Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Penyaringan temuan di GuardDuty
Filter temuan memungkinkan Anda melihat temuan yang sesuai dengan kriteria yang Anda tentukan dan memfilter temuan yang tidak sesuai. Anda dapat dengan mudah membuat filter pencarian menggunakan GuardDuty konsol Amazon, atau Anda dapat membuatnya dengan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API menggunakan JSON. Tinjau bagian berikut untuk memahami cara membuat filter di konsol. Untuk menggunakan filter ini untuk mengarsipkan temuan yang masuk secara otomatis, lihat[Aturan penindasan di GuardDuty](findings_suppression-rule.md).
Saat Anda membuat filter, pertimbangkan daftar berikut:
+ Anda dapat menentukan minimum satu atribut dan maksimum hingga 50 atribut sebagai kriteria untuk filter tertentu.
+ Saat Anda menggunakan operator **Sama** atau **Tidak sama dengan** untuk memfilter nilai atribut, seperti ID Akun, Anda dapat menentukan maksimum 50 nilai.
+ Setiap atribut kriteria filter dievaluasi sebagai operator `AND`. Beberapa nilai untuk atribut yang sama dievaluasi sebagai `AND/OR`.
+ Untuk informasi tentang jumlah maksimum filter tersimpan yang dapat Anda buat Akun AWS di masing-masing filter Wilayah AWS, lihat[GuardDuty kuota](guardduty_limits.md).
Bagian berikut memberikan petunjuk tentang cara membuat dan menyimpan filter menggunakan GuardDuty konsol, dan perintah API dan CLI. Pilih metode akses pilihan Anda untuk melanjutkan.
## Membuat dan menyimpan set filter di GuardDuty konsol
Filter pencarian dapat dibuat dan diuji melalui GuardDuty konsol. Anda dapat menyimpan filter yang dibuat melalui konsol untuk digunakan dalam aturan penekanan atau operasi filter mendatang. Filter terbuat dari setidaknya satu kriteria filter. Terdiri dari satu atribut filter yang dipasangkan dengan setidaknya satu nilai.
**Untuk membuat dan menyimpan kriteria filter (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi kiri, pilih **Temuan**.
1. Pada halaman **Temuan**, pilih bilah *Filter temuan* di sebelah menu **Aturan tersimpan**. Ini akan menampilkan daftar **filter Properti** yang diperluas.
![\[Memilih filter properti untuk memfilter temuan di GuardDuty konsol.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. Dari daftar filter yang diperluas, pilih atribut berdasarkan yang ingin Anda filter tabel temuan.
**Misalnya, untuk melihat temuan yang sumber daya yang berpotensi terkena dampak adalah **S3Bucket**, pilih tipe Resource.**
1. Untuk **Operator**, pilih salah satu yang akan membantu Anda memfilter temuan untuk mendapatkan hasil yang diinginkan. Untuk melanjutkan contoh dari langkah sebelumnya, pilih **Jenis sumber daya =**. Ini akan menampilkan daftar jenis sumber daya di GuardDuty.
![\[Memilih sama dengan atau tidak sama dengan operator untuk memfilter temuan di GuardDuty konsol.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
**Jika kasus penggunaan Anda mengharuskan mengecualikan temuan spesifik, Anda dapat memilih **Tidak sama** atau\$1 **= operator.
1. Tentukan nilai untuk filter properti yang dipilih. Jika perlu, pilih **Terapkan**. Untuk melanjutkan contoh dari langkah sebelumnya, Anda dapat memilih **S3Bucket**.
Ini akan menampilkan temuan yang cocok dengan filter yang diterapkan.
1. Untuk menambahkan lebih dari satu kriteria filter, ulangi langkah 3-6.
Untuk daftar lengkap atribut, lihat[Filter properti di GuardDuty](#filter_criteria).
1.
**(Opsional) simpan atribut dan nilai yang ditentukan sebagai filter**
Untuk menerapkan kombinasi filter ini lagi di masa mendatang, Anda dapat menyimpan atribut yang ditentukan dan nilainya sebagai set filter.
1. Setelah Anda membuat kriteria filter dengan satu atau beberapa filter properti, pilih *panah* di menu **Hapus filter**.
