기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# GuardDuty의 억제 규칙
억제 규칙은 지정된 기준과 일치하는 새 결과를 자동으로 보관하여 결과를 필터링하는 데 사용되는 값과 페어링된 필터 속성으로 구성된 일련의 기준입니다. 억제 규칙을 사용하면 가치가 낮은 결과, 오탐지 결과 또는 조치를 취하지 않으려는 위협을 필터링할 수 있으므로 환경에 가장 큰 영향을 미치는 보안 위협을 보다 쉽게 파악할 수 있습니다.
억제 규칙을 생성한 후, 억제 규칙이 지정되어 있는 동안에는 규칙에 정의된 기준과 일치하는 새 결과가 자동으로 보관됩니다. 기존 필터를 사용하여 억제 규칙을 생성하거나 정의한 새 필터에서 억제 규칙을 생성할 수 있습니다. 억제 규칙을 구성하여 전체 결과 유형을 억제하거나, 보다 세부적인 필터 기준을 정의하여 특정 결과 유형의 특정 인스턴스만 억제할 수 있습니다. 언제든지 차단 규칙을 편집할 수 있습니다.
억제된 조사 결과는 Amazon Simple Storage Service AWS Security Hub CSPM, Amazon Detective 또는 Amazon EventBridge로 전송되지 않으므로 Security Hub CSPM, 타사 SIEM 또는 기타 알림 및 티켓팅 애플리케이션을 통해 GuardDuty 조사 결과를 사용하는 경우 조사 결과 노이즈 수준이 줄어듭니다. [EC2에 대한 맬웨어 방지](malware-protection.md)을 활성화한 경우 억제된 GuardDuty 결과는 맬웨어 스캔을 시작하지 않습니다.
GuardDuty는 억제 규칙과 일치하는 경우에도 결과를 계속 생성하지만 이러한 결과는 자동으로 **보관됨**으로 표시됩니다. 보관된 결과는 90일 동안 GuardDuty에 저장되며 해당 기간 동안 언제든지 볼 수 있습니다. 결과 테이블에서 **보관됨**을 선택하여 GuardDuty 콘솔에서 또는 `findingCriteria` 기준 `service.archived`가 true인 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API를 사용하여 GuardDuty API를 통해 억제된 결과를 볼 수 있습니다.
**참고**
다중 계정 환경에서는 GuardDuty 관리자만 억제 규칙을 생성할 수 있습니다.
## Extended Threat Detection과 함께 금지 규칙 사용
GuardDuty Extended Threat Detection은 AWS 계정내에서 데이터 소스, 여러 유형의 AWS 리소스 및 시간에 걸친 다단계 공격을 자동으로 탐지합니다. 다양한 데이터 소스의 이벤트를 상호 연관시켜 AWS 환경에 대한 잠재적 위협으로 나타나는 시나리오를 식별한 다음 공격 시퀀스 조사 결과를 생성합니다. 자세한 내용은 [Extended Threat Detection 작동 방식](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works) 단원을 참조하십시오.
조사 결과를 아카이브하는 금지 규칙을 생성하는 경우 Extended Threat Detection가 공격 시퀀스에 대한 이벤트를 상호 연관시킬 때 이러한 아카이브된 조사 결과를 사용할 수 없습니다. 광범위한 금지 규칙은 다단계 공격 탐지와 일치하는 동작을 탐지하는 GuardDuty의 기능에 영향을 미칠 수 있습니다. 금지 규칙으로 인해 아카이브된 조사 결과는 공격 시퀀스에 대한 신호로 간주되지 않습니다. 예를 들어 알려진 특정 활동을 대상으로 하는 대신 모든 EKS 클러스터 관련 조사 결과를 아카이브하는 금지 규칙을 생성하는 경우 GuardDuty는 이러한 조사 결과를 사용하여 위협 행위자가 컨테이너를 악용하고, 권한이 있는 토큰을 얻고, 민감한 리소스에 액세스하는 공격 시퀀스를 탐지할 수 없습니다.
GuardDuty의 다음 권장 사항을 고려합니다.
+ 금지 규칙을 계속 사용하여 알려진 신뢰할 수 있는 활동의 알림을 줄입니다.
+ 금지 규칙은 GuardDuty가 조사 결과를 생성하지 않도록 하려는 특정 동작에 초점을 맞춥니다.
## 억제 규칙의 일반 사용 사례 및 예시
다음 검색 결과 유형에는 억제 규칙을 적용하는 일반적인 사용 사례가 있습니다. 검색어 이름을 선택하면 해당 검색어에 대해 자세히 알아볼 수 있습니다. 사용 사례 설명을 검토하여 해당 검색 유형에 대한 억제 규칙을 작성할지 결정하세요.
