View a markdown version of this page

Crear reglas de supresión en GuardDuty - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear reglas de supresión en GuardDuty

Una regla de supresión es un conjunto de criterios que incluye el uso de atributos de filtro y el suministro de valores para los que no se GuardDuty desea generar un tipo de búsqueda. Los tipos de resultados que cumplen estos criterios se archivan automáticamente. Para reducir el ruido, los resultados suprimidos no se envían a ninguno de los dispositivos Servicios de AWS con los que se pueda realizar la integración. Para obtener más información sobre los casos de uso comunes para la creación de reglas de supresión, consulte Reglas de supresión.

Puede visualizar, crear y gestionar las reglas de supresión mediante la página de reglas de supresión de la GuardDuty consola. Las reglas de supresión también se pueden generar a partir de los filtros guardados existentes. Para obtener más información acerca de la creación de filtros, consulte Filtrar los hallazgos en GuardDuty.

Los criterios de filtrado pueden incluir una coincidencia exacta mediante iguales y NotEqualsoperadores, una coincidencia comodín con las coincidencias y NotMatcheslos operadores o una coincidencia comparativa con GreaterThanLessThanEqualslos operadores LessThany. GreaterThanEquals Puede encontrar más información sobre los operadores disponibles en la Conditionspágina.

Elija el método de acceso que prefiera para crear una regla de supresión para GuardDuty buscar tipos.

Console
Para crear una regla de supresión mediante la consola:
  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En la página de reglas de supresión, haga clic en Crear regla de supresión para abrir el formulario Crear regla de supresión.

  3. Introduzca un nombre para la regla de supresión. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z A-Z, 0-9, punto (.), guión (-) y guión bajo (_).

  4. La descripción es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo. Los caracteres válidos son a-z, 0-9 A-Z, punto (.), guión (-), dos puntos (:), corchetes ({} () []), barra diagonal (/) y espacio.

  5. El rango es opcional. Puede ser un valor numérico desde 1 hasta el recuento total de filtros y reglas de supresión, más 1.

  6. En la sección Atributos, seleccione una clave y un operador en el menú desplegable.

  7. Introduzca el valor «cadena» o «fecha» en el selector de fechas en función de la clave seleccionada. Si se trata de un valor de cadena, escriba el texto y pulse enter. Se pueden añadir varios valores en el caso de valores de cadena.

  8. Para añadir criterios adicionales, seleccione Añadir criterio para añadir otro conjunto de claves, operadores y valores.

  9. Seleccione Crear regla de supresión para crear y guardar la regla de supresión.

También puede crear una regla de supresión a partir de un filtro guardado existente. Para obtener más información acerca de la creación de filtros, consulte Filtrar los hallazgos en GuardDuty.

Para crear una regla de supresión a partir de un filtro guardado:
  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En la página Resultados, en el menú Reglas guardadas, seleccione una regla de conjunto de filtros guardada. Esto mostrará automáticamente el conjunto de filtros y los resultados que coincidan con los criterios.

  3. También puede agregar más criterios de filtro a esta regla guardada. Puede omitir este paso si no necesita criterios de filtro adicionales. Para añadir uno o más criterios de filtrado, siga los pasos 3 a 7 en Adding filters on Findings page, a continuación, continúe con los pasos siguientes.

  4. Una vez que haya agregado los criterios de filtro y haya confirmado que los resultados filtrados cumplen sus requisitos, elija Crear regla de supresión.

  5. Introduzca un nombre para la regla de supresión. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z A-Z, 0-9, punto (.), guión (-) y guión bajo (_).

  6. La descripción es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo.

  7. Seleccione Crear.

  8. Si no necesita añadir criterios de filtro adicionales a la regla guardada, siga los pasos 4 a 7 para crear el filtro.

API/CLI
Para crear una regla de supresión mediante una API:
  1. También puede crear reglas de supresión a través de la API CreateFilter. Para ello, especifique los criterios de filtro en un archivo JSON según el formato del ejemplo que se detalla a continuación. El siguiente ejemplo suprimirá cualquier resultado de baja gravedad no archivado que contenga una solicitud de DNS al dominio test.example.com. Para los resultados de gravedad media, la lista de entrada será ["4", "5", "7"]. Para los resultados de gravedad alta, la lista de entrada será ["6", "7", "8"]. Para los resultados de gravedad crítica, la lista de entrada será ["9", "10"]. También puede filtrar en función de cualquier valor de la lista.

    En el siguiente ejemplo, se agrega un filtro para los hallazgos de baja gravedad para las funciones lambda con el prefijo «MyFunc» y la etiqueta de la función con el prefijo no como «» TestTag

    { "Criterion": { "service.action.dnsRequestAction.domain": { "Equals": [ "test.example.com" ] }, "severity": { "Equals": [ "1", "2", "3" ] } } }

    Puede crear reglas de supresión utilizando los caracteres comodín * y? . Los caracteres comodín en los filtros solo se admiten si se utilizan coincidencias y NotMatchesoperadores. Para hacer coincidir cualquier número de caracteres, puede usar * en el valor del atributo y, para hacer coincidir un solo carácter, ¿puede usar? en el valor del atributo. Los filtros admiten un máximo de 5 atributos en una sola condición de comodín y un máximo de 5 caracteres comodín dentro de un solo atributo. En el siguiente ejemplo, se agrega un filtro para el nombre de Lambda que coincide con el prefijo «MyFunc», pero no para las funciones Lambda con etiquetas con «TestTag» como prefijo seguido de 0 a 2 caracteres.

    { "Criterion": { "resource.lambdaDetails.functionName": { "Matches": [ "MyFunc*" ] }, "resource.lambdaDetails.tags.key": { "NotMatches": [ "TestTag??" ] } } }

    Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulte La propiedad filtra GuardDuty.

    Para probar sus criterios de filtro, utilice el mismo criterio de JSON en la API ListFindings y confirme que se hayan seleccionado los resultados correctos. Para probar tus criterios de filtro, AWS CLI sigue el ejemplo con tu propio DetectoriD y un archivo.json.

    Para encontrar los detectorId de tu cuenta y región actuales, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la API. ListDetectors

    aws guardduty list-detector
    aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --finding-criteria file://criteria.json
    nota

    Los comodines que coincidan no están disponibles para ListFindings y GetFindingsStatistics. Los criterios que contienen caracteres comodín no se pueden validar mediante ListFindings y. GetFindingsStatistics

  2. Cargue el filtro para utilizarlo como regla de supresión con la API CreateFilter o mediante la CLI de AWS según el ejemplo siguiente con su propio ID de detector, un nombre para la regla de supresión y un archivo .json.

    Para encontrar los detectorId de su cuenta y región actuales, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    aws guardduty create-filter \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --action ARCHIVE \ --name yourfiltername \ --finding-criteria file://criteria.json

Puede ver una lista de sus filtros mediante programación con la API ListFilter. Para ver los detalles de un filtro individual, proporcione el nombre del filtro a la API GetFilter. Actualice los filtros mediante la API UpdateFilter o elimínelos con ayuda de la API DeleteFilter.