7个实用KQL查询:解锁GuardDuty-Sentinel-Integration的安全分析能力 7个实用KQL查询解锁GuardDuty-Sentinel-Integration的安全分析能力【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integrationGuardDuty-Sentinel-Integration是AWS GuardDuty与Microsoft Sentinel的安全数据集成解决方案能帮助安全团队高效分析云环境中的威胁。本文精选7个实用KQL查询助你快速掌握安全分析核心能力提升威胁检测效率。1. 基础安全事件概览查询获取GuardDuty检测到的所有安全事件概览是安全分析的第一步。这个查询能展示关键事件信息帮助你快速了解整体安全态势。AWSGuardDuty_Main | project TimeGenerated, FindingId, FindingType, SeverityLevel, Title, AwsAccountId, AwsRegion, ResourceType | sort by TimeGenerated desc | take 100此查询来自kql/AWSGuardDuty_Main.kql文件它调用了主解析函数AWSGuardDuty_Main该函数能自动处理JSON格式和EventBridge信封格式的GuardDuty findings。通过这个基础查询你可以看到最近的安全事件包括事件发生时间、ID、类型、严重级别、标题以及相关的AWS账户和区域信息。2. 高风险IAM活动监控IAMIdentity and Access Management是AWS安全的核心监控高风险IAM活动能有效防范未授权访问和权限滥用。AWSGuardDuty_IAM | where SeverityLevel in (High, Critical) and FindingCategory in (Privilege Escalation, Credential Compromise) | project TimeGenerated, FindingId, FindingType, SeverityLevel, RiskScore, Title, UserName, UserType, ApiName, RemoteIp_API, RemoteCountry_API, ThreatIndicators | sort by RiskScore desc这个查询来自kql/AWSGuardDuty_IAM.kql专注于IAM相关的安全事件。它筛选出高风险和严重级别的权限提升和凭证泄露事件并按风险分数降序排列。通过查看用户名、用户类型、API名称、远程IP和国家等信息你可以快速识别潜在的IAM安全威胁。3. S3存储桶安全状态检查S3存储桶是AWS中常见的数据存储服务其安全配置至关重要。下面的查询能帮助你检查S3存储桶的安全状态识别潜在的公开访问风险。AWSGuardDuty_S3 | where IsPubliclyExposed true or EncryptionType NONE | project TimeGenerated, BucketName, S3RiskCategory, SeverityLevel, S3RiskScore, IsPubliclyExposed, EncryptionType, EffectivePermission, AclAllowsPublicRead, PolicyAllowsPublicRead | sort by S3RiskScore desc该查询来自kql/AWSGuardDuty_S3.kql专门针对S3存储桶的安全问题。它筛选出公开暴露或未加密的存储桶并展示风险类别、风险分数、有效权限等关键信息。这有助于你及时发现并修复S3存储桶的安全配置问题防止数据泄露。4. 按严重级别统计安全事件了解不同严重级别的安全事件分布情况能帮助你合理分配安全资源优先处理高风险事件。AWSGuardDuty_Main | summarize Count count() by SeverityLevel | sort by case(SeverityLevel Critical, 4, SeverityLevel High, 3, SeverityLevel Medium, 2, SeverityLevel Low, 1, 0) desc | render piechart这个查询基于主解析函数AWSGuardDuty_Main按严重级别统计安全事件数量并以饼图形式展示。通过图表你可以直观地了解不同严重级别事件的占比从而制定更有效的安全响应策略。5. 特定区域安全事件分析如果你需要重点关注某个AWS区域的安全状况下面的查询可以帮你实现。AWSGuardDuty_Main | where AwsRegion us-east-1 // 替换为你关注的区域 | summarize EventCount count() by FindingType | sort by EventCount desc | take 10该查询筛选出特定区域这里以us-east-1为例的安全事件并按事件类型统计数量。通过分析结果你可以了解该区域最常见的安全威胁类型为区域特定的安全防护措施提供依据。6. 可疑IP地址活动追踪追踪来自可疑IP地址的活动是检测潜在攻击的重要手段。AWSGuardDuty_IAM | where RemoteCountry_API in (China, Russia, North Korea, Iran) // 根据实际情况调整 or RemoteOrganization_API has_any(Tor, VPN, Proxy) | project TimeGenerated, FindingId, Title, RemoteIp_API, RemoteCountry_API, RemoteOrganization_API, UserName, ApiName | sort by TimeGenerated desc这个查询来自IAM专用解析文件kql/AWSGuardDuty_IAM.kql它筛选出来自高风险地区或使用匿名服务的IP地址的活动。通过追踪这些可疑IP的活动你可以及时发现并阻止潜在的攻击行为。7. 安全事件趋势分析分析安全事件的发展趋势能帮助你预测潜在的安全风险提前做好防范准备。AWSGuardDuty_Main | where TimeGenerated ago(30d) | summarize DailyCount count() by bin(TimeGenerated, 1d) | render timechart该查询统计过去30天内每天的安全事件数量并以时间图表形式展示。通过观察事件数量的变化趋势你可以识别安全事件的高峰期和异常模式为长期的安全策略制定提供数据支持。以上7个KQL查询涵盖了GuardDuty-Sentinel-Integration安全分析的主要方面从基础概览到特定风险分析再到趋势预测。你可以根据实际需求调整和扩展这些查询以满足你的安全分析需求。要获取更多KQL查询示例请参考项目中的kql/目录。【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考