**중요**
GuardDuty는 사용자 환경에서 반복적으로 오탐을 식별한 발견에 대해서만 반응적으로 억제 규칙을 구축할 것을 권장합니다.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) - VPC 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 있고 VPC 인터넷 게이트웨이가 아닌 온프레미스 게이트웨이에서 인터넷 트래픽이 나가는 경우 억제 규칙을 사용하여 생성된 결과를 자동으로 보관합니다.
이 결과는 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 VPC 인터넷 게이트웨이(IGW)가 아닌 온프레미스 게이트웨이에서 나가는 경우에 생성됩니다. [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 또는 VPC VPN 연결을 사용하는 것과 같은 일반적인 구성으로 인해 트래픽이 이러한 방식으로 라우팅될 수 있습니다. 예상된 동작인 경우 의 억제 규칙을 사용하고 두 개의 필터 기준으로 구성된 규칙을 만드는 것이 좋습니다. 첫 번째 기준은 **결과 유형**으로 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`이어야 합니다. 두 번째 필터 기준은 온프레미스 인터넷 게이트웨이의 IP 주소 또는 CIDR 범위를 포함하는 **API 호출자 IPv4 주소**입니다. 아래 예시는 API 호출자 IP 주소를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**참고**
여러 개의 API 호출자 IP를 포함하려면 각각에 대해 새 API 호출자 IPv4 주소 필터를 추가할 수 있습니다.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) - 취약성 평가 애플리케이션을 사용하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/Portscan` 값을 사용해야 합니다. 두 번째 필터 기준은 이러한 취약성 평가 도구를 호스팅하는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **Instance image ID** 속성 또는 **Tag** 값 속성을 사용할 수 있습니다. 아래 예시는 특정 AMI를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) - Bastion 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
무차별 대입 시도의 대상이 접속 호스트인 경우 환경에 대한 예상 동작을 나타낼 수 있습니다 AWS . 이 경우 이 결과에 대해 금지 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `UnauthorizedAccess:EC2/SSHBruteForce` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 아래 예시는 특정 인스턴스 태그 값을 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) - 의도적으로 노출된 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
인스턴스가 웹 서버를 호스팅하는 경우와 같이 의도적으로 노출되는 경우가 있을 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/PortProbeUnprotectedPort` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 아래 예시는 콘솔의 특정 인스턴스 태그 키를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### 런타임 모니터링 조사 결과에 대한 권장 억제 규칙
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)는 컨테이너 내부의 프로세스가 Docker 소켓과 통신할 때 생성됩니다. 환경에 합법적인 이유로 Docker 소켓에 액세스해야 하는 컨테이너가 있을 수 있습니다. 이러한 컨테이너에서 액세스하면 PrivilegeEscalation:Runtime/DockerSocketAccessed 결과가 생성됩니다. AWS 환경의 경우이 결과 유형에 대한 억제 규칙을 설정하는 것이 좋습니다. 첫 번째 기준에는 값이 `PrivilegeEscalation:Runtime/DockerSocketAccessed`와 같은 **결과 유형** 필드를 사용해야 합니다. 두 번째 필터 기준은 생성된 결과에서 프로세스의 `executablePath`와 값이 동일한 **실행 파일 경로** 필드입니다. 또는 두 번째 필터 기준에서 생성된 결과에서 프로세스의 `executableSha256`와 값이 동일한 **실행 파일 SHA-256** 필드를 사용할 수 있습니다.
+ Kubernetes 클러스터는 자체 DNS 서버를 포드로 실행할 수 있습니다(예: `coredns`). 따라서 GuardDuty는 포드에서 DNS를 조회할 때마다 두 개의 DNS 이벤트를 캡처하는데, 하나는 포드에서, 다른 하나는 서버 포드에서 캡처합니다. 이로 인해 다음과 같은 DNS 결과가 중복될 수 있습니다.
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
중복 결과에는 DNS 서버 포드에 해당하는 포드, 컨테이너 및 프로세스 세부 정보가 포함됩니다. 이러한 필드를 사용하여 이러한 중복 결과를 억제하는 억제 규칙을 설정할 수 있습니다. 첫 번째 필터 기준은 앞서 이 섹션에 제공된 결과 목록의 DNS 결과 유형과 값이 동일한 **결과 유형** 필드를 사용해야 합니다. 두 번째 필터 기준은 생성된 결과에서 값이 DNS 서버의 `executablePath`와 같은 **실행 파일 경로** 또는 DNS 서버의 `executableSHA256`과 같은 **실행 파일 SHA-256**일 수 있습니다. 세 번째 필터 기준은 선택 사항으로 생성된 결과에서 DNS 서버 포드의 컨테이너 이미지와 동일한 값을 갖는 **Kubernetes 컨테이너 이미지** 필드를 사용할 수 있습니다.
