在 GuardDuty 作中生成样本调查结果 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 GuardDuty 作中生成样本调查结果

您可以使用 Amazon GuardDuty 生成示例调查结果,从而帮助您可视化和了解 GuardDuty 可以生成的各种调查结果类型。在生成示例调查结果时,GuardDuty 会填充当前调查结果列表,每个支持的调查结果类型对应一个示例调查结果。

生成的样本是使用占位符值填充的近似值。这些示例看起来可能与您环境的实际调查结果不同,但您可以使用它们测试 GuardDuty 的各种配置,例如 CloudWatch Events 或筛选条件。有关查找类型的可用值列表,请参阅调查结果类型表。

要根据环境中的模拟活动生成一些常见的调查结果,请参阅下面的自动生成常见的 GuardDuty 查结果

通过 GuardDuty 控制台或 API 生成示例调查结果

选择访问方法以了解如何通过该方法生成示例查找结果。

注意

控制台方法会生成每种查找类型之一。单个示例调查结果只能通过 API 生成。

Console

使用以下过程来生成示例调查结果。此过程为每个 GuardDuty 查找类型生成一个样本查找。

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 Settings

  3. Settings 页面上的 Sample findings 下,选择 Generate sample findings

  4. 在导航窗格中,选择 Findings (结果)。示例调查结果显示在当前调查结果带有前缀的页[示例]

API

您可 GuardDuty 过CreateSampleFindingsAPI,查找类型的可用值将在调查结果类型表。

这对于测试 CloudWatch 事件规则或基于调查结果的自动化非常有用。以下示例说明如何生成单个示例调查结果Backdoor:EC2/DenialOfService.Tcp类型AmazonCLI。

Amazon guardduty create-sample-findings --detector-id yourRegionalDetectorId --finding-types Backdoor:EC2/DenialOfService.Tcp

通过这些方法生成的示例调查结果的标题始终以开头[SAMPLE]在控制台中。此外,示例调查结果的值为"sample": true中的additionalInfo部分查找结果 JSON 详细信息。

自动生成常见的 GuardDuty 查结果

您可以使用以下命令脚本自动生成几种常见的 GuardDuty 调查结果。这些区域有:守卫义务测试员. 模板使用AmazonCloudFormation 创建一个隔离环境,其中包含一台堡垒主机、一个您可以通过 SSH 访问的测试用 Amazon EC2 实例以及两个目标 EC2 实例。然后,您可以运行guardduty_tester.sh启动测试用 EC2 实例、目标 Windows EC2 实例及目标 Linux EC2 实例间的交互,从而模拟 GuardDuty 检测的五种常见攻击类型并通知您有关生成的调查结果。

  1. 作为前提条件,您必须在要运行的账户和区域中启用 GuardDuty守卫义务测试员. 模板guardduty_tester.sh。有关启用 GuardDuty 的更多信息,请参阅。入门 GuardDuty

    此外,您还必须在要运行上述脚本的每个区域中生成新的 EC2 key pair,或使用现有的 EC2 密钥对。此 EC2 密钥对将在用于创建新 CloudFormation 堆栈的 guardduty-tester.template 脚本中用作参数。有关生成密钥对的更多信息,请参阅。Amazon EC2 密钥对

  2. 使用 guardduty-tester.template 创建一个新的 CloudFormation 堆栈。有关创建堆栈的详细说明,请参阅。创建堆栈。在运行之前守卫义务测试员. 模板,请使用以下参数的值对其进行修改:的堆栈、您要运行该堆栈的位置、可用区以及您可以用于启动 EC2 实例的密钥对。然后,您可以使用相应的私有密钥通过 SSH 访问 EC2 实例。

    这些区域有:守卫义务测试员. 模板需要约 10 分钟才能运行完成。它将创建您的环境并将 guardduty_tester.sh 复制到您的测试用 EC2 实例。

  3. 在AmazonCloudFormation 控制台旁边的复选框Amazon CloudFormation堆栈 在显示的一组选项卡中,选择输出选项卡。记下分配给堡垒主机和测试用 EC2 实例的 IP 地址。您需要有这两个 IP 地址才能通过 SSH 访问测试用 EC2 实例。

  4. 在 ~/.ssh/config 文件中创建以下条目,以便通过堡垒主机登录到您的实例。

    Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240

    现在,您可以调用 $ ssh tester 登录到您的目标 EC2 实例。有关通过堡垒主机配置和连接 EC2 实例的更多信息,请参阅 https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/

  5. 连接到测试用 EC2 实例后,运行guardduty_tester.sh启动您的测试用 EC2 实例与目标 EC2 实例间的交互、模拟攻击并生成 GuardDuty 调查结果。