View a markdown version of this page

Création de règles de suppression dans GuardDuty - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de règles de suppression dans GuardDuty

Une règle de suppression est un ensemble de critères qui inclut l'utilisation d'attributs de filtre et la fourniture de valeurs pour lesquelles vous ne GuardDuty souhaitez pas générer de type de recherche. Les types de recherche qui répondent à ces critères sont automatiquement archivés. Pour réduire le bruit, les résultats supprimés ne sont envoyés à aucun des sites auxquels Services AWS vous pouvez procéder à l'intégration. Pour plus d'informations sur les cas d'utilisation courants relatifs à la création de règles de suppression, consultezRègles de suppression.

Vous pouvez visualiser, créer et gérer les règles de suppression à l'aide de la page Règles de suppression de la GuardDuty console. Les règles de suppression peuvent également être générées à partir de vos filtres enregistrés existants. Pour plus d’informations sur la création de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

Les critères de filtre peuvent inclure une correspondance exacte utilisant des valeurs égales et des NotEqualsopérateurs, une correspondance générique utilisant les correspondances et NotMatchesles opérateurs ou une correspondance de comparaison utilisant LessThanEqualsles opérateurs GreaterThanGreaterThanEquals, LessThanet. Vous trouverez plus d'informations sur les opérateurs disponibles Conditionssur cette page.

Choisissez votre méthode d'accès préférée pour créer une règle de suppression permettant de GuardDuty rechercher des types.

Console
Pour créer une règle de suppression à l'aide de la console :
  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Règles de suppression, cliquez sur Créer une règle de suppression pour ouvrir le formulaire Créer une règle de suppression.

  3. Entrez un nom pour la règle de suppression. Le nom doit comporter entre 3 et 64 caractères. Les caractères valides sont les suivants : a-z A-Z, 0-9, point (.), tiret (-) et trait de soulignement (_).

  4. La description est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères. Les caractères valides sont les suivants : a-z A-Z, 0-9, point (.), tiret (-), deux-points (:), crochets ({} () []), barre oblique (/) et espace.

  5. Le grade est facultatif. Il peut s'agir d'une valeur numérique comprise entre 1 et le nombre total de filtres et de règles de suppression, plus 1.

  6. Dans la section Attributs, sélectionnez une clé et un opérateur dans le menu déroulant.

  7. Entrez la valeur « chaîne » ou « date » dans le sélecteur de date en fonction de la clé sélectionnée. S'il s'agit d'une valeur de chaîne, saisissez le texte et appuyez sur Entrée. Plusieurs valeurs peuvent être ajoutées dans le cas de valeurs de chaîne.

  8. Des critères supplémentaires peuvent être ajoutés en sélectionnant Ajouter des critères pour ajouter un autre ensemble de clés, d'opérateurs et de valeurs.

  9. Sélectionnez Créer une règle de suppression pour créer et enregistrer la règle de suppression.

Vous pouvez également créer une règle de suppression à partir d'un filtre enregistré existant. Pour plus d'informations sur la création de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

Pour créer une règle de suppression à partir d'un filtre enregistré :
  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sur la page Résultats, dans le menu Règles enregistrées, sélectionnez une règle d'ensemble de filtres enregistrée. Cela affichera automatiquement le jeu de filtres et les résultats correspondant aux critères.

  3. Vous pouvez également ajouter d'autres critères de filtre à cette règle enregistrée. Si vous n'avez pas besoin de critères de filtre supplémentaires, ignorez cette étape. Pour ajouter un ou plusieurs critères de filtre, suivez les étapes 3 à 7 dansAdding filters on Findings page, puis passez aux étapes suivantes.

  4. Après avoir ajouté les critères de filtre et confirmé que les résultats filtrés répondent à vos exigences, choisissez Créer une règle de suppression.

  5. Entrez un nom pour la règle de suppression. Le nom doit comporter de 3 à 64 caractères. Les caractères valides sont les suivants : a-z A-Z, 0-9, point (.), tiret (-) et trait de soulignement (_).

