して「等しくない」フィルターが実質的に作成されます。

  4. 指定された属性とその値 (フィルタ条件) をフィルタとして保存するには、[保存] の順に選択します。フィルタ名と説明を入力し、 完了.

属性をフィルター

API操作を使用してフィルタを作成するか、または所見をソートする場合、JSONでフィルタ条件を指定する必要があります。これらのフィルタ条件は、所見の詳細JSONと相関します。次の表は、フィルタ属性のコンソール表示名とそれに相当するJSONフィールド名のリストです。

コンソールフィールド名

JSON フィールド名

アカウント ID

accountId

Confidence

信頼度

結果 ID

id

[リージョン]

リージョン

アクセスキー ID

resource.accessKeyDetails.accessKeyId

プリンシパル ID

resource.accessKeyDetails.principalId

Username

resource.accessKeyDetails.userName

ユーザータイプ

resource.accessKeyDetails.userType

IAM インスタンスプロファイル ID。

resource.instanceDetails.iamInstanceProfile.id

インスタンス ID

resource.instanceDetails.instanceId

インスタンスタイプ

resource.instanceDetails.instanceType

Launch Time (作成時刻)

resource.instanceDetails.launchTime

インスタンスイメージ ID

resource.instanceDetails.imageId

IPv6 住所

resource.instanceDetails.networkInterfaces.ipv6Addresses

プライベート IPv4 住所

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

Public DNS name

resource.instanceDetails.networkInterfaces.publicDnsName

パブリック IP

resource.instanceDetails.networkInterfaces.publicIp

セキュリティグループ ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

セキュリティグループ名

resource.instanceDetails.networkInterfaces.securityGroups.groupName

サブネット ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

タグキー

resource.instanceDetails.tags.key

タグ値

resource.instanceDetails.tags.value

[リソースタイプ]

resource.resourceType

Bucket permissions (バケットのアクセス許可)

resource.s3BucketDetails.publicAccess.effectivePermissions

バケット名 

resource.s3BucketDetails.name

バケットタグキー

resource.s3BucketDetails.tags.key

バケットタグ値

resource.s3BucketDetails.tags.value

Bucket type (バケットタイプ)

resource.s3BucketDetails.type

アクションの種類

service.action.actionType

API 呼び出し

service.action.awsApiCallAction.api

API 発信者タイプ

service.action.awsApiCallAction.callerType

APIエラーコード

service.action.awsApiCallAction.errorCode

API 発信者の都市

service.action.awsApiCallAction.remoteIpDetails.city.cityName

API 発信者の国

service.action.awsApiCallAction.remoteIpDetails.country.countryName

APIコーラー IPv4 住所

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

API 発信者の ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 発信者の ASN 名

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

API 発信者のサービス名

service.action.awsApiCallAction.serviceName

DNS リクエストドメイン

service.action.dnsRequestAction.domain

ブロック済みのネットワーク接続

service.action.networkConnectionAction.blocked

ネットワーク接続の方向

service.action.networkConnectionAction.connectionDirection

ネットワーク接続のローカルポート

service.action.networkConnectionAction.localPortDetails.port

ネットワーク接続プロトコル

service.action.networkConnectionAction.protocol

ネットワーク接続の都市

service.action.networkConnectionAction.remoteIpDetails.city.cityName

ネットワーク接続の国

service.action.networkConnectionAction.remoteIpDetails.country.countryName

ネットワーク接続リモート IPv4 住所

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ネットワーク接続のリモート IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asn

ネットワーク接続のリモート IP ASN 名

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

ネットワーク接続のリモートポート

service.action.networkConnectionAction.remotePortDetails.port

脅威リスト名

service.additionalInfo.threatListName

アーカイブ済み

service.archived

Local IP (ローカル IP)

service.localIpDetails.ipAddressV4

リソースロール

service.resourceRole

緊急度

severity

検索タイプ

type

更新時刻

updatedAt