Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengekspor temuan
GuardDuty mempertahankan temuan yang dihasilkan untuk jangka waktu 90 hari. GuardDuty mengekspor temuan aktif ke Amazon EventBridge (EventBridge). Anda dapat secara opsional mengekspor temuan yang dihasilkan ke bucket Amazon Simple Storage Service (Amazon S3). Ini akan membantu Anda melacak data historis aktivitas yang berpotensi mencurigakan di akun Anda dan mengevaluasi apakah langkah-langkah perbaikan yang disarankan berhasil.
Setiap temuan aktif baru yang GuardDuty dihasilkan secara otomatis diekspor dalam waktu sekitar 5 menit setelah temuan dihasilkan. Anda dapat mengatur frekuensi seberapa sering pembaruan temuan aktif diekspor ke EventBridge. Frekuensi yang Anda pilih berlaku untuk mengekspor kemunculan baru temuan yang ada ke EventBridge, bucket S3 Anda (saat dikonfigurasi), dan Detektif (saat terintegrasi). Untuk informasi tentang bagaimana GuardDuty menggabungkan beberapa kejadian temuan yang ada, lihat. GuardDuty menemukan agregasi
Saat mengonfigurasi setelan untuk mengekspor temuan ke bucket Amazon S3, GuardDuty gunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data temuan di bucket S3. Ini mengharuskan Anda untuk menambahkan izin ke bucket S3 dan AWS KMS kuncinya sehingga GuardDuty dapat menggunakannya untuk mengekspor temuan di akun Anda.
Daftar Isi
Pertimbangan
Sebelum melanjutkan dengan prasyarat dan langkah-langkah untuk mengekspor temuan, pertimbangkan konsep-konsep kunci berikut:
-
Pengaturan ekspor bersifat regional - Anda perlu mengonfigurasi opsi ekspor di setiap Wilayah tempat Anda menggunakan GuardDuty.
-
Mengekspor temuan ke bucket Amazon S3 di Wilayah AWS berbagai (Lintas wilayah) GuardDuty — mendukung pengaturan ekspor berikut:
-
Bucket atau objek Amazon S3 Anda, dan AWS KMS kunci harus milik yang sama. Wilayah AWS
-
Untuk temuan yang dihasilkan di Wilayah komersial, Anda dapat memilih untuk mengekspor temuan ini ke ember S3 di Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan ini ke bucket S3 di Wilayah keikutsertaan.
-
Untuk temuan yang dihasilkan di Wilayah keikutsertaan, Anda dapat memilih untuk mengekspor temuan ini ke Wilayah keikutsertaan yang sama di mana mereka dihasilkan atau Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan dari satu Wilayah keikutsertaan ke Wilayah keikutsertaan lainnya.
-
-
Izin untuk mengekspor temuan — Untuk mengonfigurasi pengaturan untuk mengekspor temuan aktif, bucket S3 Anda harus memiliki izin yang memungkinkan GuardDuty untuk mengunggah objek. Anda juga harus memiliki AWS KMS kunci yang GuardDuty dapat digunakan untuk mengenkripsi temuan.
-
Temuan yang diarsipkan tidak diekspor — Perilaku default adalah bahwa temuan yang diarsipkan, termasuk contoh baru dari temuan yang ditekan, tidak diekspor.
Ketika sebuah GuardDuty temuan dihasilkan sebagai Diarsipkan, Anda harus Membatalkan pengarsipannya. Ini mengubah status pencarian Filter menjadi Aktif. GuardDuty mengekspor pembaruan ke temuan yang tidak diarsipkan yang ada berdasarkan cara Anda mengonfigurasi. Langkah 5 - Frekuensi untuk mengekspor temuan
-
GuardDuty Akun administrator dapat mengekspor temuan yang dihasilkan di akun anggota terkait — Saat Anda mengonfigurasi temuan ekspor di akun administrator, semua temuan dari akun anggota terkait yang dihasilkan di Wilayah yang sama juga diekspor ke lokasi yang sama dengan yang Anda konfigurasikan untuk akun administrator. Untuk informasi selengkapnya, lihat Memahami hubungan antara akun GuardDuty administrator dan akun anggota.
Langkah 1 - Izin diperlukan untuk mengekspor temuan
Saat mengonfigurasi setelan untuk mengekspor temuan, Anda memilih bucket Amazon S3 tempat Anda dapat menyimpan temuan dan kunci AWS KMS yang akan digunakan untuk enkripsi data. Selain izin untuk GuardDuty tindakan, Anda juga harus memiliki izin untuk tindakan berikut agar berhasil mengonfigurasi pengaturan untuk mengekspor temuan:
-
s3:GetBucketLocation -
s3:PutObject -
s3:ListBucket
Langkah 2 — Melampirkan kebijakan ke kunci Anda KMS
GuardDuty mengenkripsi data temuan di bucket Anda dengan menggunakan. AWS Key Management Service Agar berhasil mengkonfigurasi pengaturan, Anda harus terlebih dahulu memberikan GuardDuty izin untuk menggunakan KMS kunci. Anda dapat memberikan izin dengan melampirkan kebijakan ke kunci AndaKMS.
