本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 Amazon GuardDuty 調查結果
GuardDuty 提供數項重要功能,可協助您排序、存放和管理調查結果。這些功能將協助您針對特定環境量身打造問題清單、降低低價值問題清單的雜訊,並協助您專注於對獨特 AWS 環境的威脅。檢閱此頁面上的主題,了解如何使用這些功能來提高環境中安全調查結果的價值。
**主題:**
[Amazon GuardDuty 中的摘要儀表板](guardduty-summary.md)
了解 GuardDuty 主控台中可用之「摘要」儀表板的元件。
[在 GuardDuty 中篩選問題清單](guardduty_filter-findings.md)
了解如何根據您指定的條件篩選 GuardDuty 調查結果。
[GuardDuty 中的隱藏規則](findings_suppression-rule.md)
了解如何透過隱藏規則自動篩選 GuardDuty 向您警示的調查結果。隱藏規則會根據篩選條件將調查結果自動封存。
[使用實體清單和 IP 位址清單自訂威脅偵測](guardduty_upload-lists.md)
根據可公開路由的 IP 地址,使用 IP 清單和威脅清單來自訂 GuardDuty 監控範圍。信任 IP 清單可防止從您認為的可信任 IP 產生非 DNS 調查結果,而威脅 Intel 清單則會讓 GuardDuty 對來自使用者定義 IP 的活動發出警示。
[將產生的調查結果匯出至 Amazon S3](guardduty_exportfindings.md)
將產生的調查結果匯出至 Amazon S3 儲存貯體,讓您可以在 GuardDuty 中維護超過 90 天調查結果保留期的記錄。使用此歷史資料來追蹤您帳戶中的潛在可疑活動,並評估建議的修復步驟是否成功。
[使用 Amazon EventBridge 處理 GuardDuty 問題清單](guardduty_findings_eventbridge.md)
透過 Amazon EventBridge 事件設定 GuardDuty 調查結果的自動通知。您也可以透過 EventBridge 自動化其他任務,以協助您回應問題清單。
[了解 CloudWatch Logs 以及在 EC2 掃描的惡意軟體防護期間略過資源的原因](malware-protection-auditing-scan-logs.md)
了解如何稽核適用於 EC2 的 GuardDuty 惡意軟體防護的 CloudWatch Logs,以及在掃描程序期間可能略過受影響 Amazon EC2 執行個體或 Amazon EBS 磁碟區的原因為何。
[在 EC2 的惡意軟體防護中報告誤報](malware-protection-false-positives.md)
了解如何在 EC2 惡意軟體防護中報告潛在的誤判威脅偵測。
[在適用於 S3 的惡意軟體防護中,將 S3 物件掃描結果報告為誤報報告誤判 S3 物件掃描結果](report-malware-protection-s3-false-positives.md)
了解如何在適用於 S3 的惡意軟體防護中報告潛在的誤判威脅偵測。
[在惡意軟體保護中報告備份的誤報](malware-protection-backup-false-positives.md)
了解如何在惡意軟體保護備份中報告潛在的誤判威脅偵測。
# Amazon GuardDuty 中的摘要儀表板
GuardDuty **摘要**儀表板提供您在目前 中產生之 GuardDuty 調查結果 AWS 帳戶 的彙總檢視 AWS 區域。
如果您使用的是 GuardDuty 管理員帳戶,儀表板會為您的 帳戶和組織中的成員帳戶提供彙總統計資料和資料。
**檢視摘要儀表板**
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
當您開啟主控台時,GuardDuty 預設會顯示**摘要**儀表板。
1. 在**摘要**頁面上, AWS 區域 從主控台右上角的區域選擇器中選擇所需的 。
1. 從日期範圍選擇器功能表中,選擇您要檢視摘要的日期範圍。根據預設,儀表板會顯示當日的資料,即**今天**。
**注意**
如果在選取的日期範圍內未產生任何問題清單,儀表板將不會顯示任何資料。您可以重新整理儀表板,或調整日期範圍。
**Topics**
+ [概觀](#understanding-guardduty-summary-overview)
+ [調查結果](#understanding-guardduty-summary-findings-widget)
+ [最常見的調查結果類型](#understanding-guardduty-summary-most-common-finding-types)
+ [依嚴重性劃分的調查結果](#understanding-guardduty-summary-findings-by-sev)
+ [具有最多調查結果的帳戶](#understanding-guardduty-summary-account-with-findings)
+ [具有調查結果的資源](#understanding-guardduty-summary-resources-with-findings)
+ [最不常見的調查結果](#understanding-guardduty-summary-least-occurring-findings)
+ [保護計畫涵蓋範圍](#understanding-guardduty-summary-protection-plans-coverage)
## 概觀
本節提供下列資料:
+ **攻擊序列**:指出 GuardDuty 在目前區域中您的帳戶中產生的攻擊序列調查結果數目。
GuardDuty 會偵測您帳戶中潛在的多階段攻擊。您可以在**攻擊序列**下選取*數字*,以在**問題清單**頁面上檢視其詳細資訊。
+ **調查結果總計**:表示在目前區域中,帳戶中產生的調查結果總數。這包括個別調查結果和攻擊序列調查結果。
+ **具有問題清單的資源**:指出與問題清單相關聯的資源數量,並且可能已遭到入侵。
+ **具有調查結果的帳戶**:表示至少產生了一個調查結果的帳戶數量。如果您是獨立帳戶,則此欄位中的值為 **1**。
對於**過去 7 天**和**過去 30 天**的時間範圍,**概觀**窗格可分別顯示逐週產生的調查結果 (WoW) 或逐月 (MoM) 產生的調查結果百分比差值。如果在前一週或前一個月沒有產生任何調查結果,則由於沒有可比較的資料,可能無法獲得百分比差值。
![\[GuardDuty 摘要儀表板中的概觀區段。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
如果您是 GuardDuty 管理員帳戶,所有這些欄位都會提供組織中所有成員帳戶的摘要資料。
## 調查結果
**問題清單**小工具最多可顯示八個最熱門的問題清單。這些調查結果會根據其嚴重性等級列出,並會先顯示*關鍵*調查結果。
根據預設,您可以檢視所有問題清單。若要僅檢視攻擊序列調查結果資料,請**僅開啟熱門攻擊序列**。
在此清單中,您可以選取任何問題清單來檢視其詳細資訊。
![\[GuardDuty 摘要儀表板中的調查結果小工具。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## 最常見的調查結果類型
本節提供圓餅圖,說明目前區域中產生的前五大最常見問題清單類型。將滑鼠游標暫留在圓餅圖的每個區段上時,您可以觀察到下列事項:
+ **問題清單計數**:指出此問題清單在所選日期範圍中產生的次數。
+ **嚴重性**:指出調查結果的嚴重性等級。
+ **百分比**:表示此調查結果類型相對於總計的比例。
+ **上次產生**:指出自上次偵測到此調查結果類型以來已經過的時間。
## 依嚴重性劃分的調查結果
本節顯示長條圖,顯示所選日期範圍內的問題清單總數。圖表會依嚴重性 (*關鍵*、*高*、*中*和*低*) 細分問題清單,並協助您檢視範圍內特定日期的問題清單數量。
若要檢視特定日期每個嚴重性等級的計數,請將滑鼠游標移至圖表中對應的長條上。
## 具有最多調查結果的帳戶
本節提供下列資料:
+ **帳戶**:指出產生調查結果的 AWS 帳戶 ID。
+ **調查結果計數**:表示針對此帳戶 ID 產生調查結果的次數。
+ **上次產生**:表示自上次針對此帳戶 ID 產生調查結果類型以來已經過了多長時間。
+ **嚴重性篩選條件**:預設會顯示高嚴重性問題清單類型的資料。此欄位的可能選項包括**所有嚴重性**、**嚴重嚴重性**、**高嚴重性**和**中等嚴重性**。
## 具有調查結果的資源
本節提供下列資料:
+ **資源**:顯示可能受影響的資源類型,如果此資源屬於您的帳戶,您可以存取快速連結以檢視資源詳細資訊。如果您是 GuardDuty 管理員帳戶,您可以使用擁有者成員帳戶的登入資料存取 GuardDuty 主控台,以檢視可能受影響的資源詳細資訊。
+ **帳戶**:指出此資源所屬的 AWS 帳戶 ID。
+ **調查結果計數**:表示此資源與調查結果相關聯的次數。
+ **上次產生**:表示自上次產生與此資源相關聯的調查結果類型以來已經過了多長時間。
+ **資源類型篩選條件**:預設會顯示所有資源類型的資料。透過使用此篩選條件,您可以選擇檢視特定資源類型的資料,例如 **Instance**、**AccessKey**、**Lambda** 等。
+ **嚴重性篩選條件**:預設會顯示**所有嚴重性**的資料。透過使用此篩選條件,您可以選擇檢視其他嚴重性等級的資料。可能的選項包括**嚴重嚴重性**、**高嚴重性**、**中等嚴重性**和**所有嚴重性**。
## 最不常見的調查結果
本節重點介紹您 AWS 環境中不常發生的調查結果類型。此小工具旨在協助您識別和調查潛在的緊急威脅模式。
此小工具會顯示下列資料:
+ **問題清單類型**:顯示問題清單類型名稱。
+ **調查結果計數**:表示在所選時間範圍內產生此調查結果類型的次數。
+ **上次產生**:表示自上次產生此調查結果類型以來已經過了多長時間。
+ **嚴重性篩選條件**:預設會顯示高嚴重性問題清單類型的資料。此欄位的可能選項包括**嚴重嚴重性**、**高嚴重性**、**中等嚴重性**和**所有嚴重性**。
## 保護計畫涵蓋範圍
本節顯示組織中成員帳戶的統計資料。它會顯示目前區域中已啟用 GuardDuty (基礎威脅偵測) 的成員帳戶數目。只有委派的 GuardDuty 管理員才能檢視其組織內成員帳戶的統計資料。當您建立新 AWS 組織時,最多可能需要 24 小時才能產生整個組織的統計資料。
**如何使用此小工具**
+ **組態**:如果未設定保護計畫,請選擇**動作**欄下的**設定**。
+ **檢視已啟用的帳戶**:將滑鼠游標移至**已啟用帳戶**欄中的長條上,以檢視有多少帳戶已啟用每個保護計畫。若要進一步檢視帳戶詳細資訊,請選取綠色列,然後選擇**檢視帳戶**。
![\[在 GuardDuty 摘要儀表板中檢視成員帳戶的保護計畫啟用狀態。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# 在 GuardDuty 中篩選問題清單
調查結果篩選條件可讓您檢視符合您指定準則的調查結果,並篩選出任何不相符的調查結果。您可以使用 Amazon GuardDuty 主控台輕鬆建立調查結果篩選條件,也可以使用 JSON,以 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 建立調查結果篩選條件。請檢閱下列各節,以了解如何在主控台中建立篩選條件。若要使用這些篩選條件自動封存傳入的調查結果,請參閱 [GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
當您建立篩選條件時,請考量下列清單:
+ 您可以指定最少一個屬性或最多 50 個屬性,作為特定篩選條件的準則。
+ 當您使用**等於**或**不等於**運算子來篩選屬性值時,例如帳戶 ID,您最多可以指定 50 個值。
+ 每個篩選條件準則屬性都會作為 `AND` 運算子予以評估。相同屬性的多個值會作為 `AND/OR` 予以評估。
+ 如需有關您可以在 AWS 帳戶 每個 中建立的已儲存篩選條件數量上限的資訊 AWS 區域,請參閱 [GuardDuty 配額](guardduty_limits.md)。
以下各節說明如何使用 GuardDuty 主控台以及 API 和 CLI 命令建立和儲存篩選條件。選擇您偏好的存取方法以繼續。
## 在 GuardDuty 主控台中建立和儲存篩選條件集
可透過 GuardDuty 主控台建立及測試調查結果篩選條件。您可儲存透過主控台建立的篩選條件,以便用於抑制規則或未來的篩選條件操作。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。
**建立和儲存篩選條件 (主控台)**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 在左側導覽窗格中,選擇**問題清單**。
1. 在**問題清單**頁面上,選取**已儲存規則**功能表旁的*篩選問題清單*列。這會顯示展開的**屬性篩選條件**清單。
![\[選取屬性篩選條件以在 GuardDuty 主控台中篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. 從展開的篩選條件清單中,選取您要篩選問題清單資料表的屬性。
例如,若要檢視可能受影響的資源是 **S3Bucket** 的問題清單,請選擇**資源類型**。
1. 對於**運算子**,請選擇可協助您篩選問題清單以取得所需結果的項目。若要繼續上一個步驟的範例,請選擇**資源類型 =**。這會顯示 GuardDuty 中的資源類型清單。
![\[選取等於或不等於運算子以在 GuardDuty 主控台中篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
如果您的使用案例需要排除特定問題清單,您可以選擇**不等於** 或 **!=** 運算子。
1. 指定所選屬性篩選條件的值。如有需要,請選擇**套用**。若要繼續上一個步驟的範例,您可以選擇 **S3Bucket**。
這會顯示與套用的篩選條件相符的問題清單。
1. 若要新增多個篩選條件,請重複步驟 3-6。
如需屬性的完整清單,請參閱 [GuardDuty 中的屬性篩選條件](#filter_criteria)。
1.
