本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
隱藏規則
隱藏規則是一組條件 (由與值配對的篩選屬性組成),用於自動封存符合指定條件的新調查結果來篩選調查結果。隱藏規則可用來篩選低價值的問題清單、誤判問題清單,或您不打算採取行動的威脅,以便更容易辨識對環境影響最大的安全威脅。
建立隱藏規則後,只要有隱藏規則,就會自動封存符合規則中定義之條件的新問題清單。您可以使用既有的篩選條件來建立隱藏規則,或從定義的新篩選條件中建立隱藏規則。您可以設定隱藏規則以隱藏整個問題清單類型,或定義更細微的篩選條件,而僅隱藏特定問題清單類型的特定例項。您可以隨時編輯隱藏規則。
隱藏的發現不會傳送至 AWS Security Hub Amazon 簡易儲存服務、Amazon Detective 或 Amazon,如果您透過 Security Hub EventBridge、第三方 SIEM 或其他警示和票務應用程式消耗發 GuardDuty 現結果,可降低發現雜訊等級。如果您已啟用GuardDuty 惡意程式碼,則抑制的 GuardDuty 發現項目將不會起始惡意軟體掃描。
GuardDuty 即使發現項目符合您的抑制規則,仍會繼續產生搜尋結果,不過,這些發現項目會自動標示為已封存。已封存的發現項目會儲存 90 天,並且可以在 GuardDuty 該期間的任何時間進行檢視。您可以在 GuardDuty 主控台中檢視隱藏的發現項目,方法是從發現項目表格中選取「已封存」,或透過 GuardDuty API 使用findingCriteria準則service.archived等於 true 的 ListFindingsAPI 來檢視隱藏的發現項目。
注意
在多帳戶環境中,只有 GuardDuty 管理員可以建立抑制規則。
隱藏規則的常用案例和範例
下列調查結果類型有套用隱藏規則的常見使用案例、選取調查結果名稱以深入了解該調查結果的相關資訊,或檢閱資訊,以便從主控台為該調查結果類型建立隱藏規則。
重要
GuardDuty 建議您以動態方式建立抑制規則,並且僅針對您重複識別出誤報的發現項目建立抑制規則。
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS:使用隱藏規則,以自動封存將 VPC 聯網設為路由網際網路流量,使其從內部部署閘道 (而非 VPC 網際網路閘道) 輸出時所產生的調查結果。
當將網路設定為路由網際網路流量,使其從內部部署閘道而不是從 VPC 網際網路閘道 (IGW) 輸出時,就會產生此調查結果。一般組態 (例如使用 AWS Outposts 或 VPC VPN 連接) 可能會導致流量以這種方式路由。如果這是預期的行為,建議您使用 中的隱藏規則,並建立包含兩個篩選條件的規則。第一個條件是 finding type (問題清單類型),應該是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二個篩選條件是具有內部部署網際網路閘道 IP 地址或 CIDR 範圍的 API 呼叫者 IPv4 地址。下面的範例表示您將用於根據 API 呼叫者 IP 地址隱藏此調查結果類型的篩選條件。Finding type:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSAPI caller IPv4 address:198.51.100.6注意
若要包含多個 API 呼叫者 IP,您可以為每個 IP 新增新的 API 呼叫者 IPv4 地址篩選條件。
-
Recon:EC2/Portscan:使用漏洞評估應用程式時,使用隱藏規則以自動封存調查結果。
隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
Recon:EC2/Portscan。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定 AMI 的執行個體隱藏此調查結果類型所用的篩選條件。Finding type:Recon:EC2/PortscanInstance image ID:ami-999999999 -
UnauthorizedAccess:EC2/SSHBruteForce:使用隱藏規則,在調查結果目標為堡壘執行個體時,自動封存調查結果。
如果蠻力嘗試的目標是堡壘主機,這可能代表您 AWS 環境的預期行為。如果是這種情況,我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
UnauthorizedAccess:EC2/SSHBruteForce。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。Finding type:UnauthorizedAccess:EC2/SSHBruteForceInstance tag value:devops -
Recon:EC2/PortProbeUnprotectedPort:使用隱藏規則,在調查結果目標為刻意公開的執行個體時,自動封存調查結果。
在某些情況下,可能會刻意暴露執行個體,例如,若是託管在 Web 伺服器上。如果您的 AWS 環境是這種情況,建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為
Recon:EC2/PortProbeUnprotectedPort。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的準則而定。下面的範例表示您根據具有主控台中特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。Finding type:Recon:EC2/PortProbeUnprotectedPortInstance tag key:prod
EKS 執行期監控調查結果的建議隱藏規則
當容器內的程序與 Docker 通訊端通訊時便會產生 PrivilegeEscalation:Runtime/DockerSocketAccessed。由於正當原因,環境中存在可能需要存取 Docker 通訊端的容器。從這類容器存取將產生 PrivilegeEscalation:Runtime/DockerSocketAccessed 調查結果。如果在您的 AWS 環境中發生這種情況,建議您為此尋找項目類型設定隱藏規則。第一個條件應該使用調查結果類型欄位,其值等於
PrivilegeEscalation:Runtime/DockerSocketAccessed。第二個篩選條件是可執行檔路徑欄位,其值等於產生的調查結果中程序的executablePath。或者,第二個篩選條件可以使用可執行檔 SHA-256 欄位,其值等於產生的調查結果中程序的executableSha256。Kubernetes 叢集會以 pod 的形式執行自己的 DNS 伺服器,例如
coredns。因此,對於來自網繭的每個 DNS 查閱,都會 GuardDuty 擷取兩個 DNS 事件 — 一個來自網繭,另一個來自伺服器網繭。這可能會產生下列 DNS 調查結果的重複項目:重複的調查結果將包括與 DNS 伺服器 pod 對應的 pod、容器和程序詳細資訊。您可以使用這些欄位設定隱藏規則,以隱藏這些重複的調查結果。第一個篩選條件應使用調查結果類型欄位,其值等於本節稍早提供的調查結果清單中的 DNS 調查結果類型。第二個篩選條件可以是值等於 DNS 伺服器
executablePath的可執行檔路徑,或值等於 DNS 伺服器executableSHA256在產生的調查結果中的可執行檔 SHA-256。作為選用的第三個篩選條件,您可以使用 Kubernetes 容器映像欄位,其值等於產生的調查結果中 DNS 伺服器 pod 的容器映像。
欲在中建立抑制規則 GuardDuty
選擇您偏好的存取方式,以便在中建立或管理隱藏規則 GuardDuty。
