本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
禁止规则
隐藏规则是一组标准,用于通过自动存档与指定标准匹配的新调查结果来筛选调查结果。隐藏规则可用于筛选低价值调查结果、误报调查结果或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建隐藏规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查结果。您可以使用现有筛选条件创建禁止规则,也可以在创建禁止规则时为其定义新筛选条件。您可以配置禁止规则以禁止整个调查结果类型,或者定义更精细的筛选条件,仅禁止特定调查结果类型的特定实例。可以随时编辑您的隐藏规则。
如果您通过 Security Hub Amazon Security Hub、第三方 SIEM 或其他警报和票务应用程序使用 GuardDuty 调查结果,则隐藏的发现不会发送到 Amazon Simple Storage、Amazon Detective 或 Amazon EventBridge,从而降低查找噪音水平。如果您已启用GuardDuty 恶意软件防护,则禁止的 GuardDuty 发现结果将不会启动恶意软件扫描。
甚至在调查结果符合隐藏规则时也会继续生成调查结果,不过这些调查结果将自动标记为“已存档”。已存档的调查结果将在 中存储 90 天,您可以在此期间随时查看。您可以在 GuardDuty 控制台中查看隐藏的搜索结果,方法是从发现结果表中选择已存档,或者通过 GuardDuty API 使用ListFindings标准等于真的 API。findingCriteria
service.archived
注意
在多账户环境中,只有 GuardDuty 管理员可以创建禁止规则。
隐藏规则的常见使用案例
以下查找类型具有应用抑制规则的常见用例,选择查找结果名称以了解有关该发现的更多信息,或者查看信息以从控制台为该查找类型构建抑制规则。
重要
GuardDuty 建议您以被动方式制定抑制规则,并且仅限于您反复发现误报的发现。
-
当 VPC 网络配置为路由 Internet 流量,从而使其从本地网关而不是 VPC 互联网网关发出时,使用隐藏规则来自动存档生成的调查结果。
当 网络配置为路由互联网流量以便其从内部网关而不是 VPC 互联网网关 (IGW) 发出时会生成此调查结果。常见配置(例如使用 、Amazon Outposts 或 VPC VPN 连接)可能会导致流量以这种方式路由。如果这是预期行为,则建议您在 中使用隐藏规则,并创建一个由两个筛选标准组成的规则。第一个标准是 finding type (调查结果类型),它应是
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
。第二个筛选条件是 API 调用方 IPv4 地址以及本地互联网网关的 IP 地址或 CIDR 范围。以下示例显示了根据 API 调用方 IP 地址禁止显示此查找类型的筛选条件。Finding type:
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
API caller IPv4 address:198.51.100.6
注意
要包含多个 API 调用方 IP,您可以为每个 IP 添加一个新的 API 调用方 IPv4 地址过滤器。
-
使用漏洞评估应用程序时,使用隐藏规则来自动存档调查结果。
禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
Recon:EC2/Portscan
。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用 Instance image ID (实例映像 ID) 属性或 Tag value (标签值) 属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例显示了根据具有特定 AMI 的实例来抑制此查找类型的筛选条件。Finding type:
Recon:EC2/Portscan
Instance image ID:ami-999999999
-
在针对防御实例时,使用隐藏规则以自动存档调查结果。
如果此次暴力攻击的目标是堡垒主机,这可能代表了 Amazon 环境的预期行为。如果是这种情况,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
UnauthorizedAccess:EC2/SSHBruteForce
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用 Instance image ID (实例映像 ID) 属性或 Tag value (标签值) 属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例显示了用于根据具有特定实例标签值的实例来抑制此查找类型的筛选条件。Finding type:
UnauthorizedAccess:EC2/SSHBruteForce
Instance tag value:devops
-
当调查结果针对有意公开的实例时,使用隐藏规则以自动存档调查结果。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
Recon:EC2/PortProbeUnprotectedPort
。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用 Instance image ID (实例映像 ID) 属性或 Tag value (标签值) 属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例显示了根据控制台中具有特定实例标签密钥的实例来抑制此查找类型的筛选条件。Finding type:
Recon:EC2/PortProbeUnprotectedPort
Instance tag key:prod
EKS 运行时监控结果的推荐抑制规则
PrivilegeEscalation:Runtime/DockerSocketAccessed当容器内的进程与 Docker 套接字通信时生成。您的环境中可能有一些容器出于正当原因需要访问 Docker 套接字。从此类容器访问将生成PrivilegeEscalation:Runtime/DockerSocketAccessed结果。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。第一个条件应使用 Finding type (调查结果类型) 属性,其值为
PrivilegeEscalation:Runtime/DockerSocketAccessed
。第二个筛选条件是 “可执行路径” 字段,其值等于生成的查找结果executablePath
中的进程。或者,第二个筛选条件可以使用 Exec utive SHA-256 字段,其值等于生成的结果executableSha256
中流程的值。Kubernetes 集群将自己的 DNS 服务器作为 pod 运行,例如。
coredns
因此,每次从容器中查找 DNS 时,GuardDuty 都会捕获两个 DNS 事件——一个来自容器,另一个来自服务器容器。这可能会为以下 DNS 发现结果生成重复项:重复的发现将包括与您的 DNS 服务器 pod 对应的 pod、容器和进程详细信息。您可以使用这些字段设置抑制规则,以抑制这些重复的搜索结果。第一个筛选条件应使用查找结果类型字段,其值等于本节前面提供的查找结果列表中的 DNS 查找类型。第二个筛选条件可以是值等于您的 DNS 服务器的可执行路径,
executablePath
也可以是值等于生成结果executableSHA256
中您的 DNS 服务器值的可执行路径 SHA-256。作为可选的第三个筛选条件,你可以使用 Kubernetes 容器镜像字段,其值等于生成的结果中你的 DNS 服务器 pod 的容器镜像。
在 GuardDuty 中创建禁止规则
选择您的首选访问方式,在 GuardDuty 中创建或管理禁止规则。