筛选调查发现

调查发现筛选条件允许您查看匹配指定条件的调查发现，筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件，也可以使用 JSON 通过 CreateFilterAPI 创建筛选条件。查看以下部分，了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现，请参阅抑制规则。

在 GuardDuty 控制台中创建过滤器

可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件，以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成，包含一个与至少一个值配对的筛选条件属性。

创建筛选条件时，请注意以下几点：

筛选条件不接受通配符。
您可以指定最少 1 个属性，最多 50 个属性作为特定筛选条件。
当您使用等于或不等于条件来筛选账户 ID 等属性值时，最多可以指定 50 个值。
每个筛选条件属性都作为 AND 运算符进行计算。同一属性的多个值计算为 AND/OR。

筛选调查结果（控制台）

在显示的搜索 GuardDuty 结果列表上方选择添加筛选条件。
在展开的属性列表中，选择要指定为筛选条件的属性，例如账户 ID 或操作类型。

注意
有关可用于创建筛选条件的属性列表，请参阅本页面上的筛选条件属性表。
在显示的文本字段中，为每个选定属性指定一个值，然后选择应用。

注意
应用筛选条件后，可通过选择筛选条件名称左侧的黑点来转换筛选条件，排除匹配筛选条件的调查发现。这实际就为所选属性创建了一个“不等于”筛选条件。
要将指定的属性及其值 (筛选条件) 另存为筛选器，请选择保存。输入筛选条件名称和描述，然后选择完成。

筛选条件属性

使用 API 操作创建筛选条件或对结果进行排序时，必须在 JSON 中指定筛选条件。这些筛选条件与调查发现的详细信息 JSON 相关。下表列出了筛选条件属性的控制台显示名称，以及其等效的 JSON 字段名称。

