本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中生成样本调查结果 GuardDuty
您可以使用 Amazon 生成样本调查结果, GuardDuty 以帮助您可视化和了解 GuardDuty 可能生成的各种调查结果类型。生成样本查找结果时, GuardDuty会针对每种支持的查找结果类型使用一个样本查找结果填充当前查找结果列表。
生成的示例是用占位符值填充的近似值。这些示例可能与您环境的实际发现不同,但您可以使用它们来测试各种配置 GuardDuty,例如您的 CloudWatch 事件或过滤器。调查发现类型 表中列出了调查发现类型的可用值列表。
要根据环境中的模拟活动生成一些常见的调查发现,请参阅下面的 自动生成常见 GuardDuty发现。
通过 GuardDuty 控制台或 API 生成样本调查结果
选择您的首选访问方法以生成示例调查发现。
注意
控制台方法生成每种调查发现类型中的一种。只能通过 API 生成单个示例调查发现。
在控制台中,通过这些方法生成的示例调查发现的标题始终以 [SAMPLE] 开头。示例调查发现在调查发现 JSON 详细信息的 additionalInfo 部分具有 "sample": true
值。
自动生成常见 GuardDuty发现
您可以使用以下脚本
-
作为先决条件,您必须在要运行 g uardduty- tester.template 和 guardduty_tester.sh 的账户和区域中启用 GuardDuty 。有关启用的更多信息 GuardDuty,请参阅入门 GuardDuty。
您还必须在要运行这些脚本的每个区域中生成新的 EC2 密钥对,或使用现有的 EC2 密钥对。此 EC2 密钥对用作用于创建新堆栈的 g uardduty-tester.tem plate 脚本中的参数。 CloudFormation 有关生成密钥对的更多信息,请参阅 Amazon EC2 密钥对。
-
使用 g uardd uty-tester.template 创建新 CloudFormation 堆栈。有关创建堆栈的详细说明,请参阅创建堆栈。在运行 guardduty-tester.template 之前,请使用以下参数的值对其进行修改:Stack Name 用于标识您的新堆栈、Availability Zone 为您要运行此堆栈的位置、Key Pair 是您可以用于启动 EC2 实例的密钥对。然后,您可以使用相应的私有密钥通过 SSH 访问 EC2 实例。
guardduty-tester.template 大约需要 10 分钟才能运行完成。它将创建您的环境并将 guardduty_tester.sh 复制到您的测试用 EC2 实例。
-
在 AWS CloudFormation 控制台中,选中新运行 AWS CloudFormation 堆栈旁边的复选框。在显示的一组选项卡中,选择输出选项卡。记下分配给堡垒主机和测试用 EC2 实例的 IP 地址。您需要这两个 IP 地址才能通过 SSH 访问测试用 EC2 实例。
-
在 ~/.ssh/config 文件中创建以下条目,以通过堡垒主机登录实例。
Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240
现在,您可以调用 $ ssh tester 登录目标 EC2 实例。有关通过堡垒主机配置和连接 EC2 实例的更多信息,请参阅 https://aws.amazon.com/blogs/security/ securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/
。 -
连接到测试器 EC2 实例后,运行 guardduty_tester.sh 以启动测试器与目标 EC2 实例之间的交互、模拟攻击并生成 GuardDuty调查结果。