Iniziare con GuardDuty - Amazon GuardDuty
Prima di iniziarePassaggio 1: abilitare Amazon GuardDutyFase 2: generare esiti di esempio ed esplorare le operazioni di baseFase 3: configurare l'esportazione dei GuardDuty risultati in un bucket Amazon S3 Passaggio 4: configura la GuardDuty ricerca di avvisi tramite SNS Passaggi successivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Iniziare con GuardDuty

Questo tutorial fornisce un'introduzione pratica a. GuardDuty I requisiti minimi per l'abilitazione GuardDuty come account autonomo o come GuardDuty amministratore AWS Organizations sono descritti nella Fase 1. I passaggi da 2 a 5 riguardano l'utilizzo di funzionalità aggiuntive consigliate da GuardDuty per ottenere il massimo dai risultati.

Prima di iniziare

GuardDuty è un servizio di rilevamento delle minacce che monitora Origini dati fondamentali log di AWS CloudTrail eventi, eventi di AWS CloudTrail gestione, Amazon VPC Flow Logs e log DNS. GuardDuty analizza anche le funzionalità associate ai suoi tipi di protezione solo se le abiliti separatamente. Le funzionalità includono i log di audit di Kubernetes, le attività di accesso RDS, i log S3, i volumi EBS, il monitoraggio del runtime e i log delle attività di rete Lambda. L'utilizzo di queste fonti di dati e funzionalità (se abilitate), GuardDuty genera risultati di sicurezza per il tuo account.

Dopo l'attivazione GuardDuty, inizia a monitorare l'ambiente. Puoi disattivarlo GuardDuty per qualsiasi account in qualsiasi regione, in qualsiasi momento. Ciò GuardDuty impedirà l'elaborazione delle fonti di dati di base e di tutte le funzionalità che sono state abilitate separatamente.

Non è necessario abilitare esplicitamente le Origini dati fondamentali. Amazon GuardDuty estrae flussi di dati indipendenti direttamente da tali servizi. Per un nuovo GuardDuty account, tutti i tipi di protezione disponibili supportati in un Regione AWS sono abilitati e inclusi nel periodo di prova gratuito di 30 giorni per impostazione predefinita. È possibile disattivarne alcuni o tutti. Se sei un GuardDuty cliente esistente, puoi scegliere di abilitare uno o tutti i piani di protezione disponibili nel tuo Regione AWS. Per ulteriori informazioni, consulta Funzionalità associate a ciascun tipo di protezione in GuardDuty.

Durante l'attivazione GuardDuty, considera i seguenti elementi:

  • GuardDuty è un servizio regionale, il che significa che tutte le procedure di configurazione seguite in questa pagina devono essere ripetute in ogni regione con cui si desidera monitorare GuardDuty.

    Ti consigliamo vivamente di abilitarlo GuardDuty in tutte le AWS regioni supportate. Ciò consente di GuardDuty generare informazioni su attività non autorizzate o insolite anche nelle Regioni che non utilizzi attivamente. Ciò consente inoltre di GuardDuty monitorare AWS CloudTrail gli eventi per AWS servizi globali come IAM. Se non GuardDuty è abilitato in tutte le regioni supportate, la sua capacità di rilevare attività che coinvolgono servizi globali è ridotta. Per un elenco completo delle regioni in cui GuardDuty è disponibile, consultaRegioni ed endpoint.

  • Qualsiasi utente con privilegi di amministratore in un AWS account può abilitare GuardDuty, tuttavia, seguendo la migliore pratica di sicurezza del privilegio minimo, si consiglia di creare un ruolo, un utente o un gruppo IAM da gestire GuardDuty in modo specifico. Per informazioni sulle autorizzazioni necessarie per l'attivazione, vedere. GuardDuty Autorizzazioni necessarie per abilitare GuardDuty