控制台字段名称	JSON 字段名称
账户 ID	accountId
调查发现 ID	id
区域	region
严重性	severity 如果您`severity`与 API、 Amazon CLI、或一起使用 Amazon CloudFormation，则它将有一个数值。有关更多信息，请参阅 findingCriteria。
调查发现类型	type
更新时间	updatedAt
访问密钥 ID	资源。 accessKeyDetails。 accessKeyId
委托人 ID	资源。 accessKeyDetails.principalID
用户名	资源。 accessKeyDetails。用户名
用户类型	资源。 accessKeyDetails.userType
IAM 实例配置文件 ID	资源.instanceDetails。 iamInstanceProfile.id
实例 ID	resource.instanceDetails.instanceId
实例映像 ID	resource.instanceDetails.imageId
实例标签键	resource.instanceDetails.tags.key
实例标签值	resource.instanceDetails.tags.value
IPv6 地址	resource.instanceDetails.networkInterfaces.ipv6Addresses
私有 IPv4 地址	资源。实例详情。网络接口。 privateIpAddresses。 privateIpAddress
公有 DNS 名称	资源。实例详情。网络接口。 publicDnsName
公有 IP	resource.instanceDetails.networkInterfaces.publicIp
安全组 ID	resource.instanceDetails.networkInterfaces.securityGroups.groupId
安全组名称	resource.instanceDetails.networkInterfaces.securityGroups.groupName
子网 ID	resource.instanceDetails.networkInterfaces.subnetId
VPC ID	resource.instanceDetails.networkInterfaces.vpcId
Outpost ARN	resource.instanceDetails.outpostARN
资源类型	resource.resourceType
存储桶权限	资源.s3 .publicaccess.effective BucketDetails Per
Bucket name（存储桶名称）	资源. BucketDetails s3 .name
Bucket tag key	resource.s3 .tags.key BucketDetails
Bucket tag value	资源. BucketDetails s3 .tags.value
存储桶类型	资源. BucketDetails s3 .type
操作类型	service.action.actionType
调用的 API	服务行动。 awsApiCallaction.api
API 调用方类型	服务行动。 awsApiCall操作.callerType
API 错误代码	服务行动。 awsApiCallaction.errorCode
API 调用方城市	服务行动。 awsApiCall行动。 remoteIpDetails.city.cityName
API 调用方国家/地区	服务行动。 awsApiCall行动。 remoteIpDetails.country.countr
API 调用方 IPv4 地址	服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv4
API 调用方 IPv6 地址	服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv6
API 调用方 ASN ID	服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn
API 调用方 ASN 名称	服务行动。 awsApiCall行动。 remoteIpDetails.organization.asnor
API 调用方服务名称	服务行动。 awsApiCall操作.serviceName
DNS 请求域	服务行动。 dnsRequestAction.domain
DNS 请求域后缀	服务行动。 dnsRequestAction。 domainWithSuffix
网络连接受阻	服务行动。 networkConnectionAction. 已屏蔽
网络连接方向	服务行动。 networkConnectionAction. 连接方向
网络连接本地端口	服务行动。 networkConnectionAction。 localPortDetails.port
网络连接协议	服务行动。 networkConnectionAction. 协议
网络连接城市	服务行动。 networkConnectionAction。 remoteIpDetails.city.cityName
网络连接国家/地区	服务行动。 networkConnectionAction。 remoteIpDetails.country.countr
网络连接远程 IPv4 地址	服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv4
网络连接远程 IPv6 地址	服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv6
网络连接远程 IP ASN ID	服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn
网络连接远程 IP ASN 名称	服务行动。 networkConnectionAction。 remoteIpDetails.organization.asnor
网络连接远程端口	服务行动。 networkConnectionAction。 remotePortDetails.port
附属的远程账户	服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的
Kubernetes API 调用方 IPv4 地址	服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv4
Kubernetes API 调用者 IPv6 地址	服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv6
Kubernetes 命名空间	服务行动。 kubernetesApiCall动作. 命名空间
Kubernetes API 调用者 ASN ID	服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn
Kubernetes API 调用请求 URI	服务行动。 kubernetesApiCall操作.requesturi
Kubernetes API 状态码	服务行动。 kubernetesApiCallaction.statusCode
网络连接本地 IPv4 地址	服务行动。 networkConnectionAction。 localIpDetails.ipAddressv4
网络连接本地 IPv6 地址	服务行动。 networkConnectionAction。 localIpDetails.ipAddressv6
协议	服务行动。 networkConnectionAction. 协议
API 调用服务名称	服务行动。 awsApiCall操作.serviceName
API 调用方账户 ID	服务行动。 awsApiCall行动。 remoteAccountDetails.accountID
威胁列表名称	服务。附加信息。 threatListName
资源角色	service.resourceRole
EKS 集群名称	资源。 eksClusterDetails.name
Kubernetes 工作负载名称	resource.kubernetes 详情。 kubernetesWorkloadDetails.name
Kubernetes 工作负载命名空间	resource.kubernetes 详情。 kubernetesWorkloadDetails. 命名空间
Kubernetes 用户名	resource.kubernetes 详情。 kubernetesUserDetails。用户名
Kubernetes 容器映像	resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.image
Kubernetes 容器映像前缀	resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.imagePref
扫描 ID	服务。 ebsVolumeScan详情.scanID
EBS 卷扫描威胁名称	服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称.threatnames.names
威胁严重性	服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。严重性
文件 SHA	服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths
ECS 集群名称	资源。 ecsClusterDetails.name
ECS 容器映像	资源。 ecsClusterDetails.taskdetails.containers
ECS 任务定义 ARN	资源。 ecsClusterDetails.taskdetails.definition
独立容器映像	resource.containerDetails.image
数据库实例 Id	资源。 rdsDbInstance详情。 dbInstanceIdentifier
数据库集群 Id	资源。 rdsDbInstance详情。 dbClusterIdentifier
数据库引擎	资源。 rdsDbInstance细节。引擎
数据库用户	资源。 rdsDbUserDetails. 用户
数据库实例标签键	资源。 rdsDbInstance详细信息.tags.key
数据库实例标签值	资源。 rdsDbInstance详情标签值值
可执行文件 SHA-256	service.runtimeDetails.process.executableSha256
进程名称	service.runtimeDetails.process.name
可执行文件路径	service.runtimeDetails.process.executablePath
Lambda 函数名称	resource.lambdaDetails.functionName
Lambda 函数 ARN	resource.lambdaDetails.functionArn
Lambda 函数标签键	resource.lambdaDetails.tags.key
Lambda 函数标签值	resource.lambdaDetails.tags.value
DNS 请求域	服务行动。 dnsRequestAction。 domainWithSuffix

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Summary

抑制规则