本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 GuardDuty 中篩選問題清單
調查結果篩選條件可讓您檢視符合您指定準則的調查結果,並篩選出任何不相符的調查結果。您可以使用 Amazon GuardDuty 主控台輕鬆建立調查結果篩選條件,也可以使用 JSON,以 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API 建立調查結果篩選條件。請檢閱下列各節,以了解如何在主控台中建立篩選條件。若要使用這些篩選條件自動封存傳入的調查結果,請參閱 [GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
當您建立篩選條件時,請考量下列清單:
+ 您可以指定最少一個屬性或最多 50 個屬性,作為特定篩選條件的準則。
+ 當您使用**等於**或**不等於**運算子來篩選屬性值時,例如帳戶 ID,您最多可以指定 50 個值。
+ 每個篩選條件準則屬性都會作為 `AND` 運算子予以評估。相同屬性的多個值會作為 `AND/OR` 予以評估。
+ 如需有關您可以在 AWS 帳戶 每個 中建立的已儲存篩選條件數量上限的資訊 AWS 區域,請參閱 [GuardDuty 配額](guardduty_limits.md)。
以下各節說明如何使用 GuardDuty 主控台以及 API 和 CLI 命令建立和儲存篩選條件。選擇您偏好的存取方法以繼續。
## 在 GuardDuty 主控台中建立和儲存篩選條件集
可透過 GuardDuty 主控台建立及測試調查結果篩選條件。您可儲存透過主控台建立的篩選條件,以便用於抑制規則或未來的篩選條件操作。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。
**建立和儲存篩選條件 (主控台)**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 在左側導覽窗格中,選擇**問題清單**。
1. 在**問題清單**頁面上,選取**已儲存規則**功能表旁的*篩選問題清單*列。這會顯示展開的**屬性篩選條件**清單。
![\[選取屬性篩選條件以在 GuardDuty 主控台中篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. 從展開的篩選條件清單中,選取您要篩選問題清單資料表的屬性。
例如,若要檢視可能受影響的資源是 **S3Bucket** 的問題清單,請選擇**資源類型**。
1. 對於**運算子**,請選擇可協助您篩選問題清單以取得所需結果的項目。若要繼續上一個步驟的範例,請選擇**資源類型 =**。這會顯示 GuardDuty 中的資源類型清單。
![\[選取等於或不等於運算子以在 GuardDuty 主控台中篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
如果您的使用案例需要排除特定問題清單,您可以選擇**不等於** 或 **!=** 運算子。
1. 指定所選屬性篩選條件的值。如有需要,請選擇**套用**。若要繼續上一個步驟的範例,您可以選擇 **S3Bucket**。
這會顯示與套用的篩選條件相符的問題清單。
1. 若要新增多個篩選條件,請重複步驟 3-6。
如需屬性的完整清單,請參閱 [GuardDuty 中的屬性篩選條件](#filter_criteria)。
1.
**(選用) 將指定的屬性和值儲存為篩選條件**
若要在未來再次套用此篩選條件組合,您可以將指定的屬性及其值儲存為篩選條件集。
1. 使用一或多個屬性篩選條件建立篩選條件之後,請選取**清除篩選條件**功能表中的*箭頭*。
![\[在 GuardDuty 主控台中儲存篩選條件集,以便能夠再次篩選問題清單。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. 輸入篩選條件集**名稱**。名稱必須為 3-64 個字元。有效字元為 a-z、A-Z、0-9、句號 (.)、連字號 (-) 和底線 (\$1)。
1. **描述**是選用的。如果您輸入描述,最多可以有 512 個字元。
1. 選擇**建立**。
## 使用 GuardDuty API 和 CLI 建立和儲存篩選條件集
您可以使用 API 或 CLI 命令來建立和測試問題清單篩選條件。篩選條件由至少一個篩選條件準則組成,其中包含一個與至少一個值配對的篩選條件屬性。您可以儲存篩選條件以建立[隱藏規則](findings_suppression-rule.md)或稍後執行其他篩選條件操作。
**使用 API/CLI 建立問題清單篩選條件**
+ 使用 AWS 帳戶 您要建立篩選條件之 的區域偵測器 ID 來執行 [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
+ 或者,您可以使用 [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) CLI 來建立和儲存篩選條件。您可以從 使用一或多個篩選條件[GuardDuty 中的屬性篩選條件](#filter_criteria)。
取代以紅色顯示的預留位置值,以使用下列範例。
**範例 1**:建立新的篩選條件,以檢視符合特定調查結果類型的所有調查結果
下列範例會建立篩選條件,以符合從特定映像建立之執行個體的所有`PortScan`問題清單。預留位置值會以紅色顯示。將這些值取代為您帳戶的適當值。例如,將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為您的區域偵測器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**範例 2**:建立新的篩選條件,以檢視符合嚴重性等級的所有調查結果
下列範例會建立符合與`HIGH`嚴重性等級關聯之所有調查結果的篩選條件。預留位置值會以紅色顯示。將這些值取代為您帳戶的適當值。例如,將 *12abc34d567e8fa901bc2d34EXAMPLE* 取代為您的區域偵測器 ID。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ 對於 API/CLI, [問題清單嚴重性等級](guardduty_findings-severity.md)以數字表示。若要根據嚴重性等級篩選問題清單,請使用下列值:
+ 對於`LOW`嚴重性等級,請使用 `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ 對於`MEDIUM`嚴重性等級,請使用 `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ 對於`HIGH`嚴重性等級,請使用 `{ "severity": { "Equals": ["7", "8"] } }`
+ 對於`CRITICAL`嚴重性等級,請使用 `{ "severity": { "Equals": ["9", "10"] } }`
+ 對於具有多個嚴重性層級的問題清單,請使用類似下列範例的預留位置值: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
此範例會顯示具有 `HIGH`或 `CRITICAL`嚴重性層級的問題清單。
