调查GuardDuty的发现

可以先看现有的发现中存在的GD发现类型，注意替换查询语句的表名称，此示例使用的是美东一的Security Hub Findings的日志：

可以根据需要删减查询出来的字段，调整查询日志的时间范围，这样如果前面发现了可疑用户，可以检查一下在某个时间范围内是否有入侵的发现，是否跟可疑用户的IP地址匹配。

--resources[1].type , resources[1].uid, 
SELECT region, accountid, finding.desc, finding.types, resources[1].region, resources[1].details, unmapped
FROM "amazon_security_lake_table_us_east_1_sh_findings_1_0"
where metadata.product.feature.name = 'GuardDuty'
and eventday >= '20230731' AND eventday <= '20230831' 
and severity = 'Critical'
and state = 'New'

发现的结果可以下载下来，可以看到很多详细的信息，以下为示例：

存在挖矿木马

恶意文件的路径

如果在服务器都是要求通过堡垒机访问的，则后面可以通过堡垒机调查文件上传的途径是什么，谁上传的。

上一页检索某账号AKSK在指定时间范围内做了什么下一页错误使用aws_sts_getsessiontoken

最后更新于1年前