Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear reglas de supresión en GuardDuty
Una regla de supresión es un conjunto de criterios que incluye el uso de atributos de filtro y el suministro de valores para los que no se GuardDuty desea generar un tipo de búsqueda. Los tipos de resultados que cumplen estos criterios se archivan automáticamente. Para reducir el ruido, los resultados suprimidos no se envían a ninguno de los dispositivos Servicios de AWS con los que se pueda realizar la integración. Para obtener más información sobre los casos de uso comunes para la creación de reglas de supresión, consulte Reglas de supresión.
Puede visualizar, crear y gestionar las reglas de supresión mediante la GuardDuty consola. Las reglas de supresión se generan de la misma manera que los filtros y los filtros guardados existentes se pueden utilizar como reglas de supresión. Para obtener más información acerca de la creación de filtros, consulte Filtrar los hallazgos en GuardDuty.
Elija el método de acceso que prefiera para crear una regla de supresión para GuardDuty buscar tipos.
- Console
-
Para crear una regla de supresión mediante la consola:Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En la página de resultados, la función Crear regla de supresión permanece atenuada a menos que añada al menos un criterio de filtro. Como las reglas de supresión se aplican a los hallazgos activos y en curso, asegúrese de que el menú de estado esté configurado como Actual.
-
Para añadir uno o más criterios de filtrado, siga los pasos 3 a 7 yAdding filters on Findings page, a continuación, continúe con los pasos siguientes.
-
Una vez que haya agregado los criterios de filtro y haya confirmado que los resultados filtrados cumplen sus requisitos, elija Crear regla de supresión.
-
Introduzca un nombre para la regla de supresión. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), guión (-) y guión bajo (_).
-
La descripción es opcional. Si introduce una descripción, puede tener hasta 512 caracteres.
-
Seleccione Crear.
También puede crear una regla de supresión a partir de un filtro guardado existente. Para obtener más información acerca de la creación de filtros, consulte Filtrar los hallazgos en GuardDuty.
Para crear una regla de supresión a partir de un filtro guardado:
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En la página Resultados, en el menú Reglas guardadas, seleccione una regla de conjunto de filtros guardada. Esto mostrará automáticamente el conjunto de filtros y los hallazgos que coincidan con los criterios.
-
También puede añadir más criterios de filtro a esta regla guardada. Puede omitir este paso si no necesita criterios de filtro adicionales.
Para añadir uno o más criterios de filtro adicionales, siga los pasos del 2 al final del procedimiento anterior:To create a suppression rule using the console.
-
Si no necesita añadir criterios de filtro adicionales a la regla guardada, siga los pasos del 4 al final del procedimiento anterior:To create a suppression rule using the console.
- API/CLI
-
Para crear una regla de supresión mediante una API:
-
También puede crear reglas de supresión a través de la API CreateFilter. Para ello, especifique los criterios de filtro en un archivo JSON según el formato del ejemplo que se detalla a continuación. El siguiente ejemplo suprimirá cualquier hallazgo de baja gravedad no archivado que contenga una solicitud de DNS al dominio. test.example.com Para los hallazgos de gravedad media, la lista de entrada será. ["4", "5", "7"] Para los hallazgos de gravedad alta, la lista de entrada será["6", "7", "8"]. Para los hallazgos de gravedad crítica, la lista de entrada será["9", "10"]. También puede filtrar en función de cualquier valor de la lista.
En el siguiente ejemplo, se agrega un filtro para los hallazgos de gravedad baja.
{
"Criterion": {
"service.archived": {
"Eq": [
"false"
]
},
"service.action.dnsRequestAction.domain": {
"Eq": [
"test.example.com"
]
},
"severity": {
"Eq": [
"1",
"2",
"3"
]
}
}
}
Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulte La propiedad filtra GuardDuty.
Para probar sus criterios de filtro, utilice el mismo criterio de JSON en la API ListFindings y confirme que se hayan seleccionado los resultados correctos. Para probar tus criterios de filtro, AWS CLI sigue el ejemplo con tu propio DetectoriD y un archivo.json.
Para encontrar los detectorId de tu cuenta y región actuales, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la API. ListDetectors
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
-
Cargue el filtro para utilizarlo como regla de supresión con la API CreateFilter o mediante la CLI de AWS según el ejemplo siguiente con su propio ID de detector, un nombre para la regla de supresión y un archivo .json.
Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
Puede ver una lista de sus filtros mediante programación con la API ListFilter. Para ver los detalles de un filtro individual, proporcione el nombre del filtro a la API GetFilter. Actualice los filtros mediante la API UpdateFilter o elimínelos con ayuda de la API DeleteFilter.
