View a markdown version of this page

Aggiornamento delle regole di soppressione in GuardDuty - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento delle regole di soppressione in GuardDuty

Questa sezione fornisce i passaggi per aggiornare una regola di soppressione Account AWS in uno specifico caso. Regione AWS

È possibile aggiornare le regole di soppressione esistenti dalla pagina Regole di soppressione della console. GuardDuty GuardDuty supporta l'aggiornamento della descrizione, della classificazione e dei criteri di filtro del filtro di soppressione dalla GuardDuty console o utilizzando. GuardDuty CLI/API L'aggiornamento della regola di soppressione segue le stesse restrizioni sui valori dei campi per la descrizione, la classificazione e i criteri di. Creazione di regole di soppressione

Se sei un account membro, il tuo account amministratore può eseguire questa azione per tuo conto. Per ulteriori informazioni, consulta Relazioni tra account amministratore e account membro.

Scegli il tuo metodo di accesso preferito per eliminare una regola di soppressione per GuardDuty findingtypes.

Console

  1. Apri la console all' GuardDuty indirizzo. https://console.aws.amazon.com/guardduty/

  2. Nella pagina Regole di soppressione, seleziona la regola di soppressione da aggiornare.

  3. Dal menu a discesa Azioni, seleziona Aggiorna regola di soppressione.

  4. Verrà aperto il modulo esistente della regola di soppressione.

  5. Apportate le modifiche necessarie alla sezione Descrizione, Rango e Attributi.

  6. Seleziona Aggiorna regola di soppressione per aggiornare la regola di soppressione.

API/CLI
Per aggiornare una regola di soppressione utilizzando l'API:

  1. È possibile aggiornare le regole di soppressione tramite l' UpdateFilter API. Solo la descrizione, la classificazione e i criteri possono essere aggiornati utilizzando l' UpdateFilter API. Tutti e tre i campi sono opzionali.

  2. Per aggiornare un filtro esistente, è necessario il nome del filtro che si intende aggiornare.

  3. Se desideri aggiornare i criteri esistenti, crea un file JSON con i criteri aggiornati in modo simile a come hai creato il filtro per la prima volta. Un esempio di criterio per sopprimere tutti i risultati non archiviati a bassa gravità che presentano una richiesta DNS al dominio test.example.com. Per i risultati di gravità media, l'elenco di input sarà ["4", «5", «7"]. Per i risultati di elevata gravità, l'elenco di input sarà ["6", «7", «8"]. Per i risultati di gravità critica, l'elenco di input sarà ["9", «10"]. Puoi anche applicare filtri in base a qualsiasi valore dell'elenco. L'esempio seguente aggiunge un filtro per i risultati a bassa gravità.

    
{
    "Criterion": {
        "service.action.dnsRequestAction.domain": {
            "Equals": [
                "test.example.com"
            ]
        },
        "severity": {
            "Equals": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    Per un elenco dei nomi dei campi JSON e il relativo equivalente della console, vedere Filtri di proprietà in GuardDuty.

    Per testare i criteri di filtro, utilizza lo stesso criterio JSON nell'API ListFindings e conferma che siano stati selezionati gli esiti corretti. Per testare i criteri di filtro, AWS CLI segui l'esempio utilizzando il tuo detectorID e.json.

    Per trovare i dati relativi detectorId al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'API. ListDetectors

    
aws guardduty list-detectors --region us-east-1

  4. Se desideri aggiornare la descrizione, puoi includere il parametro description nella chiamata CLI.

  5. Se desideri aggiornare il rank, puoi includere il parametro rank nella chiamata CLI.

  6. Se desideri eseguire l'aggiornamento da un filtro di soppressione a un filtro normale, utilizza il parametro action e il valore come ARCHIVE nella chiamata CLI.

  7. Aggiorna l'API di filtro esistente o utilizza l'esempio AWS CLI seguente con il tuo ID del rilevatore, un nome per la regola di soppressione e il file.json.

  8. Di seguito è riportato un esempio di CLI che aggiorna tutti i parametri sopra descritti. È possibile selezionare i parametri specifici da aggiornare per il proprio caso d'uso dal comando - 

    
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json