本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
筛选调查发现
调查发现筛选条件允许您查看匹配指定条件的调查发现,筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件,也可以使用 JSON 通过 CreateFilterAPI 创建筛选条件。查看以下部分,了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现,请参阅 抑制规则。
在 GuardDuty 控制台中创建过滤器
可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件,以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。
创建筛选条件时,请注意以下几点:
-
筛选条件不接受通配符。
-
您可以指定最少 1 个属性,最多 50 个属性作为特定筛选条件。
-
当您使用等于或不等于条件来筛选账户 ID 等属性值时,最多可以指定 50 个值。
-
每个筛选条件属性都作为
AND
运算符进行计算。同一属性的多个值计算为AND/OR
。
筛选调查结果(控制台)
-
在显示的搜索 GuardDuty 结果列表上方选择添加筛选条件。
-
在展开的属性列表中,选择要指定为筛选条件的属性,例如账户 ID 或操作类型。
注意
有关可用于创建筛选条件的属性列表,请参阅本页面上的筛选条件属性表。
-
在显示的文本字段中,为每个选定属性指定一个值,然后选择应用。
注意
应用筛选条件后,可通过选择筛选条件名称左侧的黑点来转换筛选条件,排除匹配筛选条件的调查发现。这实际就为所选属性创建了一个“不等于”筛选条件。
-
要将指定的属性及其值 (筛选条件) 另存为筛选器,请选择保存。输入筛选条件名称和描述,然后选择完成。
筛选条件属性
使用 API 操作创建筛选条件或对结果进行排序时,必须在 JSON 中指定筛选条件。这些筛选条件与调查发现的详细信息 JSON 相关。下表列出了筛选条件属性的控制台显示名称,以及其等效的 JSON 字段名称。
控制台字段名称 |
JSON 字段名称 |
---|---|
账户 ID |
accountId |
调查发现 ID |
id |
区域 |
region |
严重性 |
severity 如果您 |
调查发现类型 |
type |
更新时间 |
updatedAt |
访问密钥 ID |
资源。 accessKeyDetails。 accessKeyId |
委托人 ID |
资源。 accessKeyDetails.principalID |
用户名 |
资源。 accessKeyDetails。用户名 |
用户类型 |
资源。 accessKeyDetails.userType |
IAM 实例配置文件 ID |
资源.instanceDetails。 iamInstanceProfile.id |
实例 ID |
resource.instanceDetails.instanceId |
实例映像 ID |
resource.instanceDetails.imageId |
实例标签键 |
resource.instanceDetails.tags.key |
实例标签值 |
resource.instanceDetails.tags.value |
IPv6 地址 |
resource.instanceDetails.networkInterfaces.ipv6Addresses |
私有 IPv4 地址 |
资源。实例详情。网络接口。 privateIpAddresses。 privateIpAddress |
公有 DNS 名称 |
资源。实例详情。网络接口。 publicDnsName |
公有 IP |
resource.instanceDetails.networkInterfaces.publicIp |
安全组 ID |
resource.instanceDetails.networkInterfaces.securityGroups.groupId |
安全组名称 |
resource.instanceDetails.networkInterfaces.securityGroups.groupName |
子网 ID |
resource.instanceDetails.networkInterfaces.subnetId |
VPC ID |
resource.instanceDetails.networkInterfaces.vpcId |
Outpost ARN |
resource.instanceDetails.outpostARN |
资源类型 |
resource.resourceType |
存储桶权限 |
资源.s3 .publicaccess.effective BucketDetails Per |
Bucket name(存储桶名称) |
资源. BucketDetails s3 .name |
Bucket tag key |
resource.s3 .tags.key BucketDetails |
Bucket tag value |
资源. BucketDetails s3 .tags.value |
存储桶类型 |
资源. BucketDetails s3 .type |
操作类型 |
service.action.actionType |
调用的 API |
服务行动。 awsApiCallaction.api |
API 调用方类型 |
服务行动。 awsApiCall操作.callerType |
API 错误代码 |
服务行动。 awsApiCallaction.errorCode |
API 调用方城市 |
服务行动。 awsApiCall行动。 remoteIpDetails.city.cityName |
API 调用方国家/地区 |
服务行动。 awsApiCall行动。 remoteIpDetails.country.countr |
API 调用方 IPv4 地址 |
服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv4 |
API 调用方 IPv6 地址 |
服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv6 |
API 调用方 ASN ID |
服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn |
API 调用方 ASN 名称 |
服务行动。 awsApiCall行动。 remoteIpDetails.organization.asnor |
API 调用方服务名称 |
服务行动。 awsApiCall操作.serviceName |
DNS 请求域 |
服务行动。 dnsRequestAction.domain |
DNS 请求域后缀 |
服务行动。 dnsRequestAction。 domainWithSuffix |
网络连接受阻 |
服务行动。 networkConnectionAction. 已屏蔽 |
网络连接方向 |
