翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検出結果のフィルタリング
検出結果フィルターを使用すると、指定した条件に一致する検出結果を表示し、一致しない検出結果を除外できます。Amazon GuardDuty コンソールを使用して検出結果フィルターを簡単に作成することも、JSON を使用して CreateFilter API で作成することもできます。コンソールでフィルターを作成する方法については、次のセクションを参照してください。これらのフィルターを使用して受信した検出結果を自動的にアーカイブするには、「抑制ルール」を参照してください。
GuardDuty コンソールでのフィルターの作成
検出結果フィルターは、 GuardDuty コンソールを使用して作成およびテストできます。抑制ルールやその後のフィルターオペレーションで使用するためにコンソールを通して作成したフィルターは、保存できます。フィルターは、少なくとも 1 つのフィルター基準で構成されます。その基準は少なくとも 1 つの値と組み合わさった 1 つのフィルター属性で構成されています。
フィルターを作成する際には、次の点に注意してください。
-
フィルターでは、ワイルドカードを使用できません。
-
特定のフィルターのための基準として、最少 1 から最大 50 までの属性を指定できます。
-
カウント ID などの属性値をフィルタリングするための [equal to] (等しい) または [not equal to] (等しくない) の条件を使用しする最合、大場 50 個の値を指定できます。
-
各フィルター基準の属性は
AND
演算子として評価されます。同じ属性の複数の値はAND/OR
として評価されます。
検出結果をフィルタリングするには (コンソール)
-
GuardDuty 結果の表示されたリストの上にフィルター条件を追加を選択します。
-
展開された属性のリストで、[Account ID] (アカウント ID) または [Action type] (アクションタイプ) など、フィルターの条件として特定したい属性を選択します。
注記
フィルター基準として指定できる属性の一覧については、このページの フィルター属性の表を参照してください。
-
表示されたテキストフィールドで選択された各属性の値を指定し、[Apply] (適用) を選択します。
注記
フィルターを適用したら、フィルター名の左側にある黒いドットを選択し、フィルターに一致する検出結果を除外するようにフィルターを変換できます。これにより、選択した属性に対して [not equals] (等しくない) フィルターが実質的に作成されます。
-
指定された属性とその値 (フィルター条件) をフィルターとして保存するには、[Save] (保存) を選択します。フィルター名と説明を入力し、[Done] (完了) を選択します。
フィルターの属性
API オペレーションを使用してフィルターを作成したり、検出結果を並べ替える場合は、JSON 中でフィルター基準を特定する必要があります。これらのフィルター基準は、検出結果の詳細 JSON と相関します。次の表にフィルター属性のコンソール表示名と、それに対応する JSON フィールド名のリストを表示します。
コンソールフィールド名 |
JSON フィールド名 |
---|---|
アカウント ID |
accountId |
検出結果 ID |
id |
リージョン |
region |
緊急度 |
severity API、 AWS CLI、または |
検出結果タイプ |
type |
更新時刻 |
updatedAt |
アクセスキー ID |
リソースaccessKeyDetails。accessKeyId |
プリンシパル ID |
resource.accessKeyDetails.principalId |
ユーザーネーム |
resource.accessKeyDetails.userName |
ユーザーのタイプ |
resource.accessKeyDetails.userType |
IAM インスタンスプロファイル ID |
resource.instanceDetails .iamInstanceProfile.id |
インスタンス ID |
resource.instanceDetails.instanceId |
インスタンスイメージ ID |
resource.instanceDetails.imageId |
インスタンスのタグキー。 |
resource.instanceDetails.tags.key |
インスタンスのタグ値。 |
resource.instanceDetails.tags.value |
IPv6 アドレス |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
プライベート IPv4 アドレス |
resource.instanceDetails.networkInterfaces.privateIpAddressesprivateIpAddress |
パブリック DNS 名 |
resource.instanceDetails.networkInterfaces.publicDnsName |
パブリック IP |
resource.instanceDetails.networkInterfaces.publicIp |
セキュリティグループ ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
セキュリティグループ名 |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
サブネット ID |
resource.instanceDetails.networkInterfaces.subnetId |
VPC ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost ARN |
resource.instanceDetails.outpostARN |
リソースタイプ |
resource.resourceType |
バケット許可 |
resource.s3BucketDetails.publicAccess.effectivePermission |
バケット名 |
resource.s3BucketDetails.name |
バケットタグキー |
resource.s3BucketDetails.tags.key |
バケットタグ値 |
resource.s3BucketDetails.tags.value |
バケットタイプ |
resource.s3BucketDetails.type |
アクションタイプ |
service.action.actionType |
呼び出された API |
service.action.awsApiCallAction.api |
API 発信者のタイプ |
service.action.awsApiCallAction.callerType |
API エラーコード |
service.action.awsApiCallAction.errorCode |
API 発信者の都市 |
service.action.awsApiCallAction.remoteIpDetails.city.cityName |
API 発信者の国 |
service.action.awsApiCallAction.remoteIpDetails.country.countryName |
API 発信者の IPv4 アドレス |
service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
API 発信者 IPv6 アドレス |
service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
API 発信者の ASN ID |
service.action.awsApiCallAction.remoteIpDetails.organization.asn |
API 発信者の ASN 名 |
service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
API 発信者のサービス名 |
service.action.awsApiCallAction.serviceName |
DNS リクエストドメイン |
service.action.dnsRequestAction.domain |
DNS リクエストドメインサフィックス |
service.actiondnsRequestAction。domainWithSuffix |
ブロック済みのネットワーク接続 |
