検出結果のフィルタリング - Amazon GuardDuty

検出結果のフィルタリング

検出結果フィルターを使用すると、指定した条件に一致する検出結果を表示し、一致しない検出結果を除外できます。Amazon GuardDuty コンソールを使用して検出結果フィルターを簡単に作成することも、JSON を使用して CreateFilter API を使用してフィルターを作成することもできます。コンソールでフィルターを作成する方法については、次のセクションを参照してください。これらのフィルターを使用して受信した検出結果を自動的にアーカイブするには、「抑制ルール」を参照してください。

GuardDuty コンソールでのフィルターの作成

検出結果フィルターは、GuardDuty コンソールを通して 作成およびテストすることができます。抑制ルールやその後のフィルターオペレーションで使用するためにコンソールを通して作成したフィルターは、保存できます。フィルターは、少なくとも 1 つのフィルター基準で構成されます。その基準は少なくとも 1 つの値と組み合わさった 1 つのフィルター属性で構成されています。

フィルターを作成する際には、次の点に注意してください。

  • フィルターでは、ワイルドカードを使用できません。

  • 特定のフィルターのための基準として、最少 1 から最大 50 までの属性を指定できます。

  • カウント ID などの属性値をフィルタリングするための [equal to] (等しい) または [not equal to] (等しくない) の条件を使用しする最合、大場 50 個の値を指定できます。

  • 各フィルター基準の属性は AND 演算子として評価されます。同じ属性の複数の値は AND/OR として評価されます。

検出結果をフィルタリングするには (コンソール)

  1. GuardDuty の検出結果が表示されるたリストの上にある [Add filter criteria] (フィルター条件を追加) を選択します。

  2. 展開された属性のリストで、[Account ID] (アカウント ID) または [Action type] (アクションタイプ) など、フィルターの条件として特定したい属性を選択します。

    注記

    フィルター基準として指定できる属性の一覧については、このページの フィルター属性の表を参照してください。

  3. 表示されたテキストフィールドで選択された各属性の値を指定し、[Apply] (適用) を選択します。

    注記

    フィルターを適用したら、フィルター名の左側にある黒いドットを選択し、フィルターに一致する検出結果を除外するようにフィルターを変換できます。これにより、選択した属性に対して [not equals] (等しくない) フィルターが実質的に作成されます。

  4. 指定された属性とその値 (フィルター条件) をフィルターとして保存するには、[Save] (保存) を選択します。フィルター名と説明を入力し、[Done] (完了) を選択します。

フィルターの属性

API オペレーションを使用してフィルターを作成したり、検出結果を並べ替える場合は、JSON 中でフィルター基準を特定する必要があります。これらのフィルター基準は、検出結果の詳細 JSON と相関します。次の表にフィルター属性のコンソール表示名と、それに対応する JSON フィールド名のリストを表示します。

コンソールフィールド名

JSON フィールド名

アカウント ID

accountId

信頼度

confidence

検出結果 ID

id

リージョン

region

アクセスキー ID

resource.accessKeyDetails.accessKeyId

プリンシパル ID

resource.accessKeyDetails.principalId

ユーザーネーム

resource.accessKeyDetails.userName

ユーザータイプ

resource.accessKeyDetails.userType

IAM インスタンスプロファイル ID

resource.instanceDetails.iamInstanceProfile.id

インスタンス ID

resource.instanceDetails.instanceId

インスタンスタイプ

resource.instanceDetails.instanceType

起動時刻

resource.instanceDetails.launchTime

インスタンスイメージ ID

resource.instanceDetails.imageId

IPv6 アドレス

resource.instanceDetails.networkInterfaces.ipv6Addresses

プライベート IPv4 アドレス

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

パブリック DNS 名

resource.instanceDetails.networkInterfaces.publicDnsName

パブリック IP

resource.instanceDetails.networkInterfaces.publicIp

セキュリティグループ ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

セキュリティグループ名

resource.instanceDetails.networkInterfaces.securityGroups.groupName

サブネット ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

タグキー

resource.instanceDetails.tags.key

タグ値

resource.instanceDetails.tags.value

リソースタイプ

resource.resourceType

バケット許可

resource.s3BucketDetails.publicAccess.effectivePermissions

バケット名 

resource.s3BucketDetails.name

バケットタグキー

resource.s3BucketDetails.tags.key

バケットタグ値

resource.s3BucketDetails.tags.value

バケットタイプ

resource.s3BucketDetails.type

アクションタイプ

service.action.actionType

呼び出された API

service.action.awsApiCallAction.api

API 発信者のタイプ

service.action.awsApiCallAction.callerType

API エラーコード

service.action.awsApiCallAction.errorCode

API 発信者の都市

service.action.awsApiCallAction.remoteIpDetails.city.cityName

API 発信者の国

service.action.awsApiCallAction.remoteIpDetails.country.countryName

API 発信者の IPv4 アドレス

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

API 発信者の ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 発信者の ASN 名

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

API 発信者のサービス名

service.action.awsApiCallAction.serviceName

DNS リクエストドメイン

service.action.dnsRequestAction.domain

ブロック済みのネットワーク接続

service.action.networkConnectionAction.blocked

ネットワーク接続の方向

service.action.networkConnectionAction.connectionDirection

ネットワーク接続のローカルポート

service.action.networkConnectionAction.localPortDetails.port

ネットワーク接続プロトコル

service.action.networkConnectionAction.protocol

ネットワーク接続の都市

service.action.networkConnectionAction.remoteIpDetails.city.cityName

ネットワーク接続の国

service.action.networkConnectionAction.remoteIpDetails.country.countryName

ネットワーク接続のリモート IPv4 アドレス

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ネットワーク接続のリモート IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asn

ネットワーク接続のリモート IP ASN 名

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

ネットワーク接続のリモートポート

service.action.networkConnectionAction.remotePortDetails.port

脅威リスト名

service.additionalInfo.threatListName

アーカイブ済み

service.archived

ローカル IP

service.localIpDetails.ipAddressV4

リソースロール

service.resourceRole

重要度

severity

検出結果タイプ

type

更新時刻

updatedAt

関連するリモートアカウント

service.action.awsApiCallAction.remoteAccountDetails.affiliated