Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Filtrare i risultati in GuardDuty
Un filtro per gli esiti ti consente di visualizzare gli esiti che corrispondono ai criteri specificati e di escludere gli esiti non corrispondenti. Puoi creare facilmente filtri di ricerca utilizzando la GuardDuty console Amazon oppure puoi crearli con l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API utilizzando JSON. Consulta le sezioni seguenti per capire come creare un filtro nella console. Per utilizzare questi filtri in modo da archiviare automaticamente gli esiti in arrivo, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Quando crei filtri, prendi in considerazione il seguente elenco:
+ Puoi specificare da uno a 50 attributi come criteri per un determinato filtro.
+ Quando si utilizza l'operatore **Uguale** o **Non è uguale** per filtrare in base al valore di un attributo, ad esempio Account ID, è possibile specificare un massimo di 50 valori.
+ Ogni attributo dei criteri di filtro viene valutato come operatore `AND`. Più valori per lo stesso attributo vengono valutati come `AND/OR`.
+ Per informazioni sul numero massimo di filtri salvati che è possibile creare in ciascuno di essi, vedere Account AWS . Regione AWS[GuardDuty quote](guardduty_limits.md)
Le seguenti sezioni forniscono istruzioni su come creare e salvare filtri utilizzando la GuardDuty console e i comandi API e CLI. Scegli il metodo di accesso preferito per procedere.
## Creazione e salvataggio del set di filtri nella GuardDuty console
I filtri di ricerca possono essere creati e testati tramite la GuardDuty console. Puoi salvare i filtri che hai creato tramite la console per utilizzarli nelle regole di eliminazione o nelle operazioni di filtro future. Un filtro è composto da almeno un criterio di filtro, che consiste in un attributo del filtro abbinato ad almeno un valore.
**Per creare e salvare i criteri di filtro (console)**
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel riquadro di navigazione a sinistra, scegli **Findings**.
1. Nella pagina **Risultati**, seleziona la barra dei *risultati del filtro* accanto al menu **Regole salvate**. Verrà visualizzato un elenco esteso di **filtri di proprietà**.
![\[Selezione dei filtri di proprietà per filtrare i risultati nella GuardDuty console.\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. Dall'elenco esteso di filtri, selezionate un attributo in base al quale filtrare la tabella dei risultati.
**Ad esempio, per visualizzare i risultati per i quali la risorsa potenzialmente interessata è un **S3Bucket**, scegli Tipo di risorsa.**
1. Per **Operatori**, scegline uno che ti aiuti a filtrare i risultati per ottenere il risultato desiderato. Per continuare l'esempio del passaggio precedente, scegli **Tipo di risorsa =**. Verrà visualizzato un elenco di tipi di risorse in GuardDuty.
![\[La selezione di «è uguale o meno» all'operatore per filtrare i risultati nella console. GuardDuty\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
**Se il tuo caso d'uso richiede l'esclusione di risultati specifici, puoi scegliere **Non** è uguale a o\$1 **= operatore.
1. Specificate il valore per il filtro delle proprietà selezionato. Se necessario, scegliete **Applica**. Per continuare l'esempio del passaggio precedente, puoi scegliere **S3Bucket**.
Questo mostrerà i risultati che corrispondono ai filtri applicati.
1. Per aggiungere più di un criterio di filtro, ripeti i passaggi 3-6.
Per un elenco completo degli attributi, vedere[Filtri di proprietà in GuardDuty](#filter_criteria).
1.
**(Facoltativo) salva gli attributi e i valori specificati come filtri**
Per applicare nuovamente questa combinazione di filtri in futuro, è possibile salvare gli attributi specificati e i relativi valori come set di filtri.
1. Dopo aver creato un criterio di filtro con uno o più filtri di proprietà, selezionate la *freccia* nel menu **Cancella filtri**.
![\[Salvare un set di filtri nella GuardDuty console per poter filtrare nuovamente i risultati.\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. Inserisci il **nome** del set di filtri. Il nome deve contenere da 3 a 64 caratteri. I caratteri validi sono A-Z, a-z, 0-9, trattino (-), trattino basso (\$1) e punto (.).
