在中创建抑制规则 GuardDuty - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中创建抑制规则 GuardDuty

抑制规则是一组标准,包括使用筛选器属性和提供您不 GuardDuty 想为其生成查找类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音,抑制的结果不会发送到任何可以 AWS 服务 与之集成的结果。要详细了解创建抑制规则的常见应用场景,请参阅抑制规则

您可以使用 GuardDuty 控制台可视化、创建和管理抑制规则。抑制规则的生成方式与筛选条件相同,现有保存的筛选条件可用作抑制规则。有关创建筛选条件的更多信息,请参阅 筛选搜索结果 GuardDuty

选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。

Console
要使用控制台创建抑制规则,请执行以下操作:

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在 “调查结果” 页面上,除非您添加至少一个筛选条件,否则创建抑制规则功能将保持灰显状态。由于抑制规则适用于正在进行的活动查找结果,因此请确保 “状态” 菜单设置为 “当前”。

  3. 要添加一个或多个筛选条件,请按照中的步骤 3 到 7 进行操作Adding filters on Findings page,然后继续执行以下步骤。

  4. 添加筛选条件并确认筛选的结果符合您的要求后,选择创建抑制规则

  5. 输入禁止规则的名称。名称必须为 3-64 个字符。有效字符为 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (_)。

  6. 描述是可选的。如果输入描述,则描述最多可包含 512 个字符。

  7. 选择创建

您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息,请参阅 筛选搜索结果 GuardDuty

要使用保存的筛选条件创建抑制规则:

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在 “查找结果” 页面上,从 “已保存的规则” 菜单中,选择已保存的筛选器集规则。这将自动显示筛选器集和符合条件的结果。

  3. 您也可以向此已保存的规则添加更多筛选条件。如果您不需要其他筛选条件,请跳过此步骤。

    要添加一个或多个其他筛选条件,请按照步骤 2 直到前一个过程的结尾执行操作-To create a suppression rule using the console

  4. 如果您不需要在已保存的规则中添加其他筛选条件,请按照步骤 4 直到前一个过程的结尾执行操作-To create a suppression rule using the console

API/CLI
要使用 API 创建抑制规则:

  1. 您可以通过 CreateFilter API 创建抑制规则。为此,请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将抑制任何向该域发出 DNS 请求的未存档的低严重性搜索结果。test.example.com对于中等严重性调查结果,输入列表将是["4", "5", "7"]。对于严重性较高的发现,输入列表将是["6", "7", "8"]。对于关键严重性调查结果,输入列表将是["9", "10"]。您还可以根据列表中的任意一个值进行筛选。

    以下示例为低严重性发现添加了一个过滤器。

    {
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}

    有关 JSON 字段名及其控制台等效项的列表,请参阅中的属性筛选器 GuardDuty

    要测试筛选条件,请在 ListFindings API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, AWS CLI 请按照示例进行操作。

    要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

  2. 使用 CreateFilter API 或使用 AWS CLI,按照以下实例,使用自己的检测器 ID、抑制规则名称和 .json 文件上传要用作抑制规则的筛选条件。

    要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

您可以使用 ListFilter API 以编程方式查看筛选条件列表。您可以向 GetFilter API 提供筛选条件名称,来查看单个筛选条件的详细信息。使用 UpdateFilter API 更新筛选条件或使用 DeleteFilter API 删除筛选条件。