筛选搜索结果 GuardDuty - Amazon GuardDuty
在 GuardDuty 控制台中创建和保存筛选器集中的属性筛选器 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

筛选搜索结果 GuardDuty

调查发现筛选条件允许您查看匹配指定条件的调查发现,筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件,也可以使用 CreateFilter使用 JSON 的 API。查看以下部分,了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现,请参阅 中的禁止规则 GuardDuty

在 GuardDuty 控制台中创建和保存筛选器集

可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件,以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。

创建筛选条件时,请注意以下几点:

  • GuardDuty 不支持过滤条件的通配符。

  • 您可以指定最少 1 个属性,最多 50 个属性作为特定筛选条件。

  • 当您使用 “等于” 或 “不等于” 运算符筛选属性值(例如账户 ID)时,您最多可以指定 50 个值。

  • 每个筛选条件属性都作为 AND 运算符进行计算。同一属性的多个值计算为 AND/OR

创建和保存筛选条件(控制台)

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在左侧导航窗格中,选择发现

  3. 在 “查找结果” 页面上,选择 “已保存规则” 菜单旁边的 “筛选结果” 栏。这将显示属性过滤器的扩展列表。

    选择属性筛选器以筛选 GuardDuty 控制台中的搜索结果。

  4. 从展开的筛选器列表中,选择要根据其筛选结果表的属性。

    例如,要查看可能受影响的资源是 S3Buck et 的调查结果,请选择资源类型。

  5. 对于操作员,请选择一个可以帮助您筛选结果以获得所需结果的操作员。要继续上一步中的示例,请选择资源类型 =。这将显示中的资源类型列表 GuardDuty。

    选择 “等于” 或 “不等于” 运算符可在控制台中筛选结果。 GuardDuty

    如果您的用例需要排除特定发现,则可以选择 “不等于” 或= 运算符。

  6. 为所选属性筛选器指定值。如果需要,请选择 “应用”。要继续上一步中的示例,您可以选择 S3B ucket。

    这将显示与应用的过滤器相匹配的结果。

  7. 要添加多个筛选条件,请重复步骤 3-6。

    有关完整的属性列表,请参阅中的属性筛选器 GuardDuty

  8. (可选)将指定的属性和值另存为筛选器

    要将来再次应用此筛选器组合,可以将指定的属性及其值保存为筛选器集。

    1. 使用一个或多个属性筛选器创建筛选条件后,在 “清除筛选器” 菜单中选择箭头

      将过滤器设置保 GuardDuty 存在控制台中,以便能够再次筛选结果。

    2. 输入过滤器集的名称。名称必须为 3-64 个字符。有效字符为 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。

    3. 描述是可选的。如果输入描述,则描述最多可包含 512 个字符。

    4. 选择创建

中的属性筛选器 GuardDuty

使用 API 操作创建筛选条件或对结果进行排序时,必须在 JSON 中指定筛选条件。这些筛选条件与调查发现的详细信息 JSON 相关。下表列出了筛选条件属性的控制台显示名称,以及其等效的 JSON 字段名称。

控制台字段名称

JSON 字段名称

账户 ID

accountId

调查发现 ID

id

区域

区域

严重性

severity

您可以根据调查发现类型的严重性级别筛选调查发现类型。有关严重性值的更多信息,请参阅 GuardDuty 调查结果的严重性级别。如果您severity与 API、 Amazon CLI、或一起使用 Amazon CloudFormation,则会为其分配一个数值。有关更多信息,请参阅《亚马逊 GuardDuty API 参考》中的 “查找标准”。