# GuardDuty에서 억제 규칙 만들기
억제 규칙은 필터 속성을 사용하고 GuardDuty에서 검색 유형을 생성하지 않으려는 값을 제공하는 것을 포함하는 기준 집합입니다. 이 기준과 일치하는 검색 유형은 자동으로 보관됩니다. 노이즈를 줄이기 위해 억제된 결과는 통합할 수 AWS 서비스 있는 로 전송되지 않습니다. 억제 규칙을 만드는 일반적인 사용 사례에 대한 자세한 내용은 [억제 규칙](findings_suppression-rule.md)를 참조하세요.
GuardDuty 콘솔의 억제 규칙 페이지를 사용하여 **억제 규칙을** 시각화, 생성 및 관리할 수 있습니다. 기존 저장된 필터에서 억제 규칙을 생성할 수도 있습니다. 필터 생성에 대한 자세한 내용은 [GuardDuty에서 조사 결과 필터링](guardduty_filter-findings.md)을(를) 참조하십시오.
필터 기준에는 **Equals** 및 **NotEquals** 연산자를 사용한 정확한 일치, **Matches** 및 **NotMatches** 연산자를 사용한 **와일드카드 일치** 또는 **GreaterThan**, **GreaterThanEquals**, **LessThan** 및 **LessThanEquals** 연산자를 사용한 **비교 일치**가 포함될 수 있습니다. 사용 가능한 연산자에 대한 자세한 내용은 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html) 페이지에서 확인할 수 있습니다.
선호하는 액세스 방법을 선택하여 GuardDuty 검색 유형에 대한 억제 규칙을 만드세요.
------
#### [ Console ]
**콘솔을 사용하여 억제 규칙을 생성하려면:**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 **억제 규칙 생성을** 클릭하여 **억제 규칙 생성** 양식을 엽니다.
1. 억제 규칙의 **이름을** 입력합니다. 이름은 3\$164자여야 합니다. 유효한 문자는 a\$1z, A\$1Z, 0\$19, .(마침표), -(하이픈) 및 \$1(밑줄)입니다.
1. **설명**은 선택 사항입니다. 설명을 입력하면 최대 512자까지 입력할 수 있습니다. 유효한 문자는 a-z, A-Z, 0-9, 마침표(.), 하이픈(-), 콜론(:), 대괄호(\$1\$1()[]), 슬래시(/) 및 공백입니다.
1. **순위**는 선택 사항입니다. 1부터 필터 및 억제 규칙의 총 개수까지 숫자 값에 1을 더한 값일 수 있습니다.
1. **속성** 섹션의 드롭다운에서 **키**와 **연산**자를 선택합니다.
1. 선택한 키를 기반으로 날짜 선택기의 값을 “문자열” 또는 “날짜”로 입력합니다. 문자열 값인 경우 텍스트를 입력하고 Enter 키를 누릅니다. 문자열 값의 경우 여러 값을 추가할 수 있습니다.
1. 기준 추가를 선택하여 다른 **키**, **연산자** 및 값(들) 세트를 추가하여 추가 **기준을** 추가할 수 있습니다. ****
1. **억제 규칙 생성을** 선택하여 억제 규칙을 생성하고 저장합니다.
또한 기존의 저장된 필터에서 억제 규칙을 생성할 수 있습니다. 필터 생성에 대한 자세한 내용은 [GuardDuty에서 조사 결과 필터링](guardduty_filter-findings.md) 섹션을 참조하세요.
**저장된 필터에서 금지 규칙 생성:**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **조사 결과** 페이지의 **저장된 규칙** 메뉴에서 저장된 필터 세트 규칙을 선택합니다. 그러면 필터 세트 및 기준과 일치하는 조사 결과가 자동으로 표시됩니다.
1. 이 저장된 규칙에 필터 기준을 더 추가할 수도 있습니다. 추가 필터 기준이 필요하지 않은 경우 이 단계를 건너뜁니다. 하나 이상의 필터 기준을 추가하려면 [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page)의 3\$17단계를 수행한 다음, 다음의 단계를 계속 진행합니다.
1. 필터 기준을 추가하고 필터링된 조사 결과가 요구 사항을 충족하는지 확인한 후 **금지 규칙 생성**을 선택합니다.
