隱藏規則

隱藏規則是一組條件 (由與值配對的篩選屬性組成)，用於自動封存符合指定條件的新調查結果來篩選調查結果。隱藏規則可用來篩選低價值的問題清單、誤判問題清單，或您不打算採取行動的威脅，以便更容易辨識對環境影響最大的安全威脅。

建立隱藏規則後，只要有隱藏規則，就會自動封存符合規則中定義之條件的新問題清單。您可以使用既有的篩選條件來建立隱藏規則，或從定義的新篩選條件中建立隱藏規則。您可以設定隱藏規則以隱藏整個問題清單類型，或定義更細微的篩選條件，而僅隱藏特定問題清單類型的特定例項。您可以隨時編輯抑制規則。

抑制的發現不會傳送至 AWS Security Hub Amazon 簡易儲存服務、Amazon Detective 或 Amazon，如果您透過 Security Hub EventBridge、第三方或其他警示和票務應用程式消耗發 GuardDuty 現結果SIEM，可降低尋找雜訊等級。如果您已啟用惡意軟體防護 EC2，則抑制的 GuardDuty 發現項目將不會起始惡意軟體掃描。

GuardDuty 即使發現項目符合您的抑制規則，仍會繼續產生搜尋結果，不過，這些發現項目會自動標示為已封存。封存的發現項目會儲存 90 天，並可在 GuardDuty 該期間的任何時間進行檢視。您可以在 GuardDuty 主控台中檢視隱藏的發現項目，方法是從發現項目表格中選取「已存檔」，或 GuardDuty API使用findingCriteria條件service.archived等於 true。ListFindingsAPI

注意

在多帳戶環境中，只有 GuardDuty 管理員可以建立抑制規則。

隱藏規則的常用案例和範例

下列尋找項目類型具有套用隱藏規則的常見使用案例。選取發現項目名稱，以深入瞭解該發現項目。複查使用案例說明，以決定是否要為該搜尋結果類型建立隱藏規則。

重要

GuardDuty 建議您以動態方式建立抑制規則，並且僅針對您在環境中重複識別出誤判的發現項目建立抑制規則。

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 使用抑制規則自動封存網路設定為VPC路由網際網路流量時產生的發現項目，使其從內部部署閘道而非 VPC Internet Gateway 輸出。

  當網路設定為路由網際網路流量，使其從內部部署閘道而非從網際 Internet Gateway 路閘道輸出時，就會產生此發現項目 (IGW)。VPC一般組態 (例如使用AWS Outposts或VPCVPN連線) 可能會導致以這種方式路由傳送流量。如果這是預期的行為，建議您使用抑制規則並建立由兩個篩選準則組成的規則。第一個條件是 finding type (問題清單類型)，應該是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二個篩選條件是具有內部部署網際網路閘道 IP 位址或CIDR範圍的API來電者IPv4地址。下面的範例代表您將用來根據API呼叫者 IP 位址隱藏此尋找類型的篩選器。

  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6

  注意

  要包含多個API呼叫者，IPs您可以為每個呼叫者添加新的API呼叫者IPv4地址過濾器。

• Recon:EC2/Portscan：使用漏洞評估應用程式時，使用隱藏規則以自動封存調查結果。

  隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 Recon:EC2/Portscan。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的條件而定。下面的範例表示您將用來根據具有特定例證抑制此尋找類型的篩選器AMI。

  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

• UnauthorizedAccess:EC2/SSHBruteForce：使用隱藏規則，在調查結果目標為堡壘執行個體時，自動封存調查結果。

  如果蠻力嘗試的目標是堡壘主機，這可能代表您 AWS 環境的預期行為。如果是這種情況，我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 UnauthorizedAccess:EC2/SSHBruteForce。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定執行個體標籤值的執行個體，隱藏此調查結果類型所用的篩選條件。

  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

• Recon:EC2/PortProbeUnprotectedPort：使用隱藏規則，在調查結果目標為刻意公開的執行個體時，自動封存調查結果。

  在某些情況下，可能會刻意暴露執行個體，例如，若是託管在 Web 伺服器上。如果您的 AWS 環境是這種情況，建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 Recon:EC2/PortProbeUnprotectedPort。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的準則而定。下面的範例表示您根據具有主控台中特定執行個體標籤值的執行個體，隱藏此調查結果類型所用的篩選條件。

  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

執行階段監視發現項目的建議抑制

• 當容器內的程序與 Docker 通訊端通訊時便會產生 PrivilegeEscalation:Runtime/DockerSocketAccessed。由於正當原因，環境中存在可能需要存取 Docker 通訊端的容器。從這類容器存取將產生 PrivilegeEscalation:Runtime/DockerSocketAccessed 調查結果。如果您的 AWS 環境是這種情況，建議您為此尋找項目類型設定隱藏規則。第一個條件應該使用調查結果類型欄位，其值等於 PrivilegeEscalation:Runtime/DockerSocketAccessed。第二個篩選條件是可執行檔路徑欄位，其值等於產生的調查結果中程序的 executablePath。或者，第二個篩選條件可以使用可執行檔 SHA -256 欄位，其值等於產生的發現項目executableSha256中處理程序的值。

• Kubernetes 叢集會以網繭的形式執行自己的DNS伺服器，例如。coredns因此，對於來自網繭的每個DNS查閱，都會 GuardDuty 擷取兩個DNS事件-一個來自網繭，另一個來自伺服器網繭。這可能會產生下列DNS發現項目的重複項目：