**注意**
如果您只指定一個數值而非與嚴重性等級關聯的所有數值的範例,API 和 CLI 可能會顯示篩選的問題清單。當您在 GuardDuty 主控台中使用此儲存的篩選條件集時,它將無法如預期般運作。這是因為 GuardDuty 主控台會將篩選條件值視為 `CRITICAL`、`HIGH`、 `MEDIUM`和 `LOW`。例如,使用包含 的 CLI 命令建立的篩選條件`{ "severity": { "Equals": ["9"] } }`預期會在 API/CLI 中顯示適當的輸出。不過,此儲存的篩選條件包含在 GuardDuty 主控台中使用的部分嚴重性等級,不會顯示預期的輸出。這使得 API 和 CLI 需要指定與每個嚴重性等級相關聯的所有值。
## GuardDuty 中的屬性篩選條件
當您使用 API 操作建立篩選條件或排序調查結果時,您必須在 JSON 中指定篩選條件準則。這些篩選條件準則與調查結果的詳細資訊 JSON 相關聯。下表包含篩選條件屬性及其對等 JSON 欄位名稱的主控台顯示名稱清單。
| 主控台欄位名稱 | JSON 欄位名稱 |
| --- | --- |
| 帳戶 ID | accountId |
| 問題清單 ID | id |
| 區域 | region |
| 嚴重性 | severity 您可以根據調查結果類型的嚴重性等級來篩選調查結果類型。如需嚴重性值的詳細資訊,請參閱 [GuardDuty 調查結果的嚴重性等級](guardduty_findings-severity.md)。如果您`severity`搭配 API AWS CLI或 使用 CloudFormation,則會為其指派數值。如需詳細資訊,請參閱《*Amazon GuardDuty API 參考*》中的 [findingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria)。 |
| 調查結果類型 | type |
| 更新時間 | updatedAt |
| 存取金鑰 ID | resource.accessKeyDetails.accessKeyId |
| 委託人 ID | resource.accessKeyDetails.principalId |
| 使用者名稱 | resource.accessKeyDetails.userName |
| 使用者類型 | resource.accessKeyDetails.userType |
| IAM 執行個體描述檔 ID | resource.instanceDetails.iamInstanceProfile.id |
| 執行個體 ID | resource.instanceDetails.instanceId |
| 執行個體影像 ID | resource.instanceDetails.imageId |
| 執行個體標籤索引鍵 | resource.instanceDetails.tags.key |
| 執行個體標籤值 | resource.instanceDetails.tags.value |
| IPv6 地址 | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| 私有 IPv4 地址 | resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
| 公有 DNS 名稱 | resource.instanceDetails.networkInterfaces.publicDnsName |
| 公有 IP | resource.instanceDetails.networkInterfaces.publicIp |
| 安全群組 ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| 安全群組名稱 | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| 子網路 ID | resource.instanceDetails.networkInterfaces.subnetId |
| VPC ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost ARN | resource.instanceDetails.outpostARN |
| Resource Type (資源類型) | resource.resourceType |
| 儲存貯體許可 | resource.s3BucketDetails.publicAccess.effectivePermission |
| 儲存貯體名稱 | resource.s3BucketDetails.name |
| 儲存貯體標籤金鑰 | resource.s3BucketDetails.tags.key |
| 儲存貯體標籤值 | resource.s3BucketDetails.tags.value |
| 儲存貯體類型 | resource.s3BucketDetails.type |
| 動作類型 | service.action.actionType |
| 已發出 API 呼叫 | service.action.awsApiCallAction.api |
| API 發起人類型 | service.action.awsApiCallAction.callerType |
| API 錯誤碼 | service.action.awsApiCallAction.errorCode |
| API 發起人城市 | service.action.awsApiCallAction.remoteIpDetails.city.cityName |
| API 發起人國家/地區 | service.action.awsApiCallAction.remoteIpDetails.country.countryName |
| API 發起人 IPv4 地址 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
| API 呼叫者 IPv6 地址 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
| API 發起人 ASN ID | service.action.awsApiCallAction.remoteIpDetails.organization.asn |
| API 發起人 ASN 名稱 | service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
| API 發起人服務名稱 | service.action.awsApiCallAction.serviceName |
| DNS 請求網域 | service.action.dnsRequestAction.domain |
| DNS 要求網域尾碼 | service.action.dnsRequestAction.domainWithSuffix |
| 已封鎖網路連線 | service.action.networkConnectionAction.blocked |
| 網路連線方向 | service.action.networkConnectionAction.connectionDirection |
| 網路連線本機連接埠 | service.action.networkConnectionAction.localPortDetails.port |
| 網路連線通訊協定 | service.action.networkConnectionAction.protocol |
| 網路連線城市 | service.action.networkConnectionAction.remoteIpDetails.city.cityName |
