Exportación de resultados

GuardDuty conserva los hallazgos generados durante un período de 90 días. GuardDuty exporta los resultados activos a Amazon EventBridge (EventBridge). Si lo desea, puede exportar los resultados generados a un bucket de Amazon Simple Storage Service (Amazon S3). Esto le ayudará a realizar un seguimiento de los datos históricos de las actividades potencialmente sospechosas en su cuenta y a evaluar si las medidas correctivas recomendadas se han aplicado correctamente.

Todos los nuevos hallazgos activos que se GuardDuty generen se exportan automáticamente unos 5 minutos después de generarse el hallazgo. Puede establecer la frecuencia con la que se exportan las actualizaciones de los hallazgos activos EventBridge. La frecuencia que seleccione se aplica a la exportación de nuevas apariciones de hallazgos existentes a EventBridge su bucket de S3 (cuando está configurado) y a Detective (cuando está integrado). Para obtener información sobre cómo GuardDuty se agregan varias apariciones de hallazgos existentes, consulteGuardDuty encontrar agregación.

Cuando configura los ajustes para exportar los hallazgos a un bucket de Amazon S3, GuardDuty utiliza AWS Key Management Service (AWS KMS) para cifrar los datos de los hallazgos en su bucket de S3. Esto requiere que añada permisos a su bucket de S3 y a la AWS KMS clave para GuardDuty poder utilizarlos para exportar los resultados a su cuenta.

Consideraciones

Antes de continuar con los requisitos previos y los pasos para exportar los resultados, tenga en cuenta los siguientes conceptos clave:

• La configuración de exportación es regional: debe configurar las opciones de exportación en cada región en la que las utilice GuardDuty.

• Exportación de los resultados a buckets de Amazon S3 en diferentes regiones Regiones de AWS (entre regiones): GuardDuty admite la siguiente configuración de exportación:

  • El bucket u objeto de Amazon S3 y la AWS KMS clave deben pertenecer al mismo sitio Región de AWS.

  • En el caso de los hallazgos generados en una región comercial, puede optar por exportarlos a un bucket de S3 en cualquier región comercial. Sin embargo, no puede exportar estos resultados a un depósito de S3 en una región que haya optado por participar.

  • En el caso de los hallazgos generados en una región de suscripción voluntaria, puede optar por exportarlos a la misma región en la que se generaron o a cualquier región comercial. Sin embargo, no puedes exportar los resultados de una región que haya optado por participar a otra región que sí lo haya hecho.

• Permisos para exportar los hallazgos: para configurar los ajustes de exportación de los hallazgos activos, su bucket de S3 debe tener permisos que permitan GuardDuty cargar objetos. También debe tener una AWS KMS clave que GuardDuty pueda utilizar para cifrar los hallazgos.

• Los hallazgos archivados no se exportan: el comportamiento predeterminado es que los hallazgos archivados, incluidas las nuevas instancias de hallazgos suprimidos, no se exportan.

  Cuando un GuardDuty hallazgo se genere como archivado, tendrá que desarchivarlo. Esto cambia el estado de búsqueda del filtro a Activo. GuardDuty exporta las actualizaciones de los hallazgos no archivados existentes en función de la configuración. Paso 5: Frecuencia de exportación de los resultados

• GuardDuty la cuenta de administrador puede exportar las conclusiones generadas en las cuentas de los miembros asociadas: al configurar la exportación en una cuenta de administrador, todas las conclusiones de las cuentas de los miembros asociadas que se generan en la misma región también se exportan a la misma ubicación que configuró para la cuenta de administrador. Para obtener más información, consulte Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros.

Paso 1: Permisos necesarios para exportar los resultados

Al configurar los ajustes para la exportación de los resultados, selecciona un depósito de Amazon S3 donde puede almacenar los hallazgos y una AWS KMS clave para usarla para el cifrado de datos. Además de los permisos para GuardDuty las acciones, también debe tener permisos para las siguientes acciones a fin de configurar correctamente los ajustes de exportación de los hallazgos:

• s3:GetBucketLocation

• s3:PutObject

• s3:ListBucket

Paso 2: Adjuntar la política a la clave de KMS

GuardDuty cifra los datos de los hallazgos de su depósito mediante. AWS Key Management Service Para configurar correctamente los ajustes, primero debe dar GuardDuty permiso para usar una clave KMS. Para conceder los permisos, adjunte la política a su clave de KMS.

Cuando usas una clave KMS de otra cuenta, debes aplicar la política de claves iniciando sesión en el Cuenta de AWS propietario de la clave. Cuando configure los ajustes para exportar los resultados, también necesitará el ARN clave de la cuenta propietaria de la clave.

