在 GuardDuty 中生成示例调查发现 - Amazon GuardDuty
通过 GuardDuty 控制台或 API 生成示例调查发现

在 GuardDuty 中生成示例调查发现

Amazon GuardDuty 可帮助您生成示例调查发现,以便可视化和了解其可生成的各种调查发现类型。在生成示例调查发现时,对于每种受支持的调查发现类型(包括攻击序列调查发现类型),GuardDuty 会用一个示例填充当前的调查发现列表。

生成的示例是用占位符值填充的近似值。这些示例看起来可能与您环境的实际调查发现不同,但可以用来测试 GuardDuty 的各种配置,例如 EventBridge 事件或筛选条件。有关不同调查发现类型的可用值列表,请参阅 GuardDuty 调查发现类型表。

通过 GuardDuty 控制台或 API 生成示例调查发现

选择您的首选访问方法以生成示例调查发现。

注意

GuardDuty 控制台可帮助您为每种调查发现类型生成一个示例。要生成一个或多个特定的调查发现类型,请执行相关的 API/CLI 步骤。

Console

使用以下过程来生成示例调查发现。此过程会为每种 GuardDuty 调查发现类型生成一个示例调查发现。

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择设置

  3. 设置页面上的示例调查发现下,选择生成示例调查发现

  4. 在导航窗格中,选择调查发现。示例调查发现显示在当前调查发现页面上,并带有前缀 [SAMPLE]

API/CLI

您可以通过 CreateSampleFindings API 生成与任何 GuardDuty 调查发现类型匹配的单个示例调查发现,GuardDuty 调查发现类型 表中列出了调查发现类型的可用值。

这对于测试 CloudWatch Events 规则或基于调查发现的自动化非常有用。以下示例展示了如何使用 AWS CLI 生成 Backdoor:EC2/DenialOfService.Tcp 类型的单个示例调查发现。

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

在控制台中,通过这些方法生成的示例调查发现的标题始终以 [SAMPLE] 开头。示例调查发现在调查发现 JSON 详细信息的 additionalInfo 部分具有 "sample": true 值。

要了解与生成的调查发现相关的调查发现详细信息,例如调查发现的严重性和可能失陷的资源,请参阅 GuardDuty 调查发现的严重性级别调查发现详细信息

要在环境中的专用隔离 AWS 账户中,根据模拟的活动生成一些常见的调查发现,请参阅在专用账户中测试 GuardDuty 调查发现