GuardDuty Modifiche alle API a marzo 2023

Le GuardDuty API configurano funzionalità di protezione che non appartengono all'elenco diOrigini dati fondamentali. Gli oggetti funzionalità contengono dettagli sulla funzionalità, come il nome e lo stato, e possono contenere configurazioni aggiuntive per alcune funzionalità. Questa migrazione riguarda le seguenti API in Amazon GuardDuty API Reference:

• CreateDetector

• GetDetector

• UpdateDetector

• GetMemberDetectors

• UpdateMemberDetectors

• DescribeOrganizationConfiguration

• UpdateOrganizationConfiguration

• GetRemainingFreeTrialDays

• GetUsageStatistics

Attivazione delle funzionalità rispetto alle origini dati

Storicamente, tutte le GuardDuty funzionalità venivano trasmesse attraverso un dataSources oggetto nell'API. A partire da marzo 2023, GuardDuty preferisce features l'oggetto anziché l'dataSourcesoggetto nell'API. Tutte le origini dati precedenti hanno funzionalità corrispondenti, ma le funzionalità più recenti potrebbero non avere origini dati corrispondenti.

L'elenco seguente mostra il confronto tra l'oggetto dataSources e l'oggetto features quando viene trasmesso tramite un'API:

• L'oggetto dataSources contiene oggetti per ogni tipo di protezione e il relativo stato. L'featuresoggetto è un elenco di funzionalità disponibili che corrispondono a ciascun tipo di protezione all'interno GuardDuty.

  A partire da marzo 2023, l'attivazione delle funzionalità sarà l'unico modo per configurare nuove GuardDuty funzionalità nel proprio AWS ambiente.

• Lo dataSources schema nella richiesta o nella risposta dell'API è lo stesso in tutti i paesi in Regione AWS cui GuardDuty è disponibile. Tuttavia, è possibile che non tutte le funzionalità siano disponibili in ogni regione. Pertanto, i nomi delle funzionalità disponibili possono variare in base alla regione.

Comprensione del funzionamento dell'attivazione delle funzionalità

Le GuardDuty API continueranno a restituire un dataSources oggetto, se applicabile, e restituiranno anche un features oggetto contenente le stesse informazioni in un formato diverso. GuardDuty le funzionalità lanciate prima di marzo 2023 saranno disponibili tramite dataSources object and features object. GuardDuty le funzionalità lanciate a partire da marzo 2023 saranno disponibili solo tramite l'featuresoggetto. Non puoi creare o aggiornare un rilevatore o descrivere il tuo AWS Organizations utilizzando la notazione degli oggetti sia di dataSources che di features nella stessa richiesta API. Per abilitare i tipi di GuardDuty protezione, sarà necessario migrare le fonti di dati esistenti verso l'featuresoggetto utilizzando le stesse API che ora includono anche l'featuresoggetto.

Nota

GuardDuty non aggiungerà una nuova fonte di dati dopo questa modifica.

GuardDuty ha reso obsoleto l'uso delle fonti di dati. Tuttavia, supporta ancora le Origini dati fondamentali. Le GuardDuty migliori pratiche consigliano di utilizzare l'attivazione delle funzionalità per tutti i tipi di protezione già abilitati per l'account. Le best practice richiedono anche l'utilizzo dell'attivazione delle funzionalità quando abiliti un nuovo tipo di protezione per il tuo account.

Incorporazione delle modifiche all'attivazione delle funzionalità

• Se gestisci GuardDuty le configurazioni tramite API, SDK o AWS CloudFormation template e desideri abilitare nuove potenziali GuardDuty funzionalità, dovrai modificare rispettivamente il codice e il modello. Per ulteriori informazioni, consulta le API aggiornate nell'Amazon GuardDuty API Reference.

• Per GuardDuty le funzionalità configurate prima di questo aggiornamento, puoi continuare a utilizzare le API, gli SDK o il modello. AWS CloudFormation Tuttavia, ti consigliamo di passare all'utilizzo dell'oggetto feature.

  Tutte le origini dati hanno un oggetto funzionalità equivalente. Per ulteriori informazioni, consulta Mappatura di dataSources su features.

• Attualmente, la additionalConfiguration nell'oggetto features è disponibile solo per determinati tipi di protezione.

  • Per questi tipi di protezione, se la funzionalità AdditionalConfiguration status è impostata su ENABLED ma la configurazione della funzionalità non status è impostata suENABLED, non GuardDuty intraprenderà alcuna azione in questo caso.

  • Le seguenti API sono interessate:

    • UpdateDetector

    • UpdateMemberDetectors

    • UpdateOrganizationConfiguration

Mappatura di dataSources su features

La tabella seguente mostra la mappatura dei tipi di protezione, delle dataSources e delle features.

GuardDuty tipo di protezione	Nome della fonte di dati*	Nome della funzionalità
Log di flusso VPC	flowLogs (sola lettura; non possono essere modificati)	FLOW_LOGS (sola lettura; non possono essere modificati)
Log DNS	dnsLogs (sola lettura; non possono essere modificati)	DNS_LOGS (sola lettura; non possono essere modificati)
CloudTrail eventi	cloudTrail (sola lettura; non possono essere modificati)	CLOUD_TRAIL (sola lettura; non possono essere modificati)
S3	s3Logs	S3_DATA_EVENTS
Monitoraggio dei log di audit EKS	kubernetes.auditlogs	EKS_AUDIT_LOGS
Protezione da malware per EC2	malwareProtection.scanEc2InstanceWithFindings.ebsVolumes	EBS_MALWARE_PROTECTION
Eventi di accesso RDS	GuardDuty fornisce solo il supporto per l'attivazione delle funzionalità per questi tipi di protezione.	RDS_LOGIN_EVENTS
Monitoraggio del runtime EKS		EKS_RUNTIME_MONITORING
Monitoraggio del runtime		RUNTIME_MONITORING
GuardDuty agente di sicurezza per cluster Amazon EKS		EKS_RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT
GuardDuty agente di sicurezza per cluster Amazon ECS-Fargate		RUNTIME_MONITORING.additionalConfiguration.ECS_FARGATE_AGENT_MANAGEMENT
GuardDuty agente di sicurezza per istanze Amazon EC2		RUNTIME_MONITORING.additionalConfiguration.EC2_AGENT_MANAGEMENT
Protezione Lambda		LAMBDA_NETWORK_LOGS

*GetUsageStatistics utilizza i propri nomi di dataSource. Per ulteriori informazioni, consulta Stima dei costi GuardDuty o GetUsageStatistics.