Saat Anda menggunakan KMS kunci dari akun lain, Anda perlu menerapkan kebijakan kunci dengan masuk ke Akun AWS yang memiliki kunci tersebut. Saat mengonfigurasi pengaturan untuk mengekspor temuan, Anda juga memerlukan kunci ARN dari akun yang memiliki kunci tersebut.
Untuk memodifikasi kebijakan KMS utama GuardDuty untuk mengenkripsi temuan yang diekspor
-
Buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Pilih KMS kunci yang ada atau lakukan langkah-langkah untuk Membuat kunci baru di Panduan AWS Key Management Service Pengembang, yang akan Anda gunakan untuk mengenkripsi temuan yang diekspor.
catatan
KMSKunci Anda dan ember Amazon S3 harus sama. Wilayah AWS
Anda dapat menggunakan bucket S3 dan KMS key pair yang sama untuk mengekspor temuan dari Wilayah mana pun yang berlaku. Untuk informasi selengkapnya, lihat Pertimbangan untuk mengekspor temuan di seluruh Wilayah.
-
Di bagian Kebijakan kunci, pilih Edit.
Jika Beralih ke tampilan kebijakan ditampilkan, pilih untuk menampilkan Kebijakan kunci, lalu pilih Edit.
-
Salin blok kebijakan berikut ke kebijakan KMS kunci Anda, untuk memberikan GuardDuty izin untuk menggunakan kunci Anda.
{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "KMS key ARN", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } } -
Edit kebijakan dengan mengganti nilai berikut yang diformat
reddalam contoh kebijakan:-
Ganti
KMS key ARNdengan Nama Sumber Daya Amazon (ARN) dari KMS kuncinya. Untuk menemukan kunciARN, lihat Menemukan ID kunci dan ARN di Panduan AWS Key Management Service Pengembang. -
Ganti
123456789012dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan. -
Ganti
Region2dengan di Wilayah AWS mana GuardDuty temuan dihasilkan. -
Ganti
SourceDetectorIDdengandetectorIDGuardDuty akun di Wilayah tertentu tempat temuan dihasilkan.Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/
konsol, atau jalankan ListDetectorsAPI. detectorId
catatan
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan.
"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat GuardDuty titik akhir dan kuota. -
-
Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa JSON sintaks kebijakan KMS kunci Anda valid.
Pilih Simpan.
-
(Opsional) salin kunci ARN ke notepad untuk digunakan pada langkah selanjutnya.
Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3
Tambahkan izin ke bucket Amazon S3 tempat Anda akan mengekspor temuannya GuardDuty sehingga dapat mengunggah objek ke bucket S3 ini. Terlepas dari penggunaan bucket Amazon S3 milik akun Anda atau yang berbeda Akun AWS, Anda harus menambahkan izin ini.
Jika suatu saat, Anda memutuskan untuk mengekspor temuan ke bucket S3 yang berbeda, lalu untuk melanjutkan mengekspor temuan, Anda harus menambahkan izin ke bucket S3 tersebut dan mengonfigurasi pengaturan temuan ekspor lagi.
Jika Anda belum memiliki bucket Amazon S3 tempat Anda ingin mengekspor temuan ini, lihat Membuat bucket di Panduan Pengguna Amazon S3.
Untuk melampirkan izin ke kebijakan bucket S3 Anda
Lakukan langkah-langkah di bawah Untuk membuat atau mengedit kebijakan bucket di Panduan Pengguna Amazon S3, hingga halaman Edit kebijakan bucket muncul.
-
Kebijakan contoh menunjukkan cara memberikan GuardDuty izin untuk mengekspor temuan ke bucket Amazon S3 Anda. Jika Anda mengubah jalur setelah mengonfigurasi temuan ekspor, Anda harus mengubah kebijakan untuk memberikan izin ke lokasi baru.
Salin contoh kebijakan berikut dan tempelkan ke editor kebijakan Bucket.
Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa JSON sintaks kebijakan KMS kunci Anda valid.