1. La **descrizione** è facoltativa. Se inserisci una descrizione, questa può contenere fino a 512 caratteri.
1. Scegli **Create** (Crea).
## Creazione e salvataggio di set di filtri utilizzando GuardDuty API e CLI
Puoi creare e testare i filtri di ricerca utilizzando i comandi API o CLI. Un filtro è composto da almeno un criterio di filtro, che consiste in un attributo del filtro abbinato ad almeno un valore. È possibile salvare i filtri per creare [Regole di eliminazione](findings_suppression-rule.md) o eseguire altre operazioni di filtro in un secondo momento.
**Per creare filtri di ricerca utilizzando API/CLI**
+ Esegui l'[CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API utilizzando l'ID del rilevatore regionale del Account AWS punto in cui desideri creare un filtro.
Per trovare il codice `detectorId` per il tuo account e la regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
+ In alternativa, puoi utilizzare la [CLI create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) per creare e salvare il filtro. È possibile utilizzare uno o più criteri di filtro da. [Filtri di proprietà in GuardDuty](#filter_criteria)
Utilizza i seguenti esempi sostituendo i valori segnaposto mostrati in rosso.
**Esempio 1**: crea un nuovo filtro per visualizzare tutti i risultati che corrispondono a un tipo di risultato specifico
L'esempio seguente crea un filtro che corrisponde a tutti i `PortScan` risultati di un'istanza creata da un'immagine specifica. I valori segnaposto sono mostrati in rosso. Sostituisci questi valori con valori adatti al tuo account. Ad esempio, sostituiscilo *12abc34d567e8fa901bc2d34EXAMPLE* con il tuo ID regionale del rilevatore.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**Esempio 2**: crea un nuovo filtro per visualizzare tutti i risultati che corrispondono ai livelli di gravità
L'esempio seguente crea un filtro che corrisponde a tutti i risultati associati ai livelli di `HIGH` gravità. I valori segnaposto sono mostrati in rosso. Sostituisci questi valori con valori adatti al tuo account. Ad esempio, sostituiscilo *12abc34d567e8fa901bc2d34EXAMPLE* con il tuo ID regionale del rilevatore.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ Per API/CLI, [Livelli di gravità dei risultati](guardduty_findings-severity.md) sono rappresentati come numeri. Per filtrare i risultati in base ai livelli di gravità, utilizza i seguenti valori:
+ Per i livelli di `LOW` gravità, usa `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ Per i livelli di `MEDIUM` gravità, utilizzare `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ Per i livelli di `HIGH` gravità, utilizzare `{ "severity": { "Equals": ["7", "8"] } }`
+ Per i livelli di `CRITICAL` gravità, utilizzare `{ "severity": { "Equals": ["9", "10"] } }`
+ Per i risultati con più livelli di gravità, utilizzate valori segnaposto simili all'esempio seguente: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
Questo esempio mostrerà i risultati con uno `HIGH` o più livelli di `CRITICAL` gravità.
**Nota**
Se si specifica un esempio con un solo valore numerico anziché tutti i valori numerici associati a un livello di gravità, l'API e la CLI potrebbero mostrare i risultati filtrati. Quando utilizzi questo set di filtri salvato nella GuardDuty console, non funzionerà come previsto. Questo perché la GuardDuty console considera i valori del filtro come `CRITICAL``HIGH`,`MEDIUM`, e`LOW`. Ad esempio, un filtro creato con un comando CLI che include `{ "severity": { "Equals": ["9"] } }` dovrebbe mostrare un output appropriato in API/CLI. Tuttavia, questo filtro salvato include un livello di gravità parziale se utilizzato nella GuardDuty console e non mostrerà l'output previsto. Ciò rende necessario che l'API e la CLI specifichino tutti i valori associati a ciascun livello di gravità.
## Filtri di proprietà in GuardDuty
Quando crei filtri o ordini gli esiti utilizzando le operazioni API, devi specificare i criteri di filtro in JSON. Questi criteri di filtro sono correlati al JSON dei dettagli di un esito. La tabella seguente contiene un elenco dei nomi che vengono visualizzati nella console per gli attributi dei filtri e i nomi dei campi JSON equivalenti.
