Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Filtrar los hallazgos en GuardDuty
<a name="guardduty_filter-findings"></a>

Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API mediante JSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte [Reglas de supresión en GuardDuty](findings_suppression-rule.md).

Cuando cree filtros, tenga en cuenta la siguiente lista:
+ Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro. 
+ Cuando se utiliza el operador **igual que** o **no es igual que** para filtrar por un valor de atributo, como ID de cuenta, se puede especificar un máximo de 50 valores.
+ Cada atributo de los criterios de filtro se evalúa como un operador `AND`. Se evalúan varios valores para el mismo atributo como `AND/OR`.
+ Para obtener información sobre el número máximo de filtros guardados que puedes crear Cuenta de AWS en cada uno de ellos Región de AWS, consulta[GuardDuty cuotas](guardduty_limits.md).

En las siguientes secciones se proporcionan instrucciones sobre cómo crear y guardar filtros mediante la GuardDuty consola y los comandos de API y CLI. Elija su método de acceso preferido para continuar.

## Crear y guardar el conjunto de filtros en la GuardDuty consola
<a name="filter_console"></a>

Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.

**Para crear y guardar criterios de filtro (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación izquierdo, elija **Resultados**.

1. En la página **Resultados**, seleccione la barra *Filtrar resultados* situada junto al menú **Reglas guardadas**. Aparecerá una lista ampliada de **filtros de propiedades**.  
![\[Seleccionar filtros de propiedades para filtrar los resultados en la GuardDuty consola.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-console.png)

1. En la lista ampliada de filtros, seleccione un atributo en función del cual desee filtrar la tabla de resultados.

   Por ejemplo, para ver los resultados en los que el recurso potencialmente afectado es un **S3Bucket**, elija el **tipo de recurso**. 

1. En el caso de los **operadores**, elija uno que ayude a filtrar los resultados para obtener el resultado deseado. Para continuar con el ejemplo del paso anterior, elija **Tipo de recurso =**. Esto mostrará una lista de tipos de recursos GuardDuty.   
![\[Al seleccionar el operador igual o no igual a igual para filtrar los resultados en GuardDuty la consola.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)

   Si su caso de uso requiere excluir resultados específicos, puede elegir el operador **no es igual que** o **\$1=**.

1. Especifique el valor del filtro de propiedades seleccionado. Si es necesario, seleccione **Aplicar**. Para continuar con el ejemplo del paso anterior, puede elegir **S3Bucket**.

   Esto mostrará los resultados que coinciden con los filtros aplicados.

1. Para agregar más de un criterio de filtro, repita los pasos del 3 al 6. 

   Para obtener una lista completa de los atributos, consulte [La propiedad filtra GuardDuty](#filter_criteria).

1. 

**(Opcional) Guardar los atributos y valores especificados como filtros**

   Para volver a aplicar esta combinación de filtros en el futuro, puede guardar los atributos especificados y sus valores como un conjunto de filtros.

   1. Tras crear un criterio de filtro con uno o más filtros de propiedades, seleccione la *flecha* en el menú **Borrar filtros**.  
![\[Guardar un conjunto de filtros en la GuardDuty consola para poder volver a filtrar los resultados.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)

   1. Introduzca el **nombre** del conjunto de filtros. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), (guion) (-) y (guion bajo).

   1. La **descripción** es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo.

   1. Seleccione **Crear**.

## Crear y guardar un conjunto de filtros mediante GuardDuty API y CLI
<a name="guardduty-creating-filters-using-api-cli"></a>

Puede crear y probar los filtros de resultados mediante comandos de API o CLI. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor. Puede guardar los filtros para crear [Reglas de supresión](findings_suppression-rule.md) o realizar otras operaciones de filtrado más adelante. 

**Para crear filtros de resultados mediante API/CLI**
+ Ejecute la [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API utilizando el ID del detector regional del Cuenta de AWS lugar donde desea crear un filtro. 

  Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
+ Como alternativa, puede usar la CLI [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) para crear y guardar el filtro. Puede utilizar uno o más criterios de filtrado de [La propiedad filtra GuardDuty](#filter_criteria).

