Esportazione degli esiti

GuardDuty conserva i risultati generati per un periodo di 90 giorni. GuardDuty esporta i risultati attivi su Amazon EventBridge (EventBridge). Facoltativamente, puoi esportare i risultati generati in un bucket Amazon Simple Storage Service (Amazon S3). Questo ti aiuterà a tenere traccia dei dati storici delle attività potenzialmente sospette nel tuo account e a valutare se le misure correttive consigliate hanno avuto successo.

Tutti i nuovi risultati attivi GuardDuty generati vengono esportati automaticamente entro circa 5 minuti dalla generazione del risultato. È possibile impostare la frequenza con cui vengono esportati gli aggiornamenti dei risultati attivi. EventBridge La frequenza selezionata si applica all'esportazione di nuove occorrenze di risultati esistenti nel bucket S3 (se configurato) e in Detective (se integrato). EventBridge Per informazioni su come GuardDuty aggrega più occorrenze di risultati esistenti, vedere. GuardDuty trovare l'aggregazione

Quando configuri le impostazioni per esportare i risultati in un bucket Amazon S3, GuardDuty utilizza AWS Key Management Service (AWS KMS) per crittografare i dati dei risultati nel bucket S3. Ciò richiede l'aggiunta di autorizzazioni al bucket S3 e alla AWS KMS chiave in modo che GuardDuty possa utilizzarle per esportare i risultati nel tuo account.

Considerazioni

Prima di procedere con i prerequisiti e i passaggi per esportare i risultati, considera i seguenti concetti chiave:

• Le impostazioni di esportazione sono regionali: è necessario configurare le opzioni di esportazione in ogni regione in cui si utilizza. GuardDuty

• Esportazione dei risultati in bucket Amazon S3 in Regioni AWS diverse aree geografiche GuardDuty : supporta le seguenti impostazioni di esportazione:

  • Il bucket o l'oggetto Amazon S3 e la AWS KMS chiave devono appartenere allo stesso. Regione AWS

  • Per i risultati generati in una regione commerciale, puoi scegliere di esportarli in un bucket S3 in qualsiasi regione commerciale. Tuttavia, non puoi esportare questi risultati in un bucket S3 in una regione opt-in.

  • Per i risultati generati in una regione opt-in, puoi scegliere di esportarli nella stessa regione opt-in in cui vengono generati o in qualsiasi regione commerciale. Tuttavia, non puoi esportare i risultati da una regione opt-in a un'altra regione opt-in.

• Autorizzazioni per esportare i risultati: per configurare le impostazioni per l'esportazione dei risultati attivi, il bucket S3 deve disporre delle autorizzazioni che consentano di caricare oggetti. GuardDuty È inoltre necessario disporre di una AWS KMS chiave che GuardDuty possa essere utilizzata per crittografare i risultati.

• I risultati archiviati non vengono esportati: il comportamento predefinito prevede che i risultati archiviati, incluse le nuove istanze di risultati soppressi, non vengano esportati.

  Quando un GuardDuty risultato viene generato come archiviato, è necessario estrarlo dall'archivio. Ciò modifica lo stato di ricerca del filtro su Attivo. GuardDuty esporta gli aggiornamenti ai risultati non archiviati esistenti in base alla configurazione. Fase 5 — Frequenza di esportazione dei risultati

• GuardDuty l'account amministratore può esportare i risultati generati negli account membro associati: quando si configurano i risultati di esportazione in un account amministratore, tutti i risultati degli account membro associati generati nella stessa regione vengono esportati nella stessa posizione configurata per l'account amministratore. Per ulteriori informazioni, consulta Comprensione della relazione tra account GuardDuty amministratore e account membro.

Fase 1 — Autorizzazioni necessarie per esportare i risultati

Quando configuri le impostazioni per l'esportazione dei risultati, selezioni un bucket Amazon S3 in cui archiviare i risultati e AWS KMS una chiave da utilizzare per la crittografia dei dati. Oltre alle GuardDuty autorizzazioni per le azioni, devi disporre anche delle autorizzazioni per le seguenti azioni per configurare correttamente le impostazioni per esportare i risultati:

• s3:GetBucketLocation

• s3:PutObject

• s3:ListBucket

Passaggio 2: allegare la politica alla chiave KMS

GuardDuty crittografa i dati dei risultati nel bucket utilizzando. AWS Key Management Service Per configurare correttamente le impostazioni, devi prima GuardDuty autorizzare l'uso di una KMS chiave. Puoi concedere le autorizzazioni allegando la policy alla tua KMS chiave.

Quando utilizzi una KMS chiave di un altro account, devi applicare la politica delle chiavi accedendo al proprietario della Account AWS chiave. Quando configuri le impostazioni per esportare i risultati, avrai anche bisogno della chiave ARN dell'account che possiede la chiave.

