検出結果のフィルタリング - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果のフィルタリング

検出結果フィルターを使用すると、指定した条件に一致する検出結果を表示し、一致しない検出結果を除外できます。Amazon GuardDuty コンソールを使用して検出結果フィルターを簡単に作成することも、JSON を使用して CreateFilter API を使用してフィルターを作成することもできます。コンソールでフィルターを作成する方法については、次のセクションを参照してください。これらのフィルターを使用して受信した検出結果を自動的にアーカイブするには、「抑制ルール」を参照してください。

GuardDuty コンソールでのフィルターの作成

検出結果フィルターは、GuardDuty コンソールを通して 作成およびテストすることができます。抑制ルールやその後のフィルターオペレーションで使用するためにコンソールを通して作成したフィルターは、保存できます。フィルターは、少なくとも 1 つのフィルター基準で構成されます。その基準は少なくとも 1 つの値と組み合わさった 1 つのフィルター属性で構成されています。

フィルターを作成する際には、次の点に注意してください。

  • フィルターでは、ワイルドカードを使用できません。

  • 特定のフィルターのための基準として、最少 1 から最大 50 までの属性を指定できます。

  • カウント ID などの属性値をフィルタリングするための [equal to] (等しい) または [not equal to] (等しくない) の条件を使用しする最合、大場 50 個の値を指定できます。

  • 各フィルター基準の属性は AND 演算子として評価されます。同じ属性の複数の値は AND/OR として評価されます。

検出結果をフィルタリングするには (コンソール)
  1. GuardDuty の検出結果が表示されるたリストの上にある [Add filter criteria] (フィルター条件を追加) を選択します。

  2. 展開された属性のリストで、[Account ID] (アカウント ID) または [Action type] (アクションタイプ) など、フィルターの条件として特定したい属性を選択します。

    注記

    フィルター基準として指定できる属性の一覧については、このページの フィルター属性の表を参照してください。

  3. 表示されたテキストフィールドで選択された各属性の値を指定し、[Apply] (適用) を選択します。

    注記

    フィルターを適用したら、フィルター名の左側にある黒いドットを選択し、フィルターに一致する検出結果を除外するようにフィルターを変換できます。これにより、選択した属性に対して [not equals] (等しくない) フィルターが実質的に作成されます。

  4. 指定された属性とその値 (フィルター条件) をフィルターとして保存するには、[Save] (保存) を選択します。フィルター名と説明を入力し、[Done] (完了) を選択します。

フィルターの属性

API オペレーションを使用してフィルターを作成したり、検出結果を並べ替える場合は、JSON 中でフィルター基準を特定する必要があります。これらのフィルター基準は、検出結果の詳細 JSON と相関します。次の表にフィルター属性のコンソール表示名と、それに対応する JSON フィールド名のリストを表示します。

コンソールフィールド名

JSON フィールド名

アカウント ID

accountId

検出結果 ID

id

リージョン

region

緊急度

severity

API、AWS CLI、AWS CloudFormation で severity を使用する場合は数値が使用されます。詳細については、「findingCriteria」を参照してください。

