本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
筛选调查发现
调查发现筛选条件允许您查看匹配指定条件的调查发现,筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件,也可以CreateFilterAPI使用创建筛选条件JSON。查看以下部分,了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现,请参阅 抑制规则。
在 GuardDuty 控制台中创建过滤器
可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件,以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。
创建筛选条件时,请注意以下几点:
-
筛选条件不接受通配符。
-
您可以指定最少 1 个属性,最多 50 个属性作为特定筛选条件。
-
当您使用等于或不等于条件来筛选账户 ID 等属性值时,最多可以指定 50 个值。
-
每个筛选条件属性都作为
AND运算符进行计算。同一属性的多个值计算为AND/OR。
筛选调查结果(控制台)
-
在 “按属性筛选” 下,选择添加筛选条件。这将显示过滤器属性的扩展列表。
-
从展开的属性列表中,选择要指定为筛选条件的属性,例如账户 ID 或操作类型。
有关属性的完整列表,请参见筛选条件属性。
-
在显示的文本字段中,为所选属性指定一个值,然后选择 “应用”。
-
要添加多个筛选条件,请重复步骤 1-3。
-
默认情况下,该列表显示与应用的筛选条件相匹配的结果。如果要查看与筛选器属性不匹配的结果,请选择筛选器旁边的 “排除”。
将指定的属性和值保存为筛选器
-
要将指定的属性及其值(筛选条件)保存为筛选器,请选择 “保存/ 编辑”。
-
输入过滤规则名称和描述。
-
选择保存。
-
筛选条件属性
使用API操作创建筛选器或对结果进行排序时,必须在中指定筛选条件JSON。这些筛选条件与调查结果的详细信息JSON相关。下表包含筛选器属性的控制台显示名称及其等效JSON字段名称的列表。
控制台字段名称 |
JSON 字段名称 |
|---|---|
帐户 ID |
accountId |
调查发现 ID |
id |
区域 |
region |
严重性 |
severity 您可以根据查找结果类型的严重性级别筛选查找结果类型。有关严重性值的更多信息,请参阅 GuardDuty 调查结果的严重性级别。如果 |
调查发现类型 |
type |
更新时间 |
updatedAt |
访问密钥 ID |
资源。 accessKeyDetails。 accessKeyId |
委托人 ID |
资源。 accessKeyDetails。 principalId |
用户名 |
资源。 accessKeyDetails。 userName |
用户类型 |
资源。 accessKeyDetails。 userType |
IAM实例配置文件 ID |
资源。 instanceDetails。 iamInstanceProfile.id |
实例 ID |
资源。 instanceDetails。 instanceId |
实例映像 ID |
资源。 instanceDetails。 imageId |
实例标签键 |
资源。 instanceDetails.tags.key |
实例标签值 |
资源。 instanceDetails.tags.value |
IPv6地址 |
资源。 instanceDetails。 networkInterfaces.ipv6 地址 |
私有IPv4地址 |
资源。 instanceDetails。 networkInterfaces。 privateIpAddresses。 privateIpAddress |
公共DNS名称 |
资源。 instanceDetails。 networkInterfaces。 publicDnsName |
公有 IP |
资源。 instanceDetails。 networkInterfaces。 publicIp |
安全组 ID |
资源。 instanceDetails。 networkInterfaces。 securityGroups。 groupId |
安全组名称 |
资源。 instanceDetails。 networkInterfaces。 securityGroups。 groupName |
子网 ID |
资源。 instanceDetails。 networkInterfaces。 subnetId |
VPC身份证 |
资源。 instanceDetails。 networkInterfaces。 vpcId |
前哨基地 ARN |
资源。 instanceDetails.outpost ARN |
资源类型 |
资源。 resourceType |
存储桶权限 |
资源.3。BucketDetails publicAccess。 effectivePermission |
Bucket name(存储桶名称) |
资源. BucketDetails s3 .name |
Bucket tag key |
resource.s3 .tags.key BucketDetails |
Bucket tag value |
资源. BucketDetails s3 .tags.value |
存储桶类型 |
资源. BucketDetails s3 .type |
操作类型 |
服务行动。 actionType |
API被称为 |
服务行动。 awsApiCallaction.api |
API来电者类型 |
服务行动。 awsApiCall行动。 callerType |
API错误码 |
服务行动。 awsApiCall行动。 errorCode |
API来电者城市 |
服务行动。 awsApiCall行动。 remoteIpDetails.city。 cityName |
API来电者国家 |
服务行动。 awsApiCall行动。 remoteIpDetails. 国家。 countryName |
API来电者IPv4地址 |
服务行动。 awsApiCall行动。 remoteIpDetails。 ipAddressV4 |
API来电者IPv6地址 |
服务行动。 awsApiCall行动。 remoteIpDetails。 ipAddressV6 |
API来电者 ASN ID |
服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn |
API来电者ASN姓名 |
服务行动。 awsApiCall行动。 remoteIpDetails. 组织。 asnOrg |
API来电者服务名称 |
服务行动。 awsApiCall行动。 serviceName |
DNS请求域名 |
服务行动。 dnsRequestAction.domain |
DNS请求域名后缀 |
服务行动。 dnsRequestAction。 domainWithSuffix |
网络连接受阻 |
服务行动。 networkConnectionAction. 已屏蔽 |
网络连接方向 |
服务行动。 networkConnectionAction。 connectionDirection |
