所見のエクスポート - Amazon GuardDuty

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

所見のエクスポート

GuardDuty では、アクティブな結果を CloudWatch イベント にエクスポートできます。オプションで Amazon S3 バケットにもエクスポートできます。GuardDuty によって生成された新しいアクティブな結果は、結果の生成後約 5 分以内に自動的にエクスポートされます。更新されたアクティブな結果を CloudWatch イベント と S3 バケット (設定されている場合) にエクスポートする頻度を設定できます。選択した頻度は、両方のエクスポートに適用されます。 CloudWatch イベント S3バケットは、集約された所見のみを対象とします。

所見のエクスポート設定については、次の点に注意してください。

  • エクスポート設定は地域です。つまり、使用する各地域に対してエクスポートオプションを構成する必要があります。 GuardDuty. すべてのリージョンの調査結果を、1 つのリージョンにある 1 つのバケットにエクスポートできます。

  • 抑制された所見の新しいインスタンスを含むアーカイブされた所見はエクスポートされません。結果のアーカイブを解除すると、そのステータスが「アクティブ」に更新され、エクスポートされます。

  • 所見のエクスポートを GuardDuty master 現在の地域で生成された関連メンバーアカウントからのすべての所見は、 master アカウント。

アクティブ所見を Amazon S3 KMSキーが必要です。 GuardDuty を使用して所見を暗号化し、 GuardDuty オブジェクトをアップロードします。所見のエクスポートと頻度の設定方法については、このトピックを参照してください。

所見のエクスポートを構成するために必要な権限

所見をエクスポートするオプションを設定する場合は、所見を保存するバケットと、データの暗号化に使用するKMSキーを選択します。GuardDuty アクションに対するアクセス許可に加えて、結果のエクスポートのオプションを設定するには、以下のアクションに対するアクセス許可も必要です。

  • kms:ListAliases

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPublicAccessBlock

  • s3:PutBucketPolicy

  • s3:PutObject

付与 GuardDuty KMSキーへの許可

GuardDuty バケットの所見データを暗号化するには、 AWS KMS キー。所見のエクスポートを正常に設定するには、まず次を指定する必要があります: GuardDuty KMS キーを使用する許可。アクセス権限は、使用するキーのキーポリシーを変更することで付与します。

GuardDuty 結果に新しいキーを使用する場合は、先に進む前にキーを作成します。別のアカウントでキーを使用している場合は、キーを所有するアカウントにログインして、キーポリシーを適用する必要があります。エクスポート設定を定義するときは、別のアカウントのキーのキー ARN も必要です。

キーポリシーを変更して、GuardDuty でキーを使用できるようにするには

  1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. 新しいキーを作成するか、エクスポートされた所見の暗号化に使用する既存のキーを選択します。キーはバケットと同じリージョンに存在する必要があります。

  4. [Key policy (キーポリシー)]、[Edit (編集)] の順に選択します。

    ヒント

    [Switch to policy view (ポリシービューに切り替える)] が表示された場合はそれを選択してキーポリシーを表示してから、[Edit (編集)] を選択します。

  5. ポリシーに次の文を追加します。このステートメントでは、ポリシーを変更するためのキーのみの使用を GuardDuty に