検出結果タイプ

type

更新時刻

updatedAt

アクセスキー ID

resource.accessKeyDetails.accessKeyId

プリンシパル ID

resource.accessKeyDetails.principalId

ユーザーネーム

resource.accessKeyDetails.userName

ユーザータイプ

resource.accessKeyDetails.userType

IAM インスタンスプロファイル ID

resource.instanceDetails.iamInstanceProfile.id

インスタンス ID

resource.instanceDetails.instanceId

インスタンスイメージ ID

resource.instanceDetails.imageId

インスタンスのタグキー。

resource.instanceDetails.tags.key

インスタンスのタグ値。

resource.instanceDetails.tags.value

IPv6 アドレス

resource.instanceDetails.networkInterfaces.ipv6Addresses

プライベート IPv4 アドレス

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

パブリック DNS 名

resource.instanceDetails.networkInterfaces.publicDnsName

パブリック IP

resource.instanceDetails.networkInterfaces.publicIp

セキュリティグループ ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

セキュリティグループ名

resource.instanceDetails.networkInterfaces.securityGroups.groupName

サブネット ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

リソースタイプ

resource.resourceType

バケット許可

resource.s3BucketDetails.publicAccess.effectivePermission

バケット名 

resource.s3BucketDetails.name

バケットタグキー

resource.s3BucketDetails.tags.key

バケットタグ値

resource.s3BucketDetails.tags.value

バケットタイプ

resource.s3BucketDetails.type

アクションタイプ

service.action.actionType

呼び出された API

service.action.awsApiCallAction.api

API 発信者のタイプ

service.action.awsApiCallAction.callerType

API エラーコード

service.action.awsApiCallAction.errorCode

API 発信者の都市

service.action.awsApiCallAction.remoteIpDetails.city.cityName

API 発信者の国

service.action.awsApiCallAction.remoteIpDetails.country.countryName

API 発信者の IPv4 アドレス

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

API 発信者の ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 発信者の ASN 名

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

API 発信者のサービス名

service.action.awsApiCallAction.serviceName

DNS リクエストドメイン

service.action.dnsRequestAction.domain

DNS リクエストドメインサフィックス

service.action.dnsRequestAction.domainWithSuffix

ブロック済みのネットワーク接続

service.action.networkConnectionAction.blocked

ネットワーク接続の方向

service.action.networkConnectionAction.connectionDirection

ネットワーク接続のローカルポート

service.action.networkConnectionAction.localPortDetails.port

ネットワーク接続プロトコル

service.action.networkConnectionAction.protocol

ネットワーク接続の都市

service.action.networkConnectionAction.remoteIpDetails.city.cityName

ネットワーク接続の国

service.action.networkConnectionAction.remoteIpDetails.country.countryName

ネットワーク接続のリモート IPv4 アドレス

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ネットワーク接続のリモート IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asn

ネットワーク接続のリモート IP ASN 名

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

ネットワーク接続のリモートポート

service.action.networkConnectionAction.remotePortDetails.port

関連するリモートアカウント

service.action.awsApiCallAction.remoteAccountDetails.affiliated

Kubernetes API 発信者の IPv4 アドレス

service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4

Kubernetes 名前空間

Service.action.kubernetesapicallAction.名前空間

Kubernetes API 発信者の ASN ID

service.action.kubernetesapicallAction.remoteIPDetails.Organization.ASN

Kubernetes API 呼び出しリクエスト URI

service.action.kubernetesApiCallAction.requestUri

Kubernetes API ステータスコード

service.action.kubernetesAPICallAction.StatusCode

ネットワーク接続のローカル IPv4 アドレス

service.action.networkConnectionAction.localIpDetails.ipAddressV4

プロトコル

service.action.networkConnectionAction.protocol

API 呼び出しのサービス名

service.action.awsApiCallAction.serviceName

API 発信者アカウント ID

service.action.awsApiCallAction.remoteAccountDetails.accountId

脅威リスト名

service.additionalInfo.threatListName

リソースロール

service.resourceRole

EKS クラスター名

resource.eksClusterDetails.name

Kubernetes ワークロード名

resource.kubernetesDetails.kubernetesWorkloadDetails.name

Kubernetes ワークロード名前空間

resource.kubernetesDetails.kubernetesWorkloadDetails.namespace

Kubernetes ユーザー名

resource.kubernetesDetails.kubernetesUserDetails.username

Kubernetes コンテナイメージ

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image

Kubernetes コンテナイメージのプレフィックス

resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix

スキャン ID

service.ebsVolumeScanDetails.scanId

脅威の名前

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name

脅威の重要度

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity

SHA ファイル

service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash

ECS クラスター名

resource.ecsClusterDetails.name

ECS コンテナイメージ

resource.ecsClusterDetails.taskDetails.containers.image

ECS タスク定義 ARN

resource.ecsClusterDetails.taskDetails.definitionArn

スタンドアロンコンテナのイメージ

resource.containerDetails.image

データベースインスタンス ID

resource.rdsDbInstanceDetails.dbInstanceIdentifier

データベースクラスター ID

resource.rdsDbInstanceDetails.dbClusterIdentifier

データベースエンジン

resource.rdsDbInstanceDetails.engine

データベースユーザー

resource.rdsDbUserDetails.user

データベースインスタンスのタグキー

resource.rdsDbInstanceDetails.tags.key

データベースインスタンスのタグ値

resource.rdsDbInstanceDetails.tags.value

実行可能ファイル SHA-256

service.runtimeDetails.process.executableSha256

プロセス名

service.runtimeDetails.process.name

実行可能ファイルのパス

service.runtimeDetails.process.executablePath

Lambda 関数の名前

resource.lambdaDetails.functionName

Lambda 関数の ARN

resource.lambdaDetails.functionArn

Lambda 関数タグキー

resource.lambdaDetails.tags.key

Lambda 関数タグ値

resource.lambdaDetails.tags.value

DNS リクエストドメイン

service.action.dnsRequestAction.domainWithSuffix