在 GuardDuty 控制台中查看生成的调查发现 - Amazon GuardDuty
导航“调查发现”页面

在 GuardDuty 控制台中查看生成的调查发现

当 GuardDuty 检测到与安全问题模式匹配的活动时,GuardDuty 会生成调查发现。此调查发现与可能在此活动期间已泄露的资源类型相关。您可以查看与每种 GuardDuty 生成的调查发现相关的详细信息。

如果您使用的是 GuardDuty 管理员账户,则可以代表成员账户查看生成的调查发现。但是,成员账户可以查看自己账户中生成的调查发现,成员账户无法查看为其他成员账户生成的调查发现。

在 GuardDuty 控制台中查看调查发现的步骤

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在左侧导航窗格中,选择发现

    GuardDuty 以表格形式显示调查发现。默认情况下,此表将根据上次查看列的值按降序排序,在顶部显示最新的调查发现。

    带有剑形图标 ( Sword icon that represents attack sequence finding in GuardDuty console. ) 的调查发现表示攻击序列调查发现。

  3. 要查看与调查发现相关的详细信息,请选择其标题。这将打开调查发现详细信息侧面板。对于攻击序列调查发现,此侧面板包含攻击序列的摘要版本,要展开此视图,请选择查看详细信息

    有关此侧面板中所列字段的信息,请参阅调查发现详细信息

  4. (可选)下载调查发现 JSON

    1. 选择调查发现,然后选择操作菜单。

    2. 操作菜单上,选择查看并导出 JSON

    3. 调查发现 JSON 窗口中,选择下载

      注意

      在某些情况下,GuardDuty 在生成某些调查发现后才发现是误报。GuardDuty 在调查发现的 JSON 中提供了置信度字段,并将其值设置为零。通过这种方式,GuardDuty 让您知道您可以放心忽略这些调查发现。

      不会将没有置信度字段的调查发现视为误报。

导航“调查发现”页面

本节提供有关调查发现页面上各种元素的关键信息。这将帮助您分析生成的调查发现,以便进行威胁分析和响应。

以下列表说明了调查发现页面元素,有助于您更好地理解生成的调查发现:

  • 威胁类型

    威胁类型包括单独的 GuardDuty 调查发现和攻击序列调查发现。默认情况下,该页面会显示所有调查发现

    要筛选调查发现表格视图,请在威胁类型菜单上选择其中一个选项:仅限攻击序列调查发现仅限单独调查发现

  • 资源和计数列

    调查发现表中的资源列会显示可能已泄露的 AWS 资源名称。对于攻击序列调查发现,此列会显示可能已泄露的 AWS 资源数量。要查看资源名称,请选择资源列下的数字

    计数列表示 GuardDuty 观测到特定调查发现的次数。当 GuardDuty 检测到与先前发现的安全问题匹配的活动时,会增加该特定调查发现的计数。对于攻击序列调查发现,此列值表示生成该调查发现所涉及的信号和调查发现的总数。

  • 按表格列对调查发现进行排序

    如果列标题旁边有箭头,则可以根据该列对调查发现表进行排序。选择列标题,即可按该列中值的递增或递减顺序对调查发现进行排序。

  • 筛选调查发现

    根据特定的属性特性(例如 Account IDResource type),您可以进一步筛选调查发现表。有关可使用的筛选条件类型的信息,请参阅筛选 GuardDuty 调查发现

  • 状态和已保存规则

    状态菜单包含两个值:当前已存档。表格中的默认视图为当前调查发现。

    如果您希望 GuardDuty 不再生成符合特定条件的调查发现,可以隐藏该调查发现。GuardDuty 会将该调查发现存档。当 GuardDuty 再次检测到这一调查发现时,您将不会收到有关此观测的通知。要专门查看已存档的调查发现,请在状态菜单上选择已存档

    已保存规则是一项功能,可帮助您自动筛选符合指定条件的调查发现并对其执行操作。操作可能包括存档调查发现或在未来的通知中将其隐藏。

    有关更多信息,请参阅 抑制规则