**(選用) 將指定的屬性和值儲存為篩選條件**
若要在未來再次套用此篩選條件組合,您可以將指定的屬性及其值儲存為篩選條件集。
1. 使用一或多個屬性篩選條件建立篩選條件之後,請選取**清除篩選條件**功能表中的*箭頭*。
![\[在 GuardDuty 主控台中儲存篩選條件集,以便能夠再次篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. 輸入篩選條件集**名稱**。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (\$1)。
1. **描述**是選用的。如果您輸入描述,最多可以有 512 個字元。
1. 選擇**建立**。
## 使用 GuardDuty API 和 CLI 建立和儲存篩選條件集
您可以使用 API 或 CLI 命令來建立和測試問題清單篩選條件。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。您可以儲存篩選條件以建立[隱藏規則](findings_suppression-rule.md)或稍後執行其他篩選條件操作。
**使用 API/CLI 建立問題清單篩選條件**
+ 使用 AWS 帳戶 您要建立篩選條件之 的區域偵測器 ID 來執行 [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
+ 或者,您可以使用 [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) CLI 來建立和儲存篩選條件。您可以從 使用一或多個篩選條件[GuardDuty 中的屬性篩選條件](#filter_criteria)。
取代以紅色顯示的預留位置值,以使用下列範例。
**範例 1**:建立新的篩選條件,以檢視符合特定調查結果類型的所有調查結果
下列範例會建立篩選條件,以符合從特定映像建立之執行個體的所有`PortScan`問題清單。預留位置值會以紅色顯示。將這些值取代為您帳戶的適當值。例如,將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為您的區域偵測器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**範例 2**:建立新的篩選條件,以檢視符合嚴重性等級的所有調查結果
下列範例會建立符合與`HIGH`嚴重性等級關聯之所有調查結果的篩選條件。預留位置值會以紅色顯示。將這些值取代為您帳戶的適當值。例如,將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為您的區域偵測器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ 對於 API/CLI, [問題清單嚴重性等級](guardduty_findings-severity.md)以數字表示。若要根據嚴重性等級篩選問題清單,請使用下列值:
+ 對於`LOW`嚴重性等級,請使用 `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ 對於`MEDIUM`嚴重性等級,請使用 `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ 對於`HIGH`嚴重性等級,請使用 `{ "severity": { "Equals": ["7", "8"] } }`
+ 對於`CRITICAL`嚴重性等級,請使用 `{ "severity": { "Equals": ["9", "10"] } }`
+ 對於具有多個嚴重性層級的問題清單,請使用類似下列範例的預留位置值: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
此範例會顯示具有 `HIGH`或 `CRITICAL`嚴重性層級的問題清單。
**注意**
如果您只指定一個數值而非與嚴重性等級關聯的所有數值的範例,API 和 CLI 可能會顯示篩選的問題清單。當您在 GuardDuty 主控台中使用此儲存的篩選條件集時,它將無法如預期般運作。這是因為 GuardDuty 主控台會將篩選條件值視為 `CRITICAL`、`HIGH`、 `MEDIUM`和 `LOW`。例如,使用包含 的 CLI 命令建立的篩選條件`{ "severity": { "Equals": ["9"] } }`預期會在 API/CLI 中顯示適當的輸出。不過,此儲存的篩選條件包含在 GuardDuty 主控台中使用的部分嚴重性等級,不會顯示預期的輸出。這使得 API 和 CLI 需要指定與每個嚴重性等級相關聯的所有值。
## GuardDuty 中的屬性篩選條件
當您使用 API 操作建立篩選條件或排序調查結果時,您必須在 JSON 中指定篩選條件準則。這些篩選條件準則與調查結果的詳細資訊 JSON 相關聯。下表包含篩選條件屬性及其對等 JSON 欄位名稱的主控台顯示名稱清單。
| 主控台欄位名稱 | JSON 欄位名稱 |
| --- | --- |
| 帳戶 ID | accountId |
| 問題清單 ID | id |
| 區域 | region |
| 嚴重性 | severity 您可以根據調查結果類型的嚴重性等級來篩選調查結果類型。如需嚴重性值的詳細資訊,請參閱 [GuardDuty 調查結果的嚴重性等級](guardduty_findings-severity.md)。如果您`severity`搭配 API AWS CLI或 使用 CloudFormation,則會為其指派數值。如需詳細資訊,請參閱《*Amazon GuardDuty API 參考*》中的 [findingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria)。 |
| 調查結果類型 | type |
| 更新時間 | updatedAt |
| 存取金鑰 ID | resource.accessKeyDetails.accessKeyId |
| 委託人 ID | resource.accessKeyDetails.principalId |
| 使用者名稱 | resource.accessKeyDetails.userName |
| 使用者類型 | resource.accessKeyDetails.userType |
| IAM 執行個體描述檔 ID | resource.instanceDetails.iamInstanceProfile.id |
| 執行個體 ID | resource.instanceDetails.instanceId |
| 執行個體影像 ID | resource.instanceDetails.imageId |
| 執行個體標籤索引鍵 | resource.instanceDetails.tags.key |
| 執行個體標籤值 | resource.instanceDetails.tags.value |
| IPv6 地址 | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| 私有 IPv4 地址 | resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
| 公有 DNS 名稱 | resource.instanceDetails.networkInterfaces.publicDnsName |
| 公有 IP | resource.instanceDetails.networkInterfaces.publicIp |
| 安全群組 ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| 安全群組名稱 | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| 子網路 ID | resource.instanceDetails.networkInterfaces.subnetId |
| VPC ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost ARN | resource.instanceDetails.outpostARN |
| Resource Type (資源類型) | resource.resourceType |
| 儲存貯體許可 | resource.s3BucketDetails.publicAccess.effectivePermission |
| 儲存貯體名稱 | resource.s3BucketDetails.name |
| 儲存貯體標籤金鑰 | resource.s3BucketDetails.tags.key |
| 儲存貯體標籤值 | resource.s3BucketDetails.tags.value |
| 儲存貯體類型 | resource.s3BucketDetails.type |
| 動作類型 | service.action.actionType |
| 已發出 API 呼叫 | service.action.awsApiCallAction.api |
| API 發起人類型 | service.action.awsApiCallAction.callerType |
| API 錯誤碼 | service.action.awsApiCallAction.errorCode |
| API 發起人城市 | service.action.awsApiCallAction.remoteIpDetails.city.cityName |
| API 發起人國家/地區 | service.action.awsApiCallAction.remoteIpDetails.country.countryName |
| API 發起人 IPv4 地址 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
| API 呼叫者 IPv6 地址 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
| API 發起人 ASN ID | service.action.awsApiCallAction.remoteIpDetails.organization.asn |
| API 發起人 ASN 名稱 | service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
| API 發起人服務名稱 | service.action.awsApiCallAction.serviceName |
| DNS 請求網域 | service.action.dnsRequestAction.domain |
| DNS 要求網域尾碼 | service.action.dnsRequestAction.domainWithSuffix |
| 已封鎖網路連線 | service.action.networkConnectionAction.blocked |
| 網路連線方向 | service.action.networkConnectionAction.connectionDirection |
| 網路連線本機連接埠 | service.action.networkConnectionAction.localPortDetails.port |
| 網路連線通訊協定 | service.action.networkConnectionAction.protocol |
| 網路連線城市 | service.action.networkConnectionAction.remoteIpDetails.city.cityName |
| 網路連線國家/地區 | service.action.networkConnectionAction.remoteIpDetails.country.countryName |
| 網路連線遠端 IPv4 地址 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
| 網路連線遠端 IPv6 地址 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV6 |
| 網路連線遠端 IP ASN ID | service.action.networkConnectionAction.remoteIpDetails.organization.asn |
| 網路連線遠端 IP ASN 名稱 | service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
| 網路連線遠端連接埠 | service.action.networkConnectionAction.remotePortDetails.port |
| 附屬的遠端帳戶 | service.action.awsApiCallAction.remoteAccountDetails.affiliated |
| Kubernetes API 呼叫者 IPv4 地址 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
| Kubernetes API 呼叫者 IPv6 地址 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
| Kubernetes 命名空間 | service.action.kubernetesApiCallAction.namespace |
| Kubernetes API 呼叫者 ASN ID | service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
| Kubernetes API 呼叫請求 URI | service.action.kubernetesApiCallAction.requestUri |
| Kubernetes API 狀態碼 | service.action.kubernetesApiCallAction.statusCode |
| 網路連線本機 IPv4 地址 | service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
| 網路連線本機 IPv6 地址 | service.action.networkConnectionAction.localIpDetails.ipAddressV6 |
| 通訊協定 | service.action.networkConnectionAction.protocol |
| API 呼叫服務名稱 | service.action.awsApiCallAction.serviceName |
| API 呼叫者帳戶 ID | service.action.awsApiCallAction.remoteAccountDetails.accountId |
| 威脅清單名稱 | service.additionalInfo.threatListName |
| 資源角色 | service.resourceRole |
| EKS 叢集名稱 | resource.eksClusterDetails.name |
| Kubernetes 工作負載名稱 | resource.kubernetesDetails.kubernetesWorkloadDetails.name |
| Kubernetes 工作負載命名空間 | resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
| Kubernetes 使用者名稱 | resource.kubernetesDetails.kubernetesUserDetails.username |
| Kubernetes 容器映像 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
| Kubernetes 容器映像前綴 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
| 掃描 ID | service.ebsVolumeScanDetails.scanId |
| EBS 磁碟區掃描威脅名稱 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
| S3 物件掃描威脅名稱 | service.malwareScanDetails.threats.name |
| 威脅嚴重性 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
| SHA 檔案 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
| ECS 叢集名稱 | resource.ecsClusterDetails.name |
| ECS 容器映像 | resource.ecsClusterDetails.taskDetails.containers.image |
| ECS 任務定義 ARN | resource.ecsClusterDetails.taskDetails.definitionArn |
| 獨立容器映像 | resource.containerDetails.image |
| 資料庫執行個體 ID | resource.rdsDbInstanceDetails.dbInstanceIdentifier |
| 資料庫叢集 ID | resource.rdsDbInstanceDetails.dbClusterIdentifier |
| 資料庫引擎 | resource.rdsDbInstanceDetails.engine |
| 資料庫使用者 | resource.rdsDbUserDetails.user |
| 資料庫執行個體標籤索引鍵 | resource.rdsDbInstanceDetails.tags.key |
| 資料庫執行個體標籤值 | resource.rdsDbInstanceDetails.tags.value |
| 可執行 SHA-256 | service.runtimeDetails.process.executableSha256 |
