在 GuardDuty 控制台中查看生成的调查结果 - Amazon GuardDuty
导航“调查发现”页面
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 GuardDuty 控制台中查看生成的调查结果

当 GuardDuty 检测到与安全问题模式相匹配的活动时, GuardDuty 会生成调查结果。此调查发现与可能在此活动期间已泄露的资源类型相关。您可以查看与 GuardDuty生成的每个查找结果相关的详细信息。

如果您使用的是 GuardDuty 管理员帐户,则可以代表成员帐户查看生成的调查结果。但是,成员账户可以查看自己账户中生成的调查发现,成员账户无法查看为其他成员账户生成的调查发现。

在 GuardDuty 控制台中查看发现结果的步骤

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在左侧导航窗格中,选择发现

    GuardDuty 以表格格式显示调查结果。默认情况下,此表将根据上次查看列的值按降序排序,在顶部显示最新的调查发现。

    带有剑形图标 ( Sword icon that represents attack sequence finding in GuardDuty console. ) 的调查发现表示攻击序列调查发现。

  3. 要查看与调查发现相关的详细信息,请选择其标题。这将打开调查发现详细信息侧面板。对于攻击序列调查发现,此侧面板包含攻击序列的摘要版本,要展开此视图,请选择查看详细信息

    有关此侧面板中所列字段的信息,请参阅调查发现详细信息

  4. (可选)下载调查发现 JSON

    1. 选择调查发现,然后选择操作菜单。

    2. 操作菜单上,选择查看并导出 JSON

    3. 调查发现 JSON 窗口中,选择下载

      注意

      在某些情况下,在某些发现生成后 GuardDuty 就会意识到这些发现是误报。 GuardDuty 在查找结果的 JSON 中提供置度字段,并将其值设置为零。这样 GuardDuty 可以让你知道你可以放心地忽略这些发现。

      不会将没有置信度字段的调查发现视为误报。

导航“调查发现”页面

本节提供有关调查发现页面上各种元素的关键信息。这将帮助您分析生成的调查发现,以便进行威胁分析和响应。

以下列表说明了调查发现页面元素,有助于您更好地理解生成的调查发现:

  • 威胁类型

    威胁类型包括个人 GuardDuty 发现和攻击序列发现。默认情况下,该页面会显示所有调查发现

    要筛选调查发现表格视图,请在威胁类型菜单上选择其中一个选项:仅限攻击序列调查发现仅限单独调查发现

  • 资源和计数列

    调查结果表中的资源列显示了可能受到威胁的 Amazon 资源的名称。对于攻击序列的发现,此列显示可能受到威胁的 Amazon 资源的数量。要查看资源名称,请选择资源列下的数字

    计数” 列表示 GuardDuty 观察特定发现的次数。当 GuardDuty 检测到与先前发现的安全问题相匹配的活动时,它会增加该特定发现的计数。对于攻击序列调查发现,此列值表示生成该调查发现所涉及的信号和调查发现的总数。

  • 按表格列对调查发现进行排序

    如果列标题旁边有箭头,则可以根据该列对调查发现表进行排序。选择列标题,即可按该列中值的递增或递减顺序对调查发现进行排序。

  • 筛选调查发现

    根据特定的属性特性(例如 Account IDResource type),您可以进一步筛选调查发现表。有关可使用的筛选条件类型的信息,请参阅筛选 GuardDuty 调查结果

  • 状态和已保存规则

    状态菜单包含两个值:当前已存档。表格中的默认视图为当前调查发现。

    当您不 GuardDuty 想再生成符合特定条件的查找结果时,可以隐藏该查找结果。 GuardDuty 将这一发现归档。当再次 GuardDuty 检测到此发现时,您不会收到有关此观察结果的通知。要专门查看已存档的调查发现,请在状态菜单上选择已存档

    已保存规则是一项功能,可帮助您自动筛选符合指定条件的调查发现并对其执行操作。操作可能包括存档调查发现或在未来的通知中将其隐藏。

    有关更多信息,请参阅 抑制规则