本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理亚马逊 GuardDuty 调查结果
GuardDuty 提供了几项重要功能,可帮助您对发现结果进行排序、存储和管理。这些功能将帮助您根据自己的特定环境量身定制调查结果,减少低价值发现带来的噪音,并帮助您专注于对独特 AWS 环境的威胁。查看本页上的主题,了解如何使用这些功能来提高安全调查发现在环境中的价值。
**主题:**
[Amazon 中的摘要控制面板 GuardDuty](guardduty-summary.md)
了解 GuardDuty控制台中提供的摘要仪表板的组件。
[筛选搜索结果 GuardDuty](guardduty_filter-findings.md)
了解如何根据您指定的标准筛选 GuardDuty 结果。
[中的抑制规则 GuardDuty](findings_suppression-rule.md)
了解如何通过抑制规则自动筛选 GuardDuty 提醒您发现的结果。抑制规则会根据筛选条件自动存档调查发现。
[使用实体列表和 IP 地址列表自定义威胁检测](guardduty_upload-lists.md)
使用基于可公开路由的 IP 地址的 IP 列表和威胁列表自定义 GuardDuty 监控范围。可信 IP 列表可防止从您认为可信的 IP 生成非 DNS 调查结果,而 Intel 威胁列表会 GuardDuty 提醒您注意用户定义 IPs的活动。
[将生成的调查发现导出到 Amazon S3](guardduty_exportfindings.md)
将生成的调查结果导出到 Amazon S3 存储桶,这样您就可以保留超过 90 天调查结果保留期的记录。 GuardDuty使用这些历史数据来跟踪您账户中可能的可疑活动,并评估建议的补救措施是否成功。
[使用 Amazon 处理 GuardDuty 调查结果 EventBridge](guardduty_findings_eventbridge.md)
通过Amazon EventBridge 事件为 GuardDuty 发现的结果设置自动通知。您还可以自动执行其他任务, EventBridge 以帮助您对发现的结果做出回应。
[了解 EC2 恶意软件防护扫描期间跳过资源的 CloudWatch 日志和原因](malware-protection-auditing-scan-logs.md)
了解如何审计 EC2 GuardDuty 恶意软件防护 CloudWatch 日志,以及在扫描过程中可能跳过受影响的 Amazon EC2 实例或 Amazon EBS 卷的原因是什么。
[在 “恶意软件防护” 中举报误报 EC2](malware-protection-false-positives.md)
了解如何在 EC2 恶意软件防护中报告潜在的误报威胁检测。
[在 S3 恶意软件防护中将 S3 对象扫描结果报告为误报报告误报的 S3 对象扫描结果](report-malware-protection-s3-false-positives.md)
了解如何报告 S3 恶意软件防护中可能的威胁检测误报。
[在 Backup 恶意软件防护中报告误报](malware-protection-backup-false-positives.md)
在 Backup 恶意软件防护中了解如何报告检测到的潜在误报威胁。
# Amazon 中的摘要控制面板 GuardDuty
“ GuardDuty **摘要**” 仪表板提供了您 AWS 账户 当前生成的 GuardDuty 调查结果的汇总视图 AWS 区域。
如果您使用的是 GuardDuty 管理员账户,控制面板会提供您的账户和组织中成员账户的汇总统计数据和数据。
**查看摘要控制面板**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
GuardDuty 默认情况下,当您打开控制台时,会显示 “**摘要**” 控制面板。
1. 在**摘要**页面上, AWS 区域 从控制台右上角的区域选择器中选择所需的区域。
1. 从日期范围选择器菜单中,选择要查看摘要的日期范围。默认情况下,控制面板显示当天,即**今天**的数据。
**注意**
如果在所选日期范围内未生成任何调查发现,则控制面板将没有任何数据可显示。您可以刷新控制面板或调整日期范围。
**Topics**
+ [概述](#understanding-guardduty-summary-overview)
+ [结果](#understanding-guardduty-summary-findings-widget)
+ [最常见的调查发现类型](#understanding-guardduty-summary-most-common-finding-types)
+ [按严重性分类的调查发现](#understanding-guardduty-summary-findings-by-sev)
+ [调查发现最多的账户](#understanding-guardduty-summary-account-with-findings)
+ [含调查发现的资源](#understanding-guardduty-summary-resources-with-findings)
+ [最少发生的调查发现](#understanding-guardduty-summary-least-occurring-findings)
+ [防护计划覆盖范围](#understanding-guardduty-summary-protection-plans-coverage)
## 概述
该部分提供以下数据:
+ **攻击序列**:表示当前区域中您的账户中 GuardDuty 生成的攻击序列发现次数。
GuardDuty 检测您账户中潜在的多阶段攻击。您可以在**攻击序列数**下选择*数量*,以在**调查发现**页面上查看其详细信息。
+ **调查发现总数**:表示当前区域中您的账户中生成的调查发现总数。这包括个人调查发现和攻击序列调查发现。
+ **含调查发现的资源数**:表示与调查发现相关联且可能被盗用的资源数量。
+ **含调查发现的账户**:表示至少生成一个调查发现的账户数量。如果您是独立账户,则此字段中的值为 **1**。
对于**过去 7 天**和**过去 30 天**的时间范围,**概览**窗格可能分别显示每周(WoW)或每月(MoM)生成的调查发现的百分比差异。如果前一周或前一月没有调查发现,那么在没有数据可比较的情况下,可能无法得出百分比差异。
![\[摘要仪表板中的 “ GuardDuty 概述” 部分。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
如果您是 GuardDuty 管理员帐户,则所有这些字段都会提供组织中所有成员账户的汇总数据。
## 结果
**调查发现**小部件最多显示八个主要调查发现。这些调查发现根据其严重性级别列出,*重大*调查发现首先显示。
默认情况下,您可以查看所有调查发现。要仅查看攻击序列调查发现数据,请启用**仅限主要攻击序列**。
在此列表中,可以选择任何调查发现以查看其详细信息。
![\[“ GuardDuty 摘要” 仪表板中的 “调查结果” 控件。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## 最常见的调查发现类型
此部分提供了一个饼图,显示当前区域生成的前五个最常见调查发现类型。将鼠标悬停在饼图的每个扇区上时,可以观察到以下内容:
+ **调查发现计数**:表示在选定日期范围内生成此调查发现的次数。
+ **严重性**:表示调查发现的严重性级别。
+ **百分比**:表示此调查发现类型相对于总数的比例。
+ **上次生成**:表示自上次检测到此调查发现类型以来过去多长时间。
## 按严重性分类的调查发现
此部分显示一个条形图,展示选定日期范围内的调查发现总数。该图表按严重性(*重大*、*高*、*中*和*低*)对调查发现进行细分,并帮助您查看该范围内特定日期的调查发现数量。
要查看特定日期每个严重性级别的计数,请将鼠标悬停在图表中相应的条形上。
## 调查发现最多的账户
该部分提供以下数据:
+ **账户**:表示生成调查结果的 AWS 账户 ID。
+ **调查发现计数**:表示为此账户 ID 生成调查发现的次数。
+ **上次生成**:表示自上次为此账户 ID 生成调查发现类型以来过去多长时间。
+ **严重性筛选器**:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括**所有严重性**、**重大严重性**、**高严重性**和**中等严重性**。
## 含调查发现的资源
该部分提供以下数据:
+ **资源**:显示可能受影响的资源类型,如果此资源属于您的账户,则可以访问快速链接以查看资源详细信息。如果您是 GuardDuty 管理员账户,则可以使用所有者成员账户的凭据访问 GuardDuty 控制台,查看可能受影响的资源的详细信息。
+ **帐户**:表示此资源所属的 AWS 账户 ID。
+ **调查发现计数**:表示此资源与查找结果关联的次数。
+ **上次生成**:表示自上次生成与此资源关联的调查发现类型以来过去多长时间。
+ **资源类型筛选器**:默认情况下,显示所有资源类型的数据。通过使用此筛选条件,您可以选择查看特定资源类型的数据,例如**实例**AccessKey****、**Lambda** 等。
+ **严重性筛选器**:默认情况下,显示**所有严重性**的数据。通过使用此筛选器,您可以选择查看其他严重性级别的数据。可能的选项包括**重大严重性**、**高严重性**、**中等严重性**和**所有严重性**。
## 最少发生的调查发现
本节重点介绍查找环境中不常出现的 AWS 类型。此小部件旨在帮助您识别和调查潜在的突发威胁模式。
此小部件显示以下数据:
+ **调查发现类型**:显示调查发现类型名称。
+ **调查发现计数**:表示在选定时间范围内生成此调查发现类型的次数。
+ **上次生成**:表示自上次生成此调查发现类型以来过去多长时间。
+ **严重性筛选器**:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括**重大严重性**、**高严重性**、**中等严重性**和**所有严重性**。
## 防护计划覆盖范围
此部分显示您组织中的成员账户统计数据。它显示了当前区域中已启用 GuardDuty (基础威胁检测)的成员账户数量。只有授权的 GuardDuty 管理员才能查看其组织内成员账户的统计信息。创建新 AWS 组织时,生成整个组织的统计数据最多可能需要 24 小时。
**如何使用这个小部件**
+ **配置**:如果未配置防护计划,请在**操作**列下选择**配置**。
+ **查看已启用的账户**:将鼠标悬停在**已启用的账户**列中的栏上,查看有多少账户已启用每个防护计划。要进一步查看账户详细信息,请选择绿色栏,然后选择**查看账户**。
![\[在 “ GuardDuty 摘要” 控制面板中查看成员账户的保护计划启用状态。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# 筛选搜索结果 GuardDuty
调查发现筛选条件允许您查看匹配指定条件的调查发现,筛选出任何不匹配的调查发现。您可以使用 Amazon GuardDuty 控制台轻松创建查找筛选条件,也可以使用 JSON 通过 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API 创建筛选条件。查看以下部分,了解如何在控制台中创建筛选条件。要使用这些筛选条件自动存档传入的调查发现,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
创建筛选条件时,请考虑以下事项:
+ 您可以指定最少 1 个属性,最多 50 个属性作为特定筛选条件。
+ 当您使用**等于**或**不等于**运算符来筛选账户 ID 等属性值时,最多可以指定 50 个值。
+ 每个筛选条件属性都作为 `AND` 运算符进行计算。同一属性的多个值计算为 `AND/OR`。
+ 有关每个筛选器中可以创建的最大保存筛选器数量的信息 AWS 区域,请参阅[GuardDuty 配额](guardduty_limits.md)。 AWS 账户
以下各节提供有关如何使用 GuardDuty 控制台、API 和 CLI 命令创建和保存筛选器的说明。选择首选访问方法以继续操作。
## 在 GuardDuty 控制台中创建和保存筛选器集
可以通过 GuardDuty 控制台创建和测试查找过滤器。您可以保存通过控制台创建的筛选条件,以便在抑制规则或在将来的筛选操作中使用。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。
**创建和保存筛选条件(控制台)**
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在左侧导航窗格中,选择**发现**。
1. 在**调查发现**页面上,选择**已保存规则**菜单旁边的*筛选调查发现*栏。这将显示展开的**属性筛选条件**列表。
![\[选择属性筛选器以筛选 GuardDuty 控制台中的搜索结果。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. 从展开的筛选条件列表中,选择希望据以筛选调查发现表的属性。
例如,要查看可能受影响资源为 **S3Bucket** 的调查发现,请选择**资源**类型。
1. 对于**运算符**,请选择一个有助于筛选调查发现以获得所需结果的运算符。要继续执行上一步中的示例,可以选择**资源类型 =**。这将显示中的资源类型列表 GuardDuty。
![\[选择 “等于” 或 “不等于” 运算符可在控制台中筛选结果。 GuardDuty\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
如果使用案例需要排除特定调查发现,则可以选择**不等于**或 **\$1=** 运算符。
1. 为所选属性筛选条件指定值。如果需要,选择**应用**。要继续执行上一步中的示例,可以选择 **S3Bucket**。
这将显示与应用的筛选条件匹配的调查发现。
1. 要添加多个筛选条件,请重复步骤 3 – 6。
有关完整的属性列表,请参阅[中的属性筛选器 GuardDuty](#filter_criteria)。
1.