service.action.networkConnectionAction.blocked |
ネットワーク接続の方向 |
service.action.networkConnectionAction.connectionDirection |
ネットワーク接続のローカルポート |
service.action.networkConnectionActionlocalPortDetails.port |
ネットワーク接続プロトコル |
service.action.networkConnectionAction.protocol |
ネットワーク接続の都市 |
service.action.networkConnectionActionremoteIpDetails.city.cityName |
ネットワーク接続の国 |
service.action.networkConnectionActionremoteIpDetails.country.countryName |
ネットワーク接続のリモート IPv4 アドレス |
service.action.networkConnectionActionremoteIpDetails.ipAddressV4 |
ネットワーク接続リモート IPv6 アドレス |
service.action.networkConnectionActionremoteIpDetails.ipAddressV6 |
ネットワーク接続のリモート IP ASN ID |
service.action.networkConnectionActionremoteIpDetails.organization.asn |
ネットワーク接続のリモート IP ASN 名 |
service.action.networkConnectionActionremoteIpDetails.organization.asnOrg |
ネットワーク接続のリモートポート |
service.action.networkConnectionAction.remotePortDetails.port |
関連するリモートアカウント |
service.action.awsApiCallActionremoteAccountDetails.Related |
Kubernetes API 発信者の IPv4 アドレス |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
Kubernetes API 発信者 IPv6 アドレス |
service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
Kubernetes 名前空間 |
service.action.kubernetesApiCallAction.namespace |
Kubernetes API 発信者 ASN ID |
service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
Kubernetes API 呼び出しリクエスト URI |
service.action.kubernetesApiCallAction.requestUri |
Kubernetes API ステータスコード |
service.action.kubernetesApiCallAction.statusCode |
ネットワーク接続のローカル IPv4 アドレス |
service.action.networkConnectionActionlocalIpDetails.ipAddressV4 |
ネットワーク接続のローカル IPv6 アドレス |
service.action.networkConnectionActionlocalIpDetails.ipAddressV6 |
[プロトコル] |
service.action.networkConnectionAction.protocol |
API 呼び出しのサービス名 |
service.action.awsApiCallAction.serviceName |
API 発信者アカウント ID |
service.action.awsApiCallAction.remoteAccountDetails.accountId |
脅威リスト名 |
service.additionalInfo。threatListName |
リソースロール |
service.resourceRole |
EKS クラスター名 |
resource.eksClusterDetails.name |
Kubernetes ワークロード名 |
resource.kubernetesDetails .kubernetesWorkloadDetails.name |
Kubernetes ワークロード名前空間 |
resource.kubernetesDetails .kubernetesWorkloadDetails.namespace |
Kubernetes ユーザー名 |
resource.kubernetesDetails .kubernetesUserDetails.username |
Kubernetes コンテナイメージ |
resource.kubernetesDetails .kubernetesWorkloadDetails.containers.image |
Kubernetes コンテナイメージのプレフィックス |
resource.kubernetesDetails .kubernetesWorkloadDetails.containers.imagePrefix |
[Scan ID] (スキャン ID) |
service.ebsVolumeScanDetails.scanId |
EBS ボリュームスキャンの脅威名 |
service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
脅威の重要度 |
service.ebsVolumeScanDetails.scanDetections .threatDetectedByName.threatNames.severity |
SHA ファイル |
service.ebsVolumeScanDetails.scanDetections .threatDetectedByName.threatNames.filePaths.hash |
ECS クラスター名 |
resource.ecsClusterDetails.name |
ECS コンテナイメージ |
resource.ecsClusterDetails.taskDetails.containers.image |
ECS タスク定義 ARN |
resource.ecsClusterDetails.taskDetails.definitionArn |
スタンドアロンコンテナのイメージ |
resource.containerDetails.image |
データベースインスタンス ID |
resource.rdsDbInstanceDetails。dbInstanceIdentifier |
データベースクラスター ID |
resource.rdsDbInstanceDetails。dbClusterIdentifier |
データベースエンジン |
resource.rdsDbInstanceDetails.engine |
データベースユーザー |
resource.rdsDbUserDetails.user |
データベースインスタンスのタグキー |
resource.rdsDbInstanceDetails.tags.key |
データベースインスタンスのタグ値 |
resource.rdsDbInstanceDetails.tags.value |
実行可能ファイル SHA-256 |
service.runtimeDetails.process.executableSha256 |
プロセス名 |
service.runtimeDetails.process.name |
実行可能ファイルのパス |
service.runtimeDetails.process.executablePath |
Lambda 関数の名前 |
resource.lambdaDetails.functionName |
Lambda 関数の ARN |
resource.lambdaDetails.functionArn |
Lambda 関数タグキー |
resource.lambdaDetails.tags.key |
Lambda 関数タグ値 |
resource.lambdaDetails.tags.value |
DNS リクエストドメイン |
service.actiondnsRequestAction。domainWithSuffix |