  • Backdoor:Runtime/C&CActivity.B!DNS

  • CryptoCurrency:Runtime/BitcoinTool.B!DNS

  • Impact:Runtime/AbusedDomainRequest.Reputation

  • Impact:Runtime/BitcoinDomainRequest.Reputation

  • Impact:Runtime/MaliciousDomainRequest.Reputation

  • Impact:Runtime/SuspiciousDomainRequest.Reputation

  • Trojan:Runtime/BlackholeTraffic!DNS

  • Trojan:Runtime/DGADomainRequest.C!DNS

  • Trojan:Runtime/DriveBySourceTraffic!DNS

  • Trojan:Runtime/DropPoint!DNS

  • Trojan:Runtime/PhishingDomainRequest!DNS

  重複的發現項目將包括與您的DNS伺服器網繭對應的網繭、容器和處理序詳細資料。您可以使用這些欄位設定隱藏規則，以隱藏這些重複的調查結果。第一個篩選條件應使用「發現項目類型」欄位，其值等於本節稍早提供之發現項目清單中的DNS尋找項目類型。第二個篩選條件可以是值等於DNS伺服器的可執行檔路徑，executablePath或可執行檔 SHA -256，其值等於產生的發現項目executableSHA256中的DNS伺服器。作為選用的第三個篩選條件，您可以在產生的尋找項目中使用 Kubernetes 容器映像欄位的值等於DNS伺服器網繭的容器映像。

建立抑制規則

選擇您偏好的存取方式，以建立 GuardDuty 搜尋型態的隱藏規則。

Console

您可以使用 GuardDuty 主控台視覺化、建立和管理隱藏規則。隱藏規則的產生方式與篩選條件相同，且您現有儲存的篩選條件可用作隱藏規則。如需建立篩選條件的詳細資訊，請參閱篩選問題清單。

若要使用主控台建立隱藏規則：

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在調查結果頁面上，選擇隱藏調查結果以開啟隱藏規則面板。

3. 若要開啟篩選條件選單，請在新增篩選條件中輸入 filter criteria。您可以從清單中選擇條件。輸入所選條件的有效值。

   注意

   若要判斷值是否有效，請檢視調查結果資料表，並選擇您要隱藏的調查結果。在調查結果面板中查看其詳細信息。

   您可以新增多個篩選條件，並確保資料表中僅顯示您要隱藏的那些調查結果。

4. 輸入隱藏規則的名稱和說明。有效的字元包括英數字元、句號 (.)、破折號 (-)、底線 (_) 和空格。

5. 選擇儲存。

您也可以從現有儲存的篩選條件建立隱藏規則。如需建立篩選條件的詳細資訊，請參閱篩選問題清單。

若要從已儲存的篩選條件建立隱藏規則：

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在調查結果頁面上，選擇隱藏調查結果以開啟隱藏規則面板。

3. 從已儲存的規則下拉式清單中，選擇儲存的篩選條件。

4. 您也可以新增篩選條件。如果您不需要其他篩選條件，請略過此步驟。

   若要開啟篩選條件選單，請在新增篩選條件中輸入 filter criteria。您可以從清單中選擇條件。輸入所選條件的有效值。

   注意

   若要判斷值是否有效，請檢視調查結果資料表，並選擇您要隱藏的調查結果。在調查結果面板中查看其詳細信息。

5. 輸入隱藏規則的名稱和說明。有效的字元包括英數字元、句號 (.)、破折號 (-)、底線 (_) 和空格。

6. 選擇儲存。

API/CLI

若要使用下列方式建立抑制規則API：

1. 您可以透過建立抑制規則CreateFilterAPI。若要這麼做，請依照下面詳述的範例格式，在JSON檔案中指定篩選條件。下列範例會隱藏任何對 test.example.com 網域有DNS要求的未封存低嚴重性發現項目。對於中等嚴重程度的調查結果，輸入清單會是 ["4", "5", "7"]。對於高嚴重程度的調查結果，輸入清單會是 ["6", "7", "8"]。您也可以根據清單中的任何一個值進行篩選。

   {
       "Criterion": {
           "service.archived": {
               "Eq": [
                   "false"
               ]
           },
           "service.action.dnsRequestAction.domain": {
               "Eq": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Eq": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }

   如需JSON欄位名稱及其對等主控台的清單，請參閱篩選條件屬性。

   若要測試篩選條件，請在中使用相同的JSON條件 ListFindingsAPI，並確認已選取正確的發現項目。要使用您自己detectorId的 .json 文件， AWS CLI 請按照示例測試您的過濾條件。

   若要尋找您帳戶和目前區域的，請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面，或執行 ListDetectorsAPI. detectorId

   aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

2. 上傳要用作抑制規則的篩選器，並使用 AWS CLI下列範例，搭配您自己的偵測器 ID、抑制規則的名稱，以及 .json 檔案。CreateFilterAPI

   若要尋找您帳戶和目前區域的，請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面，或執行 ListDetectorsAPI. detectorId

   aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                   

您可以使用程式設計方式檢視篩選器清單ListFilterAPI。您可以將篩選器名稱提供給，以檢視個別篩選器的詳細資訊GetFilterAPI。使用更新過濾器UpdateFilter或使用刪除過濾器DeleteFilterAPI。

刪除抑制規則

選擇您偏好的存取方式，以刪除 GuardDuty 搜尋型態的隱藏規則。

Console

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在調查結果頁面上，選擇隱藏調查結果以開啟隱藏規則面板。

3. 從已儲存的規則下拉式清單中，選擇儲存的篩選條件。

4. 選擇 Delete rule (刪除規則)。

API/CLI

運行 DeleteFilterAPI. 指定特定區域的篩選器名稱和相關聯的偵測器 ID。

或者，您可以使用下列 AWS CLI 範例，方法是取代中格式化的值 red:

aws guardduty delete-filter --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34e56789f0 --filter-name filterName

若要尋找您帳戶和目前區域的，請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面，或執行 ListDetectorsAPI. detectorId