Filtrar descobertas - Amazon GuardDuty
Criação de filtros no GuardDuty consoleAtributos do filtro

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Filtrar descobertas

Um filtro de descoberta permite que você visualize descobertas que correspondam aos critérios especificados e filtre quaisquer descobertas sem correspondência. Você pode criar facilmente filtros de busca usando o GuardDuty console da Amazon ou pode criá-los com o CreateFilterAPIusoJSON. Consulte as seções a seguir para entender como criar um filtro no console. Para usar esses filtros para arquivar automaticamente as descobertas recebidas, consulte Regras de supressão.

Criação de filtros no GuardDuty console

Os filtros de localização podem ser criados e testados por meio do GuardDuty console. Os filtros criados pela interface do usuário podem ser salvos para uso em regras de supressão ou em operações futuras de filtro. Um filtro é composto por pelo menos um critério de filtro, que consiste em um atributo de filtro emparelhado com pelo menos um valor.

Ao criar filtros, esteja ciente do seguinte:

  • Os filtros não aceitam curingas.

  • Você pode especificar no mínimo um atributo ou no máximo 50 atributos como critérios para um determinado filtro.

  • Ao usar a condição igual a ou diferente de para filtrar um valor de atributo, como o ID da conta, você pode especificar um máximo de 50 valores.

  • Cada atributo de critério de filtro é avaliado como um operador AND. Vários valores para o mesmo atributo são avaliados como AND/OR.

Como filtrar descobertas (console)

  1. Em Filtrar por atributo, escolha Adicionar critérios de filtro. Isso mostrará uma lista expandida de atributos de filtro.

  2. Na lista expandida de atributos, selecione o atributo que você deseja especificar como critério para seu filtro, como ID da conta ou Tipo de ação.

    Para obter uma lista completa dos atributos, consulteAtributos do filtro.

  3. No campo de texto exibido, especifique um valor para o atributo selecionado e escolha Aplicar.

  4. Para adicionar mais de um critério de filtro, repita as etapas 1 a 3.

  5. Por padrão, a lista mostra as descobertas que correspondem ao filtro aplicado. Se você quiser visualizar as descobertas que não coincidem com o atributo do filtro, escolha Excluir ao lado do filtro.

    Um exemplo para visualizar as descobertas escolhendo incluir ou excluir com um atributo de filtro.
  6. Salve os atributos e valores especificados como filtros

    1. Para salvar os atributos especificados e seus valores (critérios de filtro) como filtro, selecione Salvar/Editar.

    2. Insira o nome e a descrição da regra de filtro.

    3. Escolha Salvar.

Atributos do filtro

Ao criar filtros ou classificar descobertas usando as API operações, você deve especificar critérios de filtro emJSON. Esses critérios de filtro se correlacionam com os detalhes JSON de uma descoberta. A tabela a seguir contém uma lista dos nomes de exibição do console para atributos de filtro e seus nomes de JSON campo equivalentes.

Nome do campo do console

Nome de campo do JSON

ID da conta

accountId

ID da descoberta

id

Região

região

Gravidade

severidade

Você pode filtrar os tipos de descoberta com base no nível de severidade dos tipos de descoberta. Para obter mais informações sobre valores de gravidade, consulteNíveis de severidade GuardDuty das descobertas. Se você usar severity comAPI, AWS CLI, ou AWS CloudFormation, ele receberá um valor numérico. Para obter mais informações, consulte findingCriteriana GuardDuty APIReferência da Amazon.

Tipo de descoberta

tipo

Atualizado em

updatedAt

Access Key ID

recurso. accessKeyDetails. accessKeyId

Principal ID

recurso. accessKeyDetails. principalId

Nome de usuário

recurso. accessKeyDetails. userName

Tipo de usuário

recurso. accessKeyDetails. userType

IAMID do perfil da instância

recurso. instanceDetails. iamInstanceProfile.id

ID da instância

recurso. instanceDetails. instanceId

ID da imagem da instância

recurso. instanceDetails. imageId

Chave de tag da instância

recurso. instanceDetails.tags.key

Valor de tag da instância

recurso. instanceDetails.tags.value

IPv6endereço

recurso. instanceDetails. networkInterfaces. Endereços IPv6

IPv4Endereço privado

recurso. instanceDetails. networkInterfaces. privateIpAddresses. privateIpAddress