  6. La description est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

  7. Choisissez Créer.

  8. Si vous n'avez pas besoin d'ajouter de critères de filtre supplémentaires à la règle enregistrée, suivez les étapes 4 à 7 pour créer le filtre.

API/CLI
Pour créer une règle de suppression à l'aide de l'API :
  1. Vous pouvez créer des règles de suppression via l'API CreateFilter. Pour ce faire, spécifiez les critères de filtre dans un fichier JSON en suivant le format de l'exemple détaillé ci-dessous. L'exemple ci-dessous supprimera tous les résultats non archivés de faible gravité contenant une requête DNS adressée au test.example.com domaine. Pour les résultats de gravité moyenne, la liste d'entrée sera["4", "5", "7"]. Pour les résultats de gravité élevée, la liste d'entrée sera["6", "7", "8"]. Pour les constatations de gravité critique, la liste d'entrée sera["9", "10"]. Vous pouvez également filtrer en fonction de n'importe quelle valeur de la liste.

    L'exemple suivant ajoute un filtre pour les résultats de faible gravité pour les fonctions lambda avec le préfixe de nom de fonction « MyFunc » et pour les balises de fonction dont le préfixe n'est pas « ». TestTag

    { "Criterion": { "service.action.dnsRequestAction.domain": { "Equals": [ "test.example.com" ] }, "severity": { "Equals": [ "1", "2", "3" ] } } }

    Vous pouvez créer des règles de suppression à l'aide des caractères génériques* et ? . Les caractères génériques dans les filtres sont pris en charge uniquement à l'aide de correspondances et d'NotMatchesopérateurs. Pour faire correspondre un nombre quelconque de caractères, vous pouvez utiliser * dans la valeur de l'attribut et pour faire correspondre un seul caractère, vous pouvez utiliser ? dans la valeur de l'attribut. Les filtres prennent en charge un maximum de 5 attributs sous une seule condition générique et un maximum de 5 caractères génériques dans un même attribut. L'exemple suivant ajoute un filtre pour le nom Lambda correspondant au préfixe « MyFunc », mais pas pour les fonctions Lambda dont les balises comportent le préfixe « TestTag » suivi de 0 à 2 caractères.

    { "Criterion": { "resource.lambdaDetails.functionName": { "Matches": [ "MyFunc*" ] }, "resource.lambdaDetails.tags.key": { "NotMatches": [ "TestTag??" ] } } }

    Pour obtenir la liste des noms de champ JSON et leur équivalent dans la console, veuillez consulter Filtres de propriétés dans GuardDuty.

    Pour tester vos critères de filtre, utilisez le même critère JSON dans l'API ListFindings et vérifiez que les résultats corrects ont été sélectionnés. Pour tester vos critères de filtre, AWS CLI suivez l'exemple en utilisant vos propres fichiers DetectoriD et .json.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    aws guardduty list-detector
    aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --finding-criteria file://criteria.json
    Note

    Les jokers correspondants ne sont pas disponibles pour ListFindings et. GetFindingsStatistics Les critères contenant des caractères génériques ne peuvent pas être validés à l'aide de ListFindings et GetFindingsStatistics.

  2. Téléchargez votre filtre à utiliser en tant que règle de suppression avec l'API CreateFilter ou via l'interface de ligne de commande AWS en suivant l'exemple ci-dessous avec votre ID de détecteur, un nom pour la règle de suppression et votre fichier .json.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    aws guardduty create-filter \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --action ARCHIVE \ --name yourfiltername \ --finding-criteria file://criteria.json

Vous pouvez consulter la liste de vos filtres par programmation à l'aide de l'API ListFilter. Vous pouvez consulter les détails d'un filtre individuel en fournissant le nom du filtre à l'API GetFilter. Mettez à jour les filtres à l'aide de UpdateFilter ou supprimez-les avec l'API DeleteFilter.