**(可选)将指定的属性和值保存为筛选条件**
为了将来能再次应用此筛选条件组合,您可以将指定的属性及其值另存为筛选条件集。
1. 使用一个或多个属性筛选条件创建筛选条件后,请在**清除筛选条件**菜单中选择*箭头*。
![\[将过滤器设置保 GuardDuty 存在控制台中,以便能够再次筛选结果。\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. 输入筛选条件集的**名称**。名称必须具有 3 到 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (\$1)。
1. **描述**是为可选项。如果输入描述,最多可包含 512 个字符。
1. 选择**创建**。
## 使用 GuardDuty API 和 CLI 创建和保存筛选器集
您可以使用 API 或 CLI 命令创建和测试调查发现筛选条件。筛选条件由至少一个筛选标准组成,包含一个与至少一个值配对的筛选条件属性。您可以保存筛选条件以创建 [抑制规则](findings_suppression-rule.md)或稍后执行其他筛选操作。
**使用 API/CLI 创建调查发现筛选条件**
+ 使用要创建过滤器的 AWS 账户 位置的区域探测器 ID 运行 [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API。
要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
+ 或者,您可以使用 [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) 来创建和保存筛选条件。您可以使用 [中的属性筛选器 GuardDuty](#filter_criteria)中的一个或多个筛选条件。
使用以下示例,替换以红色显示的占位符值。
**示例 1**:创建新筛选条件,以查看与特定调查发现类型匹配的所有调查发现
以下示例创建了一个筛选条件,其与从特定映像中创建的实例的所有 `PortScan` 调查发现匹配。占位符值以红色显示。将这些值替换为适用于账户的值。例如,*12abc34d567e8fa901bc2d34EXAMPLE*替换为您的区域探测器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**示例 2**:创建新筛选条件,以查看与严重性级别匹配的所有调查发现
以下示例创建了一个筛选条件,其与所有与 `HIGH` 严重性级别相关联的调查发现匹配。占位符值以红色显示。将这些值替换为适用于账户的值。例如,*12abc34d567e8fa901bc2d34EXAMPLE*替换为您的区域探测器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ 对于 API/CLI,[调查发现的严重性级别](guardduty_findings-severity.md)以数字表示。要根据严重性级别筛选调查发现,请使用以下值:
+ 对于 `LOW` 严重性级别,使用 `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ 对于 `MEDIUM` 严重性级别,使用 `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ 对于 `HIGH` 严重性级别,使用 `{ "severity": { "Equals": ["7", "8"] } }`
+ 对于 `CRITICAL` 严重性级别,使用 `{ "severity": { "Equals": ["9", "10"] } }`
+ 对于具有多个严重性级别的调查发现,请使用类似于以下示例的占位符值:`{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
此示例将显示具有 `HIGH` 或 `CRITICAL` 严重性级别的调查发现。
**注意**
如果您指定的示例仅包含一个数值,而不包含与严重性级别相关联的所有数值,API 和 CLI 可能会显示筛选后的调查发现。当您在 GuardDuty 控制台中使用此已保存的筛选器集时,它将无法按预期工作。这是因为 GuardDuty 控制台将筛选器值视为`CRITICAL``HIGH`、`MEDIUM`、和`LOW`。例如,使用包含 `{ "severity": { "Equals": ["9"] } }` 的 CLI 命令创建的筛选条件,预计会在 API/CLI 中显示相应的输出。但是,此保存的筛选器在 GuardDuty 控制台中使用时包括部分严重性级别,并且不会显示预期的输出。这使得 API 和 CLI 必须指定与每个严重性级别相关联的所有数值。
## 中的属性筛选器 GuardDuty
使用 API 操作创建筛选条件或对结果进行排序时,必须在 JSON 中指定筛选条件。这些筛选条件与调查发现的详细信息 JSON 相关。下表列出了筛选条件属性的控制台显示名称,以及其等效的 JSON 字段名称。
| 控制台字段名称 | JSON 字段名称 |
| --- | --- |
| 账户 ID | accountId |
| 调查发现 ID | id |
| Region | region |
| 严重性 | severity 您可以根据调查发现类型的严重性级别筛选调查发现类型。有关严重性值的更多信息,请参阅 [GuardDuty 调查结果的严重性级别](guardduty_findings-severity.md)。如果您`severity`与 API、 AWS CLI、或一起使用 CloudFormation,则会为其分配一个数值。有关更多信息,请参阅《*亚马逊 GuardDuty * API 参考》中的 “[查找标准](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria)”。 |
| 调查发现类型 | 类型 |
| 更新时间 | updatedAt |
| 访问密钥 ID | 资源。 accessKeyDetails。 accessKeyId |
| 委托人 ID | 资源。 accessKeyDetails.principalID |
| 用户名 | 资源。 accessKeyDetails。用户名 |
| 用户类型 | 资源。 accessKeyDetails.userType |
| IAM 实例配置文件 ID | 资源.instanceDetails。 iamInstanceProfile.id |
| 实例 ID | resource.instanceDetails.instanceId |
| 实例映像 ID | resource.instanceDetails.imageId |
| 实例标签键 | resource.instanceDetails.tags.key |
| 实例标签值 | resource.instanceDetails.tags.value |
| IPv6 地址 | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| 私有 IPv4 地址 | 资源。实例详情。网络接口。 privateIpAddresses。 privateIpAddress |
| 公有 DNS 名称 | 资源。实例详情。网络接口。 publicDnsName |
| 公共 IP | resource.instanceDetails.networkInterfaces.publicIp |
| 安全组 ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| 安全组名称 | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| 子网 ID | resource.instanceDetails.networkInterfaces.subnetId |
| - VPC ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost ARN | resource.instanceDetails.outpostARN |
| 资源类型 | resource.resourceType |
| 存储桶权限 | 资源.s3 .publicaccess.effective BucketDetails Per |
| 存储桶名称 | 资源. BucketDetails s3 .name |
| Bucket tag key | resource.s3 .tags.key BucketDetails |
| Bucket tag value | 资源. BucketDetails s3 .tags.value |
| 存储桶类型 | 资源. BucketDetails s3 .type |
| 操作类型 | service.action.actionType |
| 调用的 API | 服务行动。 awsApiCallaction.api |
| API 调用方类型 | 服务行动。 awsApiCall操作.callerType |
| API 错误代码 | 服务行动。 awsApiCallaction.errorCode |
| API 调用方城市 | 服务行动。 awsApiCall行动。 remoteIpDetails.city.cityName |
| API 调用方国家/地区 | 服务行动。 awsApiCall行动。 remoteIpDetails.country.countr |
| API 呼叫者 IPv4 地址 | 服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv4 |
| API 呼叫者 IPv6 地址 | 服务行动。 awsApiCall行动。 remoteIpDetails.ipAddressv6 |
| API 调用方 ASN ID | 服务行动。 awsApiCall行动。 remoteIpDetails.organication.asn |
| API 调用方 ASN 名称 | 服务行动。 awsApiCall行动。 remoteIpDetails.organization.asnor |
| API 调用方服务名称 | 服务行动。 awsApiCall动作.serviceName |
| DNS 请求域 | 服务行动。 dnsRequestAction.domain |
| DNS 请求域后缀 | 服务行动。 dnsRequestAction。 domainWithSuffix |
| 网络连接受阻 | 服务行动。 networkConnectionAction. 已屏蔽 |
| 网络连接方向 | 服务行动。 networkConnectionAction. 连接方向 |
| 网络连接本地端口 | 服务行动。 networkConnectionAction。 localPortDetails.port |
| 网络连接协议 | 服务行动。 networkConnectionAction. 协议 |
| 网络连接城市 | 服务行动。 networkConnectionAction。 remoteIpDetails.city.cityName |
| 网络连接国家/地区 | 服务行动。 networkConnectionAction。 remoteIpDetails.country.countr |
| 网络连接远程 IPv4 地址 | 服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv4 |
| 网络连接远程 IPv6 地址 | 服务行动。 networkConnectionAction。 remoteIpDetails.ipAddressv6 |
| 网络连接远程 IP ASN ID | 服务行动。 networkConnectionAction。 remoteIpDetails.organication.asn |
| 网络连接远程 IP ASN 名称 | 服务行动。 networkConnectionAction。 remoteIpDetails.organization.asnor |
| 网络连接远程端口 | 服务行动。 networkConnectionAction。 remotePortDetails.port |
| 附属的远程账户 | 服务行动。 awsApiCall行动。 remoteAccountDetails. 关联的 |
| Kubernetes API 调用者地址 IPv4 | 服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv4 |
| Kubernetes API 调用者地址 IPv6 | 服务行动。 kubernetesApiCall行动。 remoteIpDetails.ipAddressv6 |
| Kubernetes 命名空间 | 服务行动。 kubernetesApiCall操作命名空间 |
| Kubernetes API 调用方 ASN ID | 服务行动。 kubernetesApiCall行动。 remoteIpDetails.organication.asn |
| Kubernetes API 调用请求 URI | 服务行动。 kubernetesApiCall操作.requesturi |
| Kubernetes API 状态代码 | 服务行动。 kubernetesApiCallaction.statusCode |
| 网络连接本地 IPv4 地址 | 服务行动。 networkConnectionAction。 localIpDetails.ipAddressv4 |
| 网络连接本地 IPv6 地址 | 服务行动。 networkConnectionAction。 localIpDetails.ipAddressv6 |
| 协议 | 服务行动。 networkConnectionAction. 协议 |
| API 调用服务名称 | 服务行动。 awsApiCall动作.serviceName |
| API 调用方账户 ID | 服务行动。 awsApiCall行动。 remoteAccountDetails.accountID |
| 威胁列表名称 | 服务。附加信息。 threatListName |
| 资源角色 | service.resourceRole |
| EKS 集群名称 | 资源。 eksClusterDetails.name |
| Kubernetes 工作负载名称 | resource.kubernetes 详情。 kubernetesWorkloadDetails.name |
| Kubernetes 工作负载命名空间 | resource.kubernetes 详情。 kubernetesWorkloadDetails. 命名空间 |
| Kubernetes 用户名 | resource.kubernetes 详情。 kubernetesUserDetails。用户名 |
| Kubernetes 容器映像 | resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.image |
| Kubernetes 容器映像前缀 | resource.kubernetes 详情。 kubernetesWorkloadDetails.containers.imagePref |
| 扫描 ID | 服务。 ebsVolumeScan详情.scanID |
| EBS 卷扫描威胁名称 | 服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称.threatnames.names |
| S3 对象扫描威胁名称 | 服务。 malwareScanDetails.treats.name |
| 威胁严重性 | 服务。 ebsVolumeScan详情。扫描检测。 threatDetectedBy名称。威胁名称。严重性 |
| 文件 SHA | 服务。 ebsVolumeScan详情。扫描检测。 threatDetectedByname.threatnames.filePaths |
| ECS 集群名称 | 资源。 ecsClusterDetails.name |
| ECS 容器映像 | 资源。 ecsClusterDetails.taskdetails.containers |
| ECS 任务定义 ARN | 资源。 ecsClusterDetails.taskdetails.definition |
| 独立容器映像 | resource.containerDetails.image |
| 数据库实例 Id | 资源。 rdsDbInstance详情。 dbInstanceIdentifier |
| 数据库集群 Id | 资源。 rdsDbInstance详情。 dbClusterIdentifier |
| 数据库引擎 | 资源。 rdsDbInstance细节。引擎 |
| 数据库用户 | 资源。 rdsDbUserDetails. 用户 |
| 数据库实例标签键 | 资源。 rdsDbInstance详细信息.tags.key |
| 数据库实例标签值 | 资源。 rdsDbInstance详情标签值值 |
| 可执行文件 SHA-256 | service.runtimeDetails.process.executableSha256 |
| 进程名称 | service.runtimeDetails.process.name |
| 可执行文件路径 | service.runtimeDetails.process.executablePath |