1. 금지 규칙의 **이름**을 입력합니다. 이름은 3\$164자여야 합니다. 유효한 문자는 a\$1z, A\$1Z, 0\$19, .(마침표), -(하이픈) 및 \$1(밑줄)입니다.
1. **설명**은 선택 사항입니다. 설명을 입력하면 최대 512자까지 입력할 수 있습니다.
1. **생성(Create)**을 선택합니다.
1. 저장된 규칙에 필터 기준을 추가할 필요가 없는 경우 4\$17단계를 수행하여 필터를 생성합니다.
------
#### [ API/CLI ]
**API를 사용하여 억제 규칙 생성:**
1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API를 통해 억제 규칙을 생성할 수 있습니다. 이를 위해 아래에 설명하는 예시의 형식을 따라 JSON 파일에 필터 기준을 지정하세요. 아래 예시에서는 `test.example.com` 도메인에 대한 DNS 요청이 있는 보관되지 않은 낮은 심각도 결과를 모두 표시하지 않습니다. 심각도가 중간인 조사 결과의 경우 입력 목록은 `["4", "5", "7"]`입니다. 심각도가 높은 조사 결과의 경우 입력 목록은 `["6", "7", "8"]`입니다. 심각도가 심각인 조사 결과의 경우 입력 목록은 `["9", "10"]`입니다. 목록에 있는 값 하나를 기준으로 필터링할 수도 있습니다.
다음 예제에서는 함수 이름 접두사가 "MyFunc"인 lambda 함수와 접두사가 "TestTag"가 아닌 함수 태그에 대한 심각도가 낮은 조사 결과에 대한 필터를 추가합니다.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
와일드카드 문자 \$1 및를 사용하여 억제 규칙을 생성할 수 있습니다. . 필터의 와일드카드는 **매치** 및 **NotMatches** 연산자만 사용할 수 있습니다. 원하는 수의 문자를 일치시키려면 속성 값에 \$1를 사용하고, 단일 문자를 일치시키려면 속성 값에 ?를 사용할 수 있습니다. 필터는 단일 와일드카드 조건에서 최대 5개의 속성을 지원하고 단일 속성 내에서 최대 5개의 와일드카드 문자를 지원합니다. 다음 예제에서는 접두사 "MyFunc"와 일치하는 Lambda 이름에 대한 필터를 추가하지만 접두사 "TestTag"와 0\$12자 뒤에 오는 태그가 있는 Lambda 함수는 추가하지 않습니다.
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
JSON 필드 이름 및 이에 상응하는 콘솔의 목록은 [GuardDuty의 속성 필터](guardduty_filter-findings.md#filter_criteria) 단원을 참조하십시오.
필터 기준을 테스트하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API에서 동일한 JSON 기준을 사용하고, 올바른 결과가 선택되었는지 확인합니다. 를 사용하여 필터 기준을 테스트하려면 자체 detectorId 및 .json 파일을 사용하여 예제를 AWS CLI 따르세요.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**참고**
ListFindings 및 GetFindingsStatistics에는 와일드카드 일치를 사용할 수 없습니다. 와일드카드가 포함된 기준은 ListFindings 및 GetFindingsStatistics 사용하여 검증할 수 없습니다.
1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API를 사용하거나 자체 탐지기 ID, 억제 규칙의 이름 및 .json 파일을 사용하는 아래 예시에 따라 AWS CLI를 사용하여 억제 규칙으로 사용할 필터를 업로드합니다.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API를 사용하여 프로그래밍 방식으로 필터 목록을 볼 수 있습니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API에 필터 이름을 제공하여 개별 필터의 세부 정보를 볼 수 있습니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html)를 사용하여 필터를 업데이트하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API를 사용하여 삭제합니다.
------
# GuardDuty에서 억제 규칙 업데이트
이 섹션에서는 특정의 AWS 계정 에서 억제 규칙을 업데이트하는 단계를 제공합니다 AWS 리전.
GuardDuty 콘솔의 억제 규칙 페이지에서 기존 **억제 규칙을** 업데이트할 수 있습니다. GuardDuty는 GuardDuty 콘솔에서 또는 GuardDuty CLI/API를 사용하여 억제 필터 설명, 순위 및 필터 기준 업데이트를 지원합니다. 억제 규칙 업데이트는 설명, 순위 및 기준에 대한 필드 값에 대해와 동일한 제한을 따릅니다[억제 규칙 생성](create-suppression-rules-guardduty.md).
멤버 계정인 경우 관리자 계정에서 회원님을 대신하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [관리자 계정 및 멤버 계정 관계](administrator_member_relationships.md) 단원을 참조하십시오.
