7个实用KQL查询:解锁GuardDuty-Sentinel-Integration的安全分析能力
2026/7/13 22:12:00 网站建设 项目流程

7个实用KQL查询:解锁GuardDuty-Sentinel-Integration的安全分析能力

【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration

GuardDuty-Sentinel-Integration是AWS GuardDuty与Microsoft Sentinel的安全数据集成解决方案,能帮助安全团队高效分析云环境中的威胁。本文精选7个实用KQL查询,助你快速掌握安全分析核心能力,提升威胁检测效率。

1. 基础安全事件概览查询

获取GuardDuty检测到的所有安全事件概览,是安全分析的第一步。这个查询能展示关键事件信息,帮助你快速了解整体安全态势。

AWSGuardDuty_Main | project TimeGenerated, FindingId, FindingType, SeverityLevel, Title, AwsAccountId, AwsRegion, ResourceType | sort by TimeGenerated desc | take 100

此查询来自kql/AWSGuardDuty_Main.kql文件,它调用了主解析函数AWSGuardDuty_Main,该函数能自动处理JSON格式和EventBridge信封格式的GuardDuty findings。通过这个基础查询,你可以看到最近的安全事件,包括事件发生时间、ID、类型、严重级别、标题以及相关的AWS账户和区域信息。

2. 高风险IAM活动监控

IAM(Identity and Access Management)是AWS安全的核心,监控高风险IAM活动能有效防范未授权访问和权限滥用。

AWSGuardDuty_IAM | where SeverityLevel in ("High", "Critical") and FindingCategory in ("Privilege Escalation", "Credential Compromise") | project TimeGenerated, FindingId, FindingType, SeverityLevel, RiskScore, Title, UserName, UserType, ApiName, RemoteIp_API, RemoteCountry_API, ThreatIndicators | sort by RiskScore desc

这个查询来自kql/AWSGuardDuty_IAM.kql,专注于IAM相关的安全事件。它筛选出高风险和严重级别的权限提升和凭证泄露事件,并按风险分数降序排列。通过查看用户名、用户类型、API名称、远程IP和国家等信息,你可以快速识别潜在的IAM安全威胁。

3. S3存储桶安全状态检查

S3存储桶是AWS中常见的数据存储服务,其安全配置至关重要。下面的查询能帮助你检查S3存储桶的安全状态,识别潜在的公开访问风险。

AWSGuardDuty_S3 | where IsPubliclyExposed == true or EncryptionType == "NONE" | project TimeGenerated, BucketName, S3RiskCategory, SeverityLevel, S3RiskScore, IsPubliclyExposed, EncryptionType, EffectivePermission, AclAllowsPublicRead, PolicyAllowsPublicRead | sort by S3RiskScore desc

该查询来自kql/AWSGuardDuty_S3.kql,专门针对S3存储桶的安全问题。它筛选出公开暴露或未加密的存储桶,并展示风险类别、风险分数、有效权限等关键信息。这有助于你及时发现并修复S3存储桶的安全配置问题,防止数据泄露。

4. 按严重级别统计安全事件

了解不同严重级别的安全事件分布情况,能帮助你合理分配安全资源,优先处理高风险事件。

AWSGuardDuty_Main | summarize Count = count() by SeverityLevel | sort by case(SeverityLevel == "Critical", 4, SeverityLevel == "High", 3, SeverityLevel == "Medium", 2, SeverityLevel == "Low", 1, 0) desc | render piechart

这个查询基于主解析函数AWSGuardDuty_Main,按严重级别统计安全事件数量,并以饼图形式展示。通过图表,你可以直观地了解不同严重级别事件的占比,从而制定更有效的安全响应策略。

5. 特定区域安全事件分析

如果你需要重点关注某个AWS区域的安全状况,下面的查询可以帮你实现。

AWSGuardDuty_Main | where AwsRegion == "us-east-1" // 替换为你关注的区域 | summarize EventCount = count() by FindingType | sort by EventCount desc | take 10

该查询筛选出特定区域(这里以us-east-1为例)的安全事件,并按事件类型统计数量。通过分析结果,你可以了解该区域最常见的安全威胁类型,为区域特定的安全防护措施提供依据。

6. 可疑IP地址活动追踪

追踪来自可疑IP地址的活动,是检测潜在攻击的重要手段。

AWSGuardDuty_IAM | where RemoteCountry_API in ("China", "Russia", "North Korea", "Iran") // 根据实际情况调整 or RemoteOrganization_API has_any("Tor", "VPN", "Proxy") | project TimeGenerated, FindingId, Title, RemoteIp_API, RemoteCountry_API, RemoteOrganization_API, UserName, ApiName | sort by TimeGenerated desc

这个查询来自IAM专用解析文件kql/AWSGuardDuty_IAM.kql,它筛选出来自高风险地区或使用匿名服务的IP地址的活动。通过追踪这些可疑IP的活动,你可以及时发现并阻止潜在的攻击行为。

7. 安全事件趋势分析

分析安全事件的发展趋势,能帮助你预测潜在的安全风险,提前做好防范准备。

AWSGuardDuty_Main | where TimeGenerated >= ago(30d) | summarize DailyCount = count() by bin(TimeGenerated, 1d) | render timechart

该查询统计过去30天内每天的安全事件数量,并以时间图表形式展示。通过观察事件数量的变化趋势,你可以识别安全事件的高峰期和异常模式,为长期的安全策略制定提供数据支持。

以上7个KQL查询涵盖了GuardDuty-Sentinel-Integration安全分析的主要方面,从基础概览到特定风险分析,再到趋势预测。你可以根据实际需求,调整和扩展这些查询,以满足你的安全分析需求。要获取更多KQL查询示例,请参考项目中的kql/目录。

【免费下载链接】guardduty-sentinel-integration项目地址: https://gitcode.com/gh_mirrors/gu/guardduty-sentinel-integration

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询