Para modificar la política de claves de KMS GuardDuty para cifrar los hallazgos exportados

1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms.

2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

3. Seleccione una clave de KMS existente o siga los pasos para crear una nueva clave en la Guía para AWS Key Management Service desarrolladores, que utilizará para cifrar los resultados exportados.

   nota

   La clave Región de AWS de KMS y el bucket de Amazon S3 deben ser iguales.

   Puede usar el mismo bucket de S3 y el mismo key pair de claves de KMS para exportar los resultados de cualquier región aplicable. Para obtener más información, consulte Consideraciones para exportar los resultados de todas las regiones.

4. En la sección Key policy (Política de claves), elija Edit (Editar).

   Si aparece la vista Cambiar a política, selecciónela para que aparezca la política clave y, a continuación, seleccione Editar.

5. Copie el siguiente bloque de políticas en su política de claves de KMS para conceder GuardDuty permiso para usar su clave.

   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }

6. Edite la política sustituyendo los siguientes valores que están formateados en rojo en el ejemplo de política:

   1. Sustituya el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS. Para localizar el ARN clave, consulta Cómo encontrar el ID y el ARN de la clave en la Guía para desarrolladores.AWS Key Management Service

   2. Sustituya 123456789012 por el Cuenta de AWS identificador propietario de la cuenta que exporta los resultados. GuardDuty

   3. Sustituya la región 2 por la que Región de AWS se generan las conclusiones. GuardDuty

   4. Sustituya el SourceDetectorID por el detectorID de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.

      Para encontrar el detectorId de tu cuenta y tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

   nota

   Si la utilizas GuardDuty en una región con suscripción voluntaria, sustituye el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si lo utilizas GuardDuty en la región de Oriente Medio (Bahréin) (me-south-1), sustitúyelo por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.

7. Si has añadido la declaración de política antes de la declaración final, añade una coma antes de añadir esta declaración. Asegúrese de que la sintaxis JSON de su política de claves de KMS sea válida.

   Seleccione Guardar.

8. (Opcional) copia la clave ARN en un bloc de notas para usarla en los pasos posteriores.

Paso 3: Adjuntar la política al bucket de Amazon S3

Añada permisos al depósito de Amazon S3 al que exportará los resultados para GuardDuty poder cargar objetos en este depósito de S3. Independientemente de si utiliza un bucket de Amazon S3 que pertenezca a su cuenta o a una diferente Cuenta de AWS, debe añadir estos permisos.

Si en algún momento decide exportar las conclusiones a un bucket de S3 diferente, para continuar exportando las conclusiones, debe añadir permisos a ese bucket de S3 y volver a configurar los ajustes de exportación de las conclusiones.

Si aún no tiene un depósito de Amazon S3 al que desee exportar estos resultados, consulte Creación de un depósito en la Guía del usuario de Amazon S3.

Para adjuntar permisos a su política de buckets de S3

1. Siga los pasos descritos en Para crear o editar una política de bucket en la Guía del usuario de Amazon S3, hasta que aparezca la página Editar política de bucket.

2. La política de ejemplo muestra cómo conceder GuardDuty permisos para exportar los resultados a su bucket de Amazon S3. Si cambias la ruta después de configurar los resultados de exportación, debes modificar la política para conceder el permiso a la nueva ubicación.

   Copia el siguiente ejemplo de política y pégalo en el editor de políticas de Bucket.

   Si agregó la declaración de política antes de la declaración final, agregue una coma antes de agregar esta declaración. Asegúrese de que la sintaxis JSON de su política de claves de KMS sea válida.

   Política de ejemplo de bucket de S3

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowGuardDutygetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": [
                   "s3:GetBucketLocation",
                   "s3:ListBucket"
               ],
               "Resource": "Amazon S3 bucket ARN",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "AllowGuardDutyPutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "DenyUnencryptedUploadsThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "DenyIncorrectHeaderThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                   }
               }
           },
           {
               "Sid": "DenyNon-HTTPS",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }

3. Edite la política sustituyendo los siguientes valores que están formateados en rojo en el ejemplo de política:

   1. Sustituya el ARN del bucket de Amazon S3 por el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Puedes encontrar el ARN del bucket en la página de edición de la política del bucket en la consola https://console.aws.amazon.com/s3/.

