Regras de supressão em GuardDuty - Amazon GuardDuty
Usando regras de supressão com Detecção Estendida de AmeaçasCasos de uso comuns para regras de supressão e exemplos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Regras de supressão em GuardDuty

Uma regra de supressão é um conjunto de critérios, que consistem em um atributo de filtro pareado com um valor, usados para filtrar descobertas arquivando automaticamente novas descobertas que correspondam aos critérios especificados. As regras de supressão podem ser usadas para filtrar descobertas de baixo valor, descobertas de falsos positivos ou ameaças nas quais você não pretende agir, para facilitar o reconhecimento das ameaças à segurança com maior impacto no ambiente.

Depois de criar uma regra de supressão, novas descobertas que correspondem aos critérios definidos na regra serão arquivadas automaticamente, desde que a regra de supressão esteja em vigor. É possível usar um filtro existente para criar uma regra de supressão ou definir um novo filtro para a regra de supressão ao criá-la. É possível configurar regras de supressão para suprimir tipos de descoberta inteiros ou definir critérios de filtro mais granulares para suprimir somente instâncias específicas de um determinado tipo de descoberta. As regras de supressão podem ser editadas a qualquer momento.

As descobertas suprimidas não são enviadas para o AWS Security Hub Amazon Simple Storage Service, o Amazon Detective ou a EventBridge Amazon, reduzindo o nível de ruído da descoberta se você GuardDuty consumir descobertas por meio do Security Hub, de um SIEM de terceiros ou de outros aplicativos de alerta e emissão de bilhetes. Se você ativouProteção contra malware para EC2, as GuardDuty descobertas suprimidas não iniciarão uma verificação de malware.

GuardDuty continua gerando descobertas mesmo quando elas correspondem às suas regras de supressão, no entanto, essas descobertas são automaticamente marcadas como arquivadas. A descoberta arquivada é armazenada GuardDuty por 90 dias e pode ser visualizada a qualquer momento durante esse período. Você pode ver as descobertas suprimidas no GuardDuty console selecionando Arquivado na tabela de descobertas ou por meio da GuardDuty API usando a ListFindingsAPI com um findingCriteria critério service.archived igual a verdadeiro.

nota

Em um ambiente com várias contas, somente o GuardDuty administrador pode criar regras de supressão.

Usando regras de supressão com Detecção Estendida de Ameaças

GuardDuty O Extended Threat Detection detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Ele correlaciona eventos em diferentes fontes de dados para identificar cenários que se apresentam como uma ameaça potencial ao seu AWS ambiente e, em seguida, gera uma descoberta da sequência de ataque. Para obter mais informações, consulte Como funciona a detecção estendida de ameaças.

Quando você cria regras de supressão que arquivam descobertas, o Extended Threat Detection não pode usar essas descobertas arquivadas ao correlacionar eventos para sequências de ataque. Regras amplas de supressão podem afetar a capacidade de detectar comportamentos alinhados com GuardDuty a detecção de ataques em vários estágios. As descobertas arquivadas devido às regras de supressão não são consideradas sinais para sequências de ataque. Por exemplo, se você criar uma regra de supressão que arquive todas as descobertas relacionadas ao cluster EKS em vez de direcionar atividades conhecidas específicas, GuardDuty não poderá usar essas descobertas para detectar uma sequência de ataque em que um agente de ameaça explora um contêiner, obtém tokens privilegiados e acessa recursos confidenciais.

Considere as seguintes recomendações de GuardDuty:

  • Continue usando as regras de supressão para reduzir os alertas de atividades confiáveis conhecidas.

  • Mantenha as regras de supressão focadas em comportamentos específicos para os quais você não GuardDuty deseja gerar uma descoberta.

Casos de uso comuns para regras de supressão e exemplos

Veja a seguir os tipos de descoberta em casos de uso comuns para aplicar regras de supressão: Escolha o nome da descoberta para aprender mais sobre a descoberta. Revise a descrição do caso de uso para decidir se deseja criar uma regra de supressão para esse tipo de descoberta.

Importante

GuardDuty recomenda que você crie regras de supressão de forma reativa e somente para descobertas para as quais você identificou repetidamente falsos positivos em seu ambiente.

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: use uma regra de supressão para arquivar automaticamente as descobertas geradas quando a rede da VPC é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises, e não de um gateway da Internet da VPC.

    Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises e não de um gateway da Internet (IGW) da VPC. Configurações comuns, como usar AWS Outposts, ou conexões de VPN da VPC podem resultar em tráfego roteado dessa maneira. Se esse comportamento for esperado, é recomendável usar regras de supressão no e criar uma regra que consiste em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4 endereço do chamador da API com o endereço IP ou o intervalo CIDR do seu gateway de internet local. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base no endereço IP do chamador da API.

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    nota

    Para incluir vários chamadores de API, IPs você pode adicionar um novo filtro de IPv4 endereço de chamador de API para cada um.

  • Recon:EC2/Portscan: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um aplicativo de avaliação de vulnerabilidade.

    A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada AMI.

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

  • UnauthorizedAccess:EC2/SSHBruteForce: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias bastion.

    Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com um determinado valor de tag de instância.

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

  • Recon:EC2/PortProbeUnprotectedPort: use uma regra de supressão para arquivar automaticamente as descobertas quando forem elas direcionadas a instâncias intencionalmente expostas.

    Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. O exemplo abaixo representa o filtro que você usaria para suprimir esse tipo de descoberta com base em instâncias com uma determinada chave de tag de instância no console.

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Regras de supressão recomendadas para descobertas do Monitoramento de runtime.

  • O PrivilegeEscalation:Runtime/DockerSocketAccessed é gerado quando um processo dentro de um contêiner se comunica com o soquete do Docker. Pode haver contêineres em seu ambiente que precisem acessar o soquete do Docker por motivos legítimos. O acesso a partir desses contêineres gerará a descoberta PrivilegeEscalation:Runtime/DockerSocketAccessed. Se esse for um caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para esse tipo de descoberta. O primeiro critério deve usar o campo Tipo de descoberta com um valor igual a PrivilegeEscalation:Runtime/DockerSocketAccessed. O segundo critério de filtro é o campo Caminho executável com valor igual ao do processo executablePath na descoberta gerada. Como alternativa, o segundo critério de filtro pode usar o campo Executável SHA-256 com valor igual ao do processo executableSha256 na descoberta gerada.

  • Os clusters do Kubernetes executam seus próprios servidores DNS como pods, como coredns. Portanto, para cada consulta de DNS de um pod, GuardDuty captura dois eventos de DNS — um do pod e outro do pod do servidor. Isso pode gerar duplicatas para as seguintes descobertas de DNS:

    As descobertas duplicadas incluirão detalhes do pod, do contêiner e do processo que correspondem ao pod do seu servidor DNS. Você pode configurar uma regra de supressão para suprimir essas descobertas duplicadas usando esses campos. O primeiro critério de filtro deve usar o campo Tipo de descoberta com valor igual a um tipo de descoberta de DNS da lista de descobertas fornecida anteriormente nesta seção. O segundo critério de filtro pode ser Caminho executável com valor igual ao executablePath do seu servidor DNS ou Executável SHA-256 com valor igual ao executableSHA256 do seu servidor DNS na descoberta gerada. Como terceiro critério de filtro opcional, é possível usar o campo de imagem de contêiner do Kubernetes com valor igual à imagem de contêiner do seu pod de servidor DNS na descoberta gerada.