Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di regole di soppressione in GuardDuty
Una regola di soppressione è un insieme di criteri che include l'utilizzo di attributi di filtro e la fornitura di valori per i quali non si desidera GuardDuty generare un tipo di ricerca. I tipi di ricerca che soddisfano questi criteri vengono archiviati automaticamente. Per ridurre il rumore, i risultati soppressi non vengono inviati a nessuno dei dispositivi Servizi AWS con cui è possibile integrarli. Per ulteriori informazioni sui casi d'uso comuni per la creazione di regole di soppressione, vedere. Regole di eliminazione
È possibile visualizzare, creare e gestire le regole di soppressione utilizzando la pagina Regole di soppressione nella console. GuardDuty Le regole di soppressione possono essere generate anche dai filtri salvati esistenti. Per ulteriori informazioni sulla creazione dei filtri, consulta Filtrare i risultati in GuardDuty.
I criteri di filtro possono includere una corrispondenza esatta utilizzando Equals e NotEqualsoperatori, una corrispondenza con caratteri jolly utilizzando Matches e NotMatchesoperatori o una corrispondenza di confronto utilizzando GreaterThane gli operatori e. GreaterThanEqualsLessThanLessThanEquals Ulteriori informazioni sugli operatori disponibili sono disponibili nella pagina. Conditions
Scegliete il metodo di accesso preferito per creare una regola di soppressione per la GuardDuty ricerca dei tipi.
- Console
-
Per creare una regola di soppressione utilizzando la console:Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
-
Nella pagina Regole di soppressione, fai clic su Crea regola di soppressione per aprire il modulo Crea regola di soppressione.
-
Inserite un nome per la regola di soppressione. Il nome deve contenere da 3 a 64 caratteri. I caratteri validi sono a-z A-Z, 0-9, punto (.), trattino (-) e trattino basso (_).
-
La descrizione è facoltativa. Se si immette una descrizione, questa può contenere fino a 512 caratteri. I caratteri validi sono a-z A-Z, 0-9, punto (.), trattino (-), due punti (:), parentesi quadre ({} () []), barra (/) e spazio.
-
Il rango è facoltativo. Può essere un valore numerico compreso tra 1 e il conteggio totale dei filtri e delle regole di soppressione, più 1.
-
Nella sezione Attributi, selezionate una chiave e un operatore dal menu a discesa.
-
Inserisci il valore «string» o «date» dal datepicker in base alla chiave selezionata. Se è un valore di stringa, digita il testo e premi invio. È possibile aggiungere più valori in caso di valori di stringa.
-
È possibile aggiungere criteri aggiuntivi selezionando Aggiungi criteri per aggiungere un altro set di chiavi, operatori e valori.
-
Seleziona Crea regola di soppressione per creare e salvare la regola di soppressione.
Puoi anche creare una regola di eliminazione da un filtro esistente salvato. Per ulteriori informazioni sulla creazione dei filtri, consulta Filtrare i risultati in GuardDuty.
Per creare una regola di eliminazione da un filtro salvato:
Apri la GuardDuty console all'indirizzo. https://console.aws.amazon.com/guardduty/
-
Nella pagina Risultati, dal menu Regole salvate, seleziona una regola del set di filtri salvata. Questo mostrerà automaticamente il set di filtri e i risultati che corrispondono ai criteri.
-
Puoi anche aggiungere altri criteri di filtro a questa regola salvata. Salta questo passaggio se non sono necessari criteri di filtro aggiuntivi. Per aggiungere uno o più criteri di filtro, segui i passaggi da 3 a 7Adding filters on Findings page, quindi continua con i passaggi seguenti.
-
Dopo aver aggiunto i criteri di filtro e confermato che i risultati filtrati soddisfano i requisiti, scegli Crea regola di soppressione.
-
Inserite un nome per la regola di soppressione. Il nome deve contenere da 3 a 64 caratteri. I caratteri validi sono a-z, 0-9 A-Z, punto (.), trattino (-) e trattino basso (_).
-
La descrizione è facoltativa. Se si immette una descrizione, questa può contenere fino a 512 caratteri.
-
Scegli Create (Crea).
-
Se non è necessario aggiungere criteri di filtro aggiuntivi alla regola salvata, segui i passaggi da 4 a 7 per creare il filtro.
- API/CLI
-
Per creare una regola di eliminazione tramite API:
-
Puoi creare regole di eliminazione tramite l'API CreateFilter. Per farlo, specifica i criteri di filtro in un file JSON seguendo il formato dell'esempio riportato di seguito. L'esempio seguente sopprimerà tutti i risultati non archiviati a bassa gravità che presentano una richiesta DNS al dominio. test.example.com Per i risultati di gravità media, l'elenco di input sarà. ["4", "5", "7"] Per i risultati di elevata gravità, l'elenco di input sarà["6", "7", "8"]. Per i risultati di gravità critica, l'elenco di input sarà["9", "10"]. Puoi anche applicare filtri in base a qualsiasi valore dell'elenco.
L'esempio seguente aggiunge un filtro per i risultati a bassa gravità per le funzioni lambda con il prefisso del nome della funzione "MyFunc" e il tag di funzione con prefisso diverso da "» TestTag
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
È possibile creare regole di soppressione utilizzando caratteri jolly * e? . I caratteri jolly nei filtri sono supportati solo utilizzando Matches e NotMatchesoperatori. Per abbinare un numero qualsiasi di caratteri, puoi usare* nel valore dell'attributo e per abbinare un singolo carattere, puoi usare? nel valore dell'attributo. I filtri supportano un massimo di 5 attributi in una singola condizione di caratteri jolly e un massimo di 5 caratteri jolly all'interno di un singolo attributo. L'esempio seguente aggiunge un filtro per il nome Lambda che corrisponde al prefisso «MyFunc" ma non per le funzioni Lambda con tag con "TestTag" come prefisso seguito da 0-2 caratteri.
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
Per un elenco dei nomi dei campi JSON e il relativo equivalente della console, vedere Filtri di proprietà in GuardDuty.
Per testare i criteri di filtro, utilizza lo stesso criterio JSON nell'API ListFindings e conferma che siano stati selezionati gli esiti corretti. Per testare i criteri di filtro, AWS CLI segui l'esempio utilizzando il tuo detectorID e.json.
Per trovare i dati relativi detectorId al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'API. ListDetectors
aws guardduty list-detector
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
Gli abbinamenti con i jolly non sono disponibili per ListFindings e GetFindingsStatistics. I criteri contenenti caratteri jolly non possono essere convalidati utilizzando e. ListFindings GetFindingsStatistics
-
Carica il filtro da utilizzare come regola di eliminazione con l'API CreateFilter o utilizzando la CLI AWS seguendo l'esempio riportato di seguito con il tuo ID rilevatore, un nome per la regola di eliminazione e il file.json.
Per trovare i dati detectorId relativi al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
Puoi visualizzare un elenco dei tuoi filtri in modo programmatico con l'API ListFilter. Puoi visualizzare i dettagli di un singolo filtro fornendo il nome del filtro all'API GetFilter. Aggiorna i filtri utilizzando UpdateFilter o eliminali con l'API DeleteFilter.