Kebijakan contoh bucket S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGuardDutygetBucketLocation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "Amazon S3 bucket ARN", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } }, { "Sid": "AllowGuardDutyPutObject", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } }, { "Sid": "DenyUnencryptedUploadsThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyIncorrectHeaderThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN" } } }, { "Sid": "DenyNon-HTTPS", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Edit kebijakan dengan mengganti nilai berikut yang diformat
reddalam contoh kebijakan:-
Ganti
Amazon S3 bucket ARNdengan Nama Sumber Daya Amazon (ARN) dari ember Amazon S3. Anda dapat menemukan Bucket ARN di halaman kebijakan Edit bucket di https://console.aws.amazon.com/s3/konsol. -
Ganti
123456789012dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan. -
Ganti
Region2dengan di Wilayah AWS mana GuardDuty temuan dihasilkan. -
Ganti
SourceDetectorIDdengandetectorIDGuardDuty akun di Wilayah tertentu tempat temuan dihasilkan.Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/
konsol, atau jalankan ListDetectorsAPI. detectorId -
Ganti
[optional prefix]bagian dariS3 bucket ARN/[optional prefix]nilai placeholder dengan lokasi folder opsional yang ingin Anda ekspor temuannya. Untuk informasi selengkapnya tentang penggunaan awalan, lihat Mengatur objek menggunakan awalan di Panduan Pengguna Amazon S3.Bila Anda menyediakan lokasi folder opsional yang belum ada, GuardDuty akan membuat lokasi tersebut hanya jika akun yang terkait dengan bucket S3 sama dengan akun yang mengekspor temuan. Saat Anda mengekspor temuan ke bucket S3 milik akun lain, lokasi folder harus sudah ada.
-
Ganti
KMS key ARNdengan Amazon Resource Name (ARN) dari KMS kunci yang terkait dengan enkripsi temuan yang diekspor ke bucket S3. Untuk menemukan kunciARN, lihat Menemukan ID kunci dan ARN di Panduan AWS Key Management Service Pengembang.
catatan
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan.
"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat GuardDuty titik akhir dan kuota. -
-
Pilih Simpan.
Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)
GuardDuty memungkinkan Anda untuk mengekspor temuan ke ember yang ada di ember lain Akun AWS.
Saat membuat bucket S3 baru atau memilih bucket yang ada di akun Anda, Anda dapat menambahkan awalan opsional. Saat mengonfigurasi temuan ekspor, GuardDuty buat folder baru di bucket S3 untuk temuan Anda. Awalan akan ditambahkan ke struktur folder default yang GuardDuty dibuat. Misalnya, format awalan /AWSLogs/ opsional. 123456789012/GuardDuty/Region
Seluruh jalur objek S3 akan menjadiDOC-EXAMPLE-BUCKET/prefix-name/UUID.jsonl.gzUUIDIni dihasilkan secara acak dan tidak mewakili ID detektor atau ID temuan.
penting
KMSKunci dan ember S3 harus berada di Wilayah yang sama.
Sebelum menyelesaikan langkah-langkah ini, pastikan Anda telah melampirkan kebijakan masing-masing ke KMS kunci dan bucket S3 yang ada.
Untuk mengonfigurasi temuan ekspor
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Pada panel navigasi, silakan pilih Pengaturan.
-
Pada halaman Pengaturan, di bawah opsi ekspor temuan, untuk bucket S3, pilih Konfigurasi sekarang (atau Edit, sesuai kebutuhan).
-
Untuk ember S3 ARN, masukkan.
bucket ARNUntuk menemukan bucketARN, lihat Melihat properti untuk bucket S3 di Panduan Pengguna Amazon S3. Di tab Izin pada halaman Properti bucket terkait di https://console.aws.amazon.com/guardduty/konsol. -
Untuk KMSkunci ARN, masukkan
key ARN. Untuk menemukan kunciARN, lihat Menemukan ID kunci dan ARN di Panduan AWS Key Management Service Pengembang. Lampirkan kebijakan
-
Lakukan langkah-langkah untuk melampirkan kebijakan bucket S3. Untuk informasi selengkapnya, lihat Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3.
-
Lakukan langkah-langkah untuk melampirkan kebijakan KMS utama. Untuk informasi selengkapnya, lihat Langkah 2 — Melampirkan kebijakan ke kunci Anda KMS.
-
-
Pilih Simpan.
Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui
Konfigurasikan frekuensi untuk mengekspor temuan aktif yang diperbarui sesuai dengan lingkungan Anda. Secara default, temuan yang diperbarui diekspor setiap 6 jam. Ini berarti bahwa setiap temuan yang diperbarui setelah ekspor terbaru akan disertakan dalam ekspor berikutnya. Jika temuan yang diperbarui diekspor setiap 6 jam dan ekspor dilakukan pada pukul 12:00, setiap temuan yang Anda perbarui setelah pukul 12:00 akan diekspor pada pukul 18:00.
Untuk mengatur frekuensi
Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/
. -
Pilih Pengaturan.
-
Di bagian Opsi ekspor temuan, pilih Frekuensi untuk temuan yang diperbarui. Ini menetapkan frekuensi untuk mengekspor temuan Aktif yang diperbarui ke keduanya EventBridge dan Amazon S3. Anda dapat memilih dari opsi berikut:
-
Perbarui EventBridge dan S3 setiap 15 menit
-
Update EventBridge dan S3 setiap 1 jam
-
Perbarui CWE dan S3 setiap 6 jam (default)
-
-
Pilih Simpan perubahan.