| Nome campo console | Nome campo JSON |
| --- | --- |
| ID account | accountId |
| ID risultato | id |
| Region | region |
| Gravità | severity È possibile filtrare i tipi di risultati in base al livello di gravità dei tipi di risultati. Per ulteriori informazioni sui valori di gravità, vedere[Livelli di gravità dei risultati GuardDuty](guardduty_findings-severity.md). Se si utilizza `severity` con l'API AWS CLI, o CloudFormation, viene assegnato un valore numerico. Per ulteriori informazioni, consulta [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) nell'*Amazon GuardDuty * API Reference. |
| Tipo di risultato | tipo |
| Ora aggiornamento | updatedAt |
| ID chiave di accesso | risorsa. accessKeyDetails. accessKeyId |
| ID principale | risorsa. accessKeyDetails. ID principale |
| Username | risorsa. accessKeyDetails.Nome utente |
| Tipo di utente | risorsa. accessKeyDetails.tipo di utente |
| ID profilo dell'istanza IAM | Resource.InstanceDetails. iamInstanceProfile.id |
| ID istanza | resource.instanceDetails.instanceId |
| ID immagine istanza | resource.instanceDetails.imageId |
| Chiave di tag dell'istanza | resource.instanceDetails.tags.key |
| Valore del tag dell'istanza | resource.instanceDetails.tags.value |
| IPv6 indirizzo | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| IPv4 Indirizzo privato | Resource.InstanceDetails.Interfacce di rete. privateIpAddresses. privateIpAddress |
| Nome DNS pubblico | Resource.InstanceDetails.Interfacce di rete. publicDnsName |
| IP pubblico | resource.instanceDetails.networkInterfaces.publicIp |
| ID gruppo di sicurezza | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| Nome del gruppo di sicurezza | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| ID sottorete | resource.instanceDetails.networkInterfaces.subnetId |
| ID VPC | resource.instanceDetails.networkInterfaces.vpcId |
| ARN dell'Outpost | resource.instanceDetails.outpostARN |
| Tipo di risorsa | resource.resourceType |
| Autorizzazioni del bucket | resource.s3.publicAccess.EffectivePermission BucketDetails |
| Nome bucket | risorse.s3 .nome BucketDetails |
| Chiave tag bucket | risorse.s3 .tags.key BucketDetails |
| Valore tag bucket | risorse.s3 .tags.value BucketDetails |
| Tipo di bucket | risorse.s3 .type BucketDetails |
| Tipo di operazione | service.action.actionType |
| API chiamata | servizio.azione. awsApiCallAzione.api |
| Tipo intermediario API | servizio.azione. awsApiCallaction.callerType |
| Codice di errore API | servizio.azione. awsApiCallcodice di errore action.error |
| Città intermediario API | servizio.azione. awsApiCallAzione. remoteIpDetails.città.Nome della città |
| Paese intermediario API | servizio.azione. awsApiCallAzione. remoteIpDetails.Paese.CountryName |
| Indirizzo API del chiamante IPv4 | service.action. awsApiCallAzione. remoteIpDetails.Indirizzo IP v4 |
| Indirizzo del chiamante API IPv6 | service.action. awsApiCallAzione. remoteIpDetails.indirizzo IP v6 |
| ID ASN intermediario API | servizio.azione. awsApiCallAzione. remoteIpDetails.organizzazione.asn |
| Nome ASN intermediario API | servizio.azione. awsApiCallAzione. remoteIpDetails.Organizzazione.asnorg |
| Nome del servizio intermediario API | servizio.azione. awsApiCallaction.serviceName |
| Dominio richiesta DNS | servizio.azione. dnsRequestAction.dominio |
| Suffisso del dominio richiesta DNS | servizio.azione. dnsRequestAction. domainWithSuffix |
| Connessione di rete bloccata | servizio.azione. networkConnectionAction.bloccato |
| Direzione connessione rete | servizio.azione. networkConnectionAction. Direzione della connessione |
| Porta locale connessione rete | servizio.azione. networkConnectionAction. localPortDetails.porta |
| Protocollo connessione rete | servizio.azione. networkConnectionAction.protocollo |
| Città connessione di rete | servizio.azione. networkConnectionAction. remoteIpDetails.città. Nome della città |
| Paese connessione di rete | servizio.azione. networkConnectionAction. remoteIpDetails.Paese. Nome del Paese |
| Indirizzo remoto della connessione di rete IPv4 | servizio.azione. networkConnectionAction. remoteIpDetails.indirizzo IP v4 |
| Indirizzo remoto della connessione di rete IPv6 | servizio.azione. networkConnectionAction. remoteIpDetails.indirizzo IP v6 |
