Utilizzo delle regole di soppressione con Extended Threat Detection Casi d'uso comuni per le regole di eliminazione ed esempi

Regole di soppressione in GuardDuty

Una regola di eliminazione è un insieme di criteri in cui ogni attributo di filtro è abbinato a un valore. Questi criteri vengono utilizzati per filtrare gli esiti, archiviando automaticamente i nuovi esiti che corrispondono ai criteri specificati. Le regole di soppressione possono essere utilizzate per filtrare risultati di basso valore, risultati falsi positivi o minacce su cui non si intende agire, per facilitare il riconoscimento delle minacce alla sicurezza con l'impatto maggiore sull'ambiente.

Dopo aver creato una regola di soppressione, i nuovi risultati che corrispondono ai criteri definiti nella regola vengono archiviati automaticamente finché la regola di soppressione è in vigore. Puoi utilizzare un filtro esistente per creare una regola di eliminazione oppure puoi crearne una a partire da un nuovo filtro definito. È possibile configurare le regole di eliminazione in modo da eliminare interi tipi di risultati oppure definire criteri di filtro più granulari per sopprimere solo istanze specifiche di un particolare tipo di risultato. È possibile modificare le regole di soppressione in qualsiasi momento.

I risultati soppressi non vengono inviati ad AWS Security Hub Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, riducendo il livello di rumore delle ricerche se si utilizzano GuardDuty i risultati tramite Security Hub, un SIEM di terze parti o altre applicazioni di avviso e ticketing. Se l'hai abilitatoProtezione da malware per EC2, i GuardDuty risultati soppressi non avvieranno una scansione antimalware.

GuardDuty continua a generare risultati anche quando corrispondono alle regole di soppressione impostate, tuttavia tali risultati vengono automaticamente contrassegnati come archiviati. I risultati archiviati vengono archiviati GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo. Puoi visualizzare i risultati soppressi nella GuardDuty console selezionando Archiviato dalla tabella dei risultati o tramite l' GuardDuty API utilizzando l'ListFindingsAPI con un findingCriteria criterio uguale a true. service.archived

Nota

In un ambiente con più account solo l' GuardDuty amministratore può creare regole di soppressione.

Utilizzo delle regole di soppressione con Extended Threat Detection

GuardDuty Extended Threat Detection rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Mette in correlazione gli eventi tra diverse fonti di dati per identificare gli scenari che si presentano come una potenziale minaccia per AWS l'ambiente e quindi genera una ricerca della sequenza di attacco. Per ulteriori informazioni, consulta Come funziona Extended Threat Detection.

Quando si creano regole di soppressione che archiviano i risultati, Extended Threat Detection non può utilizzare questi risultati archiviati per correlare gli eventi per le sequenze di attacco. Le regole di soppressione generali potrebbero influire sulla capacità di rilevare comportamenti in linea con il rilevamento degli attacchi GuardDuty in più fasi. I risultati archiviati in base alle regole di soppressione non sono considerati segnali per le sequenze di attacchi. Ad esempio, se crei una regola di soppressione che archivia tutti i risultati relativi al cluster EKS invece di indirizzare attività specifiche note, non GuardDuty sarai in grado di utilizzare tali risultati per rilevare una sequenza di attacco in cui un autore della minaccia sfrutta un contenitore, ottiene token privilegiati e accede a risorse sensibili.

Prendi in considerazione i seguenti consigli di: GuardDuty

Continuate a utilizzare le regole di soppressione per ridurre gli avvisi provenienti da attività affidabili note.
Mantieni le regole di soppressione incentrate su comportamenti specifici per i quali non desideri GuardDuty generare risultati.

Casi d'uso comuni per le regole di eliminazione ed esempi

I seguenti tipi di risultati presentano casi d'uso comuni per l'applicazione delle regole di soppressione. Seleziona il nome del risultato per saperne di più su tale risultato. Esamina la descrizione del caso d'uso per decidere se creare una regola di soppressione per quel tipo di risultato.