  • Quando si abilita GuardDuty per la prima volta in qualsiasi regione Regione AWS, per impostazione predefinita, abilita anche tutti i tipi di protezione disponibili supportati in quella regione, inclusa Malware Protection for EC2. GuardDuty crea un ruolo collegato al servizio per il tuo account chiamato. AWSServiceRoleForAmazonGuardDuty Questo ruolo include le autorizzazioni e le politiche di fiducia che consentono GuardDuty di utilizzare e analizzare gli eventi direttamente dal Origini dati fondamentali per generare risultati di sicurezza. Malware Protection for EC2 crea un altro ruolo collegato al servizio per l'account chiamato. AWSServiceRoleForAmazonGuardDutyMalwareProtection Questo ruolo include le autorizzazioni e le politiche di fiducia che consentono a Malware Protection for EC2 di eseguire scansioni senza agenti per rilevare il malware nel tuo account. GuardDuty Consente di GuardDuty creare un'istantanea del volume EBS nel tuo account e condividerla con l'account del servizio. GuardDuty Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate al servizio per GuardDuty. Per ulteriori informazioni sui ruoli collegati ai servizi, consulta Utilizzo di ruoli collegati ai servizi.

  • Quando lo attivi GuardDuty per la prima volta in qualsiasi regione, il tuo AWS account viene automaticamente registrato a una prova GuardDuty gratuita di 30 giorni per quella regione.

Passaggio 1: abilitare Amazon GuardDuty

Il primo passaggio per utilizzarlo GuardDuty è abilitarlo nel tuo account. Una volta abilitato, GuardDuty inizierà immediatamente a monitorare le minacce alla sicurezza nella regione corrente.

Se desideri gestire GuardDuty i risultati di altri account all'interno della tua organizzazione in qualità di GuardDuty amministratore, devi aggiungere e abilitare anche GuardDuty gli account dei membri.

Nota

Se desideri abilitare GuardDuty Malware Protection for S3 senza attivarlo GuardDuty, per la procedura, consultaGuardDuty Protezione da malware per S3.

Standalone account environment

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/

  2. Seleziona l'opzione Amazon GuardDuty - Tutte le funzionalità.

  3. Scegli Avvia.

  4. Nella GuardDuty pagina Benvenuto, visualizza i termini del servizio. Scegli Abilita GuardDuty.

Multi-account environment
Importante

Come prerequisiti per questo processo, devi far parte della stessa organizzazione di tutti gli account che desideri gestire e avere accesso all'account di AWS Organizations gestione per delegare un amministratore GuardDuty all'interno dell'organizzazione. Potrebbero essere necessarie autorizzazioni aggiuntive per delegare un amministratore. Per maggiori informazioni, consulta Autorizzazioni necessarie per designare un account amministratore delegato GuardDuty .

Per designare un account amministratore delegato GuardDuty

  1. Apri la AWS Organizations console all'indirizzo https://console.aws.amazon.com/organizations/, utilizzando l'account di gestione.

  2. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

    È GuardDuty già abilitata nel tuo account?

    • Se non GuardDuty è già abilitato, puoi selezionare Inizia e quindi designare un amministratore GuardDuty delegato nella pagina Benvenuto GuardDuty.

    • Se GuardDuty è abilitato, puoi designare un amministratore GuardDuty delegato nella pagina Impostazioni.

  3. Inserisci l'ID dell'account a dodici cifre dell' AWS account che desideri designare come amministratore delegato dell'organizzazione e scegli GuardDuty Delegato.

    Nota

    Se non GuardDuty è già abilitato, la designazione di un amministratore delegato lo abiliterà per quell'account nella regione corrente. GuardDuty

Per aggiungere account membri

Questa procedura prevede l'aggiunta di account membri a un account amministratore GuardDuty delegato tramite. AWS Organizations In alternativa è possibile aggiungere membri tramite invito. Per ulteriori informazioni su entrambi i metodi di associazione dei membri in GuardDuty, vedere. Gestione di più account in Amazon GuardDuty

  1. Accedere all'account amministratore delegato

  2. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  3. Nel riquadro di navigazione, scegliere Settings (Impostazioni), quindi Accounts (Account).

    Nella tabella account vengono visualizzati tutti gli account dell'organizzazione.

  4. Scegli gli account che desideri aggiungere come membri selezionando la casella accanto all'ID account. Quindi, dal menu Operazione seleziona Aggiungi membro.

    Suggerimento

    Puoi automatizzare l'aggiunta di nuovi account come membri attivando la funzionalità di Abilitazione automatica, che però si applica solo agli account che entrano a far parte dell'organizzazione dopo l'abilitazione della funzionalità.

Fase 2: generare esiti di esempio ed esplorare le operazioni di base

Quando GuardDuty rileva un problema di sicurezza, genera un risultato. Un GuardDuty risultato è un set di dati contenente dettagli relativi a quell'unico problema di sicurezza. I dettagli dell'esito possono essere utilizzati per indagare sul problema.