| ID ASN IP remoto connessione rete | servizio.azione. networkConnectionAction. remoteIpDetails.organizzazione.asn |
| Nome ASN IP remoto connessione rete | servizio.azione. networkConnectionAction. remoteIpDetails.Organizzazione.asnorg |
| Porta remota connessione rete | servizio.azione. networkConnectionAction. remotePortDetails.porta |
| Account remoto affiliato | servizio.azione. awsApiCallAzione. remoteAccountDetails.affiliato |
| Indirizzo del chiamante dell'API Kubernetes IPv4 | servizio.azione. kubernetesApiCallAzione. remoteIpDetails.Indirizzo IP v4 |
| Indirizzo del chiamante dell'API Kubernetes IPv6 | servizio.azione. kubernetesApiCallAzione. remoteIpDetails.indirizzo IP v6 |
| Spazio dei nomi Kubernetes | servizio.azione. kubernetesApiCallAction.namespace |
| ID ASN chiamante API Kubernetes | servizio.azione. kubernetesApiCallAzione. remoteIpDetails.organizzazione.asn |
| URI della richiesta di chiamata API Kubernetes | servizio.azione. kubernetesApiCallazione. RequestURI |
| Codice di stato API Kubernetes | servizio.azione. kubernetesApiCallcodice action.status |
| Indirizzo locale della connessione di rete IPv4 | service.action. networkConnectionAction. localIpDetails.indirizzo IP v4 |
| Indirizzo locale della connessione di rete IPv6 | service.action. networkConnectionAction. localIpDetails.indirizzo IP v6 |
| Protocollo | servizio.azione. networkConnectionAction.protocollo |
| Nome servizio chiamata API | servizio.azione. awsApiCallaction.serviceName |
| ID account chiamante API | servizio.azione. awsApiCallAzione. remoteAccountDetails.ID account |
| Nome elenco minacce | Servizio. Informazioni aggiuntive. threatListName |
| Ruolo risorsa | service.resourceRole |
| Nome del cluster EKS | risorsa. eksClusterDetails.nome |
| Nome del carico di lavoro Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.nome |
| Spazio dei nomi del carico di lavoro Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.namespace |
| Nome utente Kubernetes | Resource.KubernetesDetails. kubernetesUserDetails.nome utente |
| Immagine del container di Kubernetes | Resource.KubernetesDetails. kubernetesWorkloadDetails.contenitori.immagine |
| Prefisso dell'immagine del container di Kubernetes | Resource.kubernetesDetails. kubernetesWorkloadDetails.Contenitori.Image Prefix |
| ID scansione | servizio. ebsVolumeScanDettagli.scanID |
| Nome della minaccia di scansione del volume EBS | servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome.ThreatNames.Name |
| Nome della minaccia di scansione degli oggetti S3 | servizio. malwareScanDetails.threats.name |
| Gravità delle minacce | servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome. Nomi delle minacce. Severità |
| File SHA | servizio. ebsVolumeScanDettagli.ScanDetections. threatDetectedByNome.ThreatNames.FilePaths.Hash |
| Nome del cluster ECS | risorsa. ecsClusterDetails.nome |
| Immagine del container ECS | risorsa. ecsClusterDetails.taskdetails.containers.image |
| ARN di definizione del processo ECS | risorsa. ecsClusterDetails.taskdetails.definitionARN |
| Immagine del container autonomo | resource.containerDetails.image |
| ID istanza di database | risorsa. rdsDbInstanceDettagli. dbInstanceIdentifier |
| ID del cluster di database | risorsa. rdsDbInstanceDettagli. dbClusterIdentifier |
| Motore di database | risorsa. rdsDbInstanceDettagli. Motore |
| Utente del database | risorsa. rdsDbUserDettagli. Utente |
| Chiave di tag dell'istanza database | risorsa. rdsDbInstancedetails.tags.key |
| Valore del tag dell'istanza database | risorsa. rdsDbInstancedetails.tags.value |
| SHA-256 eseguibile | service.runtimeDetails.process.executableSha256 |
| Process name (Nome del processo) | service.runtimeDetails.process.name |
| Percorso eseguibile | service.runtimeDetails.process.executablePath |
| Nome della funzione Lambda | resource.lambdaDetails.functionName |
| ARN della funzione Lambda | resource.lambdaDetails.functionArn |
| Chiave di tag con funzione Lambda | resource.lambdaDetails.tags.key |
| Valore del tag della funzione lambda | resource.lambdaDetails.tags.value |
| Dominio richiesta DNS | servizio.azione. dnsRequestAction. domainWithSuffix |