Per modificare la politica delle KMS chiavi per GuardDuty crittografare i risultati esportati

1. Apri la AWS KMS console in /kms. https://console.aws.amazon.com

2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

3. Seleziona una KMS chiave esistente o esegui i passaggi per creare una nuova chiave nella Guida per gli AWS Key Management Service sviluppatori, che utilizzerai per crittografare i risultati esportati.

   Nota

   La Regione AWS KMS chiave e il bucket Amazon S3 devono coincidere.

   Puoi utilizzare lo stesso bucket S3 e la stessa KMS key pair per esportare i risultati da qualsiasi regione applicabile. Per ulteriori informazioni, consulta Esportazione Considerazioni dei risultati tra le regioni.

4. Nella sezione Key policy (Policy chiave), scegli Edit (Modifica).

   Se è visualizzata la visualizzazione Passa alla politica, selezionala per visualizzare la Politica chiave, quindi scegli Modifica.

5. Copia il seguente blocco di policy nella tua policy KMS chiave, per concedere l' GuardDuty autorizzazione all'uso della tua chiave.

   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }

6. Modifica la politica sostituendo i seguenti valori formattati in rednell'esempio di politica:

   1. Replace (Sostituisci) KMS key ARN con l'Amazon Resource Name (ARN) della KMS chiave. Per individuare la chiaveARN, consulta Finding the key ID e ARN nella AWS Key Management Service Developer Guide.

   2. Replace (Sostituisci) 123456789012 con l' Account AWS ID proprietario dell' GuardDuty account che esporta i risultati.

   3. Replace (Sostituisci) Region2 con il Regione AWS luogo in cui vengono generati i GuardDuty risultati.

   4. Replace (Sostituisci) SourceDetectorID con il GuardDuty conto detectorID della regione specifica in cui sono stati generati i risultati.

      Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

   Nota

   Se lo utilizzi GuardDuty in una regione che richiede l'attivazione, sostituisci il valore per «Servizio» con l'endpoint regionale per quella regione. Ad esempio, se utilizzi GuardDuty nella regione Medio Oriente (Bahrain) (me-south-1), sostituisci con. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Per informazioni sugli endpoint per ogni regione opt-in, consulta endpoint e quote. GuardDuty

7. Se hai aggiunto l'informativa prima dell'informativa finale, aggiungi una virgola prima di aggiungere questa dichiarazione. Assicurati che la JSON sintassi della tua politica KMS chiave sia valida.

   Seleziona Salva.

8. (Facoltativo) Copia la chiave ARN su un blocco note per utilizzarla nei passaggi successivi.

Fase 3: Allegare la policy al bucket Amazon S3

Aggiungi le autorizzazioni al bucket Amazon S3 in cui esporterai i risultati in modo da poter caricare oggetti in GuardDuty questo bucket S3. Indipendentemente dall'utilizzo di un bucket Amazon S3 che appartiene al tuo account o a un altro Account AWS, devi aggiungere queste autorizzazioni.

Se in qualsiasi momento decidi di esportare i risultati in un altro bucket S3, per continuare a esportare i risultati, devi aggiungere le autorizzazioni a quel bucket S3 e configurare nuovamente le impostazioni dei risultati di esportazione.

Se non disponi già di un bucket Amazon S3 in cui esportare questi risultati, consulta Creating a bucket nella Amazon S3 User Guide.

Per allegare le autorizzazioni alla tua policy sui bucket S3

1. Esegui i passaggi indicati in Per creare o modificare una policy sui bucket nella Guida per l'utente di Amazon S3, finché non viene visualizzata la pagina Modifica policy del bucket.

2. La policy di esempio mostra come concedere GuardDuty l'autorizzazione all'esportazione dei risultati nel bucket Amazon S3. Se modifichi il percorso dopo aver configurato i risultati di esportazione, devi modificare la politica per concedere l'autorizzazione alla nuova posizione.

   Copia la seguente politica di esempio e incollala nell'editor delle politiche Bucket.

   Se hai aggiunto l'informativa prima dell'informativa finale, aggiungi una virgola prima di aggiungere questa dichiarazione. Assicurati che la JSON sintassi della tua politica KMS chiave sia valida.

   Esempio di politica del bucket S3

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowGuardDutygetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": [
                   "s3:GetBucketLocation",
                   "s3:ListBucket"
               ],
               "Resource": "Amazon S3 bucket ARN",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "AllowGuardDutyPutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "DenyUnencryptedUploadsThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "DenyIncorrectHeaderThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                   }
               }
           },
           {
               "Sid": "DenyNon-HTTPS",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }

3. Modifica la politica sostituendo i seguenti valori formattati in rednell'esempio di politica:

   1. Replace (Sostituisci) Amazon S3 bucket ARN con l'Amazon Resource Name (ARN) del bucket Amazon S3. Puoi trovare il Bucket ARN nella pagina Modifica policy del bucket nella console. https://console.aws.amazon.com/s3/

   2. Replace (Sostituisci) 123456789012 con l' Account AWS ID proprietario dell' GuardDuty account che esporta i risultati.