| Lambda 函数名称 | resource.lambdaDetails.functionName |
| Lambda 函数 ARN | resource.lambdaDetails.functionArn |
| Lambda 函数标签键 | resource.lambdaDetails.tags.key |
| Lambda 函数标签值 | resource.lambdaDetails.tags.value |
| DNS 请求域 | 服务行动。 dnsRequestAction。 domainWithSuffix |
# 中的抑制规则 GuardDuty
抑制规则是一组标准,由与值配对的筛选器属性组成,用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建抑制规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则,也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型,或者定义更精细的筛选条件,仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。
禁止显示的发现不会发送到亚马逊简单存储服务 AWS Security Hub CSPM、Amazon Detective 或亚马逊 EventBridge,如果您通过 Security Hub CSPM、第三方 SIEM 或其他警报和票务应用程序使用 GuardDuty 发现,则会降低查找噪音水平。如果您已启用[EC2 恶意软件防护](malware-protection.md),则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。
GuardDuty 即使搜索结果符合您的禁止规则,也会继续生成结果,但是,这些发现会自动标记为**已存档**。存档的查找结果将在 GuardDuty 其中存储 90 天,在此期间可以随时查看。您可以在 GuardDuty 控制台中通过从查找结果表中选择 “**已存档**” 来查看隐藏的搜索结果,也可以通过 GuardDuty API 使用`findingCriteria`标准`service.archived`等于 true 的 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API 来查看隐藏的搜索结果。
**注意**
在多账户环境中,只有 GuardDuty 管理员才能创建禁止规则。
## 在扩展威胁检测中使用隐藏规则
GuardDuty 扩展威胁检测可自动检测跨越数据源、多种 AWS 资源类型和时间的多阶段攻击。 AWS 账户它能将不同数据来源的事件关联起来,以识别可能对 AWS 环境构成潜在威胁的场景,然后生成攻击序列调查发现。有关更多信息,请参阅 [扩展威胁检测功能的工作原理](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works)。
当您创建用于存档调查发现的隐藏规则时,扩展威胁检测在关联事件以构建攻击序列时将无法使用这些已存档的调查发现。宽泛的抑制规则可能会影响检测 GuardDuty 与检测多阶段攻击一致的行为的能力。不会将因隐藏规则而存档的调查发现视为攻击序列的信号。例如,如果您创建的抑制规则用于存档所有与 EKS 集群相关的发现,而不是针对特定的已知活动,则将 GuardDuty 无法使用这些发现来检测威胁行为者利用容器、获取特权令牌和访问敏感资源的攻击序列。
请考虑以下建议 GuardDuty:
+ 继续使用隐藏规则,减少来自已知可信活动的提醒。
+ 将抑制规则的重点放在你不 GuardDuty 想得出结果的特定行为上。
## 抑制规则的常见用例和示例
以下调查发现类型具有使用抑制规则的常见应用场景。选择调查发现名称以详细了解该调查发现。检查应用场景描述,确定是否要为该调查发现类型构建抑制规则。
**重要**
GuardDuty 建议您以被动方式构建抑制规则,并且仅针对您在环境中反复发现误报的发现建立抑制规则。
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws):当 VPC 网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关发出时,使用抑制规则来自动存档生成的调查发现。
当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,则建议您使用抑制规则,并创建一个由两个筛选条件组成的规则。第一个标准是 **finding type(调查发现类型)**,它应是 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`。第二个筛选条件是 **API 呼叫者 IPv4 地址**以及本地互联网网关的 IP 地址或 CIDR 范围。以下示例代表了根据 API 调用方 IP 地址抑制此调查发现类型的筛选条件。
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**注意**
要包含多个 API 调用方, IPs 您可以为每个调用方添加一个新的 API 调用方 IPv4地址过滤器。
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan):使用脆弱性评测应用程序时,使用抑制规则来自动存档调查发现。
抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/Portscan`。第二个筛选条件应与托管这些漏洞评测工具的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定 AMI 的实例来抑制此调查发现类型的筛选条件。
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce):当针对堡垒机实例时,使用抑制规则来自动存档调查发现。
如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `UnauthorizedAccess:EC2/SSHBruteForce`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport):当针对有意公开的实例时,使用抑制规则来自动存档调查发现。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/PortProbeUnprotectedPort`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### 适用于运行时监控调查发现的建议抑制规则
+ 当容器内的进程与 Docker 套接字通信时会生成 [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)。您的环境中可能有一些容器出于合法原因需要访问 Docker 套接字。从此类容器访问将生成 PrivilegeEscalation:Runtime/DockerSocketAccessed 调查发现。如果您的 AWS 环境中出现这种情况,我们建议您为此发现类型设置抑制规则。第一个条件应使用值等于 `PrivilegeEscalation:Runtime/DockerSocketAccessed` 的**调查发现类型**字段。第二个筛选条件是**可执行路径**字段,其值等于生成的调查发现中进程的 `executablePath`。或者,第二个筛选条件可以使用**可执行 SHA-256** 字段,其值等于生成的调查发现中进程的 `executableSha256`。
+ Kubernetes 集群将自己的 DNS 服务器作为容器组运行,例如 `coredns`。因此,每次从 Pod 中查找 DNS 时,都会 GuardDuty捕获两个 DNS 事件——一个来自容器,另一个来自服务器 pod。这可能会对以下 DNS 调查发现生成重复项:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
重复的调查发现包括与 DNS 服务器容器组相对应的容器组、容器和进程详细信息。您可以使用这些字段设置抑制规则,以抑制重复的调查发现。第一个筛选条件应使用**调查发现类型**字段,其值等于本节前面提供的调查发现列表中的 DNS 调查发现类型。第二个筛选条件可以是**可执行路径**,其值等于 DNS 服务器的 `executablePath`;也可以是**可执行 SHA-256**,其值等于生成的调查发现中 DNS 服务器的 `executableSHA256`。作为可选的第三个筛选条件,您可以使用 **Kubernetes 容器映像**字段,其值等于生成的调查发现中 DNS 服务器容器组的容器映像。
# 在中创建抑制规则 GuardDuty
抑制规则是一组标准,包括使用筛选器属性和提供您不 GuardDuty 想为其生成查找类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音,抑制的结果不会发送到任何可以 AWS 服务 与之集成的结果。要详细了解创建抑制规则的常见应用场景,请参阅[抑制规则](findings_suppression-rule.md)。
您可以使用 GuardDuty 控制台中的抑制规则页面可视化、创建和管理**抑制规则**。也可以根据您现有的已保存过滤器生成禁止规则。有关创建筛选条件的更多信息,请参阅 [筛选搜索结果 GuardDuty](guardduty_filter-findings.md)。
**筛选条件可以包括使用**等号和运**算符的精确匹配、使用匹配和**NotEquals**运算**符的通配符匹配**或使用**GreaterThan**GreaterThanEquals****、**LessThan**和**NotMatches**LessThanEquals****运算符进行**比较匹配**。**可以在[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)页面中找到有关可用运算符的更多信息。
选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。
------
#### [ Console ]
**要使用控制台创建抑制规则,请执行以下操作:**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在 “**禁止规则**” 页面上,单击 “**创建抑制规则**” 以打开 “**创建抑制规则**” 表单。
1. 输入抑制规则的**名称**。名称必须具有 3 到 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (\$1)。
1. **描述**是为可选项。如果输入描述,最多可包含 512 个字符。有效的字符为 a-z、A-Z、0-9、句点(.)、连字符(-)、冒号(:)、方括号(\$1\$1()[])、正斜杠(/)和空格。
1. **排名**是可选的。它可以是一个数值,从 1 到过滤器和抑制规则的总数再加 1。
1. 在 “**属性**” 部分下,从下拉列表中选择一个**密钥**和一个**运算符**。
1. 根据所选密钥从日期选择器中输入 “字符串” 或 “日期” 值。如果是字符串值,请键入文本并按 Enter。如果是字符串值,则可以添加多个值。
1. 通过选择 “添加条件” 来**添加另一组**密钥**、**运算符**和**值**,可以添加其他条件**。
1. 选择 “**创建抑制规则**” 以创建并保存抑制规则。
您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息,请参阅 [筛选搜索结果 GuardDuty](guardduty_filter-findings.md)。
**要使用保存的筛选条件创建抑制规则:**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**调查发现**页面上,从**已保存规则**菜单中,选择已保存的筛选条件集规则。这将自动显示符合该条件的筛选条件集和调查发现。
1. 您还可以向此已保存规则添加更多筛选条件。如果您不需要其他筛选条件,请跳过此步骤。要添加一个或多个筛选条件,请按照 [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page) 中的步骤 3 到 7 进行操作,然后继续执行以下步骤。
1. 添加筛选条件并确认筛选后的调查发现符合要求后,选择**创建隐藏规则**。
1. 输入隐藏规则的**名称**,名称必须为 3 – 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (\$1)。
1. **描述**是为可选项。如果输入描述,最多可包含 512 个字符。
1. 选择**创建**。
1. 如果您不需要在已保存的规则中添加其他筛选条件,请按照步骤 4 到 7 创建筛选器。
------
#### [ API/CLI ]
**要使用 API 创建抑制规则:**
1. 您可以通过 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 创建抑制规则。为此,请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将隐藏任何向 `test.example.com` 域发出 DNS 请求的、未存档的低严重性调查发现。对于中严重性调查发现,输入列表为 `["4", "5", "7"]`。对于高严重性调查发现,输入列表为 `["6", "7", "8"]`。对于重大严重性调查发现,输入列表为 `["9", "10"]`。您还可以根据列表中的任意一个值进行筛选。
以下示例为函数名称前缀 “” 和前缀不是 “MyFunc” 的函数标签的 lambda 函数添加了低严重性发现的过滤器 TestTag
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
您可以使用通配符 \$1 和? 来创建禁止规则 。 仅使用**匹配项**和**NotMatches**运算符支持过滤器中的通配符。要匹配任意数量的字符,可以在属性值中使用\$1;要匹配单个字符,可以使用? 在属性值中。过滤器在单个通配符条件下最多支持 5 个属性,在单个属性中最多支持 5 个通配符。以下示例添加了与前缀 “” 匹配的 Lambda 名称的筛选条件,但未添加带有 “MyFuncTestTag” 作为前缀的标签后跟 0-2 个字符的 Lambda 函数的筛选条件。
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
有关 JSON 字段名及其控制台等效项的列表,请参阅[中的属性筛选器 GuardDuty](guardduty_filter-findings.md#filter_criteria)。
要测试筛选条件,请在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, AWS CLI 请按照示例进行操作。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**注意**
通配符匹配不适用于 ListFindings 和。 GetFindingsStatistics无法使用 ListFindings 和 GetFindingsStatistics验证包含通配符的条件。
1. 使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 或使用 AWS CLI,按照以下实例,使用自己的检测器 ID、抑制规则名称和 .json 文件上传要用作抑制规则的筛选条件。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
您可以使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API 以编程方式查看筛选条件列表。您可以向 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API 提供筛选条件名称,来查看单个筛选条件的详细信息。使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) API 更新筛选条件或使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API 删除筛选条件。
------
# 更新中的禁止规则 GuardDuty
本节提供了在特定版本 AWS 账户 中更新禁止规则的步骤 AWS 区域。
您可以从 GuardDuty 控制台的禁止**规则页面更新现有的抑制规则**。 GuardDuty 支持通过 GuardDuty 控制台或使用 GuardDuty CLI/API 更新抑制过滤器描述、等级和筛选条件。更新禁止规则遵循与描述、等级和标准字段值相同的限制[创建抑制规则](create-suppression-rules-guardduty.md)。
如果您是成员账户,则您的管理员账户可以代表您执行此操作。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法来删除 GuardDuty 查找类型的禁止规则。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**禁止规则**页面上,选择要更新的禁止规则。