![\[Menyimpan set filter di GuardDuty konsol untuk dapat memfilter temuan lagi.\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. Masukkan **nama** set filter. Nama harus 3-64 karakter. Karakter yang boleh digunakan adalah a-z, A-Z, 0-9, titik (.), tanda hubung (-), dan garis bawah (\$1).
1. **Deskripsi** adalah opsional. Jika Anda memasukkan deskripsi, itu dapat memiliki hingga 512 karakter.
1. Pilih **Buat**.
## Membuat dan menyimpan set filter dengan menggunakan GuardDuty API dan CLI
Anda dapat membuat dan menguji filter temuan dengan menggunakan perintah API atau CLI. Filter terbuat dari setidaknya satu kriteria filter. Terdiri dari satu atribut filter yang dipasangkan dengan setidaknya satu nilai. Anda dapat menyimpan filter untuk membuat [Aturan penekanan](findings_suppression-rule.md) atau melakukan operasi filter lainnya nanti.
**Untuk membuat filter pencarian menggunakan API/CLI**
+ Jalankan [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API dengan menggunakan ID detektor regional Akun AWS tempat Anda ingin membuat filter.
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
+ Atau, Anda dapat menggunakan CLI [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) untuk membuat dan menyimpan filter. Anda dapat menggunakan satu atau beberapa kriteria filter dari[Filter properti di GuardDuty](#filter_criteria).
Gunakan contoh berikut dengan mengganti nilai placeholder yang ditunjukkan dengan warna merah.
**Contoh 1**: Buat filter baru untuk melihat semua temuan yang cocok dengan jenis temuan tertentu
Contoh berikut membuat filter yang cocok dengan semua `PortScan` temuan untuk instance yang dibuat dari gambar tertentu. Nilai placeholder ditampilkan dalam warna merah. Ganti nilai-nilai ini dengan nilai yang sesuai untuk akun Anda. Misalnya, ganti *12abc34d567e8fa901bc2d34EXAMPLE* dengan ID detektor regional Anda.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**Contoh 2**: Buat filter baru untuk melihat semua temuan yang cocok dengan tingkat keparahan
Contoh berikut membuat filter yang cocok dengan semua temuan yang terkait dengan `HIGH` tingkat keparahan. Nilai placeholder ditampilkan dalam warna merah. Ganti nilai-nilai ini dengan nilai yang sesuai untuk akun Anda. Misalnya, ganti *12abc34d567e8fa901bc2d34EXAMPLE* dengan ID detektor regional Anda.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ Untuk API/CLI, [Temuan tingkat keparahan](guardduty_findings-severity.md) direpresentasikan sebagai angka. Untuk menyaring temuan berdasarkan tingkat keparahan, gunakan nilai berikut:
+ Untuk `LOW` tingkat keparahan, gunakan `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ Untuk `MEDIUM` tingkat keparahan, gunakan `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ Untuk `HIGH` tingkat keparahan, gunakan `{ "severity": { "Equals": ["7", "8"] } }`
+ Untuk `CRITICAL` tingkat keparahan, gunakan `{ "severity": { "Equals": ["9", "10"] } }`
+ Untuk temuan dengan beberapa tingkat keparahan, gunakan nilai placeholder yang mirip dengan contoh berikut: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
Contoh ini akan menunjukkan temuan yang memiliki `CRITICAL` tingkat keparahan `HIGH` atau tingkat keparahan.
**catatan**
Jika Anda menentukan contoh dengan hanya satu nilai numerik, bukan semua nilai numerik yang terkait dengan tingkat keparahan, API dan CLI mungkin menampilkan temuan yang difilter. Saat Anda menggunakan set filter tersimpan ini di GuardDuty konsol, itu tidak akan berfungsi seperti yang diharapkan. Ini karena GuardDuty konsol menganggap nilai filter sebagai`CRITICAL`,, `HIGH``MEDIUM`, dan`LOW`. Misalnya, filter yang dibuat dengan perintah CLI yang menyertakan `{ "severity": { "Equals": ["9"] } }` diharapkan menampilkan output yang sesuai di API/CLI. Namun, filter yang disimpan ini mencakup tingkat keparahan sebagian saat digunakan di GuardDuty konsol dan tidak akan menampilkan output yang diharapkan. Hal ini membuat API dan CLI perlu menentukan semua nilai yang terkait dengan setiap tingkat keparahan.
