筛选结果 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

筛选结果

查找筛选器允许您查看与指定条件匹配的查找结果,并筛选出任何不匹配的查找结果。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选器,也可以使用CreateFilterAPI 使用 JSON。查看以下各节以了解如何在控制台中创建筛选器。若要使用这些筛选器自动存档传入的查找结果,请禁止规则

在 GuardDuty 控制台中创建过滤器

可以通过 GuardDuty 控制台创建和测试调查结果筛选器。您可以保存通过控制台创建的筛选器,以便在隐藏规则或将来的筛选操作中使用。筛选器至少由一个筛选条件组成,该条件由一个筛选器属性与至少一个值配对。

在创建筛选条件时,请注意以下事项:

  • 筛选器不接受通配符。

  • 您可以指定至少 1 个属性,最多 50 个属性作为特定筛选器的条件。

  • 当您使用等于或者不等于条件来筛选账户 ID 等属性值时,可以指定最多 50 个值。

  • 每个筛选条件属性被评估为AND运算符。同一属性的多个值被评估为AND/OR

筛选调查结果(控制台)

  1. 选择添加筛选标准上方显示的 GuardDuty 查结果列表。

  2. 在展开的属性列表中,选择要指定为筛选标准的属性,例如账户 ID或者操作类型

    注意

    有关可用于创建筛选标准的属性的列表,请参阅此页面上的筛选属性表。

  3. 在显示的文本字段中,为每个选定属性指定一个值,然后选择Apply

    注意

    应用某个筛选条件后,可以通过选择该筛选条件名称左侧的黑点将其转换为排除符合该筛选条件的结果。这实际就为所选属性创建了一个“不等于”筛选条件。

  4. 要将指定的属性及其值 (筛选条件) 另存为筛选器,请选择保存。输入筛选条件名称和描述,然后选择Done

筛选器属性

使用 API 操作创建筛选器或对查找结果进行排序时,必须在 JSON 中指定筛选条件。这些筛选条件与查找结果的详细信息 JSON 相关。下表包含筛选器属性的控制台显示名称及其等效的 JSON 字段名称的列表。

控制台字段名称

JSON 字段名称

账户 ID

accountId

信心

confidence

结果 ID

id

区域

区域

访问密钥 ID

resource.accessKeyDetails.accessKeyId

委托人 ID

resource.accessKeyDetails.principalId

Username

resource.accessKeyDetails.userName

用户类型

resource.accessKeyDetails.userType

IAM 实例配置文件 ID

resource.instanceDetails.iamInstanceProfile.id

实例 ID

resource.instanceDetails.instanceId

实例类型

resource.instanceDetails.instanceType

启动时间

resource.instanceDetails.launchTime

实例映像 ID

resource.instanceDetails.imageId

IPv6 地址

resource.instanceDetails.networkInterfaces.ipv6Addresses

私有 IPv4 地址

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

公有 DNS 名称

resource.instanceDetails.networkInterfaces.publicDnsName

公有 IP

resource.instanceDetails.networkInterfaces.publicIp

安全组 ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

安全组名称

resource.instanceDetails.networkInterfaces.securityGroups.groupName

子网 ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

标记密钥

resource.instanceDetails.tags.key

标记值

resource.instanceDetails.tags.value

资源类型

resource.resourceType

存储桶权限

resource.s3BucketDetails.publicAccess.effectivePermissions

Bucket name

resource.s3BucketDetails.name

Bucket tag key

resource.s3BucketDetails.tags.key

Bucket tag value

resource.s3BucketDetails.tags.value

存储桶类型

resource.s3BucketDetails.type

操作类型

service.action.actionType

调用的 API

service.action.awsApiCallAction.api

API 调用方类型

service.action.awsApiCallAction.callerType

API 错误代码

service.action.awsApiCallAction.errorCode

API 调用方城市

service.action.awsApiCallAction.remoteIpDetails.city.cityName

API 调用方国家/地区

service.action.awsApiCallAction.remoteIpDetails.country.countryName

API 调用方 IPv4 地址

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

API 调用方 ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asn

API 调用方 ASN 名称

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

API 调用方服务名称

service.action.awsApiCallAction.serviceName

DNS 请求域

service.action.dnsRequestAction.domain

网络连接受阻

service.action.networkConnectionAction.blocked

网络连接方向

service.action.networkConnectionAction.connectionDirection

网络连接本地端口

service.action.networkConnectionAction.localPortDetails.port

网络连接协议

service.action.networkConnectionAction.protocol

网络连接城市

service.action.networkConnectionAction.remoteIpDetails.city.cityName

网络连接国家/地区

service.action.networkConnectionAction.remoteIpDetails.country.countryName

网络连接远程 IPv4 地址

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

网络连接远程 IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asn

网络连接远程 IP ASN 名称

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

网络连接远程端口

service.action.networkConnectionAction.remotePortDetails.port

威胁列表名称

service.additionalInfo.threatListName

已存档

service.archived

本地 IP

service.localIpDetails.ipAddressV4

资源角色

service.resourceRole

严重性

severity

结果类型

类型

更新时间

updatedAt