GuardDuty Modifications apportées à l'API en mars 2023 - Amazon GuardDuty
Activation des fonctionnalités par rapport aux sources de donnéesComprendre le fonctionnement de l'activation des fonctionnalitésIntégration des modifications d'activation des fonctionnalitésMappage de dataSources aux features

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Modifications apportées à l'API en mars 2023

Les GuardDuty API configurent des fonctionnalités de protection qui ne figurent pas dans la liste desSource de données de base. Un objet de fonctionnalité contient les détails des fonctionnalités, tels que le nom et l'état de la fonctionnalité, et peut contenir une configuration supplémentaire pour certaines fonctionnalités. Cette migration affecte les API suivantes dans le Amazon GuardDuty API Reference :

Activation des fonctionnalités par rapport aux sources de données

Historiquement, toutes les GuardDuty fonctionnalités étaient transmises via un dataSources objet dans l'API. À partir de mars 2023, GuardDuty préfère features l'objet à l'dataSourcesobjet dans l'API. Toutes les sources de données antérieures possèdent des fonctionnalités correspondantes, mais il se peut que les fonctionnalités plus récentes n'en aient pas.

La liste suivante montre la comparaison entre des dataSources un objet features lors d'une transmission via une API :

  • L'objet dataSources contient des objets pour chaque type de protection et son état. L'featuresobjet est une liste des fonctionnalités disponibles correspondant à chaque type de protection qu'il contient GuardDuty.

    À compter de mars 2023, l'activation des fonctionnalités sera le seul moyen de configurer de nouvelles GuardDuty fonctionnalités dans votre AWS environnement.

  • Le dataSources schéma de la demande ou de la réponse d'API est le même dans chaque Région AWS endroit GuardDuty disponible. Cependant, il se peut que toutes les fonctionnalités ne soient pas disponibles dans chaque région. Par conséquent, les noms des fonctionnalités disponibles peuvent varier en fonction de la région.

Comprendre le fonctionnement de l'activation des fonctionnalités

Les GuardDuty API continueront à renvoyer un dataSources objet le cas échéant, et elles renverront également un features objet contenant les mêmes informations dans un format différent. GuardDuty les fonctionnalités lancées avant mars 2023 seront disponibles via dataSources object et features object. GuardDuty les fonctionnalités lancées depuis mars 2023 ne seront disponibles que via l'featuresobjet. Vous ne pouvez pas créer ou mettre à jour un détecteur, ni décrire votre utilisation d' AWS Organizations en utilisant à la fois la notation d'objets dataSources et features dans la même demande d'API. Pour activer les types de GuardDuty protection, vous devez migrer vos sources de données existantes vers l'featuresobjet en utilisant les mêmes API qui incluent désormais également l'featuresobjet.

Note

GuardDuty n'ajoutera pas de nouvelle source de données après cette modification.

GuardDuty a déconseillé l'utilisation de sources de données. Cependant, il prend toujours en charge les Source de données de base. Les GuardDuty meilleures pratiques recommandent d'utiliser l'activation des fonctionnalités pour tous les types de protection déjà activés pour votre compte. Les meilleures pratiques exigent également l'activation des fonctionnalités lorsque vous activez un nouveau type de protection pour votre compte.

Intégration des modifications d'activation des fonctionnalités

  • Si vous gérez des GuardDuty configurations via des API, des SDK ou des AWS CloudFormation modèles et que vous souhaitez activer de nouvelles GuardDuty fonctionnalités potentielles, vous devrez modifier votre code et votre modèle, respectivement. Pour plus d'informations, consultez les API mises à jour dans le Amazon GuardDuty API Reference.

  • Pour les GuardDuty fonctionnalités configurées avant cette mise à niveau, vous pouvez continuer à utiliser les API, les SDK ou le AWS CloudFormation modèle. Toutefois, nous vous recommandons de passer à l'utilisation de l'objet feature.

    Toutes les sources de données ont un objet de fonctionnalité équivalent. Pour plus d’informations, consultez Mappage de dataSources aux features.

  • Actuellement, additionalConfiguration dans l'objet features n'est disponible que pour certains types de protection.

    • Pour de tels types de protection, si votre fonctionnalité AdditionalConfiguration status est définie sur ENABLED mais que la configuration de votre fonctionnalité n'statusest pas définie surENABLED, GuardDuty aucune action n'est entreprise dans ce cas.

    • Cela concerne les API suivantes :

Mappage de dataSources aux features

Le tableau suivant montre le mappage des types de protection, dataSources et features.

GuardDuty type de protection Nom de la source de données * Nom de la fonctionnalité

Journaux de flux VPC

flowLogs (lecture seule ; modification impossible)

FLOW_LOGS (lecture seule ; modification impossible)

Journaux DNS

dnsLogs (lecture seule ; modification impossible)

DNS_LOGS (lecture seule ; modification impossible)

CloudTrail événements

cloudTrail (lecture seule ; modification impossible)

CLOUD_TRAIL (lecture seule ; modification impossible)

S3

s3Logs

S3_DATA_EVENTS

Surveillance des journaux d'audit EKS

kubernetes.auditlogs

EKS_AUDIT_LOGS

Protection contre les logiciels malveillants pour EC2

malwareProtection.scanEc2InstanceWithFindings.ebsVolumes

EBS_MALWARE_PROTECTION

Événements de connexion RDS

GuardDuty fournit uniquement un support d'activation des fonctionnalités pour ces types de protection.

RDS_LOGIN_EVENTS

Surveillance d'exécution EKS

EKS_RUNTIME_MONITORING

Surveillance du temps d'exécution

RUNTIME_MONITORING

GuardDuty agent de sécurité pour les clusters Amazon EKS

EKS_RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

GuardDuty agent de sécurité pour les clusters Amazon ECS-Fargate

RUNTIME_MONITORING.additionalConfiguration.ECS_FARGATE_AGENT_MANAGEMENT

GuardDuty agent de sécurité pour les instances Amazon EC2

RUNTIME_MONITORING.additionalConfiguration.EC2_AGENT_MANAGEMENT

Protection Lambda

LAMBDA_NETWORK_LOGS

* GetUsageStatistics utilise ses propres noms de dataSource. Pour plus d’informations, consultez Estimation des GuardDuty coûts ou GetUsageStatistics.