## Filter properti di GuardDuty
Apabila Anda membuat filter atau mengurutkan temuan menggunakan operasi API, Anda harus menentukan kriteria filter di JSON. Kriteria filter ini berkorelasi dengan detail JSON temuan. Tabel berikut berisi daftar nama tampilan konsol untuk atribut filter dan nama bidang JSON setaranya.
| Nama bidang konsol | Nama bidang JSON |
| --- | --- |
| account-id | accountId |
| ID Temuan | id |
| Region | region |
| Kepelikan | kepelikan Anda dapat memfilter jenis temuan berdasarkan tingkat keparahan jenis temuan. Untuk informasi lebih lanjut tentang nilai tingkat keparahan, lihat[Tingkat keparahan GuardDuty temuan](guardduty_findings-severity.md). Jika Anda menggunakan `severity` dengan API, AWS CLI, atau CloudFormation, itu diberi nilai numerik. Untuk informasi selengkapnya, lihat [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) di Referensi *Amazon GuardDuty * API. |
| Tipe temuan | jenis |
| Diperbarui pada | updatedAt |
| Access key ID | sumber daya. accessKeyDetails. accessKeyId |
| ID principal | sumber daya. accessKeyDetails.Prinsipalid |
| nama pengguna | sumber daya. accessKeyDetails.Nama pengguna |
| Jenis pengguna | sumber daya. accessKeyDetails.UserType |
| ID profil instans IAM | Resource.instanceDetails. iamInstanceProfile.id |
| ID Instans | resource.instanceDetails.instanceId |
| ID citra instans | resource.instanceDetails.imageId |
| Kunci tag contoh | resource.instanceDetails.tags.key |
| Nilai tag instance | resource.instanceDetails.tags.value |
| IPv6 alamat | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| IPv4 Alamat pribadi | Resource.instanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress |
| Nama DNS publik | Resource.instanceDetails.NetworkInterfaces. publicDnsName |
| IP Publik | resource.instanceDetails.networkInterfaces.publicIp |
| ID grup keamanan | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| Nama grup keamanan | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| ID Subnet | resource.instanceDetails.networkInterfaces.subnetId |
| ID VPC | resource.instanceDetails.networkInterfaces.vpcId |
| ARN Outpost | resource.instanceDetails.outpostARN |
| Tipe sumber daya | resource.resourceType |
| Izin bucket | resource.s3 BucketDetails .publicaccess.effectivePermission |
| Nama Bucket | sumber BucketDetails daya.s3 .nama |
| Kunci tanda bucket | BucketDetailsresource.s3 .tags.key |
| Nilai tanda bucket | BucketDetailsresource.s3 .tags.value |
| Tipe bucket | sumber BucketDetails daya.s3 .type |
| Tipe tindakan | service.action.actionType |
| Panggilan API | service.action. awsApiCallAction.API |
| Tipe pemanggil API | service.action. awsApiCallAction.callerType |
| Kode Kesalahan API | service.action. awsApiCallAction.ErrorCode |
| Kota pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.city.cityname |
| Negara pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.country.countryName |
| Alamat pemanggil IPv4 API | service.action. awsApiCallTindakan. remoteIpDetails.iPaddressV4 |
| Alamat pemanggil IPv6 API | service.action. awsApiCallTindakan. remoteIpDetails.iPaddressV6 |
| ID ASN pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.organisasi.asn |
| Nama ASN pemanggil API | service.action. awsApiCallTindakan. remoteIpDetails.organisasi.asNorg |
| Nama layanan pemanggil API | service.action. awsApiCallAction.ServiceName |
| Domain permintaan DNS | service.action. dnsRequestAction.domain |
| Akhiran domain permintaan DNS | service.action. dnsRequestAction. domainWithSuffix |
| Koneksi jaringan diblokir | service.action. networkConnectionAction.diblokir |
| Arah koneksi jaringan | service.action. networkConnectionAction.connectionDirection |
| Port lokal koneksi jaringan | service.action. networkConnectionAction. localPortDetails.pelabuhan |
| Protokol koneksi jaringan | service.action. networkConnectionAction.protokol |
| Kota koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.city.cityname |
| Negara koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.country.countryName |
