当前位置: 首页 > news >正文

7个实用KQL查询:解锁GuardDuty-Sentinel-Integration的安全分析能力

7个实用KQL查询:解锁GuardDuty-Sentinel-Integration的安全分析能力

【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration

GuardDuty-Sentinel-Integration是AWS GuardDuty与Microsoft Sentinel的安全数据集成解决方案,能帮助安全团队高效分析云环境中的威胁。本文精选7个实用KQL查询,助你快速掌握安全分析核心能力,提升威胁检测效率。

1. 基础安全事件概览查询

获取GuardDuty检测到的所有安全事件概览,是安全分析的第一步。这个查询能展示关键事件信息,帮助你快速了解整体安全态势。

AWSGuardDuty_Main | project TimeGenerated, FindingId, FindingType, SeverityLevel, Title, AwsAccountId, AwsRegion, ResourceType | sort by TimeGenerated desc | take 100

此查询来自kql/AWSGuardDuty_Main.kql文件,它调用了主解析函数AWSGuardDuty_Main,该函数能自动处理JSON格式和EventBridge信封格式的GuardDuty findings。通过这个基础查询,你可以看到最近的安全事件,包括事件发生时间、ID、类型、严重级别、标题以及相关的AWS账户和区域信息。

2. 高风险IAM活动监控

IAM(Identity and Access Management)是AWS安全的核心,监控高风险IAM活动能有效防范未授权访问和权限滥用。

AWSGuardDuty_IAM | where SeverityLevel in ("High", "Critical") and FindingCategory in ("Privilege Escalation", "Credential Compromise") | project TimeGenerated, FindingId, FindingType, SeverityLevel, RiskScore, Title, UserName, UserType, ApiName, RemoteIp_API, RemoteCountry_API, ThreatIndicators | sort by RiskScore desc

这个查询来自kql/AWSGuardDuty_IAM.kql,专注于IAM相关的安全事件。它筛选出高风险和严重级别的权限提升和凭证泄露事件,并按风险分数降序排列。通过查看用户名、用户类型、API名称、远程IP和国家等信息,你可以快速识别潜在的IAM安全威胁。

3. S3存储桶安全状态检查

S3存储桶是AWS中常见的数据存储服务,其安全配置至关重要。下面的查询能帮助你检查S3存储桶的安全状态,识别潜在的公开访问风险。

AWSGuardDuty_S3 | where IsPubliclyExposed == true or EncryptionType == "NONE" | project TimeGenerated, BucketName, S3RiskCategory, SeverityLevel, S3RiskScore, IsPubliclyExposed, EncryptionType, EffectivePermission, AclAllowsPublicRead, PolicyAllowsPublicRead | sort by S3RiskScore desc

该查询来自kql/AWSGuardDuty_S3.kql,专门针对S3存储桶的安全问题。它筛选出公开暴露或未加密的存储桶,并展示风险类别、风险分数、有效权限等关键信息。这有助于你及时发现并修复S3存储桶的安全配置问题,防止数据泄露。

4. 按严重级别统计安全事件

了解不同严重级别的安全事件分布情况,能帮助你合理分配安全资源,优先处理高风险事件。

AWSGuardDuty_Main | summarize Count = count() by SeverityLevel | sort by case(SeverityLevel == "Critical", 4, SeverityLevel == "High", 3, SeverityLevel == "Medium", 2, SeverityLevel == "Low", 1, 0) desc | render piechart

这个查询基于主解析函数AWSGuardDuty_Main,按严重级别统计安全事件数量,并以饼图形式展示。通过图表,你可以直观地了解不同严重级别事件的占比,从而制定更有效的安全响应策略。

5. 特定区域安全事件分析

如果你需要重点关注某个AWS区域的安全状况,下面的查询可以帮你实现。

AWSGuardDuty_Main | where AwsRegion == "us-east-1" // 替换为你关注的区域 | summarize EventCount = count() by FindingType | sort by EventCount desc | take 10

该查询筛选出特定区域(这里以us-east-1为例)的安全事件,并按事件类型统计数量。通过分析结果,你可以了解该区域最常见的安全威胁类型,为区域特定的安全防护措施提供依据。

6. 可疑IP地址活动追踪

追踪来自可疑IP地址的活动,是检测潜在攻击的重要手段。

AWSGuardDuty_IAM | where RemoteCountry_API in ("China", "Russia", "North Korea", "Iran") // 根据实际情况调整 or RemoteOrganization_API has_any("Tor", "VPN", "Proxy") | project TimeGenerated, FindingId, Title, RemoteIp_API, RemoteCountry_API, RemoteOrganization_API, UserName, ApiName | sort by TimeGenerated desc