GuardDuty supporta la generazione di risultati di esempio con valori segnaposto, che possono essere utilizzati per testare GuardDuty la funzionalità e acquisire familiarità con i risultati prima di dover rispondere a un problema di sicurezza reale scoperto da. GuardDuty Segui la guida riportata di seguito per generare risultati di esempio per ogni tipo di risultato disponibile. Per ulteriori modi per generare risultati di esempio GuardDuty, inclusa la generazione di un evento di sicurezza simulato all'interno del tuo account, consulta. Risultati di esempio

Per creare ed esplorare gli esiti di esempio

  1. Nel pannello di navigazione scegli Impostazioni.

  2. Nella pagina Settings (Impostazioni), in Sample findings (Risultati di esempio), selezionare Generate sample findings (Genera risultati di esempio).

  3. Nel riquadro di navigazione, scegli Riepilogo per visualizzare le informazioni dettagliate sui risultati generati nel tuo AWS ambiente. Per ulteriori informazioni sui componenti del pannello di Riepilogo, consulta Pannello di riepilogo.

  4. Nel riquadro di navigazione, seleziona Esiti. Gli esiti di esempio vengono visualizzati nella pagina Risultati attuali con il prefisso [ESEMPIO].

  5. Seleziona un esito dall'elenco per visualizzarne i dettagli.

    1. È possibile esaminare i diversi campi informativi disponibili nel riquadro dei dettagli degli esiti. Diversi tipi di esiti possono avere campi diversi. Per ulteriori informazioni sui campi disponibili in tutti i tipi di esiti, consulta Dettagli degli esiti. Dal riquadro dei dettagli, puoi effettuare le operazioni seguenti:

      • Seleziona l'ID risultato nella parte superiore del riquadro per aprire i dettagli JSON completi dell'esito. Il file JSON completo può anche essere scaricato da questo pannello. Il file contiene alcune informazioni aggiuntive non incluse nella visualizzazione della console ed è in formato JSON, che può essere acquisito da altri strumenti e servizi.

      • Visualizza la sezione Risorsa interessata. Se si tratta di una scoperta reale, le informazioni qui riportate ti aiuteranno a identificare una risorsa nel tuo account che dovrebbe essere analizzata e includeranno collegamenti a risorse utili. AWS Management Console

      • Seleziona l'icona che raffigura una lente di ingrandimento con i simboli "+" o "-" per creare un filtro inclusivo o esclusivo per il dettaglio selezionato. Per ulteriori informazioni sui filtri per gli esiti, consulta Filtro dei risultati.

  6. Archiviare tutti gli esiti di esempio

    1. Seleziona tutti gli esiti tramite la casella di controllo nella parte superiore dell'elenco.

    2. Deseleziona gli esiti che desideri conservare.

    3. Seleziona il menu Operazioni, quindi scegli Archivia per nascondere gli esiti di esempio.

      Nota

      Per visualizzare gli esiti archiviati, seleziona Correnti, quindi Archiviati per cambiare la visualizzazione degli esiti.

Fase 3: configurare l'esportazione dei GuardDuty risultati in un bucket Amazon S3

GuardDuty consiglia di configurare le impostazioni per esportare i risultati perché consente di esportare i risultati in un bucket S3 per l'archiviazione a tempo indeterminato oltre il periodo di conservazione di 90 giorni. GuardDuty Ciò consente di tenere traccia dei risultati o tenere traccia dei problemi all'interno del proprio ambiente nel tempo. AWS Il processo descritto di seguito ti guida nella configurazione di un nuovo bucket S3 e nella creazione di una nuova chiave KMS per crittografare gli esiti dall'interno della console. Per ulteriori informazioni su questo argomento, ad esempio su come utilizzare il tuo bucket esistente o il bucket di un altro account, consulta Esportazione degli esiti.

Per configurare l'opzione di esportazione degli esiti in S3

  1. Per crittografare i risultati, è necessaria una chiave KMS con una politica che GuardDuty consenta di utilizzare tale chiave per la crittografia. Le fasi seguenti ti aiuteranno a creare una nuova chiave KMS. Se utilizzi una chiave KMS di un altro account, devi applicare la politica delle chiavi accedendo al proprietario della Account AWS chiave. La regione della chiave KMS e del bucket S3 deve essere la stessa. Tuttavia, puoi utilizzare lo stesso bucket e la stessa coppia di chiavi per ogni regione da cui desideri esportare gli esiti.

