Como gerar amostras de descobertas no GuardDuty - Amazon GuardDuty
Gerar descobertas de amostra pelo console ou API do GuardDuty

Como gerar amostras de descobertas no GuardDuty

O Amazon GuardDuty ajuda você a gerar descobertas de amostra para visualizar e entender os vários tipos de descoberta que ele pode gerar. Quando você gera descobertas de amostra, o GuardDuty preenche sua lista de descobertas atuais com uma amostra para cada tipo de descoberta suportado, incluindo os tipos de descoberta de sequência de ataque.

As amostras geradas são aproximações preenchidas com valores de espaço reservado. Esses exemplos podem parecer diferentes das descobertas reais do seu ambiente, mas é possível usá-los para testar várias configurações do GuardDuty, como seus eventos ou filtros do EventBridge. Para obter uma lista dos valores disponíveis para tipos de descoberta, consulte a tabela Tipos de descoberta do GuardDuty.

Gerar descobertas de amostra pelo console ou API do GuardDuty

Selecione seu método de acesso preferido para gerar descobertas de amostra.

nota

O console do GuardDuty ajuda você a gerar um de cada tipo de descoberta. Para gerar um ou mais tipos de descoberta específicos, execute as etapas de API/CLI associadas.

Console

Use o procedimento a seguir para gerar descobertas de amostra. Esse processo gera uma descoberta de amostra para cada tipo de descoberta do GuardDuty.

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, selecione Configurações.

  3. Na página Configurações, em Amostras de descobertas, escolha Gerar amostras de descobertas.

  4. No painel de navegação, selecione Descobertas. As descoberta de amostra são exibidas na página Descobertas atuais com o prefixo [SAMPLE].

API/CLI

Você pode gerar uma única amostra de descoberta que corresponda a qualquer um dos tipos de descoberta do GuardDuty por meio da API CreateSampleFindings. Os valores disponíveis para os tipos de descoberta estão listados na tabela Tipos de descoberta do GuardDuty.

Isso é útil para testar as regras ou a automação do CloudWatch Events com base nas descobertas. O exemplo a seguir mostra como gerar uma descoberta de amostra única do tipo Backdoor:EC2/DenialOfService.Tcp usando a AWS CLI.

Para encontrar detectorId para sua conta e região atual, consulte a página de Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

O título das descobertas de amostra geradas por meio de algum desses métodos sempre começa com [SAMPLE] no console. As descobertas de amostra têm um valor de "sample": true na seção additionalInfo dos detalhes do JSON de descoberta.

Para entender os detalhes da descoberta, como a gravidade da descoberta e o recurso potencialmente comprometido, associados às descobertas geradas, consulte Níveis de gravidade das descobertas do GuardDuty e Detalhes da descoberta.

Para gerar algumas descobertas comuns com base em uma atividade simulada em Conta da AWS isolado dentro de seu ambiente, consulte Teste as descobertas do GuardDuty em contas dedicadas.