  Utilice los siguientes ejemplos al sustituir los valores de los marcadores de posición que se muestran en rojo.  
**Ejemplo 1**: Cree un filtro nuevo para ver todos los resultados que coincidan con un tipo de resultado específico  
En el siguiente ejemplo se crea un filtro que coincide con todos los resultados de `PortScan` para una instancia creada a partir de una imagen específica. Los valores de los marcadores de posición se muestran en rojo. Sustituya estos valores por valores adecuados para su cuenta. Por ejemplo, *12abc34d567e8fa901bc2d34EXAMPLE* sustitúyalo por el ID de tu detector regional.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
  ```  
**Ejemplo 2**: cree un filtro nuevo para ver todos los resultados que coincidan con los niveles de gravedad  
En el siguiente ejemplo, se crea un filtro que coincide con todos los resultados asociados a los niveles de gravedad `HIGH`. Los valores de los marcadores de posición se muestran en rojo. Sustituya estos valores por valores adecuados para su cuenta. Por ejemplo, *12abc34d567e8fa901bc2d34EXAMPLE* sustitúyalo por el ID de tu detector regional.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
  ```
+ Para API/CLI, [Niveles de gravedad de los resultados](guardduty_findings-severity.md) se representan como números. Para filtrar los resultados en función de los niveles de gravedad, utilice los siguientes valores:
  + Para los niveles de gravedad `LOW`, utilice `{ "severity": { "Equals": ["1", "2", "3"] } }`
  + Para los niveles de gravedad `MEDIUM`, utilice `{ "severity": { "Equals": ["4", "5", "6"] } }`
  + Para los niveles de gravedad `HIGH`, utilice `{ "severity": { "Equals": ["7", "8"] } }`
  + Para los niveles de gravedad `CRITICAL`, utilice `{ "severity": { "Equals": ["9", "10"] } }`
  + Para resultados con varios niveles de gravedad, utilice valores de marcador de posición similares a los del siguiente ejemplo: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`

    En este ejemplo, se mostrarán los resultados que tienen niveles de gravedad `HIGH` o `CRITICAL`.
**nota**  
Si se especifica un ejemplo con un solo valor numérico en lugar de todos los valores numéricos asociados a un nivel de gravedad, es posible que la API y la CLI muestren los resultados filtrados. Cuando utilice este conjunto de filtros guardado en la GuardDuty consola, no funcionará como se esperaba. Esto se debe a que la GuardDuty consola considera los valores del filtro como `CRITICAL``HIGH`,`MEDIUM`, y`LOW`. Por ejemplo, se espera que un filtro creado con un comando CLI que incluye `{ "severity": { "Equals": ["9"] } }` muestre un resultado adecuado en API/CLI. Sin embargo, este filtro guardado incluye un nivel de gravedad parcial cuando se usa en la GuardDuty consola y no mostrará el resultado esperado. Esto hace que sea necesario que la API y la CLI especifiquen todos los valores asociados a cada nivel de gravedad.

## La propiedad filtra GuardDuty
<a name="filter_criteria"></a>

Al crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criterios de filtro en JSON. Estos criterios de filtro se correlacionan con el JSON de los detalles de un resultado. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de campo JSON equivalentes.