   3. Replace (Sostituisci) Region2 con il Regione AWS luogo in cui vengono generati i GuardDuty risultati.

   4. Replace (Sostituisci) SourceDetectorID con il GuardDuty conto detectorID della regione specifica in cui sono stati generati i risultati.

      Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

   5. Replace (Sostituisci) [optional prefix] parte del S3 bucket ARN/[optional prefix] valore segnaposto con una posizione opzionale nella cartella in cui si desidera esportare i risultati. Per ulteriori informazioni sull'uso dei prefissi, consulta Organizing objects using prefixes nella Amazon S3 User Guide.

      Se fornisci una posizione opzionale per la cartella che non esiste già, la GuardDuty creerà solo se l'account associato al bucket S3 è lo stesso dell'account che esporta i risultati. Quando esporti i risultati in un bucket S3 che appartiene a un altro account, la posizione della cartella deve già esistere.

   6. Replace (Sostituisci) KMS key ARN con l'Amazon Resource Name (ARN) della KMS chiave associata alla crittografia dei risultati esportati nel bucket S3. Per individuare la chiaveARN, consulta Finding the key ID e ARN nella Developer Guide.AWS Key Management Service

   Nota

   Se lo utilizzi GuardDuty in una regione che richiede l'attivazione, sostituisci il valore per «Servizio» con l'endpoint regionale per quella regione. Ad esempio, se utilizzi GuardDuty nella regione Medio Oriente (Bahrain) (me-south-1), sostituisci con. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Per informazioni sugli endpoint per ogni regione opt-in, consulta endpoint e quote. GuardDuty

4. Seleziona Salva.

Fase 4 - Esportazione dei risultati in un bucket S3 (console)

GuardDuty consente di esportare i risultati in un bucket esistente in un altro. Account AWS

Quando crei un nuovo bucket S3 o scegli un bucket esistente nel tuo account, puoi aggiungere un prefisso opzionale. Quando configuri i risultati dell'esportazione, GuardDuty crea una nuova cartella nel bucket S3 per i risultati. Il prefisso verrà aggiunto alla struttura di cartelle predefinita creata. GuardDuty Ad esempio, il formato del prefisso opzionale. /AWSLogs/123456789012/GuardDuty/Region

L'intero percorso dell'oggetto S3 sarà. amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz UUIDViene generato casualmente e non rappresenta l'ID del rilevatore o l'ID del ritrovamento.

Importante

La KMS chiave e il bucket S3 devono trovarsi nella stessa regione.

Prima di completare questi passaggi, assicurati di aver collegato le rispettive politiche alla tua KMS chiave e al bucket S3 esistente.

Per configurare i risultati delle esportazioni

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel pannello di navigazione scegli Impostazioni.

3. Nella pagina Impostazioni, in Opzioni di esportazione di Findings, per il bucket S3, scegli Configura ora (o Modifica, se necessario).

4. Per il bucket ARN S3, inserisci il. bucket ARN Per trovare il bucketARN, consulta Visualizzazione delle proprietà di un bucket S3 nella Amazon S3 User Guide. Nella scheda Autorizzazioni della pagina delle proprietà del bucket associato nella console. https://console.aws.amazon.com/guardduty/

5. Come KMSchiave ARN, inserisci il. key ARN Per individuare la chiaveARN, consulta Finding the key ID e ARN nella AWS Key Management Service Developer Guide.

6. Allega politiche

   • Esegui i passaggi per allegare la policy del bucket S3. Per ulteriori informazioni, consulta Fase 3: Allegare la policy al bucket Amazon S3.

   • Esegui i passaggi per allegare la policy KMS chiave. Per ulteriori informazioni, consulta Passaggio 2: allegare la politica alla chiave KMS.

7. Seleziona Save (Salva.

Fase 5 — Impostazione della frequenza per esportare i risultati attivi aggiornati

Configura la frequenza di esportazione dei risultati attivi aggiornati in base al tuo ambiente. Per impostazione predefinita, i risultati aggiornati vengono esportati ogni 6 ore. Ciò significa che tutti i risultati aggiornati dopo l'esportazione più recente sono inclusi nella successiva esportazione. Se i risultati aggiornati vengono esportati ogni 6 ore e l'esportazione avviene alle 12:00, qualsiasi scoperta che si aggiorna dopo le 12:00 viene esportata alle 18:00.

Per impostare la frequenza

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Seleziona Impostazioni.

3. Nella sezione Opzioni di esportazione dei risultati, scegli Frequenza dei risultati aggiornati. Questo imposta la frequenza per l'esportazione dei risultati Active aggiornati sia EventBridge su Amazon S3 che su Amazon S3. Puoi scegliere tra le seguenti opzioni:

   • Update EventBridge e S3 ogni 15 minuti

   • Update EventBridge e S3 ogni 1 ora

   • Aggiornamento CWE e S3 ogni 6 ore (impostazione predefinita)

4. Scegli Save changes (Salva modifiche).