| 程序名稱 | service.runtimeDetails.process.name |
| 可執行路徑 | service.runtimeDetails.process.executablePath |
| Lambda 功能名稱 | resource.lambdaDetails.functionName |
| Lambda 函數 ARN | resource.lambdaDetails.functionArn |
| Lambda 函數標籤索引鍵 | resource.lambdaDetails.tags.key |
| Lambda 函數標籤值 | resource.lambdaDetails.tags.value |
| DNS 請求網域 | service.action.dnsRequestAction.domainWithSuffix |
# GuardDuty 中的隱藏規則
隱藏規則是一組條件 (由與值配對的篩選屬性組成),用於自動封存符合指定條件的新調查結果來篩選調查結果。隱藏規則可用來篩選低價值的問題清單、誤判問題清單,或您不打算採取行動的威脅,以便更容易辨識對環境影響最大的安全威脅。
建立隱藏規則後,只要有隱藏規則,就會自動封存符合規則中定義之條件的新問題清單。您可以使用既有的篩選條件來建立隱藏規則,或從定義的新篩選條件中建立隱藏規則。您可以設定隱藏規則以隱藏整個問題清單類型,或定義更細微的篩選條件,而僅隱藏特定問題清單類型的特定例項。您可以隨時編輯禁止規則。
隱藏的問題清單不會傳送至 Amazon Simple Storage Service AWS Security Hub CSPM、Amazon Detective 或 Amazon EventBridge,如果您透過 Security Hub CSPM、第三方 SIEM 或其他提醒和票證應用程式取用 GuardDuty 問題清單,則會降低問題清單雜訊層級。如果您已啟用 [EC2 的惡意軟體防護](malware-protection.md),則隱藏的 GuardDuty 調查結果不會啟動惡意軟體掃描。
即使調查結果符合隱藏規則,GuardDuty 仍會繼續產生調查結果,不過,那些調查結果會自動標記為**已封存**。封存的調查結果會存放在 GuardDuty 90 天,您可以在該期間內隨時檢視。您可以在 GuardDuty 主控台中檢視隱藏的調查結果,方法是從調查結果資料表中選取**已封存**,或透過 GuardDuty API,搭配 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 與 `service.archived` 等於 true 的 `findingCriteria` 條件來檢視隱藏的調查結果。
**注意**
在多帳戶環境中,只有 GuardDuty 管理員可以建立隱藏規則。
## 將抑制規則與延伸威脅偵測搭配使用
GuardDuty 延伸威脅偵測會在 內自動偵測跨資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。它會關聯不同資料來源的事件,以識別對環境 AWS 造成潛在威脅的案例,然後產生攻擊序列調查結果。如需詳細資訊,請參閱[延伸威脅偵測的運作方式](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works)。
當您建立隱藏規則來封存問題清單時,延伸威脅偵測在將事件關聯至攻擊序列時,無法使用這些封存的問題清單。廣泛的禁止規則可能會影響 GuardDuty 偵測與偵測多階段攻擊一致之行為的能力。因為抑制規則而封存的問題清單不會被視為攻擊序列的訊號。例如,如果您建立隱藏規則來封存所有 EKS 叢集相關調查結果,而不是以特定已知活動為目標,GuardDuty 將無法使用這些調查結果來偵測威脅行為者利用容器、取得特權權杖和存取敏感資源的攻擊序列。
請考慮 GuardDuty 的下列建議:
+ 繼續使用抑制規則來減少來自已知信任活動的提醒。
+ 保持隱藏規則專注於您不希望 GuardDuty 產生問題清單的特定行為。
## 隱藏規則的常用案例和範例
下列問題清單類型具有套用抑制規則的常見使用案例。選取問題清單名稱以進一步了解該問題清單。檢閱使用案例描述,以決定是否要為該調查結果類型建立抑制規則。
**重要**
GuardDuty 建議您以反應方式建置抑制規則,且僅適用於在環境中重複識別誤報的問題清單。
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws):使用隱藏規則,以自動封存將 VPC 聯網設為路由網際網路流量,使其從內部部署閘道 (而非 VPC 網際網路閘道) 輸出時所產生的調查結果。
當將網路設定為路由網際網路流量,使其從內部部署閘道而不是從 VPC 網際網路閘道 (IGW) 輸出時,就會產生此調查結果。一般組態 (例如使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 連接) 可能會導致流量以這種方式路由。如果這是預期的行為,建議您使用隱藏規則並建立包含兩個篩選條件的規則。第一個條件是 **finding type (問題清單類型)**,應該是 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`。第二個篩選條件是具有內部部署網際網路閘道 IP 地址或 CIDR 範圍的 **API 呼叫者 IPv4 地址**。下面的範例表示您將用於根據 API 呼叫者 IP 地址隱藏此調查結果類型的篩選條件。
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**注意**
若要包含多個 API 呼叫者 IP,您可以為每個 IP 新增新的 API 呼叫者 IPv4 地址篩選條件。
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan):使用漏洞評估應用程式時,使用隱藏規則以自動封存調查結果。
隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `Recon:EC2/Portscan`。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定 AMI 的執行個體隱藏此調查結果類型所用的篩選條件。
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce):使用隱藏規則,在調查結果目標為堡壘執行個體時,自動封存調查結果。
如果暴力破解嘗試的目標是堡壘主機,這可能代表您 AWS 環境的預期行為。如果是這種情況,我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `UnauthorizedAccess:EC2/SSHBruteForce`。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的條件而定。下面的範例表示您根據具有特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport):使用隱藏規則,在調查結果目標為刻意公開的執行個體時,自動封存調查結果。
在某些情況下,可能會刻意暴露執行個體,例如,若是託管在 Web 伺服器上。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `Recon:EC2/PortProbeUnprotectedPort`。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的準則而定。下面的範例表示您根據具有主控台中特定執行個體標籤值的執行個體,隱藏此調查結果類型所用的篩選條件。
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### 建議的執行期監控問題清單禁止規則
+ 當容器內的程序與 Docker 通訊端通訊時便會產生 [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)。由於正當原因,環境中存在可能需要存取 Docker 通訊端的容器。從這類容器存取將產生 PrivilegeEscalation:Runtime/DockerSocketAccessed 調查結果。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果類型設定抑制規則。第一個條件應該使用**調查結果類型**欄位,其值等於 `PrivilegeEscalation:Runtime/DockerSocketAccessed`。第二個篩選條件是**可執行檔路徑**欄位,其值等於產生的調查結果中程序的 `executablePath`。或者,第二個篩選條件可以使用**可執行檔 SHA-256** 欄位,其值等於產生的調查結果中程序的 `executableSha256`。
+ Kubernetes 叢集會以 pod 的形式執行自己的 DNS 伺服器,例如 `coredns`。因此,對於來自 pod 的每個 DNS 查閱,GuardDuty 會擷取兩個 DNS 事件:一個來自 pod,另一個來自伺服器 pod。這可能會產生下列 DNS 調查結果的重複項目:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
重複的調查結果將包括與 DNS 伺服器 pod 對應的 pod、容器和程序詳細資訊。您可以使用這些欄位設定隱藏規則,以隱藏這些重複的調查結果。第一個篩選條件應使用**調查結果類型**欄位,其值等於本節稍早提供的調查結果清單中的 DNS 調查結果類型。第二個篩選條件可以是值等於 DNS 伺服器 `executablePath` 的**可執行檔路徑**,或值等於 DNS 伺服器 `executableSHA256` 在產生的調查結果中的**可執行檔 SHA-256**。作為選用的第三個篩選條件,您可以使用 **Kubernetes 容器映像**欄位,其值等於產生的調查結果中 DNS 伺服器 pod 的容器映像。
# 在 GuardDuty 中建立禁止規則
禁止規則是一組條件,包括使用篩選條件屬性並提供您不希望 GuardDuty 產生調查結果類型的值。符合此條件的調查結果類型會自動封存。為了減少雜訊,隱藏的問題清單不會傳送至任何您可以整合 AWS 服務 的 。如需建立禁止規則之常見使用案例的詳細資訊,請參閱 [隱藏規則](findings_suppression-rule.md)。
您可以使用 GuardDuty 主控台中的隱藏規則頁面來視覺化、建立和管理**隱藏規則**。抑制規則也可以從現有的已儲存篩選條件產生。如需建立篩選條件的詳細資訊,請參閱 [在 GuardDuty 中篩選問題清單](guardduty_filter-findings.md)。
篩選條件可包含使用 **Equals** 和 **NotEquals** 運算子的完全相符項目、使用 **Matches** 和 **NotMatches** 運算子的**萬用字元相符項目**,或使用 **GreaterThan**、**GreaterThanEquals**、**LessThan** 和 **LessThanEquals** 運算子的**比較相符**項目。如需可用運算子的詳細資訊,請參閱 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)頁面。
選擇您偏好的存取方法,為 GuardDuty 調查結果類型建立抑制規則。
------
#### [ Console ]
**若要使用主控台建立禁止規則:**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**隱藏規則**頁面上,按一下**建立隱藏規則**以開啟**建立隱藏規則**表單。
1. 輸入禁止規則**的名稱**。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (\$1)。
1. **描述**是選用的。如果您輸入描述,最多可以有 512 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-)、冒號 (:)、括號 (\$1\$1()[])、正斜線 (/) 和空格。
1. Rank ****是選用的。它可以是從 1 到篩選條件和禁止規則總數加上 1 的數值。
1. 在**屬性**區段下,從下拉式清單中選取**金鑰**和**運算子**。
1. 根據選取的索引鍵,從 datepicker 輸入「字串」或「日期」的值。如果是字串值,請輸入文字並按 Enter 鍵。在字串值的情況下,可以新增多個值。
1. 選取**新增條件以新增另一組金鑰、運算子和值 (S),即可新增其他條件**。 **** **** ****
1. 選取**建立禁止規則**以建立和儲存禁止規則。
您也可以從現有儲存的篩選條件建立隱藏規則。如需建立篩選條件的詳細資訊,請參閱[在 GuardDuty 中篩選問題清單](guardduty_filter-findings.md)。
**若要從已儲存的篩選條件建立隱藏規則:**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在**調查結果**頁面上,從**已儲存規則**功能表中,選取已儲存的篩選條件集規則。這會自動顯示篩選條件集和符合條件的問題清單。
1. 您也可以將更多篩選條件新增至此已儲存規則。如果您不需要其他篩選條件,請略過此步驟。若要新增一或多個篩選條件,請遵循 中的步驟 3 到 7[Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page),然後繼續執行下列步驟。
1. 在您新增篩選條件並確認篩選的問題清單符合您的需求後,請選擇**建立禁止規則**。
1. 輸入隱藏規則**的名稱**。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (\$1)。
1. **描述**是選用的。如果您輸入描述,最多可以有 512 個字元。
1. 選擇**建立**。
1. 如果您不需要將其他篩選條件新增至儲存的規則,請依照步驟 4 到 7 建立篩選條件。
------
#### [ API/CLI ]
**使用 API 建立隱藏規則:**
1. 您也可以透過 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 建立隱藏規則。若要這麼做,請依照下面詳述的範例格式,在 JSON 檔案中指定篩選條件。以下範例會隱藏對`test.example.com`網域發出 DNS 請求的任何未封存低嚴重性問題清單。對於中等嚴重性的問題清單,輸入清單將是 `["4", "5", "7"]`。對於高嚴重性的問題清單,輸入清單將是 `["6", "7", "8"]`。對於關鍵嚴重性調查結果,輸入清單將是 `["9", "10"]`。您也可以根據清單中的任何一個值進行篩選。
下列範例為函數名稱字首為 "MyFunc" 且函數標籤字首不是 "TestTag" 的 lambda 函數新增低嚴重性問題清單的篩選條件
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
您可以使用萬用字元 \$1 和 建立禁止規則? 。 篩選條件中的萬用字元僅支援使用 **Matches** 和 **NotMatches** 運算子。若要比對任意數量的字元,您可以在屬性值中使用 \$1,若要比對單一字元,您可以在屬性值中使用 ?。篩選條件在單一萬用字元條件下最多支援 5 個屬性,在單一屬性中最多支援 5 個萬用字元。下列範例會為 Lambda 名稱新增符合字首 "MyFunc" 的篩選條件,但不新增具有 "TestTag" 標籤的 Lambda 函數做為字首,後面接著 0-2 個字元。
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
如需 JSON 欄位名稱及其主控台對等值的清單,請參閱[GuardDuty 中的屬性篩選條件](guardduty_filter-findings.md#filter_criteria)。
若要測試篩選條件,請在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 條件,並確認選取的是正確的調查結果。若要使用 測試篩選條件, AWS CLI 請遵循使用您自己的 detectorId 和 .json 檔案的範例。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**注意**
萬用字元比對不適用於 ListFindings 和 GetFindingsStatistics。包含萬用字元的條件無法使用 ListFindings 和 GetFindingsStatistics 驗證。
1. 使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API,或藉由使用 AWS CLI,依照下列範例,使用您自己的偵測器 ID、隱藏規則的名稱,以及 .json 檔案,上傳篩選條件以作為隱藏規則。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
您可以使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API,以程式設計方式檢視篩選條件清單。您可以透過向 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API 提供篩選條件名稱,來檢視個別篩選條件的詳細資訊。使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) 更新篩選條件,或使用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API 將其刪除。
------
# 在 GuardDuty 中更新禁止規則
本節提供 AWS 帳戶 在特定 中更新 中禁止規則的步驟 AWS 區域。
