結果のフィルタリング - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

結果のフィルタリング

検索条件を使用すると、指定した条件に一致する結果を表示し、一致しない結果を除外できます。検索フィルターは、Amazon GuardDuty コンソールを使用して簡単に作成できます。また、CreateFilterJSON を使用した API。コンソールでフィルタを作成する方法については、次のセクションを参照してください。これらのフィルタを使用して受信結果を自動的にアーカイブするには、サプレッションルール

GuardDuty コンソールでフィルターを作成する

結果フィルターは、GuardDuty コンソールで作成およびテストすることができます。コンソールで作成したフィルターは、抑制ルールやその後のフィルター操作で使用するために保存できます。フィルタは、少なくとも 1 つのフィルタ条件で構成されます。フィルタ条件は、1 つのフィルタ属性と少なくとも 1 つの値で構成されます。

フィルターを作成するときは、以下について注意してください。

  • フィルタはワイルドカードを受け付けません。

  • 特定のフィルタの条件として、少なくとも 1 つの属性と最大 50 の属性を指定できます。

  • 使用すると、等しいまたは等しくない条件を使用して、アカウント ID などの属性値をフィルタリングする場合、最大 50 個の値を指定できます。

  • 各フィルタ条件属性は、ANDoperator. 同じ属性の複数の値は、AND/OR

結果をフィルタリングするには (コンソール)

  1. 選択フィルタ条件の追加GuardDuty 結果の、表示されたリストの上にあります。

  2. 展開された属性のリストで、フィルタの条件として指定する属性 (アカウント IDまたはアクションの種類

    注記

    フィルタ条件の作成に使用できる属性の一覧については、このページの「フィルタ属性テーブル」を参照してください。

  3. 表示されたテキストフィールドで選択された各属性の値を指定し、適用

    注記

    フィルターを適用したら、フィルター名の左側にある黒いドットを選択して、フィルターに一致する結果を除外するようにフィルタを変換できます。これにより、選択した属性に対して「等しくない」フィルターが実質的に作成されます。

  4. 指定された属性とその値 (フィルタ条件) をフィルタとして保存するには、[保存] の順に選択します。フィルター名と説明を入力し、Done

フィルタ属性

API 操作を使用してフィルターを作成したり、結果を並べ替えたりする場合は、JSON でフィルター条件を指定する必要があります。これらのフィルタ条件は、結果の詳細JSONと相関します。次の表に、フィルタ属性のコンソール表示名と、それに相当する JSON フィールド名のリストを示します。

コンソールフィールド名

JSON フィールド名

アカウント ID

accountId

Confidence

信頼度

結果 ID

id

リージョン

リージョン

アクセスキー ID

resource.accessKeyDetails.accessKeyId

プリンシパル ID

resource.accessKeyDetails.principalId

ユーザー名

resource.accessKeyDetails.userName

ユーザータイプ

resource.accessKeyDetails.userType

IAM インスタンスプロファイル ID。

resource.instanceDetails.iamInstanceProfile.id

インスタンス ID

resource.instanceDetails.instanceId

インスタンスタイプ

resource.instanceDetails.instanceType

Launch Time (作成時刻)

resource.instanceDetails.launchTime

インスタンスイメージ ID

resource.instanceDetails.imageId

IPv6 アドレス

resource.instanceDetails.networkInterfaces.ipv6Addresses

プライベート IPv4 アドレス

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

Public DNS name

resource.instanceDetails.networkInterfaces.publicDnsName

パブリック IP

resource.instanceDetails.networkInterfaces.publicIp

セキュリティグループ ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

セキュリティグループ名

resource.instanceDetails.networkInterfaces.securityGroups.groupName

サブネット ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

タグキー

resource.instanceDetails.tags.key

タグ値

resource.instanceDetails.tags.value

リソースタイプ

resource.resourceType

Bucket permissions (バケットのアクセス許可)

resource.s3BucketDetails.publicAccess.effectivePermissions

バケット名 

resource.s3BucketDetails.name

バケットタグキー

resource.s3BucketDetails.tags.key

バケットタグ値

resource.s3BucketDetails.tags.value

Bucket type (バケットタイプ)

resource.s3BucketDetails.type

アクションの種類

service.action.actionType

API 呼び出し

service.action.awsApiCallAction.api

API 発信者タイプ

service.action.awsApiCallAction.callerType

API エラーコード

service.action.awsApiCallAction.errorCode

API 発信者の都市

service.action.awsApiCallAction.remoteIpDetails.city.cityName

API 発信者の国

service.action.awsApiCallAction.remoteIpDetails.country.countryName

API 発信者の IPv4 アドレス

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

API 発信者の ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 発信者の ASN 名

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

API 発信者のサービス名

service.action.awsApiCallAction.serviceName

DNS リクエストドメイン

service.action.dnsRequestAction.domain

ブロック済みのネットワーク接続

service.action.networkConnectionAction.blocked

ネットワーク接続の方向

service.action.networkConnectionAction.connectionDirection

ネットワーク接続のローカルポート

service.action.networkConnectionAction.localPortDetails.port

ネットワーク接続プロトコル

service.action.networkConnectionAction.protocol

ネットワーク接続の都市

service.action.networkConnectionAction.remoteIpDetails.city.cityName

ネットワーク接続の国

service.action.networkConnectionAction.remoteIpDetails.country.countryName

ネットワーク接続のリモート IPv4 アドレス

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ネットワーク接続のリモート IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asn

ネットワーク接続のリモート IP ASN 名

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

ネットワーク接続のリモートポート

service.action.networkConnectionAction.remotePortDetails.port

脅威リスト名

service.additionalInfo.threatListName

アーカイブ済み

service.archived

Local IP (ローカル IP)

service.localIpDetails.ipAddressV4

リソースロール

service.resourceRole

重要度

severity

検索タイプ

type

更新時刻

updatedAt