Generación de resultados de muestra en GuardDuty - Amazon GuardDuty
Generación de resultados de muestra a través de la consola o la API de GuardDuty

Generación de resultados de muestra en GuardDuty

Amazon GuardDuty ayuda a generar resultados de muestra para visualizar y conocer los diversos tipos de resultados que puede generar. Cuando genera resultados de muestra, GuardDuty rellena la lista de resultados actual con una muestra por cada tipo de resultado admitido, incluidos tipos de resultados de secuencia de ataque.

Las muestras generadas son aproximaciones rellenadas con valores de marcador de posición. Estas muestras pueden diferir de los resultados reales del entorno, pero son útiles para probar diversas configuraciones de GuardDuty, como filtros o eventos de EventBridge. Para consultar la lista de valores disponibles para los tipos de resultados, consulte la tabla Tipos de resultados de GuardDuty.

Generación de resultados de muestra a través de la consola o la API de GuardDuty

Elija el método de acceso que prefiera para generar resultados de muestra.

nota

La consola GuardDuty le ayuda a generar uno para cada tipo de resultado. Para generar uno o más tipos de resultados específicos, lleve a cabo los pasos de API/CLI asociados.

Console

Use el procedimiento siguiente para generar resultados de muestra. Este proceso genera un resultado de muestra para cada tipo de resultado de GuardDuty.

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, seleccione Configuración.

  3. En la página Settings, en Sample findings, elija Generate sample findings.

  4. En el panel de navegación, seleccione Resultados. Los resultados de muestra se muestran en la página Resultados actuales con el prefijo [SAMPLE].

API/CLI

Puede generar un solo resultado de muestra que coincida con cualquiera de los tipos de resultados de GuardDuty a través de la API CreateSampleFindings. Los valores disponibles para los tipos de resultados se muestran en la tabla Tipos de resultados de GuardDuty.

Esto resulta útil para probar las reglas de Eventos de CloudWatch o la automatización basada en resultados. En el siguiente ejemplo, se muestra cómo generar un solo resultado de muestra del tipo Backdoor:EC2/DenialOfService.Tcp con la AWS CLI.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

El título de los resultados de muestra generados mediante estos métodos siempre comienza con [SAMPLE] en la consola. Los resultados de muestra tienen un valor "sample": true en la sección additionalInfo de los detalles de los resultados de JSON.

Para comprender los detalles del resultado, como la gravedad del resultado y el recurso potencialmente comprometido, asociados a los resultados generados, consulte Niveles de gravedad de los resultados de GuardDuty y Detalles de los resultados.

Para generar algunos resultados comunes basados en una actividad simulada en un lugar dedicado y aislado en la Cuenta de AWS dentro del entorno, consulte Pruebe los resultados de GuardDuty en cuentas dedicadas.