本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁止规则
隐藏规则是一组标准,由筛选器属性和值配对,用于通过自动存档与指定条件匹配的新调查结果来筛选调查结果。隐藏规则可用于筛选低价值调查结果、误报调查结果或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建隐藏规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查结果。您可以使用现有筛选条件创建禁止规则或从自己定义的新筛选条件创建隐藏规则。您可以配置禁止规则以禁止整个调查结果类型,或者定义更精细的筛选条件,仅禁止特定调查结果类型的特定实例。可以随时编辑您的隐藏规则。
隐藏的调查结果不会发送到Amazon Security Hub、Amazon S3、Detective 或 CloudWatch,如果您通过 Security Hub、第三方 SIEM 或其他警报和工单应用程序使用 GuardDuty 调查结果,则会降低调查结果噪音级别。
即使调查结果符合隐藏规则,GuardDuty 也会继续生成调查结果,但是这些调查结果将自动标记为archived. 已存档的调查结果将在 GuardDuty 中存储 90 天,您可以在此期间随时查看。您可以在 GuardDuty 控制台中查看隐藏的发现,方法是选择已存档从调查结果表中,或者通过 GuardDuty API 使用ListFindings带有findingCriteria的标准service.archived等于真。
在多账户环境中,只有 GuardDuty 管理员可以创建禁止规则。
隐藏规则的常见使用案例和示例
以下调查结果类型有应用隐藏规则的常见使用案例,请选择调查结果名称以了解有关调查结果的更多信息,或者查看此信息以便从控制台为该调查结果类型构建隐藏规则。
GuardDuty 建议你反应地构建抑制规则,并且仅针对你反复确定了误报的发现而构建抑制规则。
-
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 当 VPC 网络配置为路由互联网流量,从而使其从本地网关而不是 VPC Internet Gateway 发出时,使用隐藏规则以自动存档生成的调查结果。
当网络配置为路由互联网流量以便其从本地网关而不是 VPC Internet Gateway (IGW) 发出时会生成此调查结果。常见配置,例如使用Amazon Outposts或 VPC VPN 连接可能会导致流量以这种方式路由。如果这是预期行为,则建议您在 中使用隐藏规则,并创建一个由两个筛选标准组成的规则。第一个标准是 finding type (调查结果类型),它应是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration。第二个筛选条件是API 调用方 IPv4 地址使用本地互联网网关的 IP 地址或 CIDR 范围。下面的示例代表了基于 API 调用者 IP 地址来抑制此查找类型的过滤器。Finding type:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltrationAPI caller IPv4 address:198.51.100.6注意 要包含多个 API 来电者 IP,您可以为每个 IP 添加新的 API 来电者 IPv4 地址过滤器。
-
Recon:EC2/Portscan— 使用漏洞评估应用程序时,使用隐藏规则以自动存档调查结果。
禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性取决于托管这些工具的实例可识别哪些条件。下面的示例显示了基于具有特定 AMI 的实例来抑制此查找类型的筛选器。Finding type:Recon:EC2/PortscanInstance image ID:ami-999999999 -
UnauthorizedAccess:EC2/SSHBruteForce— 在针对防御实例时,使用隐藏规则以自动存档调查结果。
如果暴力攻击的目标是堡垒主机,这可能代表了您的预期行为。Amazon环境。如果是这种情况,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性取决于托管这些工具的实例可识别哪些条件。下面的示例代表了基于具有特定实例标签值的实例来抑制此查找类型的筛选器。Finding type:UnauthorizedAccess:EC2/SSHBruteForceInstance tag value:devops -
Recon:EC2/PortProbeUnprotectedPort— 在针对有意公开的实例时,使用隐藏规则以自动存档调查结果。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果你的情况是这样Amazon环境中,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性,具体取决于托管这些工具的实例可识别哪些条件。下面的示例显示了基于控制台中具有特定实例标签键的实例来抑制此查找类型的筛选器。Finding type:Recon:EC2/PortProbeUnprotectedPortInstance tag key:prod