View a markdown version of this page

Unterdrückungsregeln erstellen in GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterdrückungsregeln erstellen in GuardDuty

Eine Unterdrückungsregel besteht aus einer Reihe von Kriterien, zu denen die Verwendung von Filterattributen und die Angabe von Werten gehören, für die Sie keinen Befundtyp generieren GuardDuty möchten. Die Befundtypen, die diesen Kriterien entsprechen, werden automatisch archiviert. Um das Rauschen zu reduzieren, werden die unterdrückten Ergebnisse nicht an ein System gesendet, in das Sie integrieren können. AWS-Services Weitere Hinweise zu häufigen Anwendungsfällen für die Erstellung von Unterdrückungsregeln finden Sie unterUnterdrückungsregeln.

Mithilfe der Seite Unterdrückungsregeln in der GuardDuty Konsole können Sie Unterdrückungsregeln visualisieren, erstellen und verwalten. Unterdrückungsregeln können auch aus Ihren vorhandenen gespeicherten Filtern generiert werden. Weitere Informationen zum Erstellen von Filtern finden Sie unter Ergebnisse filtern in GuardDuty.

Die Filterkriterien können eine exakte Übereinstimmung mit Gleichheitszahlen und NotEqualsOperatoren, eine Platzhalterübereinstimmung mit den Operatoren Treffer und NotMatchesOperatoren oder eine Vergleichsübereinstimmung mit den Operatoren GreaterThanGreaterThanEquals, LessThanund LessThanEqualsbeinhalten. Weitere Informationen zu den verfügbaren Operatoren finden Sie auf der ConditionsSeite.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu erstellen.

Console
So erstellen Sie mit der Konsole eine Unterdrückungsregel:

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Klicken Sie auf der Seite Unterdrückungsregeln auf Unterdrückungsregel erstellen, um das Formular Unterdrückungsregel erstellen zu öffnen.

  3. Geben Sie einen Namen für die Unterdrückungsregel ein. Der Name muss 3-64 Zeichen lang sein. Gültige Zeichen sind a-z A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (_).

  4. Die Beschreibung ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein. Zulässige Zeichen sind a-z A-Z, 0-9, Punkt (.), Bindestrich (-), Doppelpunkt (:), eckige Klammern ({} () []), Schrägstrich (/) und Leerzeichen.

  5. Der Rang ist optional. Dabei kann es sich um einen numerischen Wert von 1 bis zur Gesamtzahl der Filter und Unterdrückungsregeln plus 1 handeln.

  6. Wählen Sie im Bereich Attribute einen Schlüssel und einen Operator aus der Drop-down-Liste aus.

  7. Geben Sie je nach ausgewähltem Schlüssel entweder den Wert „Zeichenfolge“ oder „Datum“ aus der Datepicker ein. Wenn es sich um einen Zeichenkettenwert handelt, geben Sie den Text ein und drücken Sie die Eingabetaste. Bei Zeichenkettenwerten können mehrere Werte hinzugefügt werden.

  8. Zusätzliche Kriterien können hinzugefügt werden, indem Sie Kriterien hinzufügen auswählen, um einen weiteren Satz von Schlüsseln, Operatoren und Werten hinzuzufügen.

  9. Wählen Sie Unterdrückungsregel erstellen aus, um die Unterdrückungsregel zu erstellen und zu speichern.

Sie können auch eine Unterdrückungsregel aus einem vorhandenen gespeicherten Filter erstellen. Weitere Informationen zum Erstellen von Filtern finden Sie unter Ergebnisse filtern in GuardDuty.

So erstellen Sie eine Unterdrückungsregel aus einem gespeicherten Filter:

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie auf der Seite Ergebnisse im Menü Gespeicherte Regeln eine gespeicherte Filtersatzregel aus. Dadurch werden automatisch der Filtersatz und die Ergebnisse angezeigt, die den Kriterien entsprechen.

  3. Sie können dieser gespeicherten Regel auch weitere Filterkriterien hinzufügen. Wenn Sie keine zusätzlichen Filterkriterien benötigen, überspringen Sie diesen Schritt. Um ein oder mehrere Filterkriterien hinzuzufügen, folgen Sie den Schritten 3 bis 7 unterAdding filters on Findings page, und fahren Sie dann mit den folgenden Schritten fort.

  4. Nachdem Sie die Filterkriterien hinzugefügt und bestätigt haben, dass die gefilterten Ergebnisse Ihren Anforderungen entsprechen, wählen Sie Unterdrückungsregel erstellen aus.