| IPv4 Alamat jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.iPaddressV4 |
| IPv6 Alamat jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.iPaddressV6 |
| ID ASN IP jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.organisasi.asn |
| Nama ASN IP jarak jauh koneksi jaringan | service.action. networkConnectionAction. remoteIpDetails.organisasi.asNorg |
| Port jarak jauh koneksi jaringan | service.action. networkConnectionAction. remotePortDetails.pelabuhan |
| Akun jarak jauh berafiliasi | service.action. awsApiCallTindakan. remoteAccountDetails.berafiliasi |
| Alamat penelepon API Kubernetes IPv4 | service.action. kubernetesApiCallTindakan. remoteIpDetails.iPaddressV4 |
| Alamat penelepon API Kubernetes IPv6 | service.action. kubernetesApiCallTindakan. remoteIpDetails.iPaddressV6 |
| Namespace Kubernetes | service.action. kubernetesApiCallAction.namespace |
| ID ASN pemanggil API Kubernetes | service.action. kubernetesApiCallTindakan. remoteIpDetails.organisasi.asn |
| URI permintaan panggilan API Kubernetes | service.action. kubernetesApiCallAction.requesturi |
| Kode status API Kubernetes | service.action. kubernetesApiCallAction.statusCode |
| Koneksi jaringan IPv4 alamat lokal | service.action. networkConnectionAction. localIpDetails.iPaddressV4 |
| Koneksi jaringan IPv6 alamat lokal | service.action. networkConnectionAction. localIpDetails.iPaddressV6 |
| Protokol | service.action. networkConnectionAction.protokol |
| Nama layanan panggilan API | service.action. awsApiCallAction.ServiceName |
| ID akun pemanggil API | service.action. awsApiCallTindakan. remoteAccountDetails.AccountID |
| Nama daftar ancaman | Service.additionalInfo. threatListName |
| Peran sumber daya | service.resourceRole |
| Nama cluster EKS | sumber daya. eksClusterDetails.nama |
| Nama beban kerja Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.nama |
| Namespace beban kerja Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.namespace |
| Nama pengguna Kubernetes | Resource.kubernetesDetails. kubernetesUserDetails.nama pengguna |
| Gambar kontainer Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.containers.image |
| Awalan gambar kontainer Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.containers.imagePrefix |
| Pindai ID | layanan. ebsVolumeScandetail.scanID |
| Nama ancaman pemindaian volume EBS | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByName.ThreatNames.Name |
| Nama ancaman pemindaian objek S3 | layanan. malwareScanDetails.ancaman.nama |
| Tingkat keparahan ancaman | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByNama.ThreatNames.Keparahan |
| Berkas SHA | layanan. ebsVolumeScandetail.Skandeteksi. threatDetectedByName.ThreatNames.filepaths.hash |
| Nama cluster ECS | sumber daya. ecsClusterDetails.nama |
| Gambar kontainer ECS | sumber daya. ecsClusterDetails.taskdetails.containers.image |
| Definisi tugas ECS ARN | sumber daya. ecsClusterDetails.taskdetails.definitionARN |
| Gambar kontainer mandiri | Resource.containerdetails.image |
| Id Instans Database | sumber daya. rdsDbInstanceDetail. dbInstanceIdentifier |
| Id Kluster Basis Data | sumber daya. rdsDbInstanceDetail. dbClusterIdentifier |
| Mesin basis data | sumber daya. rdsDbInstanceDetail.Engine |
| Pengguna basis data | sumber daya. rdsDbUserDetail.pengguna |
| Kunci tag contoh basis data | sumber daya. rdsDbInstancedetails.tags.key |
| Nilai tag instance database | sumber daya. rdsDbInstancedetails.tags.value |
| SHA-256 yang dapat dieksekusi | Service.RuntimeDetails.Process.ExecutableSha256 |
| Nama proses | Service.runtimedetails.process.name |
| Jalur yang dapat dieksekusi | Service.runtimedetails.process.executablePath |
| Nama fungsi Lambda | Resource.lambdaDetails.FunctionName |
| Fungsi Lambda ARN | Sumber daya.lambdaDetails.FunctionARN |
| Tombol tag fungsi Lambda | Sumber daya.lambdadetails.tags.key |
| Nilai tag fungsi Lambda | Resource.lambdadetails.tags.value |
| Domain permintaan DNS | service.action. dnsRequestAction. domainWithSuffix |