   2. Sustituya 123456789012 por el Cuenta de AWS ID propietario de la cuenta que exporta los GuardDuty resultados.

   3. Sustituya la región 2 por la que Región de AWS se generan las conclusiones. GuardDuty

   4. Sustituya el SourceDetectorID por el detectorID de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.

      Para encontrar el detectorId de tu cuenta y tu región actual, consulta la página de configuración de la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

   5. Sustituya la parte [prefijo opcional] del valor del marcador de posición ARN/ [prefijo opcional] del depósito S3 por una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos mediante prefijos en la Guía del usuario de Amazon S3.

      Si proporciona una ubicación de carpeta opcional que aún no existe, la GuardDuty creará solo si la cuenta asociada al bucket de S3 es la misma que la cuenta que exporta los resultados. Al exportar los resultados a un depósito de S3 que pertenece a otra cuenta, la ubicación de la carpeta debe existir ya.

   6. Sustituya el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS asociada al cifrado de los hallazgos exportados al bucket de S3. Para localizar el ARN clave, consulta Cómo encontrar el ID y el ARN de la clave en la Guía para desarrolladores.AWS Key Management Service

   nota

   Si lo utilizas GuardDuty en una región con suscripción voluntaria, sustituye el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si lo utilizas GuardDuty en la región de Oriente Medio (Bahréin) (me-south-1), sustitúyelo por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.

4. Seleccione Guardar.

Paso 4: Exportar los resultados a un bucket de S3 (consola)

GuardDuty le permite exportar los resultados a un depósito existente en otro Cuenta de AWS.

Al crear un nuevo depósito de S3 o al elegir uno existente en su cuenta, puede añadir un prefijo opcional. Al configurar las conclusiones de la exportación, GuardDuty crea una nueva carpeta en el depósito de S3 para guardar las conclusiones. El prefijo se añadirá a la estructura de carpetas predeterminada que se GuardDuty creó. Por ejemplo, el formato del prefijo opcional. /AWSLogs/123456789012/GuardDuty/Region

Será la ruta completa del objeto S3. DOC-EXAMPLE-BUCKET/prefix-name/UUID.jsonl.gz UUIDSe genera aleatoriamente y no representa el ID del detector ni el ID de búsqueda.

importante

La clave de KMS y el bucket de S3 deben estar en la misma región.

Antes de completar estos pasos, asegúrese de haber adjuntado las políticas correspondientes a su clave de KMS y al depósito de S3 existente.

Para configurar los resultados de la exportación

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. En el panel de navegación, seleccione Configuración.

3. En la página de configuración, en las opciones de exportación de Findings, para S3 bucket, seleccione Configurar ahora (o Editar, según sea necesario).

4. Para el ARN del bucket S3, introduzca el. bucket ARN Para encontrar el ARN del bucket, consulte Visualización de las propiedades de un bucket de S3 en la Guía del usuario de Amazon S3. En la pestaña Permisos de la página de propiedades del bucket asociado en la consola https://console.aws.amazon.com/guardduty/.

5. Para el ARN de la clave KMS, introduzca el. key ARN Para localizar el ARN clave, consulta Cómo encontrar el ID y el ARN de la clave en la Guía para desarrolladores.AWS Key Management Service

6. Adjunte políticas

   • Realice los pasos para adjuntar la política de bucket de S3. Para obtener más información, consulte Paso 3: Adjuntar la política al bucket de Amazon S3.

   • Realice los pasos para adjuntar la política de claves de KMS. Para obtener más información, consulte Paso 2: Adjuntar la política a la clave de KMS.

7. Seleccione Save (Guardar).

Paso 5: Establecer la frecuencia para exportar los hallazgos activos actualizados

Configure la frecuencia de exportación de los hallazgos activos actualizados según corresponda a su entorno. De forma predeterminada, los resultados actualizados se exportan cada 6 horas. Esto significa que cualquier dato que se actualice después de la exportación más reciente se incluirá en la siguiente exportación. Si los hallazgos actualizados se exportan cada 6 horas y la exportación se produce a las 12:00, cualquier hallazgo que actualice después de las 12:00 se exportará a las 18:00.

Establecimiento de la frecuencia

1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

2. Elija Configuración.

3. En la sección Opciones de exportación de resultados, seleccione Frecuencia de los resultados actualizados. Esto establece la frecuencia de exportación de los hallazgos activos actualizados tanto EventBridge a Amazon S3 como a Amazon S3. Puede elegir entre las siguientes opciones:

   • Actualice EventBridge y S3 cada 15 minutos

   • Actualice EventBridge y S3 cada 1 hora

   • Update CWE and S3 every 6 hours (default) (Actualizar CWE y S3 cada 6 horas (predeterminado))

4. Elija Guardar cambios.