本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的抑制规则 GuardDuty
抑制规则是一组标准,由与值配对的筛选器属性组成,用于通过自动归档与指定标准匹配的新调查发现来筛选调查发现。抑制规则可用于筛选低价值调查发现、误报调查发现或您不打算应对的威胁,以便更轻松地识别对环境影响最大的安全威胁。
创建抑制规则后,只要使用该规则,就会自动存档与规则中定义的标准匹配的新调查发现。您可以使用现有筛选条件创建抑制规则,也可以根据您定义的新筛选条件来创建抑制规则。您可以配置抑制规则以抑制整个调查发现类型,或者定义更精细的筛选条件,仅禁止特定调查发现类型的特定实例。您可以随时编辑抑制规则。
禁止显示的发现不会发送到亚马逊简单存储服务 AWS Security Hub CSPM、Amazon Detective 或亚马逊 EventBridge,如果您通过 Security Hub CSPM、第三方 SIEM 或其他警报和票务应用程序使用 GuardDuty 发现,则会降低查找噪音水平。如果您已启用[EC2 恶意软件防护](malware-protection.md),则隐藏的 GuardDuty 发现将不会启动恶意软件扫描。
GuardDuty 即使搜索结果符合您的禁止规则,也会继续生成结果,但是,这些发现会自动标记为**已存档**。存档的查找结果将在 GuardDuty 其中存储 90 天,在此期间可以随时查看。您可以在 GuardDuty 控制台中通过从查找结果表中选择 “**已存档**” 来查看隐藏的搜索结果,也可以通过 GuardDuty API 使用`findingCriteria`标准`service.archived`等于 true 的 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API 来查看隐藏的搜索结果。
**注意**
在多账户环境中,只有 GuardDuty 管理员才能创建禁止规则。
## 在扩展威胁检测中使用隐藏规则
GuardDuty 扩展威胁检测可自动检测跨越数据源、多种 AWS 资源类型和时间的多阶段攻击。 AWS 账户它能将不同数据来源的事件关联起来,以识别可能对 AWS 环境构成潜在威胁的场景,然后生成攻击序列调查发现。有关更多信息,请参阅 [扩展威胁检测功能的工作原理](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works)。
当您创建用于存档调查发现的隐藏规则时,扩展威胁检测在关联事件以构建攻击序列时将无法使用这些已存档的调查发现。宽泛的抑制规则可能会影响检测 GuardDuty 与检测多阶段攻击一致的行为的能力。不会将因隐藏规则而存档的调查发现视为攻击序列的信号。例如,如果您创建的抑制规则用于存档所有与 EKS 集群相关的发现,而不是针对特定的已知活动,则将 GuardDuty 无法使用这些发现来检测威胁行为者利用容器、获取特权令牌和访问敏感资源的攻击序列。
请考虑以下建议 GuardDuty:
+ 继续使用隐藏规则,减少来自已知可信活动的提醒。
+ 将抑制规则的重点放在你不 GuardDuty 想得出结果的特定行为上。
## 抑制规则的常见用例和示例
以下调查发现类型具有使用抑制规则的常见应用场景。选择调查发现名称以详细了解该调查发现。检查应用场景描述,确定是否要为该调查发现类型构建抑制规则。
**重要**
GuardDuty 建议您以被动方式构建抑制规则,并且仅针对您在环境中反复发现误报的发现建立抑制规则。
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws):当 VPC 网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关发出时,使用抑制规则来自动存档生成的调查发现。
当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,则建议您使用抑制规则,并创建一个由两个筛选条件组成的规则。第一个标准是 **finding type(调查发现类型)**,它应是 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`。第二个筛选条件是 **API 呼叫者 IPv4 地址**以及本地互联网网关的 IP 地址或 CIDR 范围。以下示例代表了根据 API 调用方 IP 地址抑制此调查发现类型的筛选条件。
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**注意**
要包含多个 API 调用方, IPs 您可以为每个调用方添加一个新的 API 调用方 IPv4地址过滤器。
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan):使用脆弱性评测应用程序时,使用抑制规则来自动存档调查发现。
抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/Portscan`。第二个筛选条件应与托管这些漏洞评测工具的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定 AMI 的实例来抑制此调查发现类型的筛选条件。