    1. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms.

    2. Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.

    3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

    4. Scegliere Create key (Crea chiave).

    5. Scegli Simmetrico in Tipo di chiave, quindi Successivo.

      Nota

      Per consultare in maggiore dettaglio le fasi per la creazione di una chiave KMS, consulta Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

    6. Fornisci un Alias per la tua chiave, quindi scegli Successivo.

    7. Scegli Successivo, quindi nuovamente Successivo per accettare le autorizzazioni di amministrazione e utilizzo predefinite.

    8. Dopo aver effettuato la Revisione della configurazione, scegli Fine per creare la chiave.

    9. Nella pagina Chiavi gestite dal cliente, scegli l'alias della chiave.

    10. Nella scheda Policy della chiave, scegli Passa alla visualizzazione della policy.

    11. Scegli Modifica e aggiungi la seguente politica chiave alla tua chiave KMS, garantendo GuardDuty l'accesso alla tua chiave. Questa dichiarazione consente di GuardDuty utilizzare solo la chiave a cui aggiungi questa politica. Quando modifichi la policy della chiave, assicurati che la sintassi JSON sia valida. Se aggiungi l'istruzione prima dell'istruzione finale, devi aggiungere una virgola dopo la parentesi di chiusura.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Sostituisci Region1 con la regione della tua chiave KMS. Sostituisci 444455556666 con Account AWS quella che possiede la chiave KMS. Sostituisci KMS KeyId con l'ID della chiave KMS che hai scelto per la crittografia. Per identificare tutti questi valori: regione e ID chiave, visualizza l'ARN della tua chiave KMS. Account AWS Per individuare l'ARN della chiave, consulta Individuazione dell'ID e dell'ARN della chiave.

      Allo stesso modo, sostituisci 111122223333 con il codice dell' Account AWS account. GuardDuty Sostituisci Region2 con la regione dell'account. GuardDuty Sostituisci SourceDetectorID con l'ID del rilevatore dell' GuardDuty account per Region2.

      Per trovare il codice detectorId relativo al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

    12. Selezionare Salva.

  2. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  3. Nel pannello di navigazione scegli Impostazioni.

  4. Nella sezione Opzioni di esportazione dei risultati, scegli Configura ora.

  5. Scegli Nuovo bucket. Fornisci un nome univoco per il bucket S3.

  6. (Facoltativo) puoi testare le nuove impostazioni di esportazione generando esiti di esempio. Nel pannello di navigazione scegli Impostazioni.

  7. Nella pagina Risultati di esempio, scegli Genera risultati di esempio. I nuovi risultati di esempio verranno visualizzati come voci nel bucket S3 creato da entro un massimo GuardDuty di cinque minuti.

Passaggio 4: configura la GuardDuty ricerca di avvisi tramite SNS

GuardDuty si integra con Amazon EventBridge, che può essere utilizzato per inviare i dati dei risultati ad altre applicazioni e servizi per l'elaborazione. Con EventBridge puoi utilizzare GuardDuty i risultati per avviare risposte automatiche ai tuoi risultati collegando gli eventi di ricerca a obiettivi come AWS Lambda funzioni, automazione di Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) e altro ancora.

In questo esempio creerai un argomento SNS come obiettivo di una EventBridge regola, quindi lo utilizzerai EventBridge per creare una regola da cui acquisire i dati dei risultati. GuardDuty La regola risultante inoltra i dettagli degli esiti a un indirizzo e-mail. Per scoprire come inviare gli esiti a Slack o Amazon Chime e come modificare i tipi di esiti per cui vengono inviati gli avvisi, consulta Impostare un argomento Amazon SNS e un endpoint.

Per creare un argomento SNS per gli avvisi sugli esiti

  1. Apri la console Amazon SNS all'indirizzo https://console.aws.amazon.com/sns/v3/home.

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Seleziona Create Topic (Crea argomento).

