在 GuardDuty 中创建抑制规则 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 GuardDuty 中创建抑制规则

抑制规则是一组条件,其中包括使用筛选条件属性和提供您不希望 GuardDuty 为其生成调查发现类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音,被隐藏的调查发现不会发送到任何可能集成的 Amazon Web Services 服务。要详细了解创建抑制规则的常见应用场景,请参阅抑制规则

您可以使用 GuardDuty 控制台来可视化、创建和管理抑制规则。抑制规则的生成方式与筛选条件相同,现有保存的筛选条件可用作抑制规则。有关创建筛选条件的更多信息,请参阅 在 GuardDuty 中筛选调查发现

选择您偏好的访问方法,创建 GuardDuty 调查发现类型的抑制规则。

Console
要使用控制台创建抑制规则:

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 调查发现页面上,除非您添加至少一个筛选条件,否则创建隐藏规则功能将始终显示为灰色。由于隐藏规则适用于正在进行的活跃调查发现,因此请确保状态菜单设置为当前

  3. 要添加一个或多个筛选条件,请按照 Adding filters on Findings page 中的步骤 3 到 7 进行操作,然后继续执行以下步骤。

  4. 添加筛选条件并确认筛选后的调查发现符合要求后,选择创建隐藏规则

  5. 输入隐藏规则的名称,名称必须为 3 – 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。

  6. 描述是为可选项。如果输入描述,最多可包含 512 个字符。

  7. 选择创建

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息,请参阅 在 GuardDuty 中筛选调查发现

要使用保存的筛选条件创建抑制规则:

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 调查发现页面上,从已保存规则菜单中,选择已保存的筛选条件集规则。这将自动显示符合该条件的筛选条件集和调查发现。

  3. 您还可以向此已保存规则添加更多筛选条件。如果您不需要其他筛选条件,请跳过此步骤。

    要添加一个或多个其他筛选条件,请按照前述过程 To create a suppression rule using the console 中的步骤 2 到最后一步进行操作。

  4. 如果不需要向已保存规则添加其他筛选条件,请按照前述过程 To create a suppression rule using the console 中的步骤 4 到最后一步进行操作。

API/CLI
要使用 API 创建抑制规则:

  1. 您可以通过 CreateFilter API 创建抑制规则。为此,请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将隐藏任何向 test.example.com 域发出 DNS 请求的、未存档的低严重性调查发现。对于中严重性调查发现,输入列表为 ["4", "5", "7"]。对于高严重性调查发现,输入列表为 ["6", "7", "8"]。对于重大严重性调查发现,输入列表为 ["9", "10"]。您还可以根据列表中的任意一个值进行筛选。

    以下示例添加了针对低严重性调查发现的筛选条件。

    {
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    有关 JSON 字段名及其控制台等效项的列表,请参阅GuardDuty 中的属性筛选条件

    要测试筛选条件,请在 ListFindings API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用 Amazon CLI 测试筛选条件,请使用您自己的 detectorId 和 .json 文件按照示例操作。

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

  2. 使用 CreateFilter API 或使用 Amazon CLI,按照以下实例,使用自己的检测器 ID、抑制规则名称和 .json 文件上传要用作抑制规则的筛选条件。

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

您可以使用 ListFilter API 以编程方式查看筛选条件列表。您可以向 GetFilter API 提供筛选条件名称,来查看单个筛选条件的详细信息。使用 UpdateFilter API 更新筛选条件或使用 DeleteFilter API 删除筛选条件。