在中创建抑制规则 GuardDuty - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中创建抑制规则 GuardDuty

抑制规则是一组标准,包括使用筛选器属性和提供您不 GuardDuty 想为其生成查找类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音,抑制的结果不会发送到任何可以 Amazon Web Services 服务 与之集成的结果。要详细了解创建抑制规则的常见应用场景,请参阅抑制规则

您可以使用 GuardDuty 控制台中的抑制规则页面可视化、创建和管理抑制规则。也可以根据您现有的已保存过滤器生成禁止规则。有关创建筛选条件的更多信息,请参阅 筛选搜索结果 GuardDuty

筛选条件可以包括使用等号和运算符的精确匹配、使用匹配和NotEquals运算符的通配符匹配或使用GreaterThanGreaterThanEqualsLessThanNotMatchesLessThanEquals运算符进行比较匹配可以在Conditions页面中找到有关可用运算符的更多信息。

选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。

Console
要使用控制台创建抑制规则,请执行以下操作:

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在 “禁止规则” 页面上,单击 “创建抑制规则” 以打开 “创建抑制规则” 表单。

  3. 输入抑制规则的名称。名称必须具有 3 到 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。

  4. 描述是为可选项。如果输入描述,最多可包含 512 个字符。有效字符为 a-z、A-Z、0-9、句点 (.)、连字符 (-)、冒号 (:)、方括号 ({} () [])、正斜杠 (/) 和空格。

  5. 排名是可选的。它可以是一个数值,从 1 到过滤器和抑制规则的总数再加 1。

  6. 在 “属性” 部分下,从下拉列表中选择一个密钥和一个运算符

  7. 根据所选密钥从日期选择器中输入 “字符串” 或 “日期” 值。如果是字符串值,请键入文本并按 Enter。如果是字符串值,则可以添加多个值。

  8. 通过选择 “添加条件” 来添加其他标准,可以添加另一组密钥, 和

  9. 选择 “创建抑制规则” 以创建并保存抑制规则。

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息,请参阅 筛选搜索结果 GuardDuty

要使用保存的筛选条件创建抑制规则:

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 调查发现页面上,从已保存规则菜单中,选择已保存的筛选条件集规则。这将自动显示符合该条件的筛选条件集和调查发现。

  3. 您还可以向此已保存规则添加更多筛选条件。如果您不需要其他筛选条件,请跳过此步骤。要添加一个或多个筛选条件,请按照 Adding filters on Findings page 中的步骤 3 到 7 进行操作,然后继续执行以下步骤。

  4. 添加筛选条件并确认筛选后的调查发现符合要求后,选择创建隐藏规则

  5. 输入隐藏规则的名称,名称必须为 3 – 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。

  6. 描述是为可选项。如果输入描述,最多可包含 512 个字符。

  7. 选择创建

  8. 如果您不需要在已保存的规则中添加其他筛选条件,请按照步骤 4 到 7 创建筛选器。

API/CLI
要使用 API 创建抑制规则:

  1. 您可以通过 CreateFilter API 创建抑制规则。为此,请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将隐藏任何向 test.example.com 域发出 DNS 请求的、未存档的低严重性调查发现。对于中严重性调查发现,输入列表为 ["4", "5", "7"]。对于高严重性调查发现,输入列表为 ["6", "7", "8"]。对于重大严重性调查发现,输入列表为 ["9", "10"]。您还可以根据列表中的任意一个值进行筛选。

    以下示例为函数名称前缀 “” 和前缀不是 “MyFunc” 的函数标签的 lambda 函数添加了低严重性发现的过滤器 TestTag 

    
{
    "Criterion": {
        "service.action.dnsRequestAction.domain": {
            "Equals": [
                "test.example.com"
            ]
        },
        "severity": {
            "Equals": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    您可以使用通配符 * 和? 来创建禁止规则 。 仅使用匹配项NotMatches运算符支持过滤器中的通配符。要匹配任意数量的字符,可以在属性值中使用*;要匹配单个字符,可以使用? 在属性值中。过滤器在单个通配符条件下最多支持 5 个属性,在单个属性中最多支持 5 个通配符。以下示例添加了与前缀 “” 匹配的 Lambda 名称的筛选条件,但未添加带有 “MyFuncTestTag” 作为前缀的标签后跟 0-2 个字符的 Lambda 函数的筛选条件。

    
{
    "Criterion": {
        "resource.lambdaDetails.functionName": {
            "Matches": [
                "MyFunc*"
            ]
        },
        "resource.lambdaDetails.tags.key": {
            "NotMatches": [
                "TestTag??"
            ]
        }
    }
}

    有关 JSON 字段名及其控制台等效项的列表,请参阅中的属性筛选器 GuardDuty

    要测试筛选条件,请在 ListFindings API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, Amazon CLI 请按照示例进行操作。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    aws guardduty list-detector
    
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
    注意

    通配符匹配不适用于 ListFindings 和。 GetFindingsStatistics无法使用 ListFindings 和 GetFindingsStatistics验证包含通配符的条件。

  2. 使用 CreateFilter API 或使用 Amazon CLI,按照以下实例,使用自己的检测器 ID、抑制规则名称和 .json 文件上传要用作抑制规则的筛选条件。

    要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json

您可以使用 ListFilter API 以编程方式查看筛选条件列表。您可以向 GetFilter API 提供筛选条件名称,来查看单个筛选条件的详细信息。使用 UpdateFilter API 更新筛选条件或使用 DeleteFilter API 删除筛选条件。