本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
抑制规则
抑制规则是一组标准,由与值配对的筛选器属性组成,用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建抑制规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则,也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型,或者定义更精细的筛选条件,仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。
隐藏的发现不会发送到亚马逊简单存储服务 Amazon Security Hub、Amazon Detective 或亚马逊,如果您通过 Security Hub EventBridge、第三方 SIEM 或其他警报和票务应用程序使用搜索 GuardDuty 结果,则会降低查找噪音水平。如果您已启用GuardDuty 恶意软件防护,则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。
GuardDuty 即使搜索结果符合您的禁止规则,也会继续生成结果,但是,这些发现会自动标记为已存档。存档的查找结果将在 GuardDuty 其中存储 90 天,在此期间可以随时查看。您可以在 GuardDuty 控制台中通过从查找结果表中选择 “已存档” 来查看隐藏的搜索结果,也可以通过 GuardDuty API 使用findingCriteria
标准service.archived
等于 true 的 ListFindingsAPI 来查看隐藏的搜索结果。
注意
在多账户环境中,只有 GuardDuty 管理员才能创建禁止规则。
抑制规则的常见用例和示例
以下调查发现类型具有应用抑制规则的常见用例,选择调查发现名称,以了解有关该调查发现的更多信息,或查看信息以从控制台为该调查发现类型构建抑制规则。
重要
GuardDuty 建议您以被动方式构建抑制规则,并且仅适用于您反复发现误报的发现。
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS:当 VPC 网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关发出时,使用抑制规则来自动存档生成的调查发现。
当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 Amazon Outposts 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是正常的行为,则建议您在其中使用抑制规则,并创建一个由两个筛选标准组成的规则。第一个标准是 finding type(调查发现类型),它应是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
。第二个筛选条件是 API 调用方 IPv4 地址,该地址需具有本地互联网网关 IP 地址或 CIDR 范围。以下示例代表了根据 API 调用方 IP 地址抑制此调查发现类型的筛选条件。Finding type:
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
API caller IPv4 address:198.51.100.6
注意
要包含多个 API 调用方 IP,您可以为每个 IP 添加一个新的 API 调用方 IPv4 地址筛选器。
-
Recon:EC2/Portscan:使用脆弱性评测应用程序时,使用抑制规则来自动存档调查发现。
抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
Recon:EC2/Portscan
。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定 AMI 的实例来抑制此调查发现类型的筛选条件。Finding type:
Recon:EC2/Portscan
Instance image ID:ami-999999999
-
UnauthorizedAccess:EC2/SSHBruteForce:当针对堡垒机实例时,使用抑制规则来自动存档调查发现。
如果暴力攻击的目标是堡垒主机,则这可能代表您的 Amazon 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
UnauthorizedAccess:EC2/SSHBruteForce
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。Finding type:
UnauthorizedAccess:EC2/SSHBruteForce
Instance tag value:devops
-
Recon:EC2/PortProbeUnprotectedPort:当针对有意公开的实例时,使用抑制规则来自动存档调查发现。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 Amazon 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为
Recon:EC2/PortProbeUnprotectedPort
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。Finding type:
Recon:EC2/PortProbeUnprotectedPort
Instance tag key:prod
运行时监控结果的推荐抑制规则
当容器内的进程与 Docker 套接字通信时会生成 PrivilegeEscalation:Runtime/DockerSocketAccessed。您的环境中可能有一些容器出于合法原因需要访问 Docker 套接字。从此类容器访问将生成 PrivilegeEscalation:Runtime/DockerSocketAccessed 调查发现。如果您的 Amazon 环境中出现这种情况,我们建议您为此发现类型设置抑制规则。第一个条件应使用值等于
PrivilegeEscalation:Runtime/DockerSocketAccessed
的调查发现类型字段。第二个筛选条件是可执行路径字段,其值等于生成的调查发现中进程的executablePath
。或者,第二个筛选条件可以使用可执行 SHA-256 字段,其值等于生成的调查发现中进程的executableSha256
。Kubernetes 集群将自己的 DNS 服务器作为容器组运行,例如
coredns
。因此,每次从 Pod 中查找 DNS 时,都会 GuardDuty 捕获两个 DNS 事件——一个来自容器,另一个来自服务器 pod。这可能会对以下 DNS 调查发现生成重复项:重复的调查发现包括与 DNS 服务器容器组相对应的容器组、容器和进程详细信息。您可以使用这些字段设置抑制规则,以抑制重复的调查发现。第一个筛选条件应使用调查发现类型字段,其值等于本节前面提供的调查发现列表中的 DNS 调查发现类型。第二个筛选条件可以是可执行路径,其值等于 DNS 服务器的
executablePath
;也可以是可执行 SHA-256,其值等于生成的调查发现中 DNS 服务器的executableSHA256
。作为可选的第三个筛选条件,您可以使用 Kubernetes 容器映像字段,其值等于生成的调查发现中 DNS 服务器容器组的容器映像。
创建抑制规则
选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。
删除抑制规则
选择您的首选访问方法以删除用于 GuardDuty 查找类型的抑制规则。