1. 从 “**操作**” 下拉列表中,选择 “**更新禁止规则**”。
1. 这将打开现有的抑制规则表单。
1. 根据需要对 “**描述**”、“**等级****” 和 “属性**” 部分进行更改。
1. 选择 “**更新抑制规则**” 以更新禁止规则。
------
#### [ API/CLI ]
**要使用 API 更新禁止规则,请执行以下操作:**
1. 您可以通过 UpdateFilter API 更新禁止规则。只能使用 UpdateFilter API 更新**描述**、**等级**和**标准**。这三个字段都是可选的。
1. 要更新现有筛选器,您需要提供计划更新的筛选器的名称。
1. 如果要更新现有条件,请使用更新后的条件创建一个 JSON 文件,该文件与您最初创建筛选条件的方式类似。禁止任何向 test.example.com 域发出 DNS 请求的未存档的低严重性发现结果的标准示例。对于中等严重性调查结果,输入列表将是 ["4"、" 5"、"7"]。对于严重性较高的结果,输入列表将是 ["6"、" 7"、“8"]。对于严重性检测结果,输入列表将为 ["9"、“10"]。您还可以根据列表中的任意一个值进行筛选。以下示例添加了针对低严重性调查发现的筛选条件。
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
有关 JSON 字段名及其控制台等效项的列表,请参阅[中的属性筛选器 GuardDuty](guardduty_filter-findings.md#filter_criteria)。
要测试筛选条件,请在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, AWS CLI 请按照示例进行操作。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty list-detectors --region us-east-1
```
1. 如果要更新描述,可以在 CLI 调用中包含描述参数。
1. 如果要更新排名,可以在 CLI 调用中加入等级参数。
1. 如果要从抑制过滤器更新为常规过滤器,请在 CLI 调用中使用操作参数和值作为 **AR** CHIVE。
1. 更新您现有的过滤器 API,或者使用 AWS CLI 以下示例,使用您自己的检测器 ID、抑制规则的名称和.json 文件。
1. 以下是更新上述所有参数的 CLI 示例。您可以从命令中选择要针对您的用例更新的特定参数-
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# 在中删除禁止规则 GuardDuty
本节提供了在特定版本 AWS 账户 中删除禁止规则的步骤 AWS 区域。
您可能需要删除不再符合您环境中预期行为的抑制规则。您不想再隐藏关联的查找类型,这样 GuardDuty 就可以生成查找类型。
如果您是成员账户,则您的管理员账户可以代表您执行此操作。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法以删除用于 GuardDuty 查找类型的禁止规则。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**禁止规则**页面上,选择要删除的抑制规则。
1. 从 “**操作**” 下拉列表中,选择 “**删除抑制规则**”。
1. 它会弹出一个确认弹出窗口。选择 “**删除**” 以继续删除。或者选择 “**取消**” 以取消该操作。
------
#### [ API/CLI ]
运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API。为特定区域指定筛选条件名称和关联的检测器 ID。
或者,您可以使用以下 AWS CLI 示例,替换格式为中的值*red*:
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
------
# 使用实体列表和 IP 地址列表自定义威胁检测
Amazon 通过分析和处理 VPC 流日志、 AWS CloudTrail 事件日志和 DNS 日志来 GuardDuty 监控您的 AWS 环境安全。通过启用一个或多个以[用例为重点的 GuardDuty 保护计划](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)(除外)[运行时监控](runtime-monitoring.md),您可以扩展其中的监控功能。 GuardDuty
使用列表, GuardDuty 可帮助您自定义环境中威胁检测的范围。您可以配置 GuardDuty 为停止从可信来源生成调查结果,并从威胁列表中生成已知恶意来源的调查结果。 GuardDuty 继续支持传统 IP 地址列表,并将支持扩展到可能包含 IP 地址和/或域的实体列表(推荐)。
**Topics**
+ [理解实体列表和 IP 地址列表](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清单的重要注意事项](#guardduty-lists-entity-sets-considerations)
+ [列表格式](#prepare_list)
+ [了解列表状态](#guardduty-entity-list-statuses)
+ [设置实体列表和 IP 地址列表的先决条件](guardduty-lists-prerequisites.md)
+ [添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)
+ [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)
+ [停用实体列表或 IP 地址列表](guardduty-lists-deactivate-procedure.md)
+ [删除实体列表或 IP 地址列表](guardduty-lists-delete-procedure.md)
## 理解实体列表和 IP 地址列表
GuardDuty 提供了两种实现方法:实体列表(推荐)和 IP 列表。这两种方法都可以帮助您指定可信来源,这些来源可 GuardDuty 阻止生成发现结果和已知威胁,后者 GuardDuty 用于生成调查结果。
**实体列表**同时支持 IP 地址和域名。它们仅需单一 IAM 权限即可实现直接的 Amazon Simple Storage Service(Amazon S3)访问,不会影响多个区域的 IAM 策略大小限制。
**IP 列表**仅支持 IP 地址而且需要使用 [GuardDuty 服务相关角色 (SLR)](slr-permissions.md)(SLR),需要按区域更新 IAM 策略,这可能会影响 IAM 策略的大小限制。
可信列表(包括实体列表和 IP 地址列表)包括您信任的用于与您的 AWS 基础架构进行安全通信的条目。 GuardDuty 不会为可信来源中列出的条目生成搜索结果。在任何给定时间, AWS 账户 每个区域只能添加一个可信实体列表和一个可信 IP 地址列表。
威胁列表(包括实体列表和 IP 地址列表)包含您确认为已知恶意来源的条目。当 GuardDuty 检测到涉及这些来源的活动时,它会生成调查结果,提醒您注意潜在的安全问题。您可以创建自己的威胁列表或整合第三方威胁情报源。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据涉及威胁列表条目的活动生成调查结果。在任何给定时间, AWS 账户 每个区域最多可以上传六个威胁实体列表和威胁 IP 地址列表。
**注意**
要从 IP 地址列表迁移到实体列表,请按照[实体列表的先决条件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)中的信息进行操作,然后启用所需的实体列表。之后,您可以选择停用或删除相应的 IP 地址列表。
## GuardDuty 清单的重要注意事项
在开始使用列表之前,请阅读以下注意事项:
+ IP 地址列表和实体列表仅适用于目标位公开可路由 IP 地址和域的流量。
+ 在实体列表中,条目适用于 Amazon VPC 中的 VPC 流日志和 Route53 Resolver DNS 查询日志结果。 CloudTrail
在 IP 地址列表中,条目适用于 Amazon VPC 发现结果中的 VPC 流日志,但不适用于 Route53 Resolver DNS 查询日志结果。 CloudTrail
+ 如果您在可信列表和威胁列表中都包含相同的 IP 地址或域,则可信列表中的此条目将优先。 GuardDuty 如果存在与此条目相关的活动,则不会生成调查结果。
+ 在多账户环境中,只有 GuardDuty 管理员帐户才能管理列表。此设置自动应用于成员账户。 GuardDuty 根据涉及管理员帐户威胁源的已知恶意 IP 地址(和域)的活动生成调查结果,并且不会根据涉及管理员帐户可信来源的 IP 地址(和域)的活动生成调查结果。有关更多信息,请参阅 [亚马逊有多个账户 GuardDuty](guardduty_accounts.md)。
+ 只接受 IPv4 地址。 IPv6 不支持地址。
+ 启用、停用或删除实体列表或 IP 地址列表的过程预计需要 15 分钟完成。在某些情况下,此过程可能需要长达 40 分钟才能完成。
+ GuardDuty 仅当列表的状态变为 “**活动**” 时,才使用列表进行威胁检测。
+ 每当您在列表的 S3 存储桶位置添加或更新条目时,都必须重新启用该列表。有关更多信息,请参阅 [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)。
+ 实体列表和 IP 地址列表具有不同的配额。有关更多信息,请参阅 [GuardDuty 配额](guardduty_limits.md)。
## 列表格式
GuardDuty 您的列表和实体列表接受多种文件格式,每个文件最大 35 MB。每种格式都有特定的要求和功能。
### 纯文本(TXT)
此格式支持 IP 地址、CIDR 范围和域名。每行只能有一个条目。
**Example **实体列表示例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 地址列表示例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression(STIX)
此格式支持 IP 地址、CIDR 数据块和域名。STIX 允许您在威胁情报中加入其他背景信息。 GuardDuty 处理 STIX 指标中的 IP 地址、CIDR 范围和域名。
**Example **实体列表示例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 地址列表示例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange(OTX)TM CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。此文件格式采用逗号分隔值。
**Example **实体列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 地址列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight 威胁情报 CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。以下示例列表采用 `FireEyeTM` CSV 格式。
**Example **实体列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 地址列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
在 ProofPoint CSV 格式中,可以在一个列表中添加 IP 地址或域名。以下示例列表使用 `Proofpoint` CSV 格式。可以选择是否为 `ports` 参数提供值。如果不提供,请在末尾留一个逗号 (,)。
**Example **实体列表示例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 地址列表示例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM 信誉提要
以下示例列表使用 `AlienVault` 格式。
**Example **实体列表示例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 地址列表示例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 了解列表状态
添加实体列表或 IP 地址列表时,会 GuardDuty 显示该列表的状态。**状态**列指示列表是否有效以及是否需要采取任何操作。下表描述了各种有效状态值:
+ **活动**:表示列表当前正在用于自定义威胁检测。
+ **非活动**:表示列表当前未被使用。 GuardDuty 要在您的环境中使用此列表进行威胁检测,请参阅中的步骤 3:激活实体列表或 IP 地址列表[添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)。
+ **错误**:表示列表有问题。将鼠标悬停在状态上方可查看错误详情。
+ **激活**-表示 GuardDuty 已启动激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态会更新为**活动**。如果状态保持为**正在启用**,您无法对此列表执行任何操作。列表状态可能需要几分钟才能变为**活动**状态。
+ **停用** — 表示 GuardDuty 已启动取消激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态应更新为**非活动**。如果状态保持为**正在停用**,您无法对此列表执行任何操作。
+ **待删除**:表示正在删除列表。如果状态保持为**待删除**,您无法对此列表执行任何操作。
# 设置实体列表和 IP 地址列表的先决条件
GuardDuty 使用实体列表和 IP 地址列表自定义 AWS 环境中的威胁检测。实体列表(建议)同时支持 IP 地址和域名,而 IP 地址列表仅支持 IP 地址。在开始创建这些列表之前,您必须为要使用的列表类型添加所需的权限。
## 实体列表的先决条件
添加实体列表时,从 S3 存储桶中 GuardDuty 读取您的可信列表和威胁情报列表。用于创建实体列表的角色必须拥有 `s3:GetObject` 权限,以访问包含这些列表的 S3 存储桶。
**注意**
在多账户环境中,只有 GuardDuty 管理员账户可以管理列表,列表会自动应用于成员账户。
如果您还没有 S3 存储桶位置的`s3:GetObject`权限,请使用以下示例策略并*amzn-s3-demo-bucket*替换为您的 S3 存储桶位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址列表的先决条件
各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 [AmazonGuardDutyFullAccess\$1v2(推荐)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。
要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
这些操作未包含在 `AmazonGuardDutyFullAccess` 托管策略中。
### 将 SSE-KMS 加密与实体列表和 IP 列表配合使用
GuardDuty 支持对您的列表进行 SSE AES256 和 SSE-KMS 加密。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
无论您使用的是实体列表还是 IP 列表,如果您使用 SSE-KMS,请将以下声明添加到您的 AWS KMS key 策略中。*123456789012*用您自己的账户 ID 替换。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 添加和启用实体列表或 IP 列表
实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅[理解实体列表和 IP 地址列表](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。要管理您 AWS 环境的可信数据和威胁情报数据, GuardDuty建议使用实体列表。在开始之前,请参阅[设置实体列表和 IP 地址列表的先决条件](guardduty-lists-prerequisites.md)。
选择以下访问方法之一添加和启用可信实体列表、威胁实体列表、可信 IP 列表或威胁 IP 列表。
------
#### [ Console ]
**(可选)步骤 1:获取列表的位置 URL**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在导航窗格中,选择**存储桶**。
1. 选择包含要添加的特定列表的 Amazon S3 存储桶名称。