| Nombre de campo de la consola | Nombre del campo JSON | 
| --- | --- | 
| ID de cuenta | accountId | 
| ID del resultado | id | 
| Región | region | 
| Gravedad | severity Puede filtrar los tipos de resultados en función de sus niveles de gravedad. Para obtener más información sobre los valores de gravedad, consulte [Niveles de gravedad de GuardDuty los hallazgos](guardduty_findings-severity.md). Si lo usa `severity` con la API AWS CLI, o CloudFormation, se le asigna un valor numérico. Para obtener más información, consulta [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) en la *Amazon GuardDuty * API Reference. | 
| Tipo de resultado | type | 
| Actualizado a las | updatedAt | 
| ID de clave de acceso | recurso. accessKeyDetails. accessKeyId | 
| ID principal | recurso. accessKeyDetails. ID principal | 
| Nombre de usuario | recurso. accessKeyDetails.nombre de usuario | 
| Tipo de usuario | recurso. accessKeyDetails.Tipo de usuario | 
| ID del perfil de instancia de IAM | Resource.Detalles de la instancia. iamInstanceProfile.id | 
| ID de instancia | resource.instanceDetails.instanceId | 
| ID de imagen de la instancia | resource.instanceDetails.imageId | 
| Clave de etiqueta de instancia | resource.instanceDetails.tags.key | 
| Valor de etiqueta de instancia | resource.instanceDetails.tags.value | 
| IPv6 dirección | resource.instanceDetails.networkInterfaces.ipv6Addresses | 
|  IPv4 Dirección privada | Resource.InstanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress | 
| Nombre DNS público | Resource.InstanceDetails.Interfaces de red. publicDnsName | 
| IP pública | resource.instanceDetails.networkInterfaces.publicIp | 
| ID de grupo de seguridad | resource.instanceDetails.networkInterfaces.securityGroups.groupId | 
| Nombre del grupo de seguridad | resource.instanceDetails.networkInterfaces.securityGroups.groupName | 
| ID de subred | resource.instanceDetails.networkInterfaces.subnetId | 
| ID de VPC | resource.instanceDetails.networkInterfaces.vpcId | 
| ARN de Outpost | resource.instanceDetails.outpostARN | 
| Tipo de recurso | resource.resourceType | 
| Permisos de bucket | resource.s3BucketDetails. Acceso público. Permiso efectivo | 
| Nombre del bucket  | recurso.s3 BucketDetails .name | 
| Clave de la etiqueta del bucket | recurso.s3 BucketDetails .tags.key | 
| valor de la etiqueta del bucket | recurso.s3 BucketDetails .tags.value | 
| Tipo de bucket | recursos.s3 BucketDetails .type | 
| Tipo de acción | service.action.actionType | 
| API llamada | servicio.acción. awsApiCallAcción.api | 
| Tipo de intermediario de la API | servicio.acción. awsApiCallAction.CallerType | 
| Código de error de la API | servicio.acción. awsApiCallAcción. Código de error | 
| Ciudad del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.city.CityName | 
| País del intermediario de la API | service.action. awsApiCallAcción. remoteIpDetails.país.Nombre del país | 
| Dirección de la API que llama IPv4  | service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V4 | 
| Dirección de la API que llama IPv6  | service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V6 | 
| ID de ASN del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn | 
| Nombre ASN del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.Organización. Asnorg | 
| Nombre del servicio del intermediario de la API | servicio.acción. awsApiCallAction.serviceName | 
| Dominio de la solicitud DNS | servicio.acción. dnsRequestAction.dominio | 
| Sufijo de dominio de solicitud de DNS | service.action. dnsRequestAction. domainWithSuffix | 
| Conexión de red bloqueada | servicio.acción. networkConnectionAction.bloqueado | 
| Dirección de la conexión de red | servicio.acción. networkConnectionAction. Dirección de conexión | 
| Puerto local de la conexión de red | servicio.acción. networkConnectionAction. localPortDetails.port | 
| Protocolo de conexión de red | servicio.acción. networkConnectionAction.protocolo | 
| Ciudad de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails.city.nombre de la ciudad | 
| País de la conexión de red | service.action. networkConnectionAction. remoteIpDetails. País. Nombre del país | 
| Dirección remota de conexión de red IPv4  | service.action. networkConnectionAction. remoteIpDetails.Dirección IP V4 | 
| Dirección remota de conexión de red IPv6  | service.action. networkConnectionAction. remoteIpDetails.Dirección IP V6 | 