网络连接本地端口 |
服务行动。 networkConnectionAction。 localPortDetails.port |
网络连接协议 |
服务行动。 networkConnectionAction. 协议 |
网络连接城市 |
服务行动。 networkConnectionAction。 remoteIpDetails.city。 cityName |
网络连接国家/地区 |
服务行动。 networkConnectionAction。 remoteIpDetails. 国家。 countryName |
网络连接远程IPv4地址 |
服务行动。 networkConnectionAction。 remoteIpDetails。 ipAddressV4 |
网络连接远程IPv6地址 |
服务行动。 networkConnectionAction。 remoteIpDetails。 ipAddressV6 |
网络连接远程 IP ASN ID |
服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn |
网络连接远程 IP ASN 名称 |
服务行动。 networkConnectionAction。 remoteIpDetails. 组织。 asnOrg |
网络连接远程端口 |
服务行动。 networkConnectionAction。 remotePortDetails.port |
附属的远程账户 |
服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的 |
Kubernetes API 来电者地址 IPv4 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails。 ipAddressV4 |
Kubernetes API 来电者地址 IPv6 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails。 ipAddressV6 |
Kubernetes 命名空间 |
服务行动。 kubernetesApiCall动作. 命名空间 |
Kubernetes API 来电者 ID ASN |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn |
Kubernetes 调API用请求 URI |
服务行动。 kubernetesApiCall行动。 requestUri |
Kubernetes 状态码 API |
服务行动。 kubernetesApiCall行动。 statusCode |
网络连接本地IPv4地址 |
服务行动。 networkConnectionAction。 localIpDetails。 ipAddressV4 |
网络连接本地IPv6地址 |
服务行动。 networkConnectionAction。 localIpDetails。 ipAddressV6 |
协议 |
服务行动。 networkConnectionAction. 协议 |
API呼叫服务名称 |
服务行动。 awsApiCall行动。 serviceName |
API来电者账号 |
服务行动。 awsApiCall行动。 remoteAccountDetails。 accountId |
威胁列表名称 |
服务。 additionalInfo。 threatListName |
资源角色 |
服务。 resourceRole |
EKS集群名称 |
资源。 eksClusterDetails.name |
Kubernetes 工作负载名称 |
资源。 kubernetesDetails。 kubernetesWorkloadDetails.name |
Kubernetes 工作负载命名空间 |
资源。 kubernetesDetails。 kubernetesWorkloadDetails. 命名空间 |
Kubernetes 用户名 |
资源。 kubernetesDetails。 kubernetesUserDetails。用户名 |
Kubernetes 容器映像 |
资源。 kubernetesDetails。 kubernetesWorkloadDetails.containers.image |
Kubernetes 容器映像前缀 |
资源。 kubernetesDetails。 kubernetesWorkloadDetails. 容器。 imagePrefix |
扫描 ID |
服务。 ebsVolumeScan详情。 scanId |
EBS批量扫描威胁名称 |
服务。 ebsVolumeScan详情。 scanDetections。 threatDetectedBy姓名。 threatNames.name |
S3 对象扫描威胁名称 |
服务。 malwareScanDetails.treats.name |
威胁严重性 |
服务。 ebsVolumeScan详情。 scanDetections。 threatDetectedBy姓名。 threatNames。严重性 |
文件 SHA |
服务。 ebsVolumeScan详情。 scanDetections。 threatDetectedBy姓名。 threatNames。 filePaths.hash |
ECS集群名称 |
资源。 ecsClusterDetails.name |
ECS容器镜像 |
资源。 ecsClusterDetails。 taskDetails.containers.image |
ECS任务定义 ARN |
资源。 ecsClusterDetails。 taskDetails。 definitionArn |
独立容器映像 |
资源。 containerDetails.image |
数据库实例 Id |
资源。 rdsDbInstance详情。 dbInstanceIdentifier |
数据库集群 Id |
资源。 rdsDbInstance详情。 dbClusterIdentifier |
数据库引擎 |
资源。 rdsDbInstance细节。引擎 |
数据库用户 |
资源。 rdsDbUserDetails. 用户 |
数据库实例标签键 |
资源。 rdsDbInstance详细信息.tags.key |
数据库实例标签值 |
资源。 rdsDbInstance详情标签值值 |
可执行文件 SHA -256 |
服务。 runtimeDetails. 进程。 executableSha256 |
进程名称 |
服务。 runtimeDetails.process.nam |
可执行文件路径 |
服务。 runtimeDetails. 进程。 executablePath |
Lambda 函数名称 |
资源。 lambdaDetails。 functionName |
Lambda 函数 ARN |
资源。 lambdaDetails。 functionArn |
Lambda 函数标签键 |
资源。 lambdaDetails.tags.key |
Lambda 函数标签值 |
资源。 lambdaDetails.tags.value |
DNS请求域名 |
服务行动。 dnsRequestAction。 domainWithSuffix |