1. 选择对象(列表)名称以查看其详细信息。
1. 在**属性**选项卡下,复制该对象的 **S3 URI**。
**步骤 2:添加可信或威胁情报数据**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择**实体列表**或**IP 地址列表**选项卡。
1. 根据您选择的选项卡,选择添加可信列表或威胁列表。
1. 在“添加可信列表或威胁列表”的对话框中,执行以下操作:
1. 对于**列表名称**,输入列表的名称。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 对于**位置**,请提供您上传列表的位置。如果您还没有,请参阅 [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**位置 URL 的格式:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (可选)对于**预期存储桶拥有者**,您可以输入拥有**位置**字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。
如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有**位置**字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。
如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。
1. 选中 **I agree** 复选框。
1. 选择 **Add list**。默认情况下,已添加列表的**状态**为**非活动**。要使列表生效,必须激活列表。
**步骤 3:启用实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要启用列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 选择要启用的列表。这将启用**操作**和**编辑**菜单。
1. 选择**操作**,然后选择**启用**。
------
#### [ API/CLI ]
**添加和启用可信实体列表**
1. 运行 [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)。确保提供要为其创建此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**添加和启用威胁实体列表**
1. 运行 [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)。确保提供要为其创建此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**添加和启用可信 IP 地址列表**
1. 运行 “[创建” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。确保提供要为其创建此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其更新可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
**添加和启用威胁 IP 列表**
1. 运行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。确保提供要为其创建此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其更新威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`替换为要为其创建威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
------
启用实体列表或 IP 地址列表后,列表可能需要几分钟才能生效。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
# 更新实体列表或 IP 地址列表
实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅[理解实体列表和 IP 地址列表](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。
可以更新列表名称、S3 存储桶位置、预期存储桶所有者账户 ID 以及现有列表中的条目。如果您更新列表中的条目,则必须按照步骤重新激活列表, GuardDuty 才能使用最新版本的列表。更新或启用实体列表或 IP 地址列表后,此列表可能需要几分钟才能生效。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
**注意**
如果列表的状态为**启用**、**停用**或**待删除**,则必须等待几分钟才能执行任何操作。有关这些状态的信息,请参阅[了解列表状态](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
选择一种访问方法来更新实体列表或 IP 地址列表。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择相应的选项卡:**实体列表**或 **IP 地址列表**。
1. 选择一个要更新的列表(可信列表或威胁列表)。这将启用**操作**和**编辑**菜单。
1. 选择**编辑**。
1. 在列表更新对话框中,指定要更新的详细信息。
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
1. (可选)对于**预期存储桶拥有者**,您可以输入拥有**位置**字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。
如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有**位置**字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。
如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。
1. 选中**我同意**复选框,然后选择**更新列表**。
------
#### [ API/CLI ]
要开始以下过程,您需要与要更新的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**更新和启用可信实体列表**
1. 运行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。确保提供要为其更新此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 `name` 并启用此列表:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**更新和启用威胁实体列表**
1. 运行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。确保提供要为其创建此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 `name` 并启用此列表:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此`--detector-id`值关联的 AWS 账户 ID 是否拥有`--location`参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。
**更新并启用可信 IP 地址列表**
1. 运行 “[创建” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。确保提供要为其更新此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要更新可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
**添加和启用威胁 IP 列表**
1. 运行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。确保提供要为其创建此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**列表命名约束**:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (\$1)。
对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`替换为要更新威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
如果您不想启用此新建列表,请将参数 `--activate` 替换为 `--no-activate`。
`expected-bucket-owner` 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有`expected-bucket-owner`参数中指定的 S3 存储桶。`--location`如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。
------
# 停用实体列表或 IP 地址列表
当您不 GuardDuty 想再使用列表时,可以将其停用。此过程可能需要几分钟才能完成。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。列表停用后,实体列表或 IP 地址列表中的条目将不会影响中的 GuardDuty威胁检测。
选择以下其中一种访问方法来停用列表。
------
#### [ Console ]
**停用实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要停用列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 在选择的选项卡中,选择要停用的列表。
1. 选择**操作**,然后选择**停用**。
1. 确认操作并选择**停用**。
------
#### [ API/CLI ]
要开始以下过程,您需要与要停用的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**停用受信任实体列表**
1. 运行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。确保提供要为其停用此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
替换为要停`detector-id`用可信实体列表的成员帐户的检测器 ID 以及其他占位符值。*shown in red*
**停用威胁实体列表**
1. 运行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。确保提供要为其停用此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**停用可信 IP 地址列表**
1. 运行[更新IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)。确保提供要为其停用此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其停用可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**停用威胁 IP 列表**
1. 运行 [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)。确保提供要为其停用此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其停用威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 删除实体列表或 IP 地址列表
如果不想再在实体集或 IP 地址集中保留列表条目,可将其删除。此过程可能需要几分钟才能完成。有关更多信息,请参阅 [GuardDuty 清单的重要注意事项](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
如果列表的状态为**启用**或**停用**,则必须等待几分钟才能执行任何操作。有关更多信息,请参阅 [了解列表状态](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
选择一种访问方法来删除列表。
------
#### [ Console ]
**删除实体列表或 IP 地址列表**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**列表**。
1. 在**列表**页面上,选择要删除列表的选项卡:**实体列表**或 **IP 地址列表**。
1. 在选择的选项卡中,选择要删除的列表。
1. 选择**操作**,然后选择**删除**。
列表状态将更改为**待删除**。列表删除可能需要几分钟时间。
------
#### [ API/CLI ]
要开始以下过程,您需要与要删除的列表资源关联的 ID,例如 `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet` 或 `threatIpSet`。
**删除可信实体列表**
1. 运行 [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)。确保提供要为其删除此可信实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除可信实体列表的成员账户的探测器 ID 以及其他占位符值。*shown in red*
**停用威胁实体列表**
1. 运行 [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)。确保提供要为其删除此威胁实体列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**删除可信 IP 地址列表**
1. 运行 [“删除” IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)。确保提供要为其删除此可信 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其删除可信 IP 地址列表的成员账户的检测器 ID。
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
**删除威胁 IP 列表**
1. 运行 [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)。确保提供要为其删除此威胁 IP 地址列表的成员账户的 `detectorId`。要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将 `detector-id` 替换为要为其删除威胁 IP 列表的成员账户的检测器 ID。
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`替换为要删除威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。*shown in red*
------
# 将生成的 GuardDuty 调查结果导出到 Amazon S3 存储桶
GuardDuty 将生成的调查结果保留 90 天。 GuardDuty 将活动调查结果导出到 Amazon EventBridge (EventBridge)。您可以选择将生成的调查发现导出到 Amazon Simple Storage Service(Amazon S3)存储桶。这将有助您跟踪账户中潜在可疑活动的历史数据,并评估建议的补救措施是否成功。
生成的任何新的活跃发现将在 GuardDuty 生成结果后大约 5 分钟内自动导出。您可以设置将活动发现的更新导出到的频率 EventBridge。您选择的频率适用于将新出现的现有发现导出到 S3 存储桶(配置后)和 Detective(集成后)。 EventBridge有关如何 GuardDuty 汇总多个出现的现有发现的信息,请参阅。[GuardDuty 查找聚合](finding-aggregation.md)
在配置设置以将调查结果导出到 Amazon S3 存储桶时, GuardDuty 使用 AWS Key Management Service (AWS KMS) 对 S3 存储桶中的调查结果数据进行加密。这要求您为 S3 存储桶和 AWS KMS 密钥添加权限,以便 GuardDuty 可以使用它们导出账户中的调查结果。
**Topics**
+ [注意事项](#guardduty-export-findings-considerations)
+ [第 1 步 – 配置调查发现导出所需的权限](#guardduty_exportfindings-permissions)
