本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 GuardDuty 中建立禁止規則
禁止規則是一組條件,包括使用篩選條件屬性並提供您不希望 GuardDuty 產生問題清單類型的值。符合此條件的調查結果類型會自動封存。為了減少雜訊,隱藏的問題清單不會傳送至任何您可能整合 AWS 服務 的 。如需建立禁止規則之常見使用案例的詳細資訊,請參閱 隱藏規則。
您可以使用 GuardDuty 主控台中的隱藏規則頁面來視覺化、建立和管理隱藏規則。抑制規則也可以從現有的已儲存篩選條件產生。如需建立篩選條件的詳細資訊,請參閱 在 GuardDuty 中篩選問題清單。
篩選條件可以包含使用 Equals 和 NotEquals 運算子的完全比對、使用 Matches 和 NotMatches 運算子的萬用字元比對,或使用 GreaterThan、GreaterThanEquals、LessThan 和 LessThanEquals 運算子的比較比對。如需可用運算子的詳細資訊,請參閱 Conditions頁面。
選擇您偏好的存取方法,為 GuardDuty 調查結果類型建立抑制規則。
- Console
-
若要使用主控台建立禁止規則:
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 -
在隱藏規則頁面上,按一下建立隱藏規則以開啟建立隱藏規則表單。
-
輸入隱藏規則的名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (_)。
-
描述是選用的。如果您輸入描述,最多可以有 512 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-)、冒號 (:)、括號 ({}()[])、正斜線 (/) 和空格。
-
Rank 是選用的。它可以是從 1 到篩選條件和禁止規則總數加上 1 的數值。
-
在屬性區段下,從下拉式清單中選取金鑰和運算子。
-
根據選取的索引鍵,從 datepicker 輸入「字串」或「日期」的值。如果是字串值,請輸入文字並按 Enter 鍵。在字串值的情況下,可以新增多個值。
-
選取新增條件以新增另一組金鑰、運算子和值 (S),即可新增其他條件。
-
選取建立禁止規則以建立和儲存禁止規則。
您也可以從現有儲存的篩選條件建立隱藏規則。如需建立篩選條件的詳細資訊,請參閱在 GuardDuty 中篩選問題清單。
若要從已儲存的篩選條件建立隱藏規則:
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 -
在調查結果頁面上,從已儲存規則功能表中,選取已儲存的篩選條件集規則。這會自動顯示篩選條件集和符合條件的問題清單。
-
您也可以將更多篩選條件新增至此已儲存規則。如果您不需要其他篩選條件,請略過此步驟。若要新增一或多個篩選條件,請遵循 中的步驟 3 到 7Adding filters on Findings page,然後繼續執行下列步驟。
-
在您新增篩選條件並確認篩選的問題清單符合您的需求後,請選擇建立禁止規則。
-
輸入隱藏規則的名稱。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (_)。
-
描述是選用的。如果您輸入描述,最多可以有 512 個字元。
-
選擇建立。
-
如果您不需要將其他篩選條件新增至已儲存的規則,請依照步驟 4 到 7 建立篩選條件。
- API/CLI
-
使用 API 建立隱藏規則:
-
您也可以透過 CreateFilter API 建立隱藏規則。若要這麼做,請依照下面詳述的範例格式,在 JSON 檔案中指定篩選條件。以下範例會隱藏對
test.example.com網域發出 DNS 請求的任何未封存的低嚴重性問題清單。對於中等嚴重性的問題清單,輸入清單將是["4", "5", "7"]。對於高嚴重性的問題清單,輸入清單將是["6", "7", "8"]。對於關鍵嚴重性調查結果,輸入清單將為["9", "10"]。您也可以根據清單中的任何一個值進行篩選。下列範例為函數名稱字首為 "MyFunc" 且函數標籤字首不是 "TestTag" 的 lambda 函數新增低嚴重性問題清單的篩選條件
{ "Criterion": { "service.action.dnsRequestAction.domain": { "Equals": [ "test.example.com" ] }, "severity": { "Equals": [ "1", "2", "3" ] } } }您可以使用萬用字元 * 和 建立禁止規則? 。 篩選條件中的萬用字元僅支援使用 Matches 和 NotMatches 運算子。若要比對任意數量的字元,您可以在屬性值中使用 *,若要比對單一字元,您可以使用 ? 屬性值中的 。篩選條件在單一萬用字元條件下最多支援 5 個屬性,在單一屬性中最多支援 5 個萬用字元。下列範例會為 Lambda 名稱新增符合字首 "MyFunc" 的篩選條件,但不新增具有 "TestTag" 標籤的 Lambda 函數做為字首,後面接著 0-2 個字元。
{ "Criterion": { "resource.lambdaDetails.functionName": { "Matches": [ "MyFunc*" ] }, "resource.lambdaDetails.tags.key": { "NotMatches": [ "TestTag??" ] } } }如需 JSON 欄位名稱及其主控台對等值的清單,請參閱GuardDuty 中的屬性篩選條件。
若要測試篩選條件,請在 ListFindings API 中使用相同的 JSON 條件,並確認選取的是正確的調查結果。若要使用 測試篩選條件, AWS CLI 請遵循使用您自己的 detectorId 和 .json 檔案的範例。
若要尋找
detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty list-detectoraws guardduty list-findings \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --regionus-east-1\ --finding-criteria file://criteria.json注意
萬用字元比對不適用於 ListFindings 和 GetFindingsStatistics。包含萬用字元的條件無法使用 ListFindings 和 GetFindingsStatistics 驗證。
-
使用 CreateFilter API,或藉由使用 AWS CLI,依照下列範例,使用您自己的偵測器 ID、隱藏規則的名稱,以及 .json 檔案,上傳篩選條件以作為隱藏規則。
若要尋找
detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API。 aws guardduty create-filter \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --regionus-east-1\ --action ARCHIVE \ --nameyourfiltername\ --finding-criteria file://criteria.json
您可以使用 ListFilter API,以程式設計方式檢視篩選條件清單。您可以透過向 GetFilter API 提供篩選條件名稱,來檢視個別篩選條件的詳細資訊。使用 UpdateFilter 更新篩選條件,或使用 DeleteFilter API 將其刪除。
-