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce):当针对堡垒机实例时,使用抑制规则来自动存档调查发现。
如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `UnauthorizedAccess:EC2/SSHBruteForce`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据具有特定实例标签值的实例来抑制此调查发现类型的筛选条件。
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport):当针对有意公开的实例时,使用抑制规则来自动存档调查发现。
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/PortProbeUnprotectedPort`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。以下示例代表了根据控制台中具有特定实例标签键的实例来抑制此调查发现类型的筛选条件。
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### 适用于运行时监控调查发现的建议抑制规则
+ 当容器内的进程与 Docker 套接字通信时会生成 [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)。您的环境中可能有一些容器出于合法原因需要访问 Docker 套接字。从此类容器访问将生成 PrivilegeEscalation:Runtime/DockerSocketAccessed 调查发现。如果您的 AWS 环境中出现这种情况,我们建议您为此发现类型设置抑制规则。第一个条件应使用值等于 `PrivilegeEscalation:Runtime/DockerSocketAccessed` 的**调查发现类型**字段。第二个筛选条件是**可执行路径**字段,其值等于生成的调查发现中进程的 `executablePath`。或者,第二个筛选条件可以使用**可执行 SHA-256** 字段,其值等于生成的调查发现中进程的 `executableSha256`。
+ Kubernetes 集群将自己的 DNS 服务器作为容器组运行,例如 `coredns`。因此,每次从 Pod 中查找 DNS 时,都会 GuardDuty捕获两个 DNS 事件——一个来自容器,另一个来自服务器 pod。这可能会对以下 DNS 调查发现生成重复项:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
重复的调查发现包括与 DNS 服务器容器组相对应的容器组、容器和进程详细信息。您可以使用这些字段设置抑制规则,以抑制重复的调查发现。第一个筛选条件应使用**调查发现类型**字段,其值等于本节前面提供的调查发现列表中的 DNS 调查发现类型。第二个筛选条件可以是**可执行路径**,其值等于 DNS 服务器的 `executablePath`;也可以是**可执行 SHA-256**,其值等于生成的调查发现中 DNS 服务器的 `executableSHA256`。作为可选的第三个筛选条件,您可以使用 **Kubernetes 容器映像**字段,其值等于生成的调查发现中 DNS 服务器容器组的容器映像。
# 在中创建抑制规则 GuardDuty
抑制规则是一组标准,包括使用筛选器属性和提供您不 GuardDuty 想为其生成查找类型的值。符合该条件的调查发现类型会自动归档。为了减少噪音,抑制的结果不会发送到任何可以 AWS 服务 与之集成的结果。要详细了解创建抑制规则的常见应用场景,请参阅[抑制规则](findings_suppression-rule.md)。
您可以使用 GuardDuty 控制台中的抑制规则页面可视化、创建和管理**抑制规则**。也可以根据您现有的已保存过滤器生成禁止规则。有关创建筛选条件的更多信息,请参阅 [筛选搜索结果 GuardDuty](guardduty_filter-findings.md)。
**筛选条件可以包括使用**等号和运**算符的精确匹配、使用匹配和**NotEquals**运算**符的通配符匹配**或使用**GreaterThan**GreaterThanEquals****、**LessThan**和**NotMatches**LessThanEquals****运算符进行**比较匹配**。**可以在[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)页面中找到有关可用运算符的更多信息。
选择您的首选访问方法来创建用于 GuardDuty 查找类型的抑制规则。
------
#### [ Console ]
**要使用控制台创建抑制规则,请执行以下操作:**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在 “**禁止规则**” 页面上,单击 “**创建抑制规则**” 以打开 “**创建抑制规则**” 表单。
1. 输入抑制规则的**名称**。名称必须具有 3 到 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (\$1)。
