本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
抑制规则
抑制规则是一组标准,由与值配对的筛选器属性组成,用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建抑制规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则,也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型,或者定义更精细的筛选条件,仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。
禁止显示的发现不会发送到亚马逊简单存储服务 AWS Security Hub、Amazon Detective 或亚马逊 EventBridge,如果您通过 Security Hub、第三方或其他警报和票务应用程序使用 GuardDuty 发现SIEM,则会降低查找噪音水平。如果您已启用恶意软件防护 EC2,则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。
GuardDuty 即使搜索结果符合您的禁止规则,也会继续生成结果,但是,这些发现会自动标记为已存档。存档的查找结果将在 GuardDuty 其中存储 90 天,在此期间可以随时查看。您可以在 GuardDuty 控制台中查看隐藏的查找结果,方法是从查找结果表中选择 “已存档”,或者 GuardDuty API使用findingCriteria
条件service.archived
等于 true 的。ListFindingsAPI
注意
在多账户环境中,只有 GuardDuty 管理员才能创建禁止规则。
抑制规则的常见用例和示例
以下查找类型具有应用抑制规则的常见用例。选择查找结果名称以了解有关该查找结果的更多信息。查看用例描述,决定是否要为该发现类型制定抑制规则。
重要
GuardDuty 建议您以被动方式构建抑制规则,并且仅针对您在环境中反复发现误报的发现建立抑制规则。
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 使用抑制规则自动存档在将VPC网络配置为路由 Internet 流量,使其从本地网关而不是从 Internet Gateway 流出时生成的结果。VPC
当网络配置为路由 Internet 流量,使其从本地网关而不是从 Internet Gateway (IGW) 流出时,VPC就会生成此结果。常用配置(例如使用AWS Outposts或VPCVPN连接)可能会导致流量以这种方式路由。如果这是预期行为,建议您使用抑制规则并创建一个包含两个筛选条件的规则。第一个标准是 finding type(调查发现类型),它应是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
。第二个筛选条件是API呼叫者IPv4地址以及您的本地 Internet 网关的 IP 地址或CIDR范围。以下示例显示了用于根据API呼叫者 IP 地址抑制此查找类型的过滤器。Finding type:
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
API caller IPv4 address:198.51.100.6
注意
要包含多个API来电者,IPs您可以为每个来电者添加一个新的API来电者IPv4地址过滤器。
-
Recon:EC2/Portscan:使用脆弱性评测应用程序时,使用抑制规则来自动存档调查发现。
抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
Recon:EC2/Portscan
。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例显示了您将使用的过滤器,用于根据具有特定值的实例来抑制此查找类型AMI。Finding type:
Recon:EC2/Portscan
Instance image ID:ami-999999999
-
UnauthorizedAccess:EC2/SSHBruteForce:当针对堡垒机实例时,使用抑制规则来自动存档调查发现。
如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
UnauthorizedAccess:EC2/SSHBruteForce
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。Finding type:
UnauthorizedAccess:EC2/SSHBruteForce
Instance tag value:devops
-
Recon:EC2/PortProbeUnprotectedPort:当针对有意公开的实例时,使用抑制规则来自动存档调查发现。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
Recon:EC2/PortProbeUnprotectedPort
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。Finding type:
Recon:EC2/PortProbeUnprotectedPort
Instance tag key:prod
运行时监控结果的推荐抑制规则
当容器内的进程与 Docker 套接字通信时会生成 PrivilegeEscalation:Runtime/DockerSocketAccessed。您的环境中可能有一些容器出于合法原因需要访问 Docker 套接字。从此类容器访问将生成 PrivilegeEscalation:Runtime/DockerSocketAccessed 调查发现。如果您的 AWS 环境中出现这种情况,我们建议您为此发现类型设置抑制规则。第一个条件应使用值等于
PrivilegeEscalation:Runtime/DockerSocketAccessed
的调查发现类型字段。第二个筛选条件是可执行路径字段,其值等于生成的调查发现中进程的executablePath
。或者,第二个筛选条件可以使用 Exec utive SHA -256 字段,其值等于生成的结果executableSha256
中流程的值。Kubernetes 集群将自己的DNS服务器作为 pod 运行,例如。
coredns
因此,每次从 pod 中DNS查找,都会 GuardDuty 捕获两个DNS事件 — 一个来自 pod,另一个来自服务器 pod。这可能会为以下DNS发现生成重复项:重复的发现将包括与您的DNS服务器 pod 对应的 pod、容器和进程详细信息。您可以使用这些字段设置抑制规则,以抑制重复的调查发现。第一个筛选条件应使用查找结果类型字段,其值等于本节前面提供的DNS查找结果列表中的查找结果类型。第二个筛选条件可以是值等于DNS服务器的可执行路径,也可以是
executablePath
可执行文件路径,其值等于生成的查找结果executableSHA256
中的DNS服务器值的可执行文件 SHA -256。作为可选的第三个筛选条件,你可以使用 Kubernetes 容器镜像字段,其值等于生成的结果中DNS服务器 Pod 的容器镜像。
创建抑制规则
选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。
删除抑制规则
选择您的首选访问方法以删除用于 GuardDuty 查找类型的禁止规则。