Unterdrückungsregeln erstellen in GuardDuty - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterdrückungsregeln erstellen in GuardDuty

Eine Unterdrückungsregel besteht aus einer Reihe von Kriterien, zu denen die Verwendung von Filterattributen und die Angabe von Werten gehören, für die Sie keinen Befundtyp generieren GuardDuty möchten. Die Befundtypen, die diesen Kriterien entsprechen, werden automatisch archiviert. Um das Rauschen zu reduzieren, werden die unterdrückten Ergebnisse nicht an ein System gesendet, in das Sie integrieren können. AWS-Services Weitere Hinweise zu häufigen Anwendungsfällen für die Erstellung von Unterdrückungsregeln finden Sie unterUnterdrückungsregeln.

Mithilfe der GuardDuty Konsole können Sie Unterdrückungsregeln visualisieren, erstellen und verwalten. Unterdrückungsregeln werden auf die gleiche Weise wie Filter generiert, und Ihre vorhandenen gespeicherten Filter können als Unterdrückungsregeln verwendet werden. Weitere Informationen zum Erstellen von Filtern finden Sie unter Ergebnisse filtern in GuardDuty.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um eine Unterdrückungsregel für die GuardDuty Suche nach Typen zu erstellen.

Console
So erstellen Sie mit der Konsole eine Unterdrückungsregel:

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Auf der Seite Ergebnisse bleibt die Funktion „Unterdrückungsregel erstellen“ ausgegraut, sofern Sie nicht mindestens ein Filterkriterium hinzufügen. Da Unterdrückungsregeln auf aktive, laufende Ergebnisse angewendet werden, stellen Sie sicher, dass das Menü Status auf Aktuell eingestellt ist.

  3. Um ein oder mehrere Filterkriterien hinzuzufügen, folgen Sie den Schritten 3 bis 7 unterAdding filters on Findings page, und fahren Sie dann mit den folgenden Schritten fort.

  4. Nachdem Sie die Filterkriterien hinzugefügt und bestätigt haben, dass die gefilterten Ergebnisse Ihren Anforderungen entsprechen, wählen Sie Unterdrückungsregel erstellen aus.

  5. Geben Sie einen Namen für die Unterdrückungsregel ein. Der Name muss 3-64 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, Punkt (.), Bindestrich (-) und Unterstrich (_).

  6. Die Beschreibung ist optional. Wenn Sie eine Beschreibung eingeben, kann diese bis zu 512 Zeichen enthalten.

  7. Wählen Sie Erstellen aus.

Sie können auch eine Unterdrückungsregel aus einem vorhandenen gespeicherten Filter erstellen. Weitere Informationen zum Erstellen von Filtern finden Sie unter Ergebnisse filtern in GuardDuty.

So erstellen Sie eine Unterdrückungsregel aus einem gespeicherten Filter:

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie auf der Seite Ergebnisse im Menü Gespeicherte Regeln eine gespeicherte Filtersatzregel aus. Dadurch werden automatisch der Filtersatz und die Ergebnisse angezeigt, die den Kriterien entsprechen.

  3. Sie können dieser gespeicherten Regel auch weitere Filterkriterien hinzufügen. Wenn Sie keine zusätzlichen Filterkriterien benötigen, überspringen Sie diesen Schritt.

    Um ein oder mehrere zusätzliche Filterkriterien hinzuzufügen, folgen Sie den Schritten 2 bis zum Ende des vorherigen Verfahrens -To create a suppression rule using the console.

  4. Wenn Sie der gespeicherten Regel keine zusätzlichen Filterkriterien hinzufügen müssen, führen Sie die Schritte 4 bis zum Ende des vorherigen Verfahrens aus -To create a suppression rule using the console.

API/CLI
So erstellen Sie eine Unterdrückungsregel mithilfe der API:

  1. Sie können Unterdrückungsregeln auch über die CreateFilter-API erstellen. Geben Sie dazu die Filterkriterien in einer JSON-Datei an und folgen Sie dabei dem Format des unten beschriebenen Beispiels. Im folgenden Beispiel werden alle nicht archivierten Ergebnisse mit geringem Schweregrad unterdrückt, die eine DNS-Anfrage an die test.example.com Domain enthalten. Bei Ergebnissen mit mittlerem Schweregrad lautet die Eingabeliste. ["4", "5", "7"] Bei Befunden mit hohem Schweregrad lautet die Eingabeliste["6", "7", "8"]. Für Ergebnisse mit kritischem Schweregrad lautet die Eingabeliste["9", "10"]. Sie können auch auf der Grundlage eines beliebigen Werts in der Liste filtern.

    Im folgenden Beispiel wird ein Filter für Ergebnisse mit niedrigem Schweregrad hinzugefügt.

    {
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    Eine Liste der JSON-Feldnamen und deren Konsolenäquivalent finden Sie unter Eigenschaftsfilter in GuardDuty.

    Verwenden Sie zum Testen Ihrer Filterkriterien dasselbe JSON-Kriterium in der ListFindings-API und vergewissern Sie sich, dass die richtigen Erkenntnisse ausgewählt wurden. Um Ihre Filterkriterien zu testen, AWS CLI folgen Sie dem Beispiel mit Ihrer eigenen detectorId- und .json-Datei.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die API aus. ListDetectors

    aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

  2. Laden Sie Ihren Filter, der als Unterdrückungsregel verwendet werden soll, mit der CreateFilter-API oder über die AWS -CLI hoch, indem Sie dem unten stehenden Beispiel folgen und Ihre eigene Detektor-ID, einen Namen für die Unterdrückungsregel und eine JSON-Datei angeben.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

Mit der ListFilter-API können Sie sich programmgesteuert eine Liste Ihrer Filter anzeigen lassen. Sie können die Details eines einzelnen Filters anzeigen, indem Sie der GetFilter-API den Filternamen zur Verfügung stellen. Aktualisieren Sie Filter mithilfe von UpdateFilter oder löschen Sie sie mit der DeleteFilter-API.