+ [第 2 步 – 将策略附加到 KMS 密钥](#guardduty-exporting-findings-kms-policy)
+ [第 3 步 – 将策略附加到 Amazon S3 存储桶](#guardduty_exportfindings-s3-policies)
+ [第 4 步 – 将调查发现导出到 S3 存储桶(控制台)](#guardduty_exportfindings-new-bucket)
+ [第 5 步 – 设置导出更新后活动调查发现的频率](#guardduty_exportfindings-frequency)
## 注意事项
在完成调查发现导出的先决条件并执行导出步骤之前,请注意以下关键概念:
+ **导出设置是区域性的** — 您需要在使用的每个区域中配置导出选项 GuardDuty。
+ **将调查结果导出到不同 AWS 区域 (跨区域)的 Amazon S3 存储桶** — GuardDuty 支持以下导出设置:
+ 您的 Amazon S3 存储桶或对象以及 AWS KMS 密钥必须属于同一存储桶或对象 AWS 区域。
+ 对于在商业区域中生成的调查发现,您可以选择将这些调查发现导出到任何商业区域中的 S3 存储桶。但是,您不能将这些调查发现导出到选择加入型区域中的 S3 存储桶。
+ 对于在选择加入区域生成的调查发现,您可以选择将这些调查发现导出到生成相关调查发现的同一选择加入型区域或任何商业区域。但是,您不能将调查发现从一个选择加入型区域导出到另一个选择加入型区域。
+ **导出调查结果的权限**-要配置导出活动发现的设置,您的 S3 存储桶必须具有 GuardDuty 允许上传对象的权限。您还必须拥有 GuardDuty 可用于加密发现结果的密 AWS KMS 钥。
+ **不导出存档的调查发现**:默认行为是不导出存档的调查发现,包括新出现的被抑制的调查发现。
当 GuardDuty 查找结果生成为 “*已存档*” 时,您需要将其*取消存档*。这会将**筛选器查找状态**更改为 “**活动**”。 GuardDuty 根据您的配置[第 5 步 – 导出调查发现的频率](#guardduty_exportfindings-frequency)将更新导出到现有未存档的查找结果。
+ **GuardDuty 管理员帐户可以导出关联成员帐户中生成的**调查结果-当您在管理员帐户中配置导出结果时,在同一区域中生成的关联成员帐户的所有结果也将导出到您为管理员帐户配置的相同位置。有关更多信息,请参阅 [了解 GuardDuty 管理员账户和成员账户之间的关系](administrator_member_relationships.md)。
## 第 1 步 – 配置调查发现导出所需的权限
在配置导出调查结果的设置时,您可以选择一个用于存储调查结果的 Amazon S3 存储桶和用于数据加密的 AWS KMS 密钥。除了 GuardDuty 操作权限外,您还必须拥有以下操作的权限,才能成功配置用于导出结果的设置:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
如果您需要将调查发现导出到 Amazon S3 存储桶中的特定前缀,则还必须向 IAM 角色添加以下权限:
+ `s3:GetObject`
+ `s3:ListBucket`
## 第 2 步 – 将策略附加到 KMS 密钥
GuardDuty 使用对存储桶中的发现数据进行 AWS Key Management Service加密。要成功配置设置,必须先授予使用 KMS 密钥的 GuardDuty 权限。您可以通过将[策略附加](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)到 KMS 密钥来授予权限。
当您使用其他账户的 KMS 密钥时,您需要通过登录拥有 AWS 账户 该密钥的账户来应用密钥策略。在配置调查发现导出设置时,还需要来自拥有该密钥的账户的密钥 ARN。
**修改的 KMS 密钥策略 GuardDuty 以加密导出的结果**
1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。
1. 要更改 AWS 区域,请使用页面右上角的区域选择器。
1. 选择一个现有 KMS 密钥或执行《AWS Key Management Service 开发人员指南》**中 [Create a new key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 部分的步骤,您将使用该密钥来加密导出的调查发现。
**注意**
您 AWS 区域 的 KMS 密钥和 Amazon S3 存储桶的密钥必须相同。
您可以使用相同的 S3 存储桶和 KMS 密钥对,从任何适用区域导出调查发现。有关更多信息,请参阅跨区域导出调查发现的[注意事项](#guardduty-export-findings-considerations)。
1. 在 **Key policy**(密钥策略)部分,选择 **Edit**(编辑)。
如果显示**切换到策略视图**,请选择该选项以显示**密钥策略**,然后选择**编辑**。
1. 将以下策略块复制到您的 KMS 密钥策略中,以授予使用您的密钥的 GuardDuty权限。
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. 通过替换策略示例**red**中格式化的以下值来编辑策略:
1. *KMS key ARN*替换为 KMS 密钥的亚马逊资源名称 (ARN)。要查找密钥 ARN,请参阅《AWS Key Management Service 开发人员指南》中的 [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)**。
1. 替换为*123456789012*拥有导出调查结果的 GuardDuty 账户的 AWS 账户 ID。
1. *Region2*替换为生成 GuardDuty 结果 AWS 区域 的位置。
1. *SourceDetectorID*替换`detectorID`为生成调查结果的特定区域的 GuardDuty 账户。
要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
**注意**
如果您在选择加入的区域 GuardDuty 中使用,请将 “服务” 的值替换为该地区的区域终端节点。例如,如果您 GuardDuty 在中东(巴林)(me-south-1) 地区使用,请替换为。`"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"`有关每个选择加入区域的终端节点的信息,请参阅[GuardDuty 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
1. 如果在最后一条语句之前添加了策略语句,请在添加该语句之前添加一个逗号。确保 KMS 密钥策略的 JSON 语法有效。
选择**保存**。
1. (可选)将密钥 ARN 复制到记事本,以便在后续步骤中使用。
## 第 3 步 – 将策略附加到 Amazon S3 存储桶
向要将结果导出到的 Amazon S3 存储桶添加权限,以便 GuardDuty 可以将对象上传到此 S3 存储桶。无论使用属于您的账户还是其他账户的 Amazon S3 存储桶 AWS 账户,您都必须添加这些权限。
如果您在任何时候决定将调查发现导出到其他 S3 存储桶,要继续导出调查发现,则必须向该 S3 存储桶添加权限并重新配置调查发现导出设置。
如果您还没有要将这些调查发现导出到的 Amazon S3 存储桶,请参阅《Amazon S3 用户指南》中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)**。
### 将权限附加到 S3 存储桶策略
1. 执行《Amazon S3 用户指南》中[创建或编辑存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)**下的步骤,直到出现**编辑存储桶策略**页面。
1. **示例策略**显示了如何授予将调查结果导出到 Amazon S3 存储桶的 GuardDuty权限。如果在配置调查发现导出后更改路径,则必须修改策略以授予对新位置的权限。
复制以下**示例策略**并将其粘贴到**存储桶策略编辑器**中。
如果在最后一条语句之前添加了策略语句,请在添加该语句之前添加一个逗号。确保 KMS 密钥策略的 JSON 语法有效。
**S3 存储桶示例策略**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. 通过替换策略示例**red**中格式化的以下值来编辑策略:
1. *Amazon S3 bucket ARN*替换为 Amazon S3 存储桶的亚马逊资源名称 (ARN)。您可以在控制台的**编辑存储桶策略页面上找到存储桶** **ARN**。[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. 替换为*123456789012*拥有导出调查结果的 GuardDuty 账户的 AWS 账户 ID。
1. *us-east-2*替换为生成 GuardDuty 结果 AWS 区域 的位置。
1. *SourceDetectorID*替换`detectorID`为生成调查结果的特定区域的 GuardDuty 账户。
要查找您的账户和当前区域的,请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面,或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
1. 将*[optional prefix]*部分占位*S3 bucket ARN/[optional prefix]*符值替换为要将结果导出到的可选文件夹位置。有关使用前缀的更多信息,请参阅《Amazon S3 用户指南》中的[使用前缀组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)**。
当您提供尚不存在的可选文件夹位置时,仅当与 S3 存储桶关联的账户与导出结果的账户相同时,才 GuardDuty 会创建该位置。如果您将调查发现导出到属于其他账户的 S3 存储桶,则文件夹位置必须已经存在。
1. 替换为*KMS key ARN*与导出到 S3 存储桶的结果的加密相关的 KMS 密钥的 Amazon 资源名称 (ARN)。要查找密钥 ARN,请参阅《AWS Key Management Service 开发人员指南》中的 [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)**。
**注意**
如果您在选择加入的区域 GuardDuty 中使用,请将 “服务” 的值替换为该地区的区域终端节点。例如,如果您 GuardDuty 在中东(巴林)(me-south-1) 地区使用,请替换为。`"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"`有关每个选择加入区域的终端节点的信息,请参阅[GuardDuty 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
1. 选择**保存**。
## 第 4 步 – 将调查发现导出到 S3 存储桶(控制台)
GuardDuty 允许您将调查结果导出到另一个存储桶中的现有存储桶 AWS 账户。
创建新的 S3 存储桶时,或者选择账户中现有的存储桶时,您可以添加前缀。配置导出调查结果时,请在 S3 存储桶中为查找结果 GuardDuty 创建一个新文件夹。前缀将附加到 GuardDuty 创建的默认文件夹结构中。例如,可选前缀的格式为 `/AWSLogs/123456789012/GuardDuty/Region`。
该 S3 对象的完整路径将是 `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`。`UUID` 是随机生成的,不代表检测器 ID 或调查发现 ID。
**重要**
KMS 密钥和 S3 存储桶必须位于同一区域。
在完成这些步骤之前,请确保已将相应的策略附加到您的 KMS 密钥和现有 S3 存储桶。
**配置调查发现导出**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**设置**。
1. 在**设置**页面的**调查发现导出选项**下,对于 **S3 存储桶**,选择**立即配置**(或根据需要选择**编辑**)。
1. 对于 **S3 存储桶 ARN**,输入 ****bucket ARN****。要查找存储桶 ARN,请参阅《Amazon S3 用户》指南中的[查看 S3 存储桶的属性](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)**。
1. 对于 **KMS 密钥 ARN**,请输入 ****key ARN****。要查找密钥 ARN,请参阅《AWS Key Management Service 开发人员指南》中的 [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)**。
1.
**附加策略**
+ 执行附加 S3 存储桶策略的步骤。有关更多信息,请参阅 [第 3 步 – 将策略附加到 Amazon S3 存储桶](#guardduty_exportfindings-s3-policies)。
+ 执行附加 KMS 密钥策略的步骤。有关更多信息,请参阅 [第 2 步 – 将策略附加到 KMS 密钥](#guardduty-exporting-findings-kms-policy)。
1. 选择 **Save**。
## 第 5 步 – 设置导出更新后活动调查发现的频率
根据您的环境,配置导出更新后的活动调查发现的频率。默认情况下,每 6 小时导出一次更新的调查发现。这意味着,在最近一次导出之后更新的任何调查发现都包含在下一次导出的内容中。如果每 6 小时导出一次更新的调查发现,且导出发生在 12:00,则在 12:00 后更新的任何调查发现都会在 18:00 导出。
**要设置频率**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 选择**设置**。
1. 在**调查发现导出选项**部分,选择**更新调查发现的频率**。这设置了将更新的活跃调查结果导出到 Amazon S3 EventBridge 和 Amazon S3 的频率。可从以下选项中进行选择:
+ **每 15 分钟更新 EventBridge 一次 S3**
+ **每 1 小时更新 EventBridge 一次 S3**
+ **每 6 小时更新 EventBridge 一次 S3(默认)**
1. 选择**保存更改**。
# 使用 Amazon 处理 GuardDuty 调查结果 EventBridge
GuardDuty 自动将调查结果作为事件发布(发送)到无服务器事件总线服务 Amazon EventBridge (前身为 Amazon CloudWatch Events)。 EventBridge 将来自应用程序和服务的近乎实时的数据流提供给亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题 AWS Lambda 、函数和 Amazon Kinesis 流等目标。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
EventBridge 支持通过接收[事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html)自动监控和处理 GuardDuty 调查结果。 EventBridge 接收新生成的发现和汇总结果的事件,其中现有发现的后续出现与原始发现相结合。每个 GuardDuty查找结果都被分配一个查找 ID,并使用唯一的查找 ID 为每个发现 GuardDuty 创建一个 EventBridge 事件。有关聚合在中的工作原理的信息 GuardDuty,请参阅[GuardDuty 查找聚合](finding-aggregation.md)。
除了自动监控和处理外,使用 EventBridge 还可以长期保留您的发现数据。 GuardDuty 将发现的结果存储 90 天。使用 EventBridge,您可以将调查结果数据发送到首选存储平台,并根据需要将数据存储多长时间。要将发现结果保留更长的时间,请 GuardDuty 支持[将生成的调查发现导出到 Amazon S3](guardduty_exportfindings.md)。
**Topics**
+ [EventBridge 通知频率为 GuardDuty](#eventbridge-freq-notifications-gdu)
+ [设置 Amazon SNS 主题和端点](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [EventBridge 与一起使用 GuardDuty](#eventbridge_events)
+ [创建 EventBridge 规则](#guardduty_eventbridge_severity_notification)
+ [EventBridge 多账户环境规则](#guardduty_findings_eventbridge_multiaccount)