您可以從 GuardDuty 主控台的**隱藏規則頁面更新現有的隱藏規則**。GuardDuty 支援從 GuardDuty 主控台或使用 GuardDuty CLI/API 更新抑制篩選條件描述、排名和篩選條件條件。更新禁止規則會遵循與 相同的描述、排名和條件欄位值限制[建立禁止規則](create-suppression-rules-guardduty.md)。
如果您是 成員帳戶,您的管理員帳戶可以代表您採取此動作。如需詳細資訊,請參閱[管理員帳戶和成員帳戶關係](administrator_member_relationships.md)。
選擇您偏好的存取方法,以刪除 GuardDuty 調查結果類型的抑制規則。
------
#### [ Console ]
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 在**隱藏規則**頁面上,選取要更新的隱藏規則。
1. 從**動作**下拉式清單中,選取**更新隱藏規則**。
1. 這會開啟現有的禁止規則表單。
1. 視需要變更**描述**、**排名**和**屬性**區段。
1. 選取**更新隱藏規則**以更新隱藏規則。
------
#### [ API/CLI ]
**若要使用 API 更新禁止規則:**
1. 您可以透過 UpdateFilter API 更新禁止規則。只有**描述**、**排名**和**條件**可以使用 UpdateFilter API 更新。這三個欄位都是選用的。
1. 若要更新現有的篩選條件,您需要計劃更新的篩選條件名稱。
1. 如果您想要更新現有條件,請使用更新後的條件建立 JSON 檔案,類似於您第一次建立篩選條件的方式。禁止對 test.example.com 網域提出 DNS 請求的任何未封存低嚴重性問題清單的範例條件。對於中等嚴重性的問題清單,輸入清單將是 【"4"、"5"、"7"】。對於高嚴重性的問題清單,輸入清單將為 【"6"、"7"、"8"】。對於關鍵嚴重性調查結果,輸入清單將為 【"9", "10"】。您也可以根據清單中的任何一個值進行篩選。下列範例新增低嚴重性問題清單的篩選條件。
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
如需 JSON 欄位名稱及其主控台對等值的清單,請參閱[GuardDuty 中的屬性篩選條件](guardduty_filter-findings.md#filter_criteria)。
若要測試篩選條件,請在 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 中使用相同的 JSON 條件,並確認選取的是正確的調查結果。若要使用 測試篩選條件, AWS CLI 請遵循使用您自己的 detectorId 和 .json 檔案的範例。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty list-detectors --region us-east-1
```
1. 如果您想要更新描述,您可以在 CLI 呼叫中包含描述參數。
1. 如果您想要更新排名,您可以在 CLI 呼叫中包含排名參數。
1. 如果您想要從禁止篩選條件更新為一般篩選條件,請在 CLI 呼叫中使用動作參數和值做為 **ARCHIVE**。
1. 使用 AWS CLI 下列範例搭配您自己的偵測器 ID、隱藏規則的名稱和 .json 檔案,來更新現有的篩選條件 API 或 。
1. 以下是更新上述所有參數的 CLI 範例。您可以從命令 - 選取要為使用案例更新的特定參數
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# 在 GuardDuty 中刪除禁止規則
本節提供在特定 的 AWS 帳戶 中刪除禁止規則的步驟 AWS 區域。
您可能想要刪除不再描述環境中預期行為的禁止規則。您不想再隱藏相關聯的調查結果類型,以便 GuardDuty 可以產生調查結果類型。
如果您是 成員帳戶,您的管理員帳戶可以代表您採取此動作。如需詳細資訊,請參閱[管理員帳戶和成員帳戶關係](administrator_member_relationships.md)。
選擇您偏好的存取方法,以刪除 GuardDuty 調查結果類型的抑制規則。
------
#### [ Console ]
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 在**隱藏規則**頁面上,選取要刪除的隱藏規則。
1. 從**動作**下拉式清單中,選取**刪除隱藏規則**。
1. 它會提示確認快顯視窗。選取**刪除**以繼續刪除。或選取**取消**以取消操作。
------
#### [ API/CLI ]
執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API。指定特定區域的篩選條件名稱和相關聯的偵測器 ID。
或者,您可以取代*紅色*格式的值,以使用下列 AWS CLI 範例:
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
------
# 使用實體清單和 IP 位址清單自訂威脅偵測
Amazon GuardDuty 會透過分析和處理 VPC 流程日誌、 AWS CloudTrail 事件日誌和 DNS 日誌來監控 AWS 環境的安全性。透過啟用一或多個以[使用案例為中心的 GuardDuty 保護計畫](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (除了 之外[執行時期監控](runtime-monitoring.md),您可以在 GuardDuty 中擴展監控功能。
透過清單,GuardDuty 可協助您自訂環境中的威脅偵測範圍。您可以設定 GuardDuty 停止從信任的來源產生問題清單,並從威脅清單中產生已知惡意來源的問題清單。GuardDuty 會繼續支援舊版 IP 地址清單,並將支援延伸至可包含 IP 地址、網域或兩者的實體清單 (建議)。
**Topics**
+ [了解實體清單和 IP 地址清單](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清單的重要考量事項](#guardduty-lists-entity-sets-considerations)
+ [清單格式](#prepare_list)
+ [了解清單狀態](#guardduty-entity-list-statuses)
+ [設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)
+ [新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)
+ [更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)
+ [停用實體清單或 IP 地址清單](guardduty-lists-deactivate-procedure.md)
+ [刪除實體清單或 IP 地址清單](guardduty-lists-delete-procedure.md)
## 了解實體清單和 IP 地址清單
GuardDuty 提供兩種實作方法:實體清單 (建議) 和 IP 清單。這兩種方法都可協助您指定信任的來源,以阻止 GuardDuty 產生調查結果和已知威脅,GuardDuty 會使用這些威脅來產生調查結果。
**實體清單**支援 IP 地址和網域名稱。它們使用直接 Amazon Simple Storage Service (Amazon S3) 存取搭配單一 IAM 許可,這不會影響跨多個區域的 IAM 政策大小限制。
**IP 清單**僅支援 IP 地址和使用 [GuardDuty 服務連結角色 (SLR)](slr-permissions.md)(SLR),需要每個區域的 IAM 政策更新,這可能會影響 IAM 政策大小限制。
信任清單 (實體清單和 IP 地址清單) 包含您信任的項目,以便與 AWS 基礎設施進行安全通訊。GuardDuty 不會為信任來源中列出的項目產生調查結果。在任何指定時間,每個 AWS 帳戶 區域只能新增一個信任實體清單和一個信任 IP 地址清單。
威脅清單 (實體清單和 IP 地址清單) 包含您已識別為已知惡意來源的項目。當 GuardDuty 偵測到涉及這些來源的活動時,會產生調查結果來提醒您潛在的安全問題。您可以建立自己的威脅清單或整合第三方威脅情報摘要。此清單可由第三方威脅情報提供,也可以專門為您的組織建立。除了因為潛在可疑活動產生調查結果之外,GuardDuty 還會根據涉及威脅清單中項目的活動產生調查結果。在任何指定時間,每個 AWS 帳戶 區域最多可上傳六個威脅實體清單和威脅 IP 地址清單。
**注意**
若要從 IP 地址清單遷移至實體清單,請遵循 [實體清單的先決條件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites),然後新增並啟用所需的實體清單。之後,您可以選擇停用或刪除對應的 IP 地址清單。
## GuardDuty 清單的重要考量事項
開始使用清單之前,請閱讀下列考量事項:
+ IP 地址清單和實體清單僅適用於以可公開路由 IP 地址和網域為目標的流量。
+ 在實體清單中,項目會套用至 CloudTrail、Amazon VPC 中的 VPC 流程日誌,以及 Route53 Resolver DNS 查詢日誌調查結果。
在 IP 地址清單中,項目適用於 Amazon VPC 調查結果中的 CloudTrail 和 VPC 流程日誌,但不適用於 Route53 Resolver DNS 查詢日誌調查結果。
+ 如果您在信任和威脅清單中包含相同的 IP 地址或網域,則信任清單中的這個項目將優先。如果存在與此項目相關聯的活動,GuardDuty 將不會產生問題清單。
+ 在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單。此設定會自動套用至成員帳戶。GuardDuty 會根據涉及來自管理員帳戶威脅來源之已知惡意 IP 地址 (和網域) 的活動產生調查結果,而且不會根據涉及來自管理員帳戶信任來源之 IP 地址 (和網域) 的活動產生調查結果。如需詳細資訊,請參閱[Amazon GuardDuty 中的多個帳戶](guardduty_accounts.md)。
+ 僅接受 IPv4 地址。不支援 IPv6 地址。
+ 在您啟用、停用或刪除實體清單或 IP 地址清單後,估計程序會在 15 分鐘內完成。在某些情況下,此程序最多可能需要 40 分鐘才能完成。
+ 只有在清單的狀態變為**作用中**時,GuardDuty 才會使用威脅偵測清單。
+ 每當您在清單的 S3 儲存貯體位置中新增或更新項目時,都必須再次啟用清單。如需詳細資訊,請參閱[更新實體清單或 IP 地址清單](guardduty-lists-update-procedure.md)。
+ 實體清單和 IP 地址具有不同的配額。如需詳細資訊,請參閱[GuardDuty 配額](guardduty_limits.md)。
## 清單格式
GuardDuty 接受您清單和實體清單的多種檔案格式,每個檔案最多 35 MB。每個格式都有特定的要求和功能。
### 純文字 (TXT)
此格式支援 IP 地址、CIDR 範圍和網域名稱。每個項目都必須顯示在單獨的一行上。
**Example **實體清單的範例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 地址清單的範例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### 結構化威脅資訊運算式 (STIX)
此格式支援 IP 地址、CIDR 區塊和網域名稱。STIX 可讓您在威脅情報中包含其他內容。GuardDuty 會從 STIX 指標處理 IP 地址、CIDR 範圍和網域名稱。
**Example **實體清單的範例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 地址清單的範例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### 開放式威脅交換 (OTX)TM CSV
此格式支援 CIDR 區塊、個別 IP 地址和網域。此檔案格式具有逗號分隔值。
**Example **實體清單的範例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 地址清單的範例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT 威脅情報 CSV
此格式支援 CIDR 區塊、個別 IP 地址和網域。下列範例清單使用 `FireEyeTM` CSV 格式。
**Example **實體清單的範例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 地址清單的範例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET 情報饋送 CSV
在 ProofPoint CSV 格式中,您可以在一個清單中新增 IP 地址或網域名稱。下列範例清單使用 `Proofpoint` CSV 格式。提供 `ports` 參數的值是選用的。當您不提供時,請在結尾保留結尾逗號 (,)。
**Example **實體清單的範例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 地址清單的範例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM 評價饋送
下列範例清單使用 `AlienVault` 格式。
**Example **實體清單的範例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 地址清單的範例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 了解清單狀態
當您新增實體清單或 IP 地址清單時,GuardDuty 會顯示該清單的狀態。**狀態**欄指出清單是否有效,以及是否需要任何動作。下列清單說明有效的狀態值:
+ **作用中** – 表示清單目前正在用於自訂威脅偵測。
+ **非作用中** – 表示清單目前不在使用中。若要讓 GuardDuty 將此清單用於環境中的威脅偵測,請參閱《》中的步驟 3:啟用實體清單或 IP 地址清單[新增和啟用實體清單或 IP 清單](guardduty-lists-create-activate.md)。
+ **錯誤** – 表示清單發生問題。將滑鼠暫留在狀態上以檢視錯誤詳細資訊。
+ **啟用中** – 表示 GuardDuty 已啟動啟用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為**作用中**。當狀態保持**啟用時**,您無法對此清單執行任何動作。清單狀態可能需要幾分鐘的時間才能變更為**作用中**。
+ **停用** – 表示 GuardDuty 已啟動停用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為**非作用中**。當狀態保持**停用**時,您無法在此清單上執行任何動作。
+ **刪除擱置**中 – 表示清單正在進行刪除。當狀態保持**待定刪除**時,您無法在此清單上執行任何動作。
# 設定實體清單和 IP 地址清單的先決條件
GuardDuty 會使用實體清單和 IP 地址清單,在您的環境中自訂威脅偵測 AWS 。實體清單 (建議) 同時支援 IP 地址和網域名稱,而 IP 地址清單僅支援 IP 地址。開始建立這些清單之前,您必須為要使用的清單類型新增必要的許可。
## 實體清單的先決條件
當您新增實體清單時,GuardDuty 會從 S3 儲存貯體讀取您的信任和威脅情報清單。您用來建立實體清單的角色必須具有 S3 儲存貯體的 `s3:GetObject` 許可,其中包含這些清單。
**注意**
在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單,這些清單會自動套用到成員帳戶。
如果您還沒有 S3 儲存貯體位置的`s3:GetObject`許可,請使用下列範例政策,並將 *amzn-s3-demo-bucket* 取代為您的 S3 儲存貯體位置。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 地址清單的先決條件
各種 IAM 身分需要特殊的許可,以在 GuardDuty 中使用信任 IP 清單和威脅清單。具有連接的 [AmazonGuardDutyFullAccess\$1v2 (建議)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 受管政策的身分,只能重新命名和停用上傳的信任 IP 清單和威脅清單。
若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用,還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限,請確認以下動作存在於連接至使用者、群組或角色的許可政策中:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
這些動作不包含在 `AmazonGuardDutyFullAccess` 受管政策中。
### 搭配實體清單和 IP 清單使用 SSE-KMS 加密
GuardDuty 支援清單的 SSE-AES256 和 SSE-KMS 加密。不支援 SSE-C。如需 S3 加密類型的詳細資訊,請參閱[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)。
無論您使用實體清單還是 IP 清單,如果您使用 SSE-KMS,請將下列陳述式新增至您的 AWS KMS key 政策。以您自己的帳戶 ID 取代 *123456789012*。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 新增和啟用實體清單或 IP 清單