DNSNome público

recurso. instanceDetails. networkInterfaces. publicDnsName

IP público

recurso. instanceDetails. networkInterfaces. publicIp

ID do grupo de segurança

recurso. instanceDetails. networkInterfaces. securityGroups. groupId

Nome do security group

recurso. instanceDetails. networkInterfaces. securityGroups. groupName

ID da sub-rede

recurso. instanceDetails. networkInterfaces. subnetId

VPCID

recurso. instanceDetails. networkInterfaces. vpcId

Posto avançado ARN

recurso. instanceDetails.posto avançado ARN

Tipo de recurso

recurso. resourceType

Permissões do bucket

recursos.3BucketDetails. publicAccess. effectivePermission

Nome do bucket

recursos.3 .name BucketDetails

Bucket tag key

resource.s3 .tags.key BucketDetails

Bucket tag value

resource.s3 .tags.value BucketDetails

Tipo de bucket

recursos.3 .type BucketDetails

Tipo de ação

serviço.ação. actionType

APIchamado

serviço.ação. awsApiCallAction.API

APItipo de chamador

serviço.ação. awsApiCallAção. callerType

APICódigo de erro

serviço.ação. awsApiCallAção. errorCode

APIcidade do chamador

serviço.ação. awsApiCallAção. remoteIpDetails.cidade. cityName

APIpaís do chamador

serviço.ação. awsApiCallAção. remoteIpDetails.país. countryName

APIendereço do chamador IPv4

serviço.ação. awsApiCallAção. remoteIpDetails. ipAddressV4

APIendereço do chamador IPv6

serviço.ação. awsApiCallAção. remoteIpDetails. ipAddressV6

APIID do chamador ASN

serviço.ação. awsApiCallAção. remoteIpDetails.organização.asn

APInome do chamador ASN

serviço.ação. awsApiCallAção. remoteIpDetails.organização. asnOrg

APInome do serviço de chamadas

serviço.ação. awsApiCallAção. serviceName

DNSsolicitar domínio

serviço.ação. dnsRequestAction.domínio

DNSsufixo de domínio de solicitação

serviço.ação. dnsRequestAction. domainWithSuffix

Conexão de rede bloqueada

serviço.ação. networkConnectionAction.bloqueado

Direção de conexão de rede

serviço.ação. networkConnectionAction. connectionDirection

Porta local de conexão de rede

serviço.ação. networkConnectionAction. localPortDetails.porta

Protocolo de conexão de rede

serviço.ação. networkConnectionAction.protocolo

Cidade de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.cidade. cityName

País de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.país. countryName

IPv4Endereço remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails. ipAddressV4

IPv6Endereço remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails. ipAddressV6

ASNID IP remoto de conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.organização.asn

ASNNome IP remoto da conexão de rede

serviço.ação. networkConnectionAction. remoteIpDetails.organização. asnOrg

Porta remota de conexão de rede

serviço.ação. networkConnectionAction. remotePortDetails.porta

Conta remota afiliada

serviço.ação. awsApiCallAção. remoteAccountDetails.afiliado

Endereço do chamador do Kubernetes API IPv4

serviço.ação. kubernetesApiCallAção. remoteIpDetails. ipAddressV4

Endereço do chamador do Kubernetes API IPv6

serviço.ação. kubernetesApiCallAção. remoteIpDetails. ipAddressV6

Namespace do Kubernetes

serviço.ação. kubernetesApiCallAction.namespace

ID de chamadas do Kubernetes API ASN

serviço.ação. kubernetesApiCallAção. remoteIpDetails.organização.asn

Solicitação de chamada do Kubernetes API URI

serviço.ação. kubernetesApiCallAção. requestUri

Código de status do Kubernetes API

serviço.ação. kubernetesApiCallAção. statusCode

IPv4Endereço local da conexão de rede

serviço.ação. networkConnectionAction. localIpDetails. ipAddressV4

IPv6Endereço local da conexão de rede

serviço.ação. networkConnectionAction. localIpDetails. ipAddressV6

Protocolo

serviço.ação. networkConnectionAction.protocolo

APInome do serviço de chamadas

serviço.ação. awsApiCallAção. serviceName

APIID da conta do chamador

serviço.ação. awsApiCallAção. remoteAccountDetails. accountId

Nome da lista de ameaças

serviço. additionalInfo. threatListName

Função do recurso

serviço. resourceRole

EKSnome do cluster

recurso. eksClusterDetails.nome

Nome da workload do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.nome

Namespace de workload do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.namespace

Nome de usuário do Kubernetes

recurso. kubernetesDetails. kubernetesUserDetails.nome de usuário

Imagem de contêiner do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.containers.imagem

Prefixo de imagens de contêiner do Kubernetes

recurso. kubernetesDetails. kubernetesWorkloadDetails.contêineres. imagePrefix

ID de verificação

serviço. ebsVolumeScanDetalhes. scanId

EBSnome da ameaça de varredura de volume

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames.nome

Nome da ameaça de escaneamento de objetos do S3

serviço. malwareScanDetails.threats.name

Gravidade da ameaça

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames.severidade

Arquivo SHA

serviço. ebsVolumeScanDetalhes. scanDetections. threatDetectedByNome. threatNames. filePaths.hash

ECSnome do cluster

recurso. ecsClusterDetails.nome

ECSimagem do contêiner

recurso. ecsClusterDetails. taskDetails.containers.imagem

ECSdefinição de tarefa ARN

recurso. ecsClusterDetails. taskDetails. definitionArn

Imagem de contêiner autônoma

recurso. containerDetails.imagem

ID da instância de banco de dados

recurso. rdsDbInstanceDetalhes. dbInstanceIdentifier

ID do cluster de banco de dados

recurso. rdsDbInstanceDetalhes. dbClusterIdentifier

Mecanismo do banco de dados

recurso. rdsDbInstanceDetalhes.Motor

Usuário do banco de dados

recurso. rdsDbUserDetalhes.Usuário

Chave de tags de instâncias de banco

recurso. rdsDbInstanceDetails.tags.key

Valor de tag de instância de banco de dados

recurso. rdsDbInstanceDetails.tags.value

Executável SHA -256

serviço. runtimeDetails.processo. executableSha256

Nome do processo

serviço. runtimeDetails.nome do processo

Caminho executável

serviço. runtimeDetails.processo. executablePath

Nome de função do Lambda

recurso. lambdaDetails. functionName

Função Lambda ARN

recurso. lambdaDetails. functionArn

Chave de tags de funções do Lambda

recurso. lambdaDetails.tags.key

Valor de tags de funções do Lambda

recurso. lambdaDetails.tags.value

DNSsolicitar domínio

serviço.ação. dnsRequestAction. domainWithSuffix