这个查询来自IAM专用解析文件kql/AWSGuardDuty_IAM.kql,它筛选出来自高风险地区或使用匿名服务的IP地址的活动。通过追踪这些可疑IP的活动,你可以及时发现并阻止潜在的攻击行为。

7. 安全事件趋势分析

分析安全事件的发展趋势,能帮助你预测潜在的安全风险,提前做好防范准备。

AWSGuardDuty_Main | where TimeGenerated >= ago(30d) | summarize DailyCount = count() by bin(TimeGenerated, 1d) | render timechart

该查询统计过去30天内每天的安全事件数量,并以时间图表形式展示。通过观察事件数量的变化趋势,你可以识别安全事件的高峰期和异常模式,为长期的安全策略制定提供数据支持。

以上7个KQL查询涵盖了GuardDuty-Sentinel-Integration安全分析的主要方面,从基础概览到特定风险分析,再到趋势预测。你可以根据实际需求,调整和扩展这些查询,以满足你的安全分析需求。要获取更多KQL查询示例,请参考项目中的kql/目录。

【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

http://www.jsqmd.com/news/1183172/

相关文章:

  • 2026年发票查验官方操作流程,新手入门实用指南 - 跑政通
  • 告别加班改PPT,ChatGPT自动排版+配色+演讲备注生成,职场人必备的5个隐藏指令,仅限本周内公开
  • 【宝藏工具盘点】5款开源免费的2D角色动画生成器,独立开发者的福音
  • 你的内容为什么 AI 不推荐?三个动作让它主动选中你|GEO 实操(附 SOP)
  • GPT-5.6 实测案例:性能、能力与未来展望
  • 抖店运营系统怎么按经营模式选择-对比测试与选择 - 抖大侠
  • 2026年7月最新郑州宝玑官方售后服务热线与网点地址查询 - 亨得利钟表维修中心
  • 喷码字体虚边、毛边,墨滴分裂技术层面的成因?
  • 突破苹果硬件限制:OpenCore Legacy Patcher终极完整指南
  • 2026年07月新疆旅游定制包车游与精品小团市场深度观察:五家实力服务商全景解析 - 甄选服务推荐
  • SVG 基础:在 HTML 中使用矢量图形
  • AHK-v2-script-converter社区支持与资源:获取帮助的最佳途径
  • 【计算机大数据毕业设计案例】健身打卡分享与体能测评小程序系统的设计与实现 基于 SpringBoot 的用户健身行为分析管理系统(程序+文档+讲解+定制)
  • 【Embedded Development】【LVGL】基于Windows的LVGL模拟界面开发
  • 如何线上办理委托书公证?2026 年详细操作步骤指南 - 跑政通
  • 工业焊缝场景 焊缝缺陷数据集 6400张图片 支持YOLO格式 YOLO模型如何训练焊缝缺陷检测数据集
  • 常用环境部署(十四)——Docker部署MinIO(OSS)
  • 2026最新Java程序员转行AI大模型全攻略(小白零基础可学)
  • 3分钟掌握Free Texture Packer:如何将游戏性能提升200%的终极免费方案
  • 【独家首发】DeepSeek-R1长文本微调SOP(含Prompt Engineering黄金模板+评估指标白皮书)
  • 【小程序计算机毕业设计案例】地方特色农产品推介与电商交易小程序设计与实现 农产品分类展销、评价与订单管理系统的设计与实现(程序+文档+讲解+定制)
  • Windows 11终极优化指南:使用Win11Debloat一键清理系统垃圾,提升性能与隐私保护
  • 戴尔笔记本风扇控制终极指南:DellFanManagement让你的笔记本更安静更凉爽
  • Linux操作系统 --- 进程
  • 【小程序计算机毕业设计案例】智慧便民服务共享雨伞租赁平台的设计与实现 小程序实现的共享雨伞自助租借归还系统(程序+文档+讲解+定制)
  • 液氦管路哪家质量好探秘真空绝热与焊接工艺如何决定低温传输的长期可靠性 - 品牌推荐大师
  • 室内液体泼洒检测数据集 YOLOV11室内漏液检测数据集 室内跑冒滴漏检测数据集
  • 2026年土工材料供应厂家:土工布/土工格栅/土工膜/土工格室/玻纤及钢塑土工格栅等专业生产商深度解读 - 品牌发掘
  • 终极免费指南:如何解锁Wand专业版功能并实现手机远程游戏控制
  • FanControl完整指南:让Windows风扇控制变得简单高效