實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 [了解實體清單和 IP 地址清單](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。若要管理您 AWS 環境的信任和威脅情報資料,GuardDuty 建議使用實體清單。開始之前,請參閱[設定實體清單和 IP 地址清單的先決條件](guardduty-lists-prerequisites.md)。
選擇下列其中一種存取方法,以新增和啟用信任實體清單、威脅實體清單、信任 IP 清單或威脅 IP 清單。
------
#### [ Console ]
**(選用) 步驟 1:擷取清單的位置 URL**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在導覽窗格中,選擇 **儲存貯體**。
1. 選擇 Amazon S3 儲存貯體名稱,其中包含您要新增的特定清單。
1. 選擇物件 (清單) 名稱以檢視其詳細資訊。
1. 在**屬性**索引標籤下,複製此物件的 **S3 URI**。
**步驟 2:新增信任或威脅情報資料**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選擇**實體清單**或 **IP 地址清單**索引標籤。
1. 根據您選取的標籤,選擇新增信任清單或威脅清單。
1. 在對話方塊中新增信任或威脅清單,請執行下列步驟:
1. 針對**清單名稱**,輸入清單的名稱。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 針對**位置**,提供您上傳清單的位置。如果您尚未擁有位置,請參閱[Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**位置 URL 的格式:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (選用) 對於**預期儲存貯體擁有者**,您可以輸入擁有**位置**欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。
當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有**位置**欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。
如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。
1. 選取**我同意**核取方塊。
1. 選擇**新增清單**。依預設,新增清單的**狀態**為**非作用中**。若要使清單生效,您必須啟用清單。
**步驟 3:啟用實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取要在其中啟用清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 選取您要啟用的清單。這將啟用**動作**和**編輯**功能表。
1. 選擇**動作**,然後選擇**啟用**。
------
#### [ API/CLI ]
**新增和啟用信任的實體清單**
1. 執行 [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)。請務必提供您要為其建立此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**新增和啟用威脅實體清單**
1. 執行 [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)。請務必提供您要為其建立此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 不符合下列支援的格式,則您將在新增和啟用清單期間收到錯誤訊息。
**新增和啟用信任的 IP 地址清單**
1. 執行 [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。請務必提供您要為其建立此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要更新信任 IP 地址清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立信任 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
**新增和啟用威脅 IP 清單**
1. 執行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。請務必提供您要為其建立此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並將 取代`detector-id`為您要更新威脅 IP 清單之成員帳戶的偵測器 ID。
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` 將 取代為您建立威脅 IP 清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
------
啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
# 更新實體清單或 IP 地址清單
實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 [了解實體清單和 IP 地址清單](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)。
您可以更新清單的名稱、S3 儲存貯體位置、預期的儲存貯體擁有者帳戶 ID,以及現有清單中的項目。如果您更新清單中的項目,您必須依照步驟再次啟用清單,GuardDuty 才能使用最新版本的清單。在您更新或啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
**注意**
如果清單的狀態為**啟用**、**停用****或刪除待定**,您必須先等待幾分鐘,才能執行任何動作。如需這些狀態的資訊,請參閱 [了解清單狀態](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
選擇其中一種存取方法來更新實體清單或 IP 地址清單。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取適當的索引標籤 - **實體清單**或 **IP 地址清單**。
1. 選取您要更新的清單 (受信任或威脅)。這將啟用**動作**和**編輯**功能表。
1. 選擇**編輯**。
1. 在要更新清單的對話方塊中,指定您要更新的詳細資訊。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
1. (選用) 對於**預期儲存貯體擁有者**,您可以輸入擁有**位置**欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。
當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有**位置**欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。
如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。
1. 選取**我同意**核取方塊,然後選擇**更新清單**。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與您要更新之清單資源相關聯的 ID`threatIpSet`,例如 `trustedEntitySetId``trustedIpSet`、、 `threatEntitySetId`或 。
**更新和啟用信任的實體清單**
1. 執行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。請務必提供您要更新此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來更新清單`name`的 ,並啟用此清單:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
**更新和啟用威脅實體清單**
1. 執行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。請務必提供您要為其建立此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來更新清單`name`的 ,並啟用此清單:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您建立威脅實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此`--detector-id`值相關聯的 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
僅適用於自訂威脅和自訂信任實體集 – 如果您提供的位置 URL 與下列支援的格式不相符,則您會在新增和啟用清單期間收到錯誤訊息。
**更新和啟用信任的 IP 地址清單**
1. 執行 [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)。請務必提供您要更新此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列命令 AWS Command Line Interface 來啟用清單:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您要更新信任 IP 清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
**新增和啟用威脅 IP 清單**
1. 執行 [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)。請務必提供您要為其建立此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**清單命名限制** – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (\$1)。
對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。
1. 或者,您也可以執行下列命令 AWS Command Line Interface 來啟用清單:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` 將 取代為您要更新威脅 IP 清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
如果您不想啟用此新建立的清單,請將 參數取代`--activate`為 `--no-activate`。
`expected-bucket-owner` 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 `expected-bucket-owner` 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 `--location` 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。
------
# 停用實體清單或 IP 地址清單
當您不再希望 GuardDuty 使用清單時,您可以停用該清單。程序可能需要幾分鐘的時間才能完成。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。清單停用後,實體清單或 IP 地址清單中的項目不會影響 GuardDuty 中的威脅偵測。
選擇其中一種存取方法來停用清單。
------
#### [ Console ]
**停用實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取您要停用清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 在選取的索引標籤中,選取您要停用的清單。
1. 選擇**動作**,然後選擇**停用**。
1. 確認動作,然後選擇**停用**。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與您要停用的清單資源相關聯的 ID`threatIpSet`,例如 `trustedEntitySetId``trustedIpSet`、、 `threatEntitySetId`或 。
**停用信任的實體清單**
1. 執行 [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)。請務必提供您要停用此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` 將 取代為您要停用信任實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**停用威脅實體清單**
1. 執行 [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)。請務必提供您要停用此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` 將 取代為您要為其建立威脅實體清單的成員帳戶的偵測器 ID,以及其他*以紅色顯示的*預留位置值。
**停用信任的 IP 地址清單**
1. 執行 [UpdateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)。請務必提供您要停用此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要停用信任 IP 地址清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**停用威脅 IP 清單**
1. 執行 [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)。請務必提供您要停用此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要停用威脅 IP 清單之成員帳戶的`detector-id`偵測器 ID 取代 。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 刪除實體清單或 IP 地址清單
當您不想再將清單項目保留在實體集或 IP 地址集中時,您可以將其刪除。程序可能需要幾分鐘的時間才能完成。如需詳細資訊,請參閱[GuardDuty 清單的重要考量事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)。
如果清單的狀態為**啟用或停用******,您必須先等待幾分鐘,才能執行任何動作。如需詳細資訊,請參閱[了解清單狀態](guardduty_upload-lists.md#guardduty-entity-list-statuses)。
選擇其中一個存取方法來刪除清單。
------
#### [ Console ]
**刪除實體清單或 IP 地址清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**清單**。
1. 在**清單**頁面上,選取要在其中刪除清單 - **實體清單**或 **IP 地址清單**的索引標籤。
1. 在選取的索引標籤中,選取您要刪除的清單。
1. 選擇**動作**,然後選擇**刪除**。
清單狀態將變更為待**定刪除**。可能需要幾分鐘的時間才會刪除清單。
------
#### [ API/CLI ]
若要從下列程序開始,您需要與要刪除的清單資源相關聯的 ID`threatIpSet`,例如 `trustedIpSet`、、 `trustedEntitySetId` `threatEntitySetId`或 。
**刪除信任的實體清單**
1. 執行 [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)。請務必提供要刪除此信任實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除信任實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**停用威脅實體清單**
1. 執行 [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)。請務必提供要刪除此威脅實體清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**刪除信任的 IP 地址清單**
1. 執行 [DeleteIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)。請務必提供要刪除此信任 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您可以執行下列 AWS Command Line Interface 命令,並確定將 取代`detector-id`為您要刪除信任 IP 地址清單之成員帳戶的偵測器 ID。
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
**刪除威脅 IP 清單**
1. 執行 [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)。請務必提供要刪除此威脅 IP 地址清單`detectorId`之成員帳戶的 。若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 或者,您也可以執行下列 AWS Command Line Interface 命令,並將 取代`detector-id`為您要刪除威脅 IP 清單之成員帳戶的偵測器 ID。