  5. Geben Sie einen Namen für die Unterdrückungsregel ein. Der Name muss 3-64 Zeichen lang sein. Zulässige Zeichen sind A—Z A-Z, 0—9, Punkt (.), Bindestrich (-) und Unterstrich (_).

  6. Die Beschreibung ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen lang sein.

  7. Wählen Sie Erstellen aus.

  8. Wenn Sie der gespeicherten Regel keine zusätzlichen Filterkriterien hinzufügen müssen, führen Sie die Schritte 4 bis 7 aus, um den Filter zu erstellen.

API/CLI
So erstellen Sie eine Unterdrückungsregel mithilfe der API:

  1. Sie können Unterdrückungsregeln auch über die CreateFilter-API erstellen. Geben Sie dazu die Filterkriterien in einer JSON-Datei an und folgen Sie dabei dem Format des unten beschriebenen Beispiels. Im folgenden Beispiel werden alle nicht archivierten Ergebnisse mit geringem Schweregrad unterdrückt, die eine DNS-Anfrage an die test.example.com Domain enthalten. Bei Ergebnissen mit mittlerem Schweregrad lautet die Eingabeliste. ["4", "5", "7"] Bei Befunden mit hohem Schweregrad wird die Eingabeliste wie folgt lauten["6", "7", "8"]. Für Ergebnisse mit kritischem Schweregrad lautet die Eingabeliste["9", "10"]. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern.

    Im folgenden Beispiel wird ein Filter für Ergebnisse mit niedrigem Schweregrad für Lambda-Funktionen mit dem Funktionsnamenpräfix "MyFunc" und einem Funktions-Tag mit dem Präfix nicht als "" TestTag hinzugefügt 

    
{
    "Criterion": {
        "service.action.dnsRequestAction.domain": {
            "Equals": [
                "test.example.com"
            ]
        },
        "severity": {
            "Equals": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    Sie können Unterdrückungsregeln mit den Platzhalterzeichen * und? erstellen . Platzhalter in Filtern werden nur bei Verwendung von NotMatchesTreffern und Operatoren unterstützt. Um einer beliebigen Anzahl von Zeichen zu entsprechen, können Sie * im Attributwert verwenden, und um einem einzelnen Zeichen zuzuordnen, können Sie? im Attributwert. Filter unterstützen maximal 5 Attribute unter einer einzigen Platzhalterbedingung und maximal 5 Platzhalterzeichen innerhalb eines einzelnen Attributs. Das folgende Beispiel fügt einen Filter für einen Lambda-Namen hinzu, der dem Präfix „MyFunc" entspricht, aber keine Lambda-Funktionen mit Tags mit "TestTag" als Präfix gefolgt von 0-2 Zeichen. 

    
{
    "Criterion": {
        "resource.lambdaDetails.functionName": {
            "Matches": [
                "MyFunc*"
            ]
        },
        "resource.lambdaDetails.tags.key": {
            "NotMatches": [
                "TestTag??"
            ]
        }
    }
}

    Eine Liste der JSON-Feldnamen und deren Konsolenäquivalent finden Sie unter Eigenschaftsfilter in GuardDuty.

    Verwenden Sie zum Testen Ihrer Filterkriterien dasselbe JSON-Kriterium in der ListFindings-API und vergewissern Sie sich, dass die richtigen Erkenntnisse ausgewählt wurden. Um Ihre Filterkriterien zu testen, AWS CLI folgen Sie dem Beispiel mit Ihrer eigenen detectorId- und .json-Datei.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die API aus. ListDetectors

    aws guardduty list-detector
    
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
    Anmerkung

    Übereinstimmende Platzhalter sind für ListFindings und GetFindingsStatistics nicht verfügbar. Kriterien, die Platzhalter enthalten, können nicht mit ListFindings und überprüft werden. GetFindingsStatistics

  2. Laden Sie Ihren Filter, der als Unterdrückungsregel verwendet werden soll, mit der CreateFilter-API oder über die AWS -CLI hoch, indem Sie dem unten stehenden Beispiel folgen und Ihre eigene Detektor-ID, einen Namen für die Unterdrückungsregel und eine JSON-Datei angeben.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json

Mit der ListFilter-API können Sie sich programmgesteuert eine Liste Ihrer Filter anzeigen lassen. Sie können die Details eines einzelnen Filters anzeigen, indem Sie der GetFilter-API den Filternamen zur Verfügung stellen. Aktualisieren Sie Filter mithilfe von UpdateFilter oder löschen Sie sie mit der DeleteFilter-API.