## 了解中的 EventBridge 通知频率 GuardDuty
本节说明您通过多久收到查找通知的频率 EventBridge以及如何更新后续查找事件的频率。
**具有唯一调查发现 ID 的新生成调查发现的通知**
GuardDuty 当它生成带有唯一查找 ID 的查找结果时,它会近乎实时地发送这些通知。该通知会包括在通知生成过程中此调查发现 ID 后续的所有事件。
新生成的调查发现的通知频率接近实时。默认情况下,您无法修改此频率。
**后续调查发现事件的通知**
GuardDuty 将在 6 小时间隔内发生的特定查找类型的所有后续事件汇总为一个事件。只有管理员帐户才能更新后续查找事件的 EventBridge 通知频率。成员账户无法更新自己账户的此频率。例如,如果委派 GuardDuty 管理员账户将频率更新为一小时,则所有成员账户的后续查找事件的通知频率也将为一小时。 EventBridge有关更多信息,请参阅 [亚马逊有多个账户 GuardDuty](guardduty_accounts.md)。
作为管理员账户,您可以自定义有关后续调查发现事件通知的默认频率。可能的值为 15 分钟、1 小时或 6 小时(默认值)。有关设置通知频率的信息,请参阅 [第 5 步 – 设置导出更新后活动调查发现的频率](guardduty_exportfindings.md#guardduty_exportfindings-frequency)。
有关管理员账户接收成员账户 EventBridge 通知的更多详细信息,请参阅[EventBridge 多账户环境规则](#guardduty_findings_eventbridge_multiaccount)。
## 设置 Amazon SNS 主题和端点(电子邮件、Slack 和 Amazon Chime)
Amazon Simple Notification Service(Amazon SNS)是一项完全托管式服务,提供从发布者至订阅用户的消息传输。发布者通过将消息发送至*主题*实现与订阅用户的异步交流。主题是一种逻辑接入点和通信渠道,允许您对多个终端节点进行分组 AWS Lambda,例如亚马逊简单队列服务 (Amazon SQS)、HTTP/S 和电子邮件地址。
**注意**
在首选事件规则创建期间或之后,您可以将 Amazon SNS 主题添加到首选 EventBridge 事件规则中。
**创建 Amazon SNS 主题**
首先,您必须在 Amazon SNS 中设置一个主题并添加一个端点。要创建主题,请按照《Amazon Simple Notification Service Developer Guide》**中的 [Step 1: Creating a topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) 的步骤进行操作。创建主题后,将主题 ARN 复制到剪贴板。后续会需要使用此主题 ARN 继续进行首选设置之一。
选择一种首选方法来确定要将 GuardDuty 查找数据发送到何处。
------
#### [ Email setup ]
**设置电子邮件端点**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 之后,下一步是创建对此主题的订阅。请按照《Amazon Simple Notification Service Developer Guide》**中的 [Step 2: Creating a subscription to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) 的步骤进行操作。
1. 对于**主题 ARN**,请使用在 [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 步骤中创建的主题 ARN。主题 ARM 类似于以下内容:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. 对于**协议**,请选择**电子邮件**。
1. 对于**端点**,输入您要从 Amazon SNS 接收通知的电子邮件地址。
创建订阅后,您需要通过电子邮件客户端确认订阅。
------
#### [ Slack setup ]
**在聊天应用程序客户端 Slack 中配置 Amazon Q 开发者版**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 之后,下一步是配置 Slack 客户端。
有关任何其他详细信息,请参阅《Amazon Q Developer in chat applications Administrator Guide》**中的 [Tutorial: Get started with Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html)。
------
#### [ Chime setup ]
**在聊天应用程序客户端 Chime 中配置 Amazon Q 开发者版**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 之后,下一步是为 Chime 配置 Amazon Q Developer。
有关任何其他详细信息,请参阅《Amazon Q Developer in chat applications Administrator Guide》**中的 [Tutorial: Get started with Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html)。
------
## 使用 Amazon EventBridge 获取 GuardDuty 调查结果
使用 EventBridge,您可以创建规则来指定要监视的事件。这些规则还可以指定在这些事件发生时可以执行自动操作的目标服务和应用程序。[目标](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)是一个目的地(资源或终端节点),当事件与规则中定义的事件模式匹配时,它会将事件 EventBridge 发送到该目的地。每个事件都是一个 JSON 对象,它符合 AWS 事件 EventBridge 架构,并包含发现的 JSON 表示形式。您可以调整规则,使其仅发送那些符合特定条件的事件。有关更多信息,请参阅 [JSON 架构主题]。由于调查结果数据是按[EventBridge事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html)结构的,因此您可以使用其他应用程序、服务和工具来监控、处理和处理调查结果。
要接收有关基于事件的 GuardDuty 发现的通知,您必须为创建 EventBridge 规则和目标 GuardDuty。通过此规则 EventBridge ,可以将 GuardDuty 生成的结果通知发送到规则中指定的目标。
**注意**
EventBridge 和 CloudWatch 事件是相同的底层服务和 API。但是, EventBridge 包括其他功能,可帮助您接收来自软件即服务 (SaaS) 应用程序和您自己的应用程序的事件。由于底层服务和 API 相同,因此 GuardDuty 查找结果的事件架构也相同。
**存档和未存档的调查结果如何与之配合 GuardDuty 使用 EventBridge**
对于手动存档的调查结果,将 EventBridge 根据特定的通知频率将这些发现的初次和所有后续出现的结果(存档完成后生成)发送到。有关更多信息,请参阅 [了解中的 EventBridge 通知频率 GuardDuty](#eventbridge-freq-notifications-gdu)。
对于自动存档的调查结果[抑制规则](findings_suppression-rule.md),这些发现的初次和所有后续出现的结果(存档完成后生成)都*不会*发送到。 EventBridge您可以在 GuardDuty 控制台中查看这些自动存档的调查结果。
### 事件架构
[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)定义了用于确定是否将事件发送到目标的数据 EventBridge 。 EventBridge的事件 GuardDuty 采用以下格式:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
`detail` 值将单个调查发现的 JSON 详细信息作为对象返回,而不是返回整个 *findings* 响应语法,响应语法支持一个数组包含多个调查发现。
有关中包含的所有参数的完整列表`GUARDDUTY_FINDING_JSON_OBJECT`,请参见[GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax)。在 `GUARDDUTY_FINDING_JSON_OBJECT` 中显示的 `id` 参数是之前介绍的调查发现 ID。
## 为 GuardDuty 调查结果创建 EventBridge 规则
以下过程说明了如何使用 Amazon EventBridge 控制台和 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 为 GuardDuty 调查结果创建 EventBridge 规则。该规则检测使用 EventBridge事件架构和模式进行 GuardDuty 发现的事件,并将这些事件发送到 AWS Lambda 函数进行处理。
AWS Lambda 是一项计算服务,无需预置或管理服务器即可使用它来运行代码。您可以打包您的代码并将其 AWS Lambda 作为 *Lambda 函数*上传到。 AWS Lambda 然后在函数被调用时运行该函数。您可以手动调用函数,自动调用函数以响应事件,或者响应来自应用程序或服务的请求。有关创建和调用 Lambda 函数的信息,请参阅[《AWS Lambda 开发人员指南》](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)。
选择您的首选方法来创建将您的 GuardDuty发现发送到目标的 EventBridge 规则。
------
#### [ Console ]
按照以下步骤使用 Amazon EventBridge 控制台创建规则,自动将所有 GuardDuty 查找事件发送到 Lambda 函数进行处理。该规则对收到特定事件时运行的规则使用默认设置。有关规则设置的详细信息或要了解如何创建使用自定义设置的[规则,请参阅 *Amazon EventBridge 用户指南*中的创建对事件做出反应](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)的规则。
在创建规则之前,请创建您希望该规则用作目标的 Lambda 函数。创建规则时,需要将此函数指定为规则的目标。目标也可以是您之前创建的 SNS 主题。有关更多信息,请参阅 [设置 Amazon SNS 主题和端点(电子邮件、Slack 和 Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint)。
**使用控制台创建事件规则**
1. 登录 AWS 管理控制台 并打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 在导航窗格中的**总线**下,选择**规则**。
1. 在**规则**部分中,选择**创建规则**。
1. 在**定义规则详细信息**页面上,执行以下操作:
1. 对于**名称**,输入规则的名称。
1. (可选)对于**描述**,输入规则的简要描述。
1. 对于**事件总线**,请确保选择**默认值**,以及**在选定的事件总线上启用该规则**已开启。
1. 对于**规则类型**,选择**具有事件模式的规则**。
1. 完成后,选择 **Next (下一步)**。
1. 在**构建事件模式**页面上,执行以下操作:
1. 对于**事件来源**,选择**AWS 事件或 EventBridge 合作伙伴事件**。
1. (可选)对于**示例事件**,请查看的示例查找事件 GuardDuty 以了解事件可能包含的内容。为此,请选择 **AWS 事件**。然后,对于**示例事件**,选择**GuardDuty查找**。
1.
**选项 1-使用模式表单,即 EventBridge 提供以下内容的模板**
在**事件模式**部分中,执行以下操作:
1. 对于**创建方法**,选择**使用模式表单**。
1. 对于**事件源**,选择 **AWS 服务**。
1. 对于 **AWS 服务**,选择 **GuardDuty**。
1. 对于**事件类型**,选择**GuardDuty 查找**。
完成后,选择 **Next (下一步)**。
1.
**选项 2:使用 JSON 格式的自定义事件模式**
在**事件模式**部分中,执行以下操作:
1. 对于**创建方法**,选择**自定义模式(JSON 编辑器)**。
1. 对于**事件模式**,粘贴以下自定义 JSON,该自定义 JSON 将针对中、高和重大严重程度的调查发现创建警报。有关更多信息,请参阅 [调查发现的严重性级别](guardduty_findings-severity.md)。
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
完成后,选择 **Next (下一步)**。
1.
**选项 A-选择 AWS 服务 - AWS Lambda 作为目标**
在**选择目标**页面上,执行以下操作:
1. 对于**目标类型**,选择 **AWS 服务**。
1. 对于 **Select a target**(选择目标),选择 **Lambda function**(Lambda 函数)。然后,对于**函数**,选择您要将调查发现发送到的 Lambda 函数。
1. 对于**配置版本/别名**,输入目标 Lambda 函数的版本或别名设置。
1. (可选)对于**其他设置**,输入自定义设置以指定要向 Lambda 函数发送哪些事件数据。您还可以指定如何处理未成功传递到函数的事件。
1. 完成后,选择 **Next (下一步)**。
1.
**选项 B:选择 SNS 主题作为目标**
在**选择目标**页面上,执行以下操作:
1. 对于**目标类型**,选择 **AWS 服务**。
1. 对于 **Select a target**(选择一个目标),选择 **SNS topic**(SNS 主题)。然后,对于**目标位置**,根据您的目标位置选择合适的选项。对于**主题**,选择您创建的 SNS 主题名称。
1. 展开**其他设置**。对于**配置目标输入**,选择**输入转换器**。
1. 选择 **Configure input transformer**(配置输入转换器)。
1. 复制以下代码并粘贴到**目标输入转换器**部分的**输入路径**字段中。
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. 复制以下代码并粘贴到**模板**字段中,以便格式化电子邮件。
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. 在**配置标签**页面上,可以选择输入要分配给规则的一个或多个标签。然后选择**下一步**。
1. 在**查看并创建**页面上,查看规则的设置并验证它们是否正确。
要更改设置,选择包含该设置的部分中的**编辑**,然后输入正确的设置。您也可以使用导航选项卡转到包含设置的页面。
1. 在输入完验证设置后,请选择**创建规则**。
------
#### [ API ]
以下过程说明如何使用 AWS CLI 命令为其创建 EventBridge 规则和目标 GuardDuty。具体而言,该过程向您展示了如何创建规则,该规则 EventBridge 允许将 GuardDuty 生成的所有结果的事件发送给作为规则目标的 AWS Lambda 函数。
**注意**
在此示例中,我们使用 Lambda 函数作为触发规则的目标。 EventBridge您也可以将其他 AWS 资源配置为要触发的目标 EventBridge。 GuardDuty 并 EventBridge 支持以下目标类型:亚马逊 EC2 实例、Amazon Kinesis 直播、亚马逊 ECS 任务、 AWS Step Functions 状态机、`run`命令和内置目标。有关更多信息,请参阅 *Amazon EventBridge API 参考[PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)*中的。
**创建规则和目标**
1. 要创建允许为 GuardDuty生成的所有发现发送事件的规则,请运行 EventBridge 以下 EventBridge CLI 命令。
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
您可以进一步自定义规则, EventBridge 使其指示仅针对 GuardDuty生成的结果的子集发送事件。该子集基于规则中指定的一个或多个调查发现属性。例如,使用以下 CLI 命令创建一条规则, EventBridge 允许仅针对严重性为 5 或 8 的 GuardDuty 发现发送事件:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
为此,您可以使用 JSON 中可用的任何属性值来查找 GuardDuty 结果。
1. 要附加 Lambda 函数作为您在步骤 1 中创建的规则的目标,请运行以下 CL CloudWatch I 命令。