| 網路連線國家/地區 | service.action.networkConnectionAction.remoteIpDetails.country.countryName |
| 網路連線遠端 IPv4 地址 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
| 網路連線遠端 IPv6 地址 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV6 |
| 網路連線遠端 IP ASN ID | service.action.networkConnectionAction.remoteIpDetails.organization.asn |
| 網路連線遠端 IP ASN 名稱 | service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
| 網路連線遠端連接埠 | service.action.networkConnectionAction.remotePortDetails.port |
| 附屬的遠端帳戶 | service.action.awsApiCallAction.remoteAccountDetails.affiliated |
| Kubernetes API 呼叫者 IPv4 地址 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
| Kubernetes API 呼叫者 IPv6 地址 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
| Kubernetes 命名空間 | service.action.kubernetesApiCallAction.namespace |
| Kubernetes API 呼叫者 ASN ID | service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
| Kubernetes API 呼叫請求 URI | service.action.kubernetesApiCallAction.requestUri |
| Kubernetes API 狀態碼 | service.action.kubernetesApiCallAction.statusCode |
| 網路連線本機 IPv4 地址 | service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
| 網路連線本機 IPv6 地址 | service.action.networkConnectionAction.localIpDetails.ipAddressV6 |
| 通訊協定 | service.action.networkConnectionAction.protocol |
| API 呼叫服務名稱 | service.action.awsApiCallAction.serviceName |
| API 呼叫者帳戶 ID | service.action.awsApiCallAction.remoteAccountDetails.accountId |
| 威脅清單名稱 | service.additionalInfo.threatListName |
| 資源角色 | service.resourceRole |
| EKS 叢集名稱 | resource.eksClusterDetails.name |
| Kubernetes 工作負載名稱 | resource.kubernetesDetails.kubernetesWorkloadDetails.name |
| Kubernetes 工作負載命名空間 | resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
| Kubernetes 使用者名稱 | resource.kubernetesDetails.kubernetesUserDetails.username |
| Kubernetes 容器映像 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
| Kubernetes 容器映像前綴 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
| 掃描 ID | service.ebsVolumeScanDetails.scanId |
| EBS 磁碟區掃描威脅名稱 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
| S3 物件掃描威脅名稱 | service.malwareScanDetails.threats.name |
| 威脅嚴重性 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
| SHA 檔案 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
| ECS 叢集名稱 | resource.ecsClusterDetails.name |
| ECS 容器映像 | resource.ecsClusterDetails.taskDetails.containers.image |
| ECS 任務定義 ARN | resource.ecsClusterDetails.taskDetails.definitionArn |
| 獨立容器映像 | resource.containerDetails.image |
| 資料庫執行個體 ID | resource.rdsDbInstanceDetails.dbInstanceIdentifier |
| 資料庫叢集 ID | resource.rdsDbInstanceDetails.dbClusterIdentifier |
| 資料庫引擎 | resource.rdsDbInstanceDetails.engine |
| 資料庫使用者 | resource.rdsDbUserDetails.user |
| 資料庫執行個體標籤索引鍵 | resource.rdsDbInstanceDetails.tags.key |
| 資料庫執行個體標籤值 | resource.rdsDbInstanceDetails.tags.value |
| 可執行 SHA-256 | service.runtimeDetails.process.executableSha256 |
| 程序名稱 | service.runtimeDetails.process.name |
| 可執行路徑 | service.runtimeDetails.process.executablePath |
| Lambda 功能名稱 | resource.lambdaDetails.functionName |
| Lambda 函數 ARN | resource.lambdaDetails.functionArn |
| Lambda 函數標籤索引鍵 | resource.lambdaDetails.tags.key |
| Lambda 函數標籤值 | resource.lambdaDetails.tags.value |
| DNS 請求網域 | service.action.dnsRequestAction.domainWithSuffix |