| ID de ASN de la IP remota de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn | 
| Nombre ASN de la IP remota de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails. Organización. Asnorg | 
| Puerto remoto de la conexión de red | servicio.acción. networkConnectionAction. remotePortDetails.port | 
| Cuenta remota afiliada | servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado | 
| Dirección de la persona que llama a la API de Kubernetes IPv4  | service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V4 | 
| Dirección de la persona que llama a la API de Kubernetes IPv6  | service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V6 | 
| Espacio de nombres de Kubernetes | servicio.acción. kubernetesApiCallAction.namespace | 
| ID de ASN de quien realiza la llamada a la API de Kubernetes | servicio.acción. kubernetesApiCallAcción. remoteIpDetails.organization.asn | 
| URI de solicitud de llamada a la API de Kubernetes | servicio.acción. kubernetesApiCallAcción.URI de solicitud | 
| Código de estado de la API de Kubernetes | servicio.acción. kubernetesApiCallAcción. Código de estado | 
| Dirección local de conexión de red IPv4  | service.action. networkConnectionAction. localIpDetails.Dirección IP V4 | 
| Dirección local de conexión de red IPv6  | service.action. networkConnectionAction. localIpDetails.Dirección IP V6 | 
| Protocolo | servicio.acción. networkConnectionAction.protocolo | 
| Nombre del servicio de llamada a la API | servicio.acción. awsApiCallAction.serviceName | 
| ID de cuenta de la persona que llama a la API | servicio.acción. awsApiCallAcción. remoteAccountDetails. ID de cuenta | 
| Nombre de la lista de amenazas | Servicio. Información adicional. threatListName | 
| Rol de recurso | service.resourceRole | 
| Nombre del clúster de EKS | recurso. eksClusterDetails.nombre | 
| Nombre de la carga de trabajo de Kubernetes | resource.Detalles de Kubernetes. kubernetesWorkloadDetails.nombre | 
| Nombre de espacio de la carga de trabajo de Kubernetes | resource.Detalles de Kubernetes. kubernetesWorkloadDetails.espacio de nombres | 
| Nombre de usuario de Kubernetes | Resource.Detalles de Kubernetes. kubernetesUserDetails.nombre de usuario | 
| Imagen del contenedor de Kubernetes | Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.contenedores.imagen | 
| Prefijo de la imagen del contenedor de Kubernetes | Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.containers.prefijo de imagen | 
| ID de análisis | servicio. ebsVolumeScanDetalles. Scanid | 
| Nombre de la amenaza de análisis de volúmenes de EBS | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.name | 
| Nombre de la amenaza de análisis de objetos de S3 | servicio. malwareScanDetails.threats.name | 
| Gravedad de la amenaza | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.Severity | 
| SHA de archivo | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.threatnames.filepaths.hash | 
| Nombre del clúster de ECS | recurso. ecsClusterDetails.nombre | 
| Imagen del contenedor de ECS | recurso. ecsClusterDetails.taskDetails.Containers.Image | 
| ARN de definición de tarea de ECS | recurso. ecsClusterDetails.taskDetails.definitionARN | 
| Imagen de contenedor independiente | resource.containerDetails.image | 
| ID de instancia de base de datos | recurso. rdsDbInstanceDetalles. dbInstanceIdentifier | 
| ID de clúster de base de datos | recurso. rdsDbInstanceDetalles. dbClusterIdentifier | 
| Motor de base de datos | recurso. rdsDbInstanceDetalles. Motor | 
| Usuario de base de datos | recurso. rdsDbUserDetalles. Usuario | 
| Clave de etiqueta de instancia de base de datos | recurso. rdsDbInstanceDetails.tags.key | 
| Valor de etiqueta de instancia de base de datos | recurso. rdsDbInstanceDetalles.Etiquetas.Valor | 
| SHA-256 ejecutable | service.runtimeDetails.process.executableSha256 | 
| Process name (Nombre del proceso) | service.runtimeDetails.process.name | 
| Ruta de ejecución | service.runtimeDetails.process.executablePath | 
| Nombre de la función Lambda | resource.lambdaDetails.functionName | 
| ARN de la función Lambda | resource.lambdaDetails.functionArn | 
| Clave de etiqueta de la función de Lambda | resource.lambdaDetails.tags.key | 
| Valor de etiqueta de la función de Lambda | resource.lambdaDetails.tags.value | 
| Dominio de la solicitud DNS | servicio.acción. dnsRequestAction. domainWithSuffix |