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
请务必将上述命令`your-target-name`中的事件替换为实际的 Lambda 函数。 GuardDuty
1. 要添加调用目标所需的权限,请运行以下 Lambda CLI 命令。
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
请务必将上述命令`your_function`中的事件替换为实际的 Lambda 函数。 GuardDuty
------
## EventBridge GuardDuty 多账户环境规则
使用委派 GuardDuty 管理员账户时,您可以查看成员账户中生成的事件并使用其他应用程序和服务进行操作。 EventBridge 您的管理员账户中的规则将根据您的成员账户的适用结果触发。如果您在管理员帐户 EventBridge 中设置了查找通知,则您的账户和成员账户都将收到有关查找结果的通知。例如,您可以使用将特定类型的发现发送 EventBridge 到 Lambda 函数,该函数处理数据并将其发送到您的安全事件和事件管理 (SIEM) 系统。
您可以使用 GuardDuty 查找结果的 JSON 详细信息`accountId`字段来识别发现结果的成员账户。要为特定成员账户创建自定义事件规则,请创建新规则并在**事件模式**中使用以下模板。*123456789012*替换为您要触发事件的成员账号。`accountId`
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**注意**
此示例创建的规则与来自指定账户 ID 的所有调查发现相匹配。您可以 IDs 按照 JSON 语法使用逗号分隔多个账户。
# 了解 EC2 恶意软件防护扫描期间跳过资源的 CloudWatch 日志和原因
GuardDuty EC2 恶意软件防护将事件发布到您的 Amazon CloudWatch 日志组**/aws/guardduty/malware-scan-events**。对于与恶意软件扫描相关的每个事件,您可以监控受影响资源的状态和扫描结果。在 EC2 恶意软件防护扫描期间可能跳过了某些 Amazon EC2 资源和 Amazon EBS 卷。
## 审计 EC2 GuardDuty 恶意软件防护中的 CloudWatch 日志
**/aws/guardduty/malware-scan-events 日志组支持三种类型的扫描事件** CloudWatch 。
| EC2 恶意软件防护扫描事件名称 | 说明 |
| --- | --- |
| `EC2_SCAN_STARTED` | 在 EC2 GuardDuty 恶意软件防护启动恶意软件扫描过程(例如准备拍摄 EBS 卷快照)时创建。 |
| `EC2_SCAN_COMPLETED` | 在针对受影响资源的至少一个 EBS 卷的 EC2 GuardDuty 恶意软件防护扫描完成时创建。此事件还包括属于扫描的 EBS 卷的 `snapshotId`。扫描完成后,扫描结果将是 `CLEAN`、`THREATS_FOUND` 或 `NOT_SCANNED`。 |
| `EC2_SCAN_SKIPPED` | 在 EC2 GuardDuty 恶意软件防护扫描跳过受影响资源的所有 EBS 卷时创建。要确定跳过的原因,请选择相应的事件并查看详细信息。有关跳过原因的更多信息,请参见下文的 [恶意软件扫描期间跳过资源的原因](#mp-scan-skip-reasons)。 |
**注意**
如果您使用的是 AWS Organizations,Organizations 中成员账户中的 CloudWatch 日志事件会同时发布到管理员帐户和成员账户的日志组。
选择您首选的访问方式来查看和查询 CloudWatch 事件。
------
#### [ Console ]
1. 登录 AWS 管理控制台 并打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在导航窗格中,在**日志**下选择**日志组**。选择**/aws/guardduty/malware-scan-e** vents 日志组以查看 EC2 GuardDuty 恶意软件防护的扫描事件。
要运行查询,选择 **Log Insights**。
有关运行查询的信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用 Lo CloudWatch gs Insights 分析日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。
1. 选择**扫描 ID** 以监控受影响资源和恶意软件调查发现的详细信息。例如,您可以使用运行以下查询来筛选 CloudWatch 日志事件`scanId`。请务必使用自己的有效证件*scan-id*。
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ 要使用日志组,请参阅[使用 *Amazon CloudWatch 用户指南 AWS CLI*中的搜索日志条目](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)。
选择**/aws/guardduty/malware-scan-e** vents 日志组以查看 EC2 GuardDuty 恶意软件防护的扫描事件。
+ 要查看和筛选日志事件,请分别参阅 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)*Amazon CloudWatch API 参考*中的和。[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)
------
## GuardDuty 针对 EC2 日志保留的恶意软件防护
**/aws/guardduty/malware-scan-** events 日志组的默认日志保留期为 90 天,之后日志事件将自动删除。要更改日志组的日志保留策略,请参阅《*亚马逊 CloudWatch 用户指南》中的 “ CloudWatch 日志” 或《亚马逊 CloudWatch * [*API 参考*》[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)中的 “更改日志数据保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)”。 CloudWatch
## 恶意软件扫描期间跳过资源的原因
在与恶意软件扫描相关的事件中,可能在扫描过程中跳过某些 EC2 资源和 EBS 卷。下表列出了 EC2 GuardDuty 恶意软件防护可能无法扫描资源的原因。如果适用,请使用建议的步骤来解决这些问题,并在下次 EC2 GuardDuty 恶意软件防护启动恶意软件扫描时扫描这些资源。其他问题用于告知您事件的过程,且不可采取行动。
| 跳过的原因 | 说明 | 建议的步骤 |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | 在`resourceArn`您的 AWS 环境中找不到用于启动按需恶意软件扫描的。 | 验证您的 Amazon EC2 实例或容器工作负载的 `resourceArn`,然后重试。 |
| `ACCOUNT_INELIGIBLE` | 您尝试启动按需恶意软件扫描的 AWS 账户 ID 尚未启用 GuardDuty。 | 确认 GuardDuty 该 AWS 账户已启用。 在新版本 GuardDuty 中启用后 AWS 区域 ,最多可能需要 20 分钟才能同步。 |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty EC2 恶意软件防护支持未加密和使用客户托管密钥加密的卷。不支持扫描使用 [Amazon EBS 加密](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)进行加密的 EBS卷。 目前,存在不适用此跳过原因的区域差异。有关这些内容的更多信息 AWS 区域,请参阅[特定于区域的特征可用性](guardduty_regions.md#gd-regional-feature-availability)。 | 将您的加密密钥替换为客户托管式密钥。有关 GuardDuty 支持的加密类型的更多信息,请参阅[恶意软件扫描支持的 Amazon EBS 卷](gdu-malpro-supported-volumes.md)。 |
| `EXCLUDED_BY_SCAN_SETTINGS` | 在恶意软件扫描期间,EC2 实例或 EBS 卷被排除在外。有两种可能性:要么将标签添加到包含列表中但资源未与此标签关联,要么将标签添加到排除列表并且资源与此标签相关联,要么此资源的 `GuardDutyExcluded` 标签设置为了 `true`。 | 更新您的扫描选项或与您的 Amazon EC2 资源关联的标签。有关更多信息,请参阅 [使用用户定义的标签扫描选项](malware-protection-customizations.md#mp-scan-options)。 |
| `UNSUPPORTED_VOLUME_SIZE` | 卷大于 2048 GB。 | 不可操作。 |
| `NO_VOLUMES_ATTACHED` | GuardDuty EC2 恶意软件防护在您的账户中找到了该实例,但没有将 EBS 卷附加到该实例以继续扫描。 | 不可操作。 |
| `UNABLE_TO_SCAN` | 这是内部服务错误。 | 不可操作。 |
| `SNAPSHOT_NOT_FOUND` | 找不到从 EBS 卷创建并与服务账户共享的快照,且 EC2 GuardDuty 恶意软件防护无法继续扫描。 | CloudTrail 请检查并确保快照不是故意删除的。 |
| `SNAPSHOT_QUOTA_REACHED` | 您已达到每个区域允许的最大快照容量。这不仅可以防止保留快照,还可以防止创建新快照。 | 您可以移除旧快照或请求增加配额。您可以在《AWS 一般参考指南》**的[服务限额](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)下查看每个区域快照的默认限制以及如何申请增加配额。 |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | 已将超过 11 个 EBS 卷附加到一个 EC2 实例。 GuardDuty EC2 恶意软件防护扫描了前 11 个 EBS 卷,这些卷是通过`deviceName`按字母顺序排序获得的。 | 不可操作。 |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty 可以使用 as 扫描大多数实`productCode`例`marketplace`。某些商城实例可能不符合扫描条件。 GuardDuty 将跳过此类实例并将原因记录为`UNSUPPORTED_PRODUCT_CODE_TYPE`。此支持因 AWS GovCloud (US) 和中国区域而异。有关更多信息,请参阅 [特定于区域的特征可用性](guardduty_regions.md#gd-regional-feature-availability)。 有关更多信息,请参阅 *Amazon EC2 用户指南 AMIs*中的[付费](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)。有关 `productCode` 的更多信息,请参阅《Amazon EC2 API 参考》**中的 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)。 | 不可操作。 |
# 在 “恶意软件防护” 中举报误报 EC2
GuardDuty 针对 EC2 扫描的恶意软件防护可能会将您的 Amazon EC2 实例或容器工作负载中的无害文件识别为恶意文件或有害文件。为了改善您使用该 GuardDuty 服务的恶意软件防护体验,如果您认为在扫描期间被识别为 EC2 恶意或有害的文件实际上不包含恶意软件,则可以报告误报结果。
**将 Amazon EC2 恶意软件扫描结果报告为误报**
要启动该流程,请联系 支持。使用以下步骤提供有关已扫描资源的详细信息:
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 选择 “**EC2 恶意软件扫描**”。
1. 选择扫描以查看其**调查发现 ID**。
1. 提供**调查发现 ID**。您还必须提供文件的 SHA-256 哈希。这是确保 GuardDuty 恶意软件防护收到正确文件所必需的。 EC2
1. 该 支持 团队将为您提供亚马逊简单存储服务 (Amazon S3) Simple Service 的预签名 URL,您可以使用该网址上传潜在的恶意文件和 SHA-256 哈希值。有关上传扫描对象的步骤的信息,请参阅 *Amazon S3 用户指南 URLs*中的[使用预签名上传对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。
1. 上传文件后,请通知 支持 团队。
支持 将在收到文件后提供确认。 GuardDuty 服务团队成员将分析您提交的内容,并采取适当措施改善您使用该 GuardDuty 服务的恶意软件防护体验。 EC2 该 支持 团队将继续提供您的案例的最新状态。 GuardDuty 保留您的 S3 对象不超过 30 天。
# 在 S3 恶意软件防护中将 S3 对象扫描结果报告为误报
S3 恶意软件防护扫描可能会将对象识别为可能有恶意或有害的对象。如果您相信所指示的 S3 对象不包含恶意软件,可将该恶意软件扫描结果报告为误报。
即使您单独使用 S3 恶意软件防护,也可以提交误报报告。在这种情况下, GuardDuty 不是为了生成调查结果而设计的。有关检查扫描状态和结果状态的信息,请参阅[监控 S3 对象扫描](monitoring-malware-protection-s3-scans-gdu.md)。
**报告 S3 对象恶意软件扫描结果为误报**
要启动该流程,请联系 支持。按照下面的步骤操作,提供有关已扫描 S3 对象的详细信息:
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 根据您的应用场景,可选择相应的步骤:
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. 在导航窗格中,选择 **调查发现**。
1. 在**调查发现**页面上,选择误报的调查发现以查看其详细信息。
1. 通过检查调查发现的详细信息,提供**调查发现 ID**、**区域**、受保护的 S3 存储桶**名称**和已扫描对象的**键**。
在**项目路径**详细信息中,提供对象的**哈希值**。这是确保 GuardDuty 收到正确文件所必需的。
------
#### [ Using Malware Protection for S3 independently ]
提供受保护的 S3 存储桶名称、已扫描对象的名称和 AWS 区域。
------
1. 该 支持 团队将为您提供亚马逊简单存储服务 (Amazon S3) Simple Service 的预签名 URL,您可以使用该网址上传潜在的恶意文件和哈希值。有关上传扫描对象的步骤的信息,请参阅 *Amazon S3 用户指南 URLs*中的[使用预签名上传对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。
1. 上传 S3 对象后,通知 支持 团队。
支持 将提供对接收对象的确认。 GuardDuty 服务团队成员将分析您提交的内容,并采取适当措施改善您使用 S3 和 GuardDuty 服务的恶意软件防护体验。该 支持 团队将继续提供您的案例的最新状态。 GuardDuty 保留您的 S3 对象不超过 30 天。
# 在 Backup 恶意软件防护中报告误报
为了改善您使用 Backup GuardDuty 恶意软件保护的体验,您可以举报潜在的误报和误报。
****报告在 Backup 恶意软件防护中发现的潜在误报或误报****
要启动该流程,请联系 支持。使用以下步骤提供有关已扫描资源的详细信息:
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 选择**恶意软件扫描**。
1. 选择扫描以查看其**调查发现 ID**。
1. 提供**调查发现 ID**。您还必须提供文件的 SHA-256 哈希。这是确保 GuardDuty 收到正确文件所必需的。还请提供样品的区域。
1. 该 支持 团队将为您提供亚马逊简单存储服务 (Amazon S3) Simple Service 的预签名 URL,您将使用该网址上传潜在的恶意文件和 SHA-256 哈希值。有关上传扫描资源的步骤的信息,请参阅 *Amazon S3 用户指南 URLs*中的[使用预签名上传对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。
1. 上传文件后,请通知 支持 团队。
支持 将在收到文件后提供确认。 GuardDuty 服务团队成员将分析您提交的内容,并采取适当措施改善您使用恶意软件防护的体验 EC2。该 支持 团队将继续提供您的案例的最新状态。 GuardDuty 保留您的 S3 对象不超过 30 天。