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` 將 取代為您將刪除威脅實體清單的成員帳戶的偵測器 ID,以及*以紅色顯示*的其他預留位置值。
------
# 將產生的 GuardDuty 調查結果匯出至 Amazon S3 儲存貯體
GuardDuty 會將產生的調查結果保留 90 天。GuardDuty 會將作用中的問題清單匯出至 Amazon EventBridge (EventBridge)。您可以選擇將產生的調查結果匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。這可協助您追蹤帳戶中潛在可疑活動的歷史資料,並評估建議的修復步驟是否成功。
GuardDuty 產生的任何新作用中問題清單都會在問題清單產生後約 5 分鐘內自動匯出。您可以設定將作用中問題清單更新匯出至 EventBridge 的頻率。您選取的頻率適用於將現有問題清單的新出現項目匯出至 EventBridge、S3 儲存貯體 (設定時) 和 Detective (整合時)。如需 GuardDuty 如何彙總多個現有調查結果的資訊,請參閱 [GuardDuty 調查結果彙總](finding-aggregation.md)。
當您設定 設定將調查結果匯出至 Amazon S3 儲存貯體時,GuardDuty 會使用 AWS Key Management Service (AWS KMS) 來加密 S3 儲存貯體中的調查結果資料。這需要您將許可新增至 S3 儲存貯體和 AWS KMS 金鑰,以便 GuardDuty 可以使用它們來匯出帳戶中的問題清單。
**Topics**
+ [考量事項](#guardduty-export-findings-considerations)
+ [步驟 1 – 匯出問題清單所需的許可](#guardduty_exportfindings-permissions)
+ [步驟 2 – 將政策連接至 KMS 金鑰](#guardduty-exporting-findings-kms-policy)
+ [步驟 3 – 將政策連接至 Amazon S3 儲存貯體](#guardduty_exportfindings-s3-policies)
+ [步驟 4 - 匯出問題清單至 S3 儲存貯體 (主控台)](#guardduty_exportfindings-new-bucket)
+ [步驟 5 – 設定匯出更新之作用中問題清單的頻率](#guardduty_exportfindings-frequency)
## 考量事項
在繼續匯出問題清單的先決條件和步驟之前,請考慮下列重要概念:
+ **匯出設定是區域**性 – 您需要在使用 GuardDuty 的每個區域中設定匯出選項。
+ 將**問題清單匯出至不同 AWS 區域 (跨區域) 的 Amazon S3 儲存貯**體 – GuardDuty 支援下列匯出設定:
+ 您的 Amazon S3 儲存貯體或物件和 AWS KMS 金鑰必須屬於相同的 AWS 區域。
+ 對於商業區域中產生的調查結果,您可以選擇將這些調查結果匯出到任何商業區域中的 S3 儲存貯體。不過,您無法將這些調查結果匯出到選擇加入區域中的 S3 儲存貯體。
+ 對於選擇加入區域中產生的問題清單,您可以選擇將這些問題清單匯出到產生問題清單的相同選擇加入區域或任何商業區域。不過,您無法將問題清單從一個選擇加入區域匯出至另一個選擇加入區域。
+ **匯出問題清單的許可** – 若要設定匯出作用中問題清單的設定,S3 儲存貯體必須具有允許 GuardDuty 上傳物件的許可。您也必須擁有 GuardDuty 可用來加密問題清單的 AWS KMS 金鑰。
+ **未匯出封存的問題**清單 – 預設行為是不會匯出封存的問題清單,包括隱藏的問題清單的新執行個體。
當 GuardDuty 調查結果產生為*封存*時,您將需要*將其取消封存*。這會將**篩選條件調查結果狀態**變更為**作用中**。GuardDuty 會根據您設定 的方式,將更新匯出至現有的未封存問題清單[步驟 5 – 匯出問題清單的頻率](#guardduty_exportfindings-frequency)。
+ **GuardDuty 管理員帳戶可以匯出在關聯成員帳戶中產生的調查結果** – 當您在管理員帳戶中設定匯出調查結果時,來自相同區域中產生之關聯成員帳戶的所有調查結果也會匯出到您為管理員帳戶設定的相同位置。如需詳細資訊,請參閱[了解 GuardDuty 管理員帳戶與成員帳戶之間的關係](administrator_member_relationships.md)。
## 步驟 1 – 匯出問題清單所需的許可
當您設定匯出問題清單的設定時,請選取 Amazon S3 儲存貯體,您可以在其中存放問題清單和用於資料加密的 AWS KMS 金鑰。除了 GuardDuty 動作的許可之外,您還必須具有下列動作的許可,才能成功設定 設定以匯出問題清單:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
如果您需要將調查結果匯出至 Amazon S3 儲存貯體中的特定字首,您還必須將下列許可新增至 IAM 角色:
+ `s3:GetObject`
+ `s3:ListBucket`
## 步驟 2 – 將政策連接至 KMS 金鑰
GuardDuty 會使用 加密儲存貯體中的調查結果資料 AWS Key Management Service。若要成功設定設定,您必須先授予 GuardDuty 使用 KMS 金鑰的許可。您可以透過[將政策連接至](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) KMS 金鑰來授予許可。
當您從另一個帳戶使用 KMS 金鑰時,您需要登入擁有金鑰 AWS 帳戶 的 來套用金鑰政策。當您設定 設定以匯出問題清單時,您也需要擁有金鑰之帳戶的金鑰 ARN。
**若要修改 GuardDuty 的 KMS 金鑰政策,以加密匯出的問題清單**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 選取現有的 KMS 金鑰,或執行《 *AWS Key Management Service 開發人員指南*》中的[建立新金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)的步驟,以用來加密匯出的問題清單。
**注意**
AWS 區域 KMS 金鑰和 Amazon S3 儲存貯體的 必須相同。
您可以使用相同的 S3 儲存貯體和 KMS 金鑰對,從任何適用的區域匯出問題清單。如需詳細資訊,請參閱[考量事項](#guardduty-export-findings-considerations)以跨區域匯出問題清單。
1. 在 **Key policy** (金鑰政策) 區段中,選擇 **Edit** (編輯)。
如果顯示**切換到政策檢視**,請選擇它以顯示**金鑰政策**,然後選擇**編輯**。
1. 將下列政策區塊複製到您的 KMS 金鑰政策,以授予 GuardDuty 使用您的金鑰的許可。
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. 透過取代政策範例中以**紅色**格式化的下列值來編輯政策:
1. 將 *KMS 金鑰 ARN* 取代為 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1. 將 *123456789012* 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。
1. 將 *Region2* 取代為產生 GuardDuty 調查結果 AWS 區域 的 。
1. 將 *SourceDetectorID* 取代為產生問題清單`detectorID`之特定區域中 GuardDuty 帳戶的 。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
**注意**
如果您在選擇加入區域中使用 GuardDuty,請將「服務」的值取代為該區域的區域端點。例如,如果您是在中東 (巴林) (me-south-1) 區域使用 GuardDuty,請使用 `"Service": "guardduty.me-south-1.amazonaws.com"` 取代 `"Service": "guardduty.amazonaws.com"`。如需每個選擇加入區域的端點資訊,請參閱 [GuardDuty 端點和配額](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
1. 如果您在最終陳述式之前新增政策陳述式,請在新增此陳述式之前新增逗號。請確定 KMS 金鑰政策的 JSON 語法有效。
選擇**儲存**。
1. (選用) 將金鑰 ARN 複製到記事本,以供後續步驟使用。
## 步驟 3 – 將政策連接至 Amazon S3 儲存貯體
將許可新增至您要匯出問題清單的 Amazon S3 儲存貯體,以便 GuardDuty 可以將物件上傳至此 S3 儲存貯體。無論使用屬於您帳戶或其他 的 Amazon S3 儲存貯體 AWS 帳戶,您都必須新增這些許可。
如果在任何時候,您決定將問題清單匯出至不同的 S3 儲存貯體,則若要繼續匯出問題清單,您必須將許可新增至該 S3 儲存貯體,並再次設定匯出問題清單設定。
如果您還沒有要匯出這些調查結果的 Amazon S3 儲存貯體,請參閱《*Amazon S3 使用者指南*》中的[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。
### 將許可連接至 S3 儲存貯體政策
1. 執行 *Amazon S3 使用者指南*中的[建立或編輯儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)下的步驟,直到顯示**編輯儲存貯體政策**頁面。
1. **範例政策**顯示如何授予 GuardDuty 將調查結果匯出至 Amazon S3 儲存貯體的許可。如果您在設定匯出問題清單後變更路徑,則必須修改政策以將許可授予新位置。
複製下列**範例政策**,並將其貼到**儲存貯體政策編輯器**中。
如果您在最終陳述式之前新增政策陳述式,請在新增此陳述式之前新增逗號。請確定 KMS 金鑰政策的 JSON 語法有效。
**S3 儲存貯體範例政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. 透過取代政策範例中以**紅色**格式化的下列值來編輯政策:
1. 將 *Amazon S3 儲存貯體 ARN* 取代為 Amazon S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)** 主控台的編輯儲存貯體政策頁面上找到儲存貯體 ARN**。 ****
1. 將 *123456789012* 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。
1. 將 *us-east-2* 取代為 AWS 區域 產生 GuardDuty 調查結果的 。
1. 將 *SourceDetectorID* 取代為產生問題清單`detectorID`之特定區域中 GuardDuty 帳戶的 。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
1. 將 S3 儲存貯體 ARN/*【選用字首】* 預留位置值的 【選用字首】 部分取代為您要匯出問題清單的選用資料夾位置。 *S3 * 如需使用字首的詳細資訊,請參閱《*Amazon S3 使用者指南*》中的[使用字首組織物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
當您提供尚不存在的選用資料夾位置時,只有當與 S3 儲存貯體相關聯的帳戶與匯出問題清單的帳戶相同時,GuardDuty 才會建立該位置。當您將問題清單匯出至屬於另一個帳戶的 S3 儲存貯體時,資料夾位置必須已存在。
1. 將 *KMS 金鑰 ARN* 取代為與匯出至 S3 儲存貯體之調查結果加密相關聯的 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
**注意**
如果您在選擇加入區域中使用 GuardDuty,請將「服務」的值取代為該區域的區域端點。例如,如果您是在中東 (巴林) (me-south-1) 區域使用 GuardDuty,請使用 `"Service": "guardduty.me-south-1.amazonaws.com"` 取代 `"Service": "guardduty.amazonaws.com"`。如需每個選擇加入區域的端點資訊,請參閱 [GuardDuty 端點和配額](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。
1. 選擇**儲存**。
## 步驟 4 - 匯出問題清單至 S3 儲存貯體 (主控台)
GuardDuty 允許您將調查結果匯出到另一個 中的現有儲存貯體 AWS 帳戶。
建立新的 S3 儲存貯體或選擇帳戶中現有的儲存貯體時,您可以新增選用的字首。設定匯出問題清單時,GuardDuty 會在 S3 儲存貯體中為您的問題清單建立新的資料夾。字首會附加到 GuardDuty 建立的預設資料夾結構。例如,選用字首 的格式`/AWSLogs/123456789012/GuardDuty/Region`。
S3 物件的整個路徑將是 `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`。`UUID` 是隨機產生的,不代表偵測器 ID 或調查結果 ID。
**重要**
KMS 金鑰和 S3 儲存貯體必須位於同一區域。
在完成這些步驟之前,請確定您已將個別政策連接到 KMS 金鑰和現有的 S3 儲存貯體。
**設定匯出問題清單**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**調查結果匯出選項**下,針對 **S3 儲存貯**體選擇**立即設定** (或視需要**編輯**)。
1. 針對 **S3 儲存貯體 ARN**,輸入 ****bucket ARN****。若要尋找儲存貯體 ARN,請參閱《Amazon [ S3 使用者指南》中的檢視 S3 儲存貯體的屬性](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)。 *Amazon S3 *
1. 針對 **KMS 金鑰 ARN**,輸入 ****key ARN****。若要尋找金鑰 ARN,請參閱《 *AWS Key Management Service 開發人員指南*》中的[尋找金鑰 ID 和 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。
1.
**連接政策**
+ 執行步驟以連接 S3 儲存貯體政策。如需詳細資訊,請參閱[步驟 3 – 將政策連接至 Amazon S3 儲存貯體](#guardduty_exportfindings-s3-policies)。
+ 執行步驟以連接 KMS 金鑰政策。如需詳細資訊,請參閱[步驟 2 – 將政策連接至 KMS 金鑰](#guardduty-exporting-findings-kms-policy)。
1. 選擇 **Save** (儲存)。
## 步驟 5 – 設定匯出更新之作用中問題清單的頻率
根據您的環境設定匯出更新之作用中問題清單的頻率。根據預設,每 6 小時匯出更新的問題清單。這表示任何在最近一次匯出之後更新的問題清單都會包含在下一個的匯出中。如果每 6 小時匯出更新的問題清單,且匯出在 12:00 進行,則您在 12:00 之後更新的任何問題清單都會在 18:00 匯出。
**設定頻率**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 選擇**設定**。
1. 在**調查結果匯出選項**區段中,選擇**更新後的調查結果的頻率**。這會設定將更新的作用中問題清單匯出至 EventBridge 和 Amazon S3 的頻率。您可以選擇下列項目:
+ **每 15 分鐘更新 EventBridge 和 S3 **
+ **每 1 小時更新 EventBridge 和 S3 **
+ **每 6 小時更新 EventBridge 和 S3 (預設)**
1. 選擇**儲存變更**。
# 使用 Amazon EventBridge 處理 GuardDuty 問題清單
GuardDuty 會自動將調查結果作為事件發佈 (傳送) 至 Amazon EventBridge (先前稱為 Amazon CloudWatch Events),這是一種無伺服器事件匯流排服務。EventBridge 將近乎即時的資料從應用程式和服務串流傳送至目標,例如 Amazon Simple Notification Service (Amazon SNS) 主題、 AWS Lambda 函數和 Amazon Kinesis 串流。如需詳細資訊,請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
EventBridge 可透過接收[事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html)來自動監控和處理 GuardDuty 調查結果。EventBridge 會接收新產生的調查結果和彙總調查結果的事件,其中現有調查結果的後續出現會與原始調查結果合併。每個 GuardDuty 調查結果都會指派一個調查結果 ID,而 GuardDuty 會使用唯一的調查結果 ID 為每個調查結果建立 EventBridge 事件。如需彙總如何在 GuardDuty 中運作的詳細資訊,請參閱 [GuardDuty 調查結果彙總](finding-aggregation.md)。