1. **描述**是为可选项。如果输入描述,最多可包含 512 个字符。有效的字符为 a-z、A-Z、0-9、句点(.)、连字符(-)、冒号(:)、方括号(\$1\$1()[])、正斜杠(/)和空格。
1. **排名**是可选的。它可以是一个数值,从 1 到过滤器和抑制规则的总数再加 1。
1. 在 “**属性**” 部分下,从下拉列表中选择一个**密钥**和一个**运算符**。
1. 根据所选密钥从日期选择器中输入 “字符串” 或 “日期” 值。如果是字符串值,请键入文本并按 Enter。如果是字符串值,则可以添加多个值。
1. 通过选择 “添加条件” 来**添加另一组**密钥**、**运算符**和**值**,可以添加其他条件**。
1. 选择 “**创建抑制规则**” 以创建并保存抑制规则。
您也可以从现有保存的筛选条件创建抑制规则。有关创建筛选条件的更多信息,请参阅 [筛选搜索结果 GuardDuty](guardduty_filter-findings.md)。
**要使用保存的筛选条件创建抑制规则:**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**调查发现**页面上,从**已保存规则**菜单中,选择已保存的筛选条件集规则。这将自动显示符合该条件的筛选条件集和调查发现。
1. 您还可以向此已保存规则添加更多筛选条件。如果您不需要其他筛选条件,请跳过此步骤。要添加一个或多个筛选条件,请按照 [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page) 中的步骤 3 到 7 进行操作,然后继续执行以下步骤。
1. 添加筛选条件并确认筛选后的调查发现符合要求后,选择**创建隐藏规则**。
1. 输入隐藏规则的**名称**,名称必须为 3 – 64 个字符。有效字符包括 a-z、A-Z、0-9、句点 (.)、连字符 (-) 和下划线 (\$1)。
1. **描述**是为可选项。如果输入描述,最多可包含 512 个字符。
1. 选择**创建**。
1. 如果您不需要在已保存的规则中添加其他筛选条件,请按照步骤 4 到 7 创建筛选器。
------
#### [ API/CLI ]
**要使用 API 创建抑制规则:**
1. 您可以通过 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 创建抑制规则。为此,请按照下面详述的示例格式在 JSON 文件中指定筛选条件。以下示例将隐藏任何向 `test.example.com` 域发出 DNS 请求的、未存档的低严重性调查发现。对于中严重性调查发现,输入列表为 `["4", "5", "7"]`。对于高严重性调查发现,输入列表为 `["6", "7", "8"]`。对于重大严重性调查发现,输入列表为 `["9", "10"]`。您还可以根据列表中的任意一个值进行筛选。
以下示例为函数名称前缀 “” 和前缀不是 “MyFunc” 的函数标签的 lambda 函数添加了低严重性发现的过滤器 TestTag
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
您可以使用通配符 \$1 和? 来创建禁止规则 。 仅使用**匹配项**和**NotMatches**运算符支持过滤器中的通配符。要匹配任意数量的字符,可以在属性值中使用\$1;要匹配单个字符,可以使用? 在属性值中。过滤器在单个通配符条件下最多支持 5 个属性,在单个属性中最多支持 5 个通配符。以下示例添加了与前缀 “” 匹配的 Lambda 名称的筛选条件,但未添加带有 “MyFuncTestTag” 作为前缀的标签后跟 0-2 个字符的 Lambda 函数的筛选条件。
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
有关 JSON 字段名及其控制台等效项的列表,请参阅[中的属性筛选器 GuardDuty](guardduty_filter-findings.md#filter_criteria)。
要测试筛选条件,请在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, AWS CLI 请按照示例进行操作。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**注意**
通配符匹配不适用于 ListFindings 和。 GetFindingsStatistics无法使用 ListFindings 和 GetFindingsStatistics验证包含通配符的条件。
1. 使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 或使用 AWS CLI,按照以下实例,使用自己的检测器 ID、抑制规则名称和 .json 文件上传要用作抑制规则的筛选条件。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
您可以使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API 以编程方式查看筛选条件列表。您可以向 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API 提供筛选条件名称,来查看单个筛选条件的详细信息。使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) API 更新筛选条件或使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API 删除筛选条件。