Importante

GuardDuty consiglia di creare regole di soppressione in modo reattivo e solo per i risultati per i quali sono stati ripetutamente identificati falsi positivi nel proprio ambiente.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: utilizza una regola di eliminazione per archiviare automaticamente gli esiti generati quando la rete VPC è configurata per instradare il traffico Internet in modo tale che esso esca da un gateway on-premise anziché da un gateway Internet VPC.

Questo esito viene generato quando la rete è configurata per instradare il traffico Internet in modo tale da uscire da un gateway on-premise anziché da un gateway Internet (IGW) VPC. Configurazioni comuni, come l'utilizzo di AWS Outposts o delle connessioni VPN del VPC, possono instradare il traffico in questo modo. Se questo è il comportamento previsto, si consiglia di utilizzare le regole di soppressione e di creare una regola composta da due criteri di filtro. Il primo criterio è trovare il tipo, che dovrebbe essere UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Il secondo criterio di filtro è l' IPv4 indirizzo del chiamante API con l'indirizzo IP o l'intervallo CIDR del gateway Internet locale. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base all'indirizzo IP del chiamante API.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
Nota
Per includere più chiamanti API, IPs puoi aggiungere un nuovo filtro di indirizzo API Caller IPv4 per ciascuno.
Recon:EC2/Portscan: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando utilizzi un'applicazione di valutazione della vulnerabilità.

La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con determinate AMI.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze di host bastione.

Se l'obiettivo del tentativo di forza bruta è un bastion host, ciò potrebbe rappresentare il comportamento previsto per l'ambiente in uso. AWS In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con un determinato valore del tag dell'istanza.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort: utilizza una regola di eliminazione per archiviare automaticamente gli esiti quando è destinata a istanze esposte intenzionalmente.

Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. L'esempio seguente rappresenta il filtro da utilizzare per eliminare questo tipo di esito in base a istanze con una determinata chiave di tag dell'istanza nella console.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

Regole di soppressione consigliate per i risultati del Runtime Monitoring

PrivilegeEscalation:Runtime/DockerSocketAccessed viene generato quando un processo all'interno di un container comunica con il socket Docker. Nel tuo ambiente potrebbero esserci container che devono accedere al socket Docker per motivi legittimi. L'accesso da parte di tali container genererà esiti PrivilegeEscalation:Runtime/DockerSocketAccessed. Se questo è un caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo tipo di risultati. Il primo criterio dovrebbe utilizzare il campo Tipo di risultato con valore uguale a PrivilegeEscalation:Runtime/DockerSocketAccessed. Il secondo criterio di filtro è il campo Percorso eseguibile con valore uguale al executablePath del processo nell'esito generato. In alternativa, il secondo criterio di filtro può utilizzare il campo SHA-256 eseguibile con valore uguale al executableSha256 del processo nell'esito generato.
I cluster Kubernetes gestiscono i propri server DNS come pod, ad esempio. coredns Pertanto, per ogni ricerca DNS da un pod, GuardDuty acquisisce due eventi DNS, uno dal pod e l'altro dal pod del server. Ciò può generare duplicati per i seguenti esiti DNS:
Gli esiti duplicati includeranno i dettagli del pod, del container e del processo che corrispondono al pod del server DNS. Puoi impostare una regola di eliminazione per eliminare gli esiti duplicati utilizzando questi campi. Il primo criterio di filtro deve utilizzare il campo Tipo di risultato con valore uguale a un tipo di esito DNS dall'elenco degli esiti fornito in precedenza in questa sezione. Il secondo criterio di filtro può essere Percorso eseguibile con valore uguale a quello del executablePath del server DNS o SHA-256 eseguibile con valore uguale a quello del executableSHA256 del server DNS nell'esito generato. Come terzo criterio di filtro facoltativo, puoi utilizzare il campo Immagine del container di Kubernetes con valore uguale all'immagine del container del pod del server DNS nell'esito generato.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Filtraggio GuardDuty dei risultati

Creazione di regole di soppressione