Exibir descobertas geradas no console do GuardDuty - Amazon GuardDuty
Navegar na página de descobertas

Exibir descobertas geradas no console do GuardDuty

Quando o GuardDuty detecta uma atividade que corresponde ao padrão de um problema de segurança, o GuardDuty gera uma descoberta. Esse tipo de descoberta está associado a um tipo de recurso que pode ter sido comprometido durante essa atividade. Você pode exibir os detalhes associados a cada descoberta gerada pelo GuardDuty.

Caso esteja usando uma conta de administrador do GuardDuty, é possível visualizar as descobertas geradas em nome das contas-membro. No entanto, uma conta-membro só pode visualizar as descobertas geradas em sua própria conta. Uma conta de membro não pode ver as descobertas geradas para outras contas de membros.

Etapas para visualizar descobertas no console do GuardDuty

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação à esquerda, escolha Descobertas.

    O GuardDuty exibe as descobertas em formato tabular. Por padrão, essa tabela é classificada em ordem decrescente com base no valor da coluna Visto pela última vez, exibindo as descobertas mais recentes na parte superior.

    As descobertas com um ícone de espada ( Sword icon that represents attack sequence finding in GuardDuty console. ) representam uma descoberta de sequência de ataque.

  3. Para ver os detalhes associados a uma descoberta, selecione seu título. Isso abrirá o painel lateral de detalhes da descoberta. Para encontrar uma sequência de ataque, esse painel lateral inclui uma versão resumida da sequência de ataque e, para expandir essa exibição, escolha Exibir detalhes.

    Para obter informações sobre os campos listados nesse painel lateral, consulte Detalhes da descoberta.

  4. (Opcional) para baixar o JSON de descoberta

    1. Selecione a descoberta e escolha o menu Ações.

    2. No menu Ações, escolha Exibir e exportar JSON.

    3. Na janela JSON de descobertas, escolha Baixar.

      nota

      Em alguns casos, o GuardDuty percebe que certas descobertas são falsos positivos depois de serem geradas. O GuardDuty fornece um campo Confidence no JSON da descoberta e define seu valor como zero. Dessa forma, o GuardDuty permite saber que é possível ignorar essas descobertas com segurança.

      Descobertas sem o campo Confiança não são consideradas falsos positivos.

Navegar na página de descobertas

Esta seção fornece informações importantes sobre vários elementos da página Descobertas. Isso ajudará você a analisar as descobertas geradas para análise e resposta a ameaças.

A lista a seguir explica os elementos da página Descobertas que ajudarão você a entender melhor as descobertas geradas:

  • Tipo de ameaça:

    O tipo de ameaça inclui descobertas individuais do GuardDuty e descobertas de sequência de ataque. Por padrão, a página exibe Todas as descobertas.

    Para filtrar a exibição da tabela de descobertas, no menu Tipo de ameaça, escolha uma das opções: Somente descobertas de sequência de ataque ou Somente descobertas individuais.

  • Colunas Recurso e Contagem:

    A coluna Recurso na tabela de descobertas mostra o nome do recurso da AWS potencialmente comprometido. Para uma descoberta de sequência de ataque, essa coluna mostra o número de recursos da AWS potencialmente comprometidos. Para ver os nomes dos recursos, selecione o número na coluna Recurso.

    A coluna Contagem indica o número de vezes que o GuardDuty observa uma descoberta específica. Quando o GuardDuty detecta uma atividade que corresponde a um problema de segurança identificado anteriormente, ele incrementa a contagem dessa descoberta específica. Para uma descoberta de sequência de ataque, esse valor de coluna indica o número total de sinais e descobertas envolvidos na geração da descoberta.

  • Classificando as descobertas por colunas da tabela:

    Se houver uma seta ao lado do cabeçalho da coluna, você poderá classificar a tabela de descobertas com base na coluna. Selecione o cabeçalho da coluna para classificar as descobertas em ordem crescente ou decrescente do valor nessa coluna.

  • Filtrar descobertas:

    Com base em atributos de propriedade específicos, como Account ID e Resource type, você pode filtrar ainda mais a tabela de descobertas. Para obter mais informações sobre os tipos de filtros que você pode usar, consulte Como filtrar descobertas no GuardDuty.

  • Status e regras salvas:

    O menu Status inclui dois valores: Atual e Arquivado. A exibição padrão é de descobertas atuais na tabela.

    Quando você não quiser mais que o GuardDuty gere uma descoberta que corresponda a um critério específico, você pode suprimir essa descoberta. O GuardDuty arquiva essa descoberta. Quando o GuardDuty detectar essa descoberta novamente, você não será notificado sobre essa observação. Para visualizar especificamente as descobertas arquivadas, no menu Status, escolha Arquivado.

    As regras salvas são um recurso que ajuda você a filtrar e executar ações automaticamente nas descobertas que correspondem a um critério específico. As ações podem incluir arquivar descobertas ou suprimi-las de futuras notificações.

    Para obter mais informações, consulte Regras de supressão.