------
# 更新中的禁止规则 GuardDuty
本节提供了在特定版本 AWS 账户 中更新禁止规则的步骤 AWS 区域。
您可以从 GuardDuty 控制台的禁止**规则页面更新现有的抑制规则**。 GuardDuty 支持通过 GuardDuty 控制台或使用 GuardDuty CLI/API 更新抑制过滤器描述、等级和筛选条件。更新禁止规则遵循与描述、等级和标准字段值相同的限制[创建抑制规则](create-suppression-rules-guardduty.md)。
如果您是成员账户,则您的管理员账户可以代表您执行此操作。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法来删除 GuardDuty 查找类型的禁止规则。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**禁止规则**页面上,选择要更新的禁止规则。
1. 从 “**操作**” 下拉列表中,选择 “**更新禁止规则**”。
1. 这将打开现有的抑制规则表单。
1. 根据需要对 “**描述**”、“**等级****” 和 “属性**” 部分进行更改。
1. 选择 “**更新抑制规则**” 以更新禁止规则。
------
#### [ API/CLI ]
**要使用 API 更新禁止规则,请执行以下操作:**
1. 您可以通过 UpdateFilter API 更新禁止规则。只能使用 UpdateFilter API 更新**描述**、**等级**和**标准**。这三个字段都是可选的。
1. 要更新现有筛选器,您需要提供计划更新的筛选器的名称。
1. 如果要更新现有条件,请使用更新后的条件创建一个 JSON 文件,该文件与您最初创建筛选条件的方式类似。禁止任何向 test.example.com 域发出 DNS 请求的未存档的低严重性发现结果的标准示例。对于中等严重性调查结果,输入列表将是 ["4"、" 5"、"7"]。对于严重性较高的结果,输入列表将是 ["6"、" 7"、“8"]。对于严重性检测结果,输入列表将为 ["9"、“10"]。您还可以根据列表中的任意一个值进行筛选。以下示例添加了针对低严重性调查发现的筛选条件。
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
有关 JSON 字段名及其控制台等效项的列表,请参阅[中的属性筛选器 GuardDuty](guardduty_filter-findings.md#filter_criteria)。
要测试筛选条件,请在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 条件,并确认已选择正确的调查发现。要使用您自己的 detectorID 和.json 文件来测试您的筛选条件, AWS CLI 请按照示例进行操作。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty list-detectors --region us-east-1
```
1. 如果要更新描述,可以在 CLI 调用中包含描述参数。
1. 如果要更新排名,可以在 CLI 调用中加入等级参数。
1. 如果要从抑制过滤器更新为常规过滤器,请在 CLI 调用中使用操作参数和值作为 **AR** CHIVE。
1. 更新您现有的过滤器 API,或者使用 AWS CLI 以下示例,使用您自己的检测器 ID、抑制规则的名称和.json 文件。
1. 以下是更新上述所有参数的 CLI 示例。您可以从命令中选择要针对您的用例更新的特定参数-
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# 在中删除禁止规则 GuardDuty
本节提供了在特定版本 AWS 账户 中删除禁止规则的步骤 AWS 区域。
您可能需要删除不再符合您环境中预期行为的抑制规则。您不想再隐藏关联的查找类型,这样 GuardDuty 就可以生成查找类型。
如果您是成员账户,则您的管理员账户可以代表您执行此操作。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法以删除用于 GuardDuty 查找类型的禁止规则。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**禁止规则**页面上,选择要删除的抑制规则。
1. 从 “**操作**” 下拉列表中,选择 “**删除抑制规则**”。
1. 它会弹出一个确认弹出窗口。选择 “**删除**” 以继续删除。或者选择 “**取消**” 以取消该操作。
------
#### [ API/CLI ]
运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API。为特定区域指定筛选条件名称和关联的检测器 ID。
或者,您可以使用以下 AWS CLI 示例,替换格式为中的值*red*:
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
------