View a markdown version of this page

GuardDuty で抑制ルールを作成する - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty で抑制ルールを作成する

抑制ルールは、フィルター属性の使用と、GuardDuty に検出結果タイプを生成させたくない値の指定を含む一連の条件です。この条件に一致する検出結果タイプは自動的にアーカイブされます。ノイズを減らすために、抑制された検出結果は、統合 AWS のサービス できる に送信されません。抑制ルールの作成の一般的なユースケースの詳細については、「抑制ルール」を参照してください。

GuardDuty コンソールのサプレッションルールページを使用して、サプレッションルールを視覚化、作成、管理できます。抑制ルールは、既存の保存済みフィルターから生成することもできます。フィルター作成の詳細については、「GuardDuty での検出結果のフィルタリング」を参照してください。

フィルター条件には、等号演算子と NotEquals 演算子を使用した完全一致、一致演算子と NotMatches 演算子を使用したワイルドカード一致GreaterThanGreaterThanEqualsLessThanLessThanEquals 演算子を使用した比較一致を含めることができます。使用可能な演算子の詳細については、Conditions「」ページを参照してください。

任意のアクセス方法を選択して、GuardDuty 検出結果タイプの抑制ルールを作成します。

Console
コンソールを使用して抑制ルールを作成するには:
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 抑制ルールページで、抑制ルールの作成をクリックして、抑制ルールの作成フォームを開きます。

  3. 抑制ルールの名前を入力します。名前は 3~64 文字にする必要があります。有効な文字は、a-z、A~Z、0~9、ピリオド ( )、ハイフン (-)、アンダースコア (_) です。

  4. 説明はオプションです。説明を入力する場合、最大 512 文字まで使用できます。有効な文字は、a~z、A~Z、0~9、ピリオド (.)、ハイフン (-)、コロン (:)、括弧 ({}()[])、スラッシュ (/)、スペースです。

  5. Rank はオプションです。1 からフィルターと抑制ルールの合計数、さらに 1 までの数値を指定できます。

  6. 属性セクションで、ドロップダウンからキー演算子を選択します。

  7. 選択したキーに基づいて、datepicker から「文字列」または「日付」のいずれかの値を入力します。文字列値の場合は、テキストを入力して Enter キーを押します。文字列値の場合、複数の値を追加できます。

  8. 追加の条件を追加するには、条件を追加 を選択して、キー演算子値 (複数可) の別のセットを追加します。

  9. 抑制ルールを作成して保存するには、抑制ルールの作成を選択します。

また、既存の保存済みフィルターから抑制ルールを作成できます。フィルター作成の詳細については、「GuardDuty での検出結果のフィルタリング」を参照してください。

保存済みフィルターから抑制ルールを作成するには、次の手順を実行します。
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. [検出結果] ページで、[保存されたルール] メニューから、保存されたフィルターセットルールを選択します。これにより、フィルターセットと条件に一致する検出結果が自動的に表示されます。

  3. この保存されたルールにフィルター条件を追加することもできます。フィルター基準を追加する必要がない場合は、この手順をスキップします。1 つ以上のフィルター条件を追加するには、「Adding filters on Findings page」のステップ 3 ~ 7 に従い、次のステップに進みます。

  4. フィルター条件を追加し、フィルタリングされた結果が要件を満たしていることを確認したら、[抑制ルールの作成] を選択します。

  5. 抑制ルールの[名前] を入力します。名前は 3~64 文字にする必要があります。有効な文字は、a-z、A~Z、0~9、ピリオド ( )、ハイフン (-)、アンダースコア (_) です。

  6. 説明はオプションです。説明を入力する場合、最大 512 文字まで使用できます。

  7. [作成] を選択します。

  8. 保存したルールにフィルター条件を追加する必要がある場合は、ステップ 4~7 に従ってフィルターを作成します。

API/CLI
API を使用して抑制ルールを作成するには
  1. 抑制ルールは、CreateFilter API を使用して作成できます。これを行うには、次に示す例の形式に従って JSON ファイルでフィルター条件を指定します。次の例では、test.example.com ドメインへの DNS リクエストが行われた未アーカイブの重大度の低い検出結果を抑制します。重大度が中の検出結果の場合、入力リストは ["4", "5", "7"] になります。重大度が高の検出結果の場合、入力リストは ["6", "7", "8"] になります。重大度が高の検出結果の場合、入力リストは ["9", "10"] になります。リスト内の任意の 1 つの値に基づいてフィルターすることもできます。

    次の例では、関数名のプレフィックスがMyFunc」の Lambda 関数とプレフィックスがTestTag」ではない関数タグの重要度の低い検出結果のフィルターを追加します。

    { "Criterion": { "service.action.dnsRequestAction.domain": { "Equals": [ "test.example.com" ] }, "severity": { "Equals": [ "1", "2", "3" ] } } }

    ワイルドカード文字 * と を使用して抑制ルールを作成できます。。 フィルターのワイルドカードは、一致演算子と NotMatches 演算子のみを使用してサポートされます。任意の数の文字を一致させるには、属性値に * を使用し、1 文字を一致させるには、 を使用できますか? 属性値の 。フィルタは、1 つのワイルドカード条件で最大 5 つの属性をサポートし、1 つの属性内で最大 5 つのワイルドカード文字をサポートします。次の例では、プレフィックスMyFunc」に一致する Lambda 名のフィルターを追加しますが、プレフィックスとしてTestTag」、その後に 0~2 文字のタグを持つ Lambda 関数は追加しません。

    { "Criterion": { "resource.lambdaDetails.functionName": { "Matches": [ "MyFunc*" ] }, "resource.lambdaDetails.tags.key": { "NotMatches": [ "TestTag??" ] } } }

    JSON のフィールド名とそれに相当するコンソールのフィールド名の一覧については、「GuardDuty のプロパティフィルター」を参照してください。

    フィルター基準をテストするには、ListFindings API で同じ JSON 基準を使用し、正しい検出結果が選択されていることを確認します。を使用してフィルター条件をテストするには、独自の detectorId と .json ファイルを使用して例 AWS CLI に従います。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty list-detector
    aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --finding-criteria file://criteria.json
    注記

    ワイルドカードマッチングは、ListFindings および GetFindingsStatistics では使用できません。ワイルドカードを含む条件は、ListFindings と GetFindingsStatistics を使用して検証することはできません。

  2. 抑制ルールとして使用するフィルターを CreateFilter API を使用してアップロードするか、 AWS CLI で次の例に従って独自のディテクター ID、抑制ルール名、.json ファイルを使用してアップロードします。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty create-filter \ --detector-id 12abc34d567e8fa901bc2d34e56789f0 \ --region us-east-1 \ --action ARCHIVE \ --name yourfiltername \ --finding-criteria file://criteria.json

ListFilter API を使用して、プログラムでフィルターのリストを表示できます。GetFilter API にフィルター名を指定すると、個々のフィルターの詳細を表示できます。UpdateFilter API を使用してフィルターを更新するか、DeleteFilter API を使用してフィルターを削除します。