除了自動化監控和處理之外,EventBridge 的使用也可讓您長期保留問題清單資料。GuardDuty 會將調查結果存放 90 天。使用 EventBridge,您可以將問題清單資料傳送到您偏好的儲存平台,並隨心所欲地存放資料。若要保留更長的調查結果,GuardDuty 支援 [將產生的調查結果匯出至 Amazon S3](guardduty_exportfindings.md)。
**Topics**
+ [GuardDuty 中的 EventBridge 通知頻率](#eventbridge-freq-notifications-gdu)
+ [設定 Amazon SNS 主題和端點](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [搭配 GuardDuty 使用 EventBridge](#eventbridge_events)
+ [建立 EventBridge 規則](#guardduty_eventbridge_severity_notification)
+ [多帳戶環境的 EventBridge 規則](#guardduty_findings_eventbridge_multiaccount)
## 了解 GuardDuty 中的 EventBridge 通知頻率
本節說明透過 EventBridge 接收問題清單通知的頻率,以及如何更新後續問題清單出現的頻率。
**具有唯一問題清單 ID 的新產生問題清單通知**
GuardDuty 會在產生具有唯一問題清單 ID 的問題清單時,近乎即時地傳送這些通知。通知包含在通知產生程序期間此調查結果 ID 的所有後續出現次數。
新產生的調查結果通知頻率近乎即時。根據預設,您無法修改此頻率。
**後續出現的調查結果的通知**
GuardDuty 會將在 6 小時間隔內發生之特定調查結果類型的所有後續出現彙總為單一事件。只有管理員帳戶可以更新後續問題清單出現的 EventBridge 通知頻率。成員帳戶無法更新自己帳戶的此頻率。例如,如果委派的 GuardDuty 管理員帳戶將頻率更新為一小時,則所有成員帳戶也會有一個小時的通知頻率,通知後續的問題清單出現次數會傳送到 EventBridge。如需詳細資訊,請參閱[Amazon GuardDuty 中的多個帳戶](guardduty_accounts.md)。
身為管理員帳戶,您可以自訂後續問題清單出現之通知的預設頻率。可能的值有 15 分鐘、1 小時或預設的 6 小時。如需有關設定這些通知頻率的資訊,請參閱[步驟 5 – 設定匯出更新之作用中問題清單的頻率](guardduty_exportfindings.md#guardduty_exportfindings-frequency)。
如需管理員帳戶接收成員帳戶 EventBridge 通知的詳細資訊,請參閱 [多帳戶環境的 EventBridge 規則](#guardduty_findings_eventbridge_multiaccount)。
## 設定 Amazon SNS 主題和端點 (電子郵件、Slack 和 Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) 是一種全受管服務,可將訊息從發佈者交付給訂閱者。發佈者透過傳送訊息至*主題*,以非同步方式與訂閱者通訊。主題是邏輯存取點和通訊管道,可讓您將多個端點分組 AWS Lambda,例如 Amazon Simple Queue Service (Amazon SQS)、HTTP/S 和電子郵件地址。
**注意**
您可以在建立規則期間或之後,將 Amazon SNS 主題新增至您偏好的 EventBridge 事件規則。
**建立 Amazon SNS 主題**
若要開始,您必須先在 Amazon SNS 中設定主題並新增端點。若要建立主題,請執行《*Amazon Simple Notification Service 開發人員指南*》中的[步驟 1:建立主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)。建立主題之後,請將主題 ARN 複製到剪貼簿。您將使用此主題 ARN 來繼續其中一個偏好的設定。
選擇偏好的方法來建立您要傳送 GuardDuty 調查結果資料的位置。
------
#### [ Email setup ]
**設定電子郵件端點**
在您 之後[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge),下一個步驟是建立此主題的訂閱。執行《[Amazon Simple Notification Service 開發人員指南》中的步驟 2:建立 Amazon SNS 主題的訂閱](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)。 **
1. 對於**主題 ARN**,請使用在 [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 步驟中建立的主題 ARN。主題 ARN 看起來類似以下內容:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. 關於**通訊協定**,請選擇**電子郵件**。
1. 針對**端點**,輸入您要接收來自 Amazon SNS 通知的電子郵件地址。
建立訂閱之後,您需要透過電子郵件用戶端進行確認。
------
#### [ Slack setup ]
**在聊天應用程式用戶端 - Slack 中設定 Amazon Q Developer**
在您 之後[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge),下一個步驟是設定 Slack 的用戶端。
在*聊天應用程式管理員指南中的 Amazon Q Developer 中*,執行[教學課程:開始使用 Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) 下的步驟。
------
#### [ Chime setup ]
**在聊天應用程式用戶端 - Chime 中設定 Amazon Q Developer**
在您 之後[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge),下一個步驟是設定 Amazon Q Developer for Chime。
在*聊天應用程式管理員指南中的* [Amazon Q 開發人員中,執行教學課程:開始使用 Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) 下的步驟。
------
## 將 Amazon EventBridge 用於 GuardDuty 調查結果
使用 EventBridge,您可以建立規則來指定要監控的事件。這些規則也會指定目標服務和應用程式,以便在發生這些事件時執行自動化動作。[目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)為當事件符合規則中定義的事件模式時,EventBridge 傳送事件的目標 (資源或端點)。每個事件都是 JSON 物件,符合 AWS 事件的 EventBridge 結構描述,並包含問題清單的 JSON 表示法。您可以自訂規則,只傳送符合特定條件的事件。如需詳細資訊,請參閱 【JSON 結構描述主題】。由於調查結果資料結構為 [EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html),因此您可以使用其他應用程式、服務和工具來監控、處理和處理調查結果。
若要根據事件接收有關 GuardDuty 調查結果的通知,您必須建立 EventBridge 規則和 GuardDuty 的目標。此規則可讓 EventBridge 將 GuardDuty 產生的調查結果通知傳送至規則中指定的目標。
**注意**
EventBridge 和 CloudWatch Events 是相同的基礎服務和 API。不過,EventBridge 包含其他功能,可協助您從軟體即服務 (SaaS) 應用程式和您自己的應用程式接收事件。由於基礎服務和 API 相同,GuardDuty 調查結果的事件結構描述也相同。
**GuardDuty 中封存和非封存的問題清單如何使用 EventBridge**
對於您手動封存的問題清單,這些問題清單的初始和所有後續出現 (在封存完成後產生) 會根據特定通知頻率傳送至 EventBridge。如需詳細資訊,請參閱[了解 GuardDuty 中的 EventBridge 通知頻率](#eventbridge-freq-notifications-gdu)。
對於使用 自動封存的問題清單[隱藏規則](findings_suppression-rule.md),這些問題清單的初始和所有後續出現 (在封存完成後產生) *不會*傳送至 EventBridge。您可以在 GuardDuty 主控台中檢視這些自動封存的問題清單。
### 事件結構描述
[事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)定義 EventBridge 用來判斷是否將事件傳送至目標的資料。GuardDuty 的 EventBridge 事件具有下列格式:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
此`detail`值會以物件形式傳回單一調查結果的 JSON 詳細資訊,而不是傳回整個*調查結果*回應語法,該語法支援陣列中的多個調查結果。
如需 中包含的所有參數的完整清單`GUARDDUTY_FINDING_JSON_OBJECT`,請參閱 [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax)。在 `GUARDDUTY_FINDING_JSON_OBJECT` 中出現的 `id` 參數,即為之前描述的調查結果 ID。
## 為 GuardDuty 調查結果建立 EventBridge 規則
下列程序說明如何使用 Amazon EventBridge 主控台和 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 為 GuardDuty 調查結果建立 EventBridge 規則。此規則會偵測使用 GuardDuty 調查結果的事件結構描述和模式的 EventBridge 事件,並將這些事件傳送至 AWS Lambda 函數進行處理。
AWS Lambda 是一種運算服務,您可以用來執行程式碼,而無需佈建或管理伺服器。您可以封裝程式碼並將其上傳到 AWS Lambda 做為 *Lambda 函數*。 AWS Lambda 然後, 會在叫用函數時執行函數。函數可由您人工呼叫,可以自動回應事件,或回應應用程式或服務的請求。如需建立並調用 Lambda 函數的相關資訊,請參閱[AWS Lambda 開發人員指南](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)。
選擇您偏好的方法,以建立將 GuardDuty 調查結果傳送至目標的 EventBridge 規則。
------
#### [ Console ]
請依照下列步驟使用 Amazon EventBridge 主控台建立規則,自動將所有 GuardDuty 調查結果事件傳送至 Lambda 函數進行處理。規則會對收到特定事件時執行的規則使用預設設定。如需規則設定的詳細資訊,或了解如何建立使用自訂設定的規則,請參閱《*Amazon EventBridge 使用者指南*》中的[建立對事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)。
建立此規則之前,請建立您希望規則用作目標的 Lambda 函數。在建立規則時,您需要將此函數指定為該規則的目標。您的目標也可以是您先前建立的 SNS 主題。如需詳細資訊,請參閱[設定 Amazon SNS 主題和端點 (電子郵件、Slack 和 Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint)。
**使用主控台建立事件規則**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 在導覽窗格中的**匯流排**下,選擇**規則**。
1. 在 **Rules** (規則) 區段中,選擇 **Create Rule** (建立規則)。
1. 在**定義規則詳細資訊**頁面上,執行下列動作:
1. 對於 **Name** (名稱),請輸入規則的名稱。
1. (選用) 針對**描述**,輸入規則的簡短描述。
1. 針對**事件匯流排**,請確定已選取**預設值**,且**已開啟所選事件匯流排上的啟用規則**。
1. 針對**規則類型**,選擇**具有事件模式的規則**。
1. 完成後,請選擇**下一步**。
1. 在**建置事件模式**頁面上,執行下列動作:
1. 在**事件來源**欄位中,選擇 **AWS 事件或 EventBridge 合作夥伴事件**。
1. (選用) 對於**範例事件**,請檢閱 GuardDuty 的調查結果事件範例,以了解事件可能包含的內容。若要這樣做,請選擇**AWS 事件**。然後,針對**範例事件**,選擇 **GuardDuty 調查結果**。
1.
**選項 1 - 使用模式表單,EventBridge 提供的範本**
在**事件模式**區段中,您可以執行下列動作:
1. 對於**建立方法**,選取**使用模式表單**。
1. 在 **Event source (事件來源)**,選擇 **AWS 服務**。
1. 針對 **AWS 服務**,選擇 **GuardDuty**。
1. 針對**事件類型**,選擇 **GuardDuty 調查結果**。
完成後,請選擇**下一步**。
1.
**選項 2 - 在 JSON 中使用自訂事件模式**
在**事件模式**區段中,您可以執行下列動作:
1. 對於**建立方法**,選取**自訂模式 (JSON 編輯器)**。
1. 對於**事件模式**,請貼上下列自訂 JSON,以建立中、高和關鍵問題清單的提醒。如需詳細資訊,請參閱[問題清單嚴重性等級](guardduty_findings-severity.md)。
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
完成後,請選擇**下一步**。
1.
**選項 A - 選取 AWS 服務 AWS Lambda 做為目標**
在**選取目標 (Select target) **頁面上,執行下列動作:
1. 對於**目標類型**,請選取 **AWS 服務**。
1. 對於 **Select a target** (選取目標),選擇 **Lambda function** (Lambda 函數)。然後,針對 **函數**,選擇您要傳送調查結果事件的 Lambda 函數。
1. 針對**設定版本/別名**,輸入目標 Lambda 函數的版本或別名設定。
1. (選用) 對於**其他設定**,輸入自訂設定以指定要傳送至 Lambda 函數的事件資料。您也可以指定如何處理未成功交付至函數的事件。
1. 完成後,請選擇**下一步**。
1.
**選項 B - 選取 SNS 主題做為目標**
在**選取目標 (Select target) **頁面上,執行下列動作:
1. 對於**目標類型**,請選取 **AWS 服務**。
1. 對於 **Select a target** (選取目標),選擇 **SNS topic** (SNS 主題)。然後,針對**目標位置**,根據您的目標位置選取適當的選項。針對**主題**,選擇您建立的 SNS 主題名稱。
1. 展開 **Additional settings** (其他設定)。針對**設定目標輸入**,選擇**輸入轉換器**。
1. 選擇**設定輸入轉換器**。
1. 複製下列程式碼,並將其貼到**目標輸入轉換器**區段下的輸入**路徑**欄位中。
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. 複製下列程式碼並貼到**範本**欄位中,以格式化電子郵件。
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. 在**設定標籤**頁面上,選擇性地輸入要指派給規則的一或多個標籤。然後選擇**下一步**。
1. 在**檢閱和建立**頁面上,檢閱規則的設定並確認其正確無誤。
若要變更設定,請在包含設定的區段中選擇**編輯**,然後輸入正確的設定。您也可以使用導覽索引標籤前往包含設定的頁面。
1. 當您完成驗證設定時,請選擇**建立規則**。
------
#### [ API ]
下列程序說明如何使用 AWS CLI 命令來建立 GuardDuty 的 EventBridge 規則和目標。具體而言,程序會說明如何建立規則,讓 EventBridge 將 GuardDuty 產生的所有調查結果的事件傳送至 AWS Lambda 函數,做為規則的目標。
**注意**
在此範例中,我們使用 Lambda 函數作為觸發 EventBridge 之規則的目標。您也可以將其他 AWS 資源設定為目標以觸發 EventBridge。GuardDuty 和 EventBridge 支援下列目標類型:Amazon EC2 執行個體、Amazon Kinesis 串流、Amazon ECS 任務、 AWS Step Functions 狀態機器、 `run`命令和內建目標。如需詳細資訊,請參閱《*Amazon EventBridge API 參考*》中的 [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)。
**建立規則和目標**
1. 若要建立讓 EventBridge 為 GuardDuty 產生的所有調查結果傳送事件的規則,請執行下列 EventBridge CLI 命令。
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
您可以進一步自訂規則,使其指示 EventBridge 僅針對 GuardDuty 產生的調查結果子集傳送事件。此部分項目是根據調查結果屬性或規則中指定的屬性而定。例如,使用下列 CLI 命令來建立規則,讓 EventBridge 僅傳送嚴重性為 5 或 8 的 GuardDuty 調查結果的事件:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
