Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

GuardDuty False Positive Rates

0

Hello All,

Does anyone experience False Positives with GuardDuty? If yes, what do you do to tune or update false positive findings? What options do customers have?

Recently, i've notice a lot of false positives with C&C findings in that they are simply triggered by a an DNS lookup (dig or nslookup) it seems and domain reputations in the threat lists that Guard Duty is using are not up to date.

Themen
Sicherheit, Identität & KonformitätAWS Framework mit guter Struktur
Tags
Amazon GuardDutyErkennung von BedrohungenSicherheit
Sprache
English
AWS-User-2792197
gefragt vor 2 Jahren749 Aufrufe
1 Antwort
1

I encountered a Guard Duty false positive before, but it was regarding an IP address that I use. I followed this document to add it as a trusted IP: https://aws.amazon.com/premiumsupport/knowledge-center/guardduty-trusted-ip-list/

You can also try Suppression rules to filter false-positive findings: https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html

profile picture
joahna
beantwortet vor 2 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt