本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 GuardDuty 控制台中查看生成的调查结果
<a name="guardduty_working-with-findings"></a>

当 GuardDuty 检测到与安全问题模式相匹配的活动时， GuardDuty 会生成调查结果。此调查发现与可能在此活动期间已泄露的资源类型相关。您可以查看与 GuardDuty生成的每个查找结果相关的详细信息。

如果您使用的是 GuardDuty 管理员帐户，则可以代表成员帐户查看生成的调查结果。但是，成员账户可以查看自己账户中生成的调查发现，成员账户无法查看为其他成员账户生成的调查发现。

**在 GuardDuty 控制台中查看发现结果的步骤**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在左侧导航窗格中，选择**发现**。

   GuardDuty 以表格格式显示调查结果。默认情况下，此表将根据**上次查看**列的值按降序排序，在顶部显示最新的调查发现。

   带有剑形图标 (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/attack-sequences-icon.PNG)) 的调查发现表示攻击序列调查发现。

1. 要查看与调查发现相关的详细信息，请选择其**标题**。这将打开调查发现详细信息侧面板。对于攻击序列调查发现，此侧面板包含攻击序列的*摘要版本*，要展开此视图，请选择**查看详细信息**。

   有关此侧面板中所列字段的信息，请参阅[调查发现详细信息](guardduty_findings-summary.md)。

1. 

**（可选）下载调查发现 JSON**

   1. 选择调查发现，然后选择**操作**菜单。

   1. 在**操作**菜单上，选择**查看并导出 JSON**。

   1. 在**调查发现 JSON** 窗口中，选择**下载**。
**注意**  
在某些情况下，在某些发现生成后 GuardDuty 就会意识到这些发现是误报。 GuardDuty 在查找结果的 JSON 中提供置**信**度字段，并将其值设置为零。这样 GuardDuty 可以让你知道你可以放心地忽略这些发现。  
不会将没有**置信度**字段的调查发现视为误报。

## 导航“调查发现”页面
<a name="guardduty-navigating-findings-page"></a>

本节提供有关**调查发现**页面上各种元素的关键信息。这将帮助您分析生成的调查发现，以便进行威胁分析和响应。

以下列表说明了**调查发现**页面元素，有助于您更好地理解生成的调查发现：
+ **威胁类型**：

  威胁类型包括个人 GuardDuty 发现和攻击序列发现。默认情况下，该页面会显示**所有调查发现**。

  要筛选调查发现表格视图，请在**威胁类型**菜单上选择其中一个选项：**仅限攻击序列调查发现**或**仅限单独调查发现**。
+ **资源和计数列**：

  调查结果表中的**资源**列显示了可能受到威胁的 AWS 资源的名称。对于攻击序列的发现，此列显示可能受到威胁的 AWS 资源的数量。要查看资源名称，请选择**资源**列下的*数字*。

  “**计数**” 列表示 GuardDuty 观察特定发现的次数。当 GuardDuty 检测到与先前发现的安全问题相匹配的活动时，它会增加该特定发现的计数。对于攻击序列调查发现，此列值表示生成该调查发现所涉及的信号和调查发现的总数。
+ **按表格列对调查发现进行排序**：

  如果列标题旁边有*箭头*，则可以根据该列对调查发现表进行排序。选择列标题，即可按该列中值的递增或递减顺序对调查发现进行排序。
+ **筛选调查发现**：

  根据特定的属性特性（例如 `Account ID` 和 `Resource type`），您可以进一步筛选调查发现表。有关可使用的筛选条件类型的信息，请参阅[筛选 GuardDuty 调查结果](guardduty_filter-findings.md)。
+ **状态和已保存规则**：

  **状态**菜单包含两个值：**当前**和**已存档**。表格中的默认视图为**当前**调查发现。

  当您不 GuardDuty 想再生成符合特定条件的查找结果时，可以隐藏该查找结果。 GuardDuty 将这一发现归档。当再次 GuardDuty 检测到此发现时，您不会收到有关此观察结果的通知。要专门查看已存档的调查发现，请在**状态**菜单上选择**已存档**。

  **已保存规则**是一项功能，可帮助您自动筛选符合指定条件的调查发现并对其执行操作。操作可能包括存档调查发现或在未来的通知中将其隐藏。

  有关更多信息，请参阅 [抑制规则](findings_suppression-rule.md)。