要達成此目的,您可以使用可在 GuardDuty 調查結果之 JSON 中取得的任何屬性值。
1. 若要連接 Lambda 函數作為您在步驟 1 中建立之規則的目標,請執行下列 CloudWatch CLI 命令。
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
請務必將上述命令`your-target-name`中的 取代為 GuardDuty 事件的實際 Lambda 函數。
1. 若要新增調用目標所需的許可,請執行以下 Lambda CLI 命令。
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
請務必將上述命令`your_function`中的 取代為 GuardDuty 事件的實際 Lambda 函數。
------
## GuardDuty 多帳戶環境的 EventBridge 規則
使用委派的 GuardDuty 管理員帳戶時,您可以檢視成員帳戶中產生的事件,並使用其他應用程式和服務採取行動。管理員帳戶中的 EventBridge 規則將根據成員帳戶中的適用調查結果觸發。如果您在管理員帳戶中透過 EventBridge 設定調查結果通知,您將收到來自您帳戶和成員帳戶的調查結果通知。例如,您可以使用 EventBridge 將特定類型的問題清單傳送至 Lambda 函數,該函數會處理資料並將其傳送至您的安全事件和事件管理 (SIEM) 系統。
您可以使用調查結果 JSON 詳細資訊的 `accountId` 欄位來識別 GuardDuty 調查結果源自的成員帳戶。若要為特定成員帳戶建立自訂事件規則,請建立新的規則,並在**事件模式中**使用以下範本。將 *123456789012* 取代為您要觸發事件`accountId`之成員帳戶的 。
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**注意**
此範例會建立符合指定帳戶 ID 中所有調查結果的規則。您可以依照 JSON 語法,以逗號分隔多個帳戶 IDs。
# 了解 CloudWatch Logs 以及在 EC2 掃描的惡意軟體防護期間略過資源的原因
GuardDuty Malware Protection for EC2 會將事件發佈到您的 Amazon CloudWatch 日誌群組 **/aws/guardduty/malware-scan-events**。對於與惡意軟體掃描相關的每個事件,您可以監控受影響資源的狀態和掃描結果。在 Amazon EC2 的惡意軟體防護掃描期間,某些 Amazon EC2 資源和 Amazon EBS 磁碟區可能已略過。
## 在 EC2 的 GuardDuty 惡意軟體防護中稽核 CloudWatch Logs
**/aws/guardduty/malware-scan-events** CloudWatch 日誌群組支援三種類型的掃描事件。
| EC2 掃描事件名稱的惡意軟體防護 | 說明 |
| --- | --- |
| `EC2_SCAN_STARTED` | 在 EC2 的 GuardDuty 惡意軟體防護啟動惡意軟體掃描程序時建立,例如準備拍攝 EBS 磁碟區的快照。 |
| `EC2_SCAN_COMPLETED` | 在 EC2 掃描的 GuardDuty 惡意軟體防護至少完成受影響資源的其中一個 EBS 磁碟區時建立。此事件也包括屬於已掃描 EBS 磁碟區的 `snapshotId`。掃描完成後,掃描結果將為 `CLEAN`、`THREATS_FOUND` 或 `NOT_SCANNED`。 |
| `EC2_SCAN_SKIPPED` | 在 GuardDuty 惡意軟體防護 EC2 掃描略過受影響資源的所有 EBS 磁碟區時建立。若要識別略過原因,請選取對應的事件,然後檢視詳細資訊。如需有關略過原因的詳細資訊,請參閱以下[惡意軟體掃描期間略過資源的原因](#mp-scan-skip-reasons)。 |
**注意**
如果您使用的是 AWS Organizations,來自 Organizations 中成員帳戶的 CloudWatch 日誌事件會同時發佈到管理員帳戶和成員帳戶的日誌群組。
選擇您偏好的存取方式,以檢視和查詢 CloudWatch 事件。
------
#### [ Console ]
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**日誌**下方的**日誌群組**。選擇 **/aws/guardduty/malware-scan-events** 日誌群組,以檢視 GuardDuty Malware Protection for EC2 的掃描事件。
若要執行查詢,請選擇 **Log Insights**。
如需有關執行查詢的資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 CloudWatch Logs Insights 分析日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。
1. 選擇**掃描 ID** 以監控受影響資源和惡意軟體調查結果的詳細資訊。例如,您可以執行下列查詢以使用 `scanId` 篩選 CloudWatch 日誌事件。請務必使用您自己的有效 *scan-id*。
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ 若要使用日誌群組,請參閱《Amazon CloudWatch 使用者指南》**中的[使用 AWS CLI搜尋日誌項目](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)。
選擇 **/aws/guardduty/malware-scan-events** 日誌群組,以檢視 GuardDuty Malware Protection for EC2 的掃描事件。
+ 若要檢視和篩選日誌事件,請參閱《Amazon CloudWatch API 參考》**中的 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) 和 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)。
------
## EC2 日誌保留的 GuardDuty 惡意軟體防護
**/aws/guardduty/malware-scan-events** 日誌群組的預設日誌保留期為 90 天,之後會自動刪除日誌事件。若要變更 CloudWatch 日誌群組的日誌保留政策,請參閱《*Amazon CloudWatch 使用者指南*》[中的在 CloudWatch Logs 中變更日誌資料保留](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention),或《*Amazon CloudWatch API 參考*[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)》中的變更日誌資料保留。
## 惡意軟體掃描期間略過資源的原因
在與惡意軟體掃描相關的事件中,掃描程序期間可能略過某些 EC2 資源和 EBS 磁碟區。下表列出 GuardDuty 惡意軟體防護無法掃描 EC2 資源的原因。如果適用,請使用提議的步驟來解決這些問題,並在下一次 GuardDuty Malware Protection for EC2 啟動惡意軟體掃描時掃描這些資源。其他問題用於通知您有關事件的進展情況,並且不可採取動作。
| 略過的原因 | 說明 | 建議步驟 |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | 在您的 AWS 環境中找不到`resourceArn`提供給 的 啟動隨需惡意軟體掃描。 | 驗證 Amazon EC2 執行個體或容器工作負載的 `resourceArn`,然後再試一次。 |
| `ACCOUNT_INELIGIBLE` | 您嘗試啟動隨需惡意軟體掃描 AWS 的帳戶 ID 尚未啟用 GuardDuty。 | 確認此 AWS 帳戶已啟用 GuardDuty。 當您在新的 中啟用 GuardDuty 時 AWS 區域 ,最多可能需要 20 分鐘才能同步。 |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty Malware Protection for EC2 支援未加密並使用客戶受管金鑰加密的磁碟區。其不支援掃描使用 [Amazon EBS 加密](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)進行加密的 EBS 磁碟區。 目前,此略過原因不適用的區域差異。如需詳細資訊 AWS 區域,請參閱 [區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。 | 使用客戶自管金鑰取代您的加密金鑰。如需有關 GuardDuty 支援之加密類型的詳細資訊,請參閱[支援惡意軟體掃描的 Amazon EBS 磁碟區](gdu-malpro-supported-volumes.md)。 |
| `EXCLUDED_BY_SCAN_SETTINGS` | 在惡意軟體掃描期間,EC2 執行個體或 EBS 磁碟區已排除。有兩種可能性:標籤已新增至包含清單,但資源未與此標籤相關聯;標籤已新增至排除清單,且資源與此標籤相關聯;或 `GuardDutyExcluded` 標籤針對此資源設定為 `true`。 | 更新掃描選項或與 Amazon EC2 資源相關聯的標籤。如需詳細資訊,請參閱[具有使用者定義標籤的掃描選項](malware-protection-customizations.md#mp-scan-options)。 |
| `UNSUPPORTED_VOLUME_SIZE` | 磁碟區大於 2048 GB。 | 不可行。 |
| `NO_VOLUMES_ATTACHED` | EC2 的 GuardDuty 惡意軟體防護在您的帳戶中找到執行個體,但此執行個體未連接 EBS 磁碟區以繼續掃描。 | 不可行。 |
| `UNABLE_TO_SCAN` | 這是內部服務錯誤。 | 不可行。 |
| `SNAPSHOT_NOT_FOUND` | 找不到從 EBS 磁碟區建立並與服務帳戶共用的快照,且 EC2 的 GuardDuty 惡意軟體防護無法繼續掃描。 | 檢查 CloudTrail 以確保並非有意移除快照。 |
| `SNAPSHOT_QUOTA_REACHED` | 您已達到每個區域允許的最大快照量。這不僅會阻止保留,還會阻止建立新快照。 | 您可以移除舊快照或請求提高配額。您可以在《AWS 一般參考指南》**中的 [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) 下檢視每個區域快照的預設限制,以及如何請求提高配額。 |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | EC2 執行個體已連接超過 11 個 EBS 磁碟區。EC2 的 GuardDuty 惡意軟體防護會掃描前 11 個 EBS 磁碟區,方法是依`deviceName`字母順序排序。 | 不可行。 |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty 可以將大多數執行個體掃描`productCode`為 `marketplace`。有些市集執行個體可能不符合掃描資格。GuardDuty 會略過這類執行個體,並將原因記錄為 `UNSUPPORTED_PRODUCT_CODE_TYPE`。此支援在 AWS GovCloud (US) 和中國區域有所不同。如需詳細資訊,請參閱[區域特定功能的可用性](guardduty_regions.md#gd-regional-feature-availability)。 如需詳細資訊,請參閱《*Amazon EC2 使用者指南*[》中的付費 AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)。如需有關 `productCode` 的資訊,請參閱《Amazon EC2 API 參考》**中的 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)。 | 不可行。 |
# 在 EC2 的惡意軟體防護中報告誤報
EC2 掃描的 GuardDuty 惡意軟體防護可能會將 Amazon EC2 執行個體或容器工作負載中的無害檔案識別為惡意或有害。為了改善您對 EC2 和 GuardDuty 服務的惡意軟體防護體驗,如果您認為掃描期間識別為惡意或有害的檔案實際上不包含惡意軟體,您可以報告誤報結果。
**將 Amazon EC2 惡意軟體掃描結果報告為誤報**
若要啟動程序,請聯絡 支援。使用下列步驟提供掃描資源的詳細資訊:
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 選擇 **EC2 惡意軟體掃描**。
1. 選擇一項掃描以檢視其**調查結果 ID**。
1. 提供**調查結果 ID**。您也必須提供檔案的 SHA-256 雜湊。這是必要的,以確保 EC2 的 GuardDuty 惡意軟體防護已收到正確的檔案。
1. 支援 團隊將為您提供 Amazon Simple Storage Service (Amazon S3) 預先簽章的 URL,可用來上傳潛在的惡意檔案和 SHA-256 雜湊。如需上傳掃描物件的步驟資訊,請參閱《Amazon S3 使用者指南》中的[使用預先簽章URLs 上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。 *Amazon S3 *
1. 上傳檔案之後,請通知 支援 團隊。
支援 將在收到檔案後提供確認。GuardDuty 服務團隊成員將分析您的提交,並採取適當的步驟來改善您對 EC2 惡意軟體防護和 GuardDuty 服務的體驗。 支援 團隊將繼續為您的案例提供狀態更新。GuardDuty 會將 S3 物件保留不超過 30 天。
# 在適用於 S3 的惡意軟體防護中,將 S3 物件掃描結果報告為誤報
S3 掃描的惡意軟體防護可能會將物件識別為潛在惡意或有害。如果您認為指定的 S3 物件不包含惡意軟體,請將此惡意軟體掃描結果報告為誤報。
即使您獨立使用 S3 的惡意軟體防護,也可以提交誤報報告。在此情況下,GuardDuty 並非設計用來產生問題清單。如需檢查掃描狀態和結果狀態的資訊,請參閱 [監控 S3 物件掃描](monitoring-malware-protection-s3-scans-gdu.md)。
**將 S3 物件惡意軟體掃描結果報告為誤報**
若要啟動程序,請聯絡 支援。使用下列步驟提供掃描 S3 物件的詳細資訊:
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 根據您的使用案例,選擇適當的步驟:
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. 在導覽窗格中,選擇**調查結果**。
1. 在**調查結果**頁面上,選取誤判調查結果以檢視其詳細資訊。
1. 透過檢查調查結果詳細資訊,提供**調查結果 ID**、**區域**、受保護的 S3 儲存貯體**名稱**和掃描的物件**金鑰**。
從**項目路徑**詳細資訊中,提供物件的**雜湊**。這是必要的,以確保 GuardDuty 已收到正確的檔案。
------
#### [ Using Malware Protection for S3 independently ]
提供受保護的 S3 儲存貯體名稱、掃描的物件名稱和 AWS 區域。
------
1. 支援 團隊將為您提供 Amazon Simple Storage Service (Amazon S3) 預先簽章的 URL,可用來上傳潛在的惡意檔案和雜湊。如需有關上傳掃描物件步驟的資訊,請參閱《Amazon S3 使用者指南》中的[使用預先簽章URLs 上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。 *Amazon S3 *
1. 上傳 S3 物件之後,請通知 支援 團隊。
支援 將提供接收物件的確認。GuardDuty 服務團隊成員將分析您的提交,並採取適當的步驟來改善您對惡意軟體防護 S3 和 GuardDuty 服務的體驗。 支援 團隊將繼續為您的案例提供狀態更新。GuardDuty 會將 S3 物件保留不超過 30 天。
# 在惡意軟體保護中報告備份的誤報
若要改善 GuardDuty 惡意軟體保護備份的體驗,您可以報告潛在的誤報和誤報。
****若要報告惡意軟體備份防護中識別的潛在誤報或誤報****
若要啟動程序,請聯絡 支援。使用下列步驟提供掃描資源的詳細資訊:
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 選擇**惡意軟體掃描**。
1. 選擇一項掃描以檢視其**調查結果 ID**。
1. 提供**調查結果 ID**。您也必須提供檔案的 SHA-256 雜湊。這是必要的,以確保 GuardDuty 已收到正確的檔案。也請提供您要提供範例的區域。
1. 支援 團隊將為您提供 Amazon Simple Storage Service (Amazon S3) 預先簽章的 URL,用於上傳潛在的惡意檔案和 SHA-256 雜湊。如需有關上傳掃描資源步驟的資訊,請參閱《Amazon S3 使用者指南》中的[使用預先簽章URLs 上傳物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)。 *Amazon S3 *
1. 上傳檔案之後,請通知 支援 團隊。
支援 將在收到檔案後提供確認。GuardDuty 服務團隊成員將分析您的提交,並採取適當的步驟來改善您對 EC2 惡意軟體防護的體驗。 支援 團隊將繼續為您的案例提供狀態更新。GuardDuty 會將 S3 物件保留不超過 30 天。