원하는 액세스 방법을 선택하여 GuardDuty 결과 유형에 대한 억제 규칙을 삭제합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 업데이트할 억제 규칙을 선택합니다.
1. **작업** 드롭다운에서 **억제 규칙 업데이트를** 선택합니다.
1. 그러면 기존 억제 규칙 양식이 열립니다.
1. 필요에 따라 **설명**, **순위** 및 **속성** 섹션을 변경합니다.
1. **억제 규칙 업데이트를** 선택하여 억제 규칙을 업데이트합니다.
------
#### [ API/CLI ]
**API를 사용하여 억제 규칙을 업데이트하려면:**
1. UpdateFilter API를 통해 억제 규칙을 업데이트할 수 있습니다. UpdateFilter API를 사용하여 **설명**, **순위** 및 **기준**만 업데이트할 수 있습니다. 이 세 필드는 모두 선택 사항입니다.
1. 기존 필터를 업데이트하려면 업데이트하려는 필터의 이름이 필요합니다.
1. 기존 기준을 업데이트하려면 필터를 처음 생성한 방법과 유사한 업데이트된 기준으로 JSON 파일을 생성합니다. test.example.com 도메인에 대한 DNS 요청이 있는 보관되지 않은 심각도가 낮은 조사 결과를 억제하는 기준의 예입니다. 중간 심각도 조사 결과의 경우 입력 목록은 ["4", "5", "7"]이 됩니다. 심각도가 높은 조사 결과의 경우 입력 목록은 ["6", "7", "8"]이 됩니다. 중요 심각도 조사 결과의 경우 입력 목록은 ["9", "10"]이 됩니다. 목록에 있는 값 하나를 기준으로 필터링할 수도 있습니다. 다음 예제에서는 심각도가 낮은 결과에 대한 필터를 추가합니다.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
JSON 필드 이름 및 이에 상응하는 콘솔의 목록은 [GuardDuty의 속성 필터](guardduty_filter-findings.md#filter_criteria) 단원을 참조하십시오.
필터 기준을 테스트하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API에서 동일한 JSON 기준을 사용하고, 올바른 결과가 선택되었는지 확인합니다. 를 사용하여 필터 기준을 테스트하려면 자체 detectorId 및 .json 파일을 사용하여 예제를 AWS CLI 따르세요.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty list-detectors --region us-east-1
```
1. 설명을 업데이트하려면 CLI 호출에 설명 파라미터를 포함할 수 있습니다.
1. 순위를 업데이트하려면 CLI 호출에 순위 파라미터를 포함할 수 있습니다.
1. 억제 필터에서 일반 필터로 업데이트하려면 CLI 호출에서 작업 파라미터와 값을 **ARCHIVE**로 사용합니다.
1. 기존 필터 API를 업데이트하거나 아래 예제 AWS CLI 를 자체 감지기 ID, 억제 규칙 이름 및 .json 파일과 함께 사용하여 업데이트합니다.
1. 다음은 위에서 설명한 모든 파라미터를 업데이트하는 CLI의 예입니다. - 명령에서 사용 사례에 맞게 업데이트할 특정 파라미터를 선택할 수 있습니다.
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# GuardDuty에서 억제 규칙 삭제하기
이 섹션에서는 특정의 AWS 계정 에서 억제 규칙을 삭제하는 단계를 제공합니다 AWS 리전.
사용자 환경에서 더 이상 예상되는 행동을 묘사하지 않는 억제 규칙을 삭제할 수 있습니다. GuardDuty가 검색 유형을 생성할 수 있도록 연결된 검색 유형을 더 이상 억제하지 않으려는 것입니다.
멤버 계정인 경우 관리자 계정에서 회원님을 대신하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [관리자 계정 및 멤버 계정 관계](administrator_member_relationships.md) 단원을 참조하십시오.
원하는 액세스 방법을 선택하여 GuardDuty 검색 유형에 대한 억제 규칙을 삭제합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 삭제할 억제 규칙을 선택합니다.
1. **작업** 드롭다운에서 **억제 규칙 삭제**를 선택합니다.
1. 확인 팝업이 표시됩니다. **삭제**를 선택하여 삭제를 진행합니다. 또는 **취소**를 선택하여 작업을 취소합니다.
------
#### [ API/CLI ]
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API를 실행합니다. 특정 리전에 대한 필터 이름과 연결된 디텍터 ID를 지정합니다.
또는 *빨간색* 형식의 값을 대체하여 다음 AWS CLI 예제를 사용할 수 있습니다.
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
------