  4. Per Tipo, seleziona Standard.

  5. Per Nome, immetti GuardDuty.

  6. Seleziona Create Topic (Crea argomento). Verranno aperti i dettagli dell'argomento per il nuovo argomento.

  7. Nella sezione Subscriptions (Sottoscrizioni) scegliere Create subscription (Crea sottoscrizione).

  8. Per Protocollo, scegli E-mail.

  9. Per Endpoint, inserisci l'indirizzo e-mail a cui desideri che vengano inviate le notifiche.

  10. Scegli Crea sottoscrizione.

    Dopo aver creato la sottoscrizione è necessario confermarla tramite e-mail.

  11. Per verificare la presenza di un messaggio di sottoscrizione, vai alla tua casella di posta elettronica e nel messaggio di sottoscrizione scegli Conferma sottoscrizione.

    Nota

    Per verificare lo status dell'e-mail di conferma, vai alla console SNS e scegli Sottoscrizioni.

Per creare una EventBridge regola per acquisire i GuardDuty risultati e formattarli

  1. Apri la EventBridge console all'indirizzo https://console.aws.amazon.com/events/.

  2. Nel pannello di navigazione, scegli Regole.

  3. Scegli Create rule (Crea regola).

  4. Inserire un nome e una descrizione per la regola.

    Una regola non può avere lo stesso nome di un'altra regola nella stessa regione e sullo stesso router di eventi.

  5. Per Event bus (Bus di eventi), scegli default.

  6. Per Rule type (Tipo di regola), scegli Rule with an event pattern (Regola con un modello di eventi).

  7. Seleziona Successivo.

  8. Per Event source (Origine eventi), seleziona AWS events (Eventi ).

  9. Per Modello di eventi, scegli Modulo di modello di eventi.

  10. Per Origine evento, scegli Servizi AWS .

  11. Per Servizio AWS , scegli GuardDuty.

  12. Per Tipo di evento, scegli GuardDutyRicerca.

  13. Seleziona Successivo.

  14. Per Target types (Tipi di destinazione), scegli AWS service (Servizio ).

  15. Per Seleziona una destinazione, scegli Argomento SNS e per Argomento, scegli il nome dell'argomento SNS che hai creato in precedenza.

  16. Nella sezione Impostazioni aggiuntive, per Configura input di destinazione, scegli Trasformatore di input.

    L'aggiunta di un trasformatore di input formatta i dati di ricerca JSON inviati GuardDuty in un messaggio leggibile dall'uomo.

  17. Seleziona Configure input transformer (Configura trasformatore di input).

  18. Nella sezione Trasformatore di input di destinazione, in Percorso di input, incolla il codice seguente:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Per formattare l'email, per Template, incolla il codice seguente e assicurati di sostituire il testo in rosso con i valori appropriati alla tua regione:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Scegli Conferma.

  21. Seleziona Successivo.

  22. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta i EventBridge tag Amazon nella Amazon EventBridge User Guide.

  23. Seleziona Successivo.

  24. Rivedi i dettagli della regola e scegli Create rule (Crea regola).

  25. (Facoltativo) Testa la tua nuova regola generando esiti di esempio con il processo descritto nella fase 2. Riceverai un'e-mail per ogni esito di esempio generato.

Passaggi successivi

Continuando a utilizzare GuardDuty, imparerai a comprendere i tipi di risultati pertinenti al tuo ambiente. Ogni volta che ricevi un nuovo esito, puoi trovare diverse informazioni, come i consigli su come correggerlo, selezionando Ulteriori informazioni dalla descrizione nel riquadro dei dettagli degli esiti o cercando il nome dell'esito su Tipi di esiti.

Le seguenti funzionalità ti aiuteranno a ottimizzare GuardDuty in modo che possa fornire i risultati più pertinenti per il tuo AWS ambiente:

  • Per ordinare facilmente i risultati in base a criteri specifici, come l'ID dell'istanza, l'ID dell'account, il nome del bucket S3 e altro, puoi creare e salvare filtri all'interno. GuardDuty Per ulteriori informazioni, consulta Filtro dei risultati.

  • Se ricevi esiti relativi al comportamento previsto nel tuo ambiente, puoi archiviarli automaticamente in base ai criteri definiti con le regole di eliminazione.

  • Per evitare che i risultati vengano generati da un sottoinsieme di IP affidabili o per far sì che gli IP di GuardDuty monitoraggio non rientrino nel normale ambito di monitoraggio, puoi impostare elenchi di IP e minacce affidabili.