服务行动。 networkConnectionAction. 连接方向 |
网络连接本地端口 |
服务行动。 networkConnectionAction。 localPortDetails.port |
网络连接协议 |
服务行动。 networkConnectionAction. 协议 |
网络连接城市 |
服务行动。 networkConnectionAction。 remoteIpDetails.city.cityName |
网络连接国家/地区 |
服务行动。 networkConnectionAction。 remoteIpDetails.country.countr |
网络连接远程 IPv4 地址 |
服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv4 |
网络连接远程 IPv6 地址 |
服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv6 |
网络连接远程 IP ASN ID |
服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn |
网络连接远程 IP ASN 名称 |
服务行动。 networkConnectionAction。 remoteIpDetails.organization.asnor |
网络连接远程端口 |
服务行动。 networkConnectionAction。 remotePortDetails.port |
附属的远程账户 |
服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的 |
Kubernetes API 调用方 IPv4 地址 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv4 |
Kubernetes API 调用者 IPv6 地址 |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv6 |
Kubernetes 命名空间 |
服务行动。 kubernetesApiCall动作. 命名空间 |
Kubernetes API 调用者 ASN ID |
服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn |
Kubernetes API 调用请求 URI |
服务行动。 kubernetesApiCall操作.requesturi |
Kubernetes API 状态码 |
服务行动。 kubernetesApiCallaction.statusCode |
网络连接本地 IPv4 地址 |
服务行动。 networkConnectionAction。 localIpDetails.ipAddressv4 |
网络连接本地 IPv6 地址 |
服务行动。 networkConnectionAction。 localIpDetails.ipAddressv6 |
协议 |
服务行动。 networkConnectionAction. 协议 |
API 调用服务名称 |
服务行动。 awsApiCall操作.serviceName |
API 调用方账户 ID |
服务行动。 awsApiCall行动。 remoteAccountDetails.accountID |
威胁列表名称 |
服务。附加信息。 threatListName |
资源角色 |
service.resourceRole |
EKS 集群名称 |
资源。 eksClusterDetails.name |
Kubernetes 工作负载名称 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.name |
Kubernetes 工作负载命名空间 |
resource.kubernetes 详情。 kubernetesWorkloadDetails. 命名空间 |
Kubernetes 用户名 |
resource.kubernetes 详情。 kubernetesUserDetails。用户名 |
Kubernetes 容器映像 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.image |
Kubernetes 容器映像前缀 |
resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.imagePref |
扫描 ID |
服务。 ebsVolumeScan详情.scanID |
EBS 卷扫描威胁名称 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称.threatnames.names |
威胁严重性 |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。严重性 |
文件 SHA |
服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths |
ECS 集群名称 |
资源。 ecsClusterDetails.name |
ECS 容器映像 |
资源。 ecsClusterDetails.taskdetails.containers |
ECS 任务定义 ARN |
资源。 ecsClusterDetails.taskdetails.definition |
独立容器映像 |
resource.containerDetails.image |
数据库实例 Id |
资源。 rdsDbInstance详情。 dbInstanceIdentifier |
数据库集群 Id |
资源。 rdsDbInstance详情。 dbClusterIdentifier |
数据库引擎 |
资源。 rdsDbInstance细节。引擎 |
数据库用户 |
资源。 rdsDbUserDetails. 用户 |
数据库实例标签键 |
资源。 rdsDbInstance详细信息.tags.key |
数据库实例标签值 |
资源。 rdsDbInstance详情标签值值 |
可执行文件 SHA-256 |
service.runtimeDetails.process.executableSha256 |
进程名称 |
service.runtimeDetails.process.name |
可执行文件路径 |
service.runtimeDetails.process.executablePath |
Lambda 函数名称 |
resource.lambdaDetails.functionName |
Lambda 函数 ARN |
resource.lambdaDetails.functionArn |
Lambda 函数标签键 |
resource.lambdaDetails.tags.key |
Lambda 函数标签值 |
resource.lambdaDetails.tags.value |
DNS 请求域 |
服务行动。 dnsRequestAction。 domainWithSuffix |