调查发现类型

type

更新时间

updatedAt

访问密钥 ID

资源。 accessKeyDetails。 accessKeyId

委托人 ID

资源。 accessKeyDetails.principalID

用户名

资源。 accessKeyDetails。用户名

用户类型

资源。 accessKeyDetails.userType

IAM 实例配置文件 ID

资源.instanceDetails。 iamInstanceProfile.id

实例 ID

resource.instanceDetails.instanceId

实例映像 ID

resource.instanceDetails.imageId

实例标签键

resource.instanceDetails.tags.key

实例标签值

resource.instanceDetails.tags.value

IPv6 地址

resource.instanceDetails.networkInterfaces.ipv6Addresses

私有 IPv4 地址

资源。实例详情。网络接口。 privateIpAddresses。 privateIpAddress

公有 DNS 名称

资源。实例详情。网络接口。 publicDnsName

公有 IP

resource.instanceDetails.networkInterfaces.publicIp

安全组 ID

resource.instanceDetails.networkInterfaces.securityGroups.groupId

安全组名称

resource.instanceDetails.networkInterfaces.securityGroups.groupName

子网 ID

resource.instanceDetails.networkInterfaces.subnetId

VPC ID

resource.instanceDetails.networkInterfaces.vpcId

Outpost ARN

resource.instanceDetails.outpostARN

资源类型

resource.resourceType

存储桶权限

资源.s3 .publicaccess.effective BucketDetails Per

存储桶名称

资源. BucketDetails s3 .name

Bucket tag key

resource.s3 .tags.key BucketDetails

Bucket tag value

资源. BucketDetails s3 .tags.value

存储桶类型

资源. BucketDetails s3 .type

操作类型

service.action.actionType

调用的 API

服务行动。 awsApiCallaction.api

API 调用方类型

服务行动。 awsApiCall操作.callerType

API 错误代码

服务行动。 awsApiCallaction.errorCode

API 调用方城市

服务行动。 awsApiCall行动。 remoteIpDetails.city.cityName

API 调用方国家/地区

服务行动。 awsApiCall行动。 remoteIpDetails.country.countr

API 呼叫者 IPv4 地址

服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv4

API 呼叫者 IPv6 地址

服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv6

API 调用方 ASN ID

服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn

API 调用方 ASN 名称

服务行动。 awsApiCall行动。 remoteIpDetails.organization.asnor

API 调用方服务名称

服务行动。 awsApiCall操作.serviceName

DNS 请求域

服务行动。 dnsRequestAction.domain

DNS 请求域后缀

服务行动。 dnsRequestAction。 domainWithSuffix

网络连接受阻

服务行动。 networkConnectionAction. 已屏蔽

网络连接方向

服务行动。 networkConnectionAction. 连接方向

网络连接本地端口

服务行动。 networkConnectionAction。 localPortDetails.port

网络连接协议

服务行动。 networkConnectionAction. 协议

网络连接城市

服务行动。 networkConnectionAction。 remoteIpDetails.city.cityName

网络连接国家/地区

服务行动。 networkConnectionAction。 remoteIpDetails.country.countr

网络连接远程 IPv4 地址

服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv4

网络连接远程 IPv6 地址

服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv6

网络连接远程 IP ASN ID

服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn

网络连接远程 IP ASN 名称

服务行动。 networkConnectionAction。 remoteIpDetails.organization.asnor

网络连接远程端口

服务行动。 networkConnectionAction。 remotePortDetails.port

附属的远程账户

服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的

Kubernetes API 调用者地址 IPv4

服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv4

Kubernetes API 调用者地址 IPv6

服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv6

Kubernetes 命名空间

服务行动。 kubernetesApiCall动作. 命名空间

Kubernetes API 调用方 ASN ID

服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn

Kubernetes API 调用请求 URI

服务行动。 kubernetesApiCall操作.requesturi

Kubernetes API 状态代码

服务行动。 kubernetesApiCallaction.statusCode

网络连接本地 IPv4 地址

服务行动。 networkConnectionAction。 localIpDetails.ipAddressv4

网络连接本地 IPv6 地址

服务行动。 networkConnectionAction。 localIpDetails.ipAddressv6

协议

服务行动。 networkConnectionAction. 协议

API 调用服务名称

服务行动。 awsApiCall操作.serviceName

API 调用方账户 ID

服务行动。 awsApiCall行动。 remoteAccountDetails.accountID

威胁列表名称

服务。附加信息。 threatListName

资源角色

service.resourceRole

EKS 集群名称

资源。 eksClusterDetails.name

Kubernetes 工作负载名称

resource.kubernetes 详情。 kubernetesWorkloadDetails.name

Kubernetes 工作负载命名空间

resource.kubernetes 详情。 kubernetesWorkloadDetails. 命名空间

Kubernetes 用户名

resource.kubernetes 详情。 kubernetesUserDetails。用户名

Kubernetes 容器映像

resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.image

Kubernetes 容器映像前缀

resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.imagePref

扫描 ID

服务。 ebsVolumeScan详情.scanID

EBS 卷扫描威胁名称

服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称.threatnames.names

S3 对象扫描威胁名称

服务。 malwareScanDetails.treats.name

威胁严重性

服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。严重性

文件 SHA

服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths

ECS 集群名称

资源。 ecsClusterDetails.name

ECS 容器映像

资源。 ecsClusterDetails.taskdetails.containers

ECS 任务定义 ARN

资源。 ecsClusterDetails.taskdetails.definition

独立容器映像

resource.containerDetails.image

数据库实例 Id

资源。 rdsDbInstance详情。 dbInstanceIdentifier

数据库集群 Id

资源。 rdsDbInstance详情。 dbClusterIdentifier

数据库引擎

资源。 rdsDbInstance细节。引擎

数据库用户

资源。 rdsDbUserDetails. 用户

数据库实例标签键

资源。 rdsDbInstance详细信息.tags.key

数据库实例标签值

资源。 rdsDbInstance详情标签值值

可执行文件 SHA-256

service.runtimeDetails.process.executableSha256

进程名称

service.runtimeDetails.process.name

可执行文件路径

service.runtimeDetails.process.executablePath

Lambda 函数名称

resource.lambdaDetails.functionName

Lambda 函数 ARN

resource.lambdaDetails.functionArn

Lambda 函数标签键

resource.lambdaDetails.tags.key

Lambda 函数标签值

resource.lambdaDetails.tags.value

DNS 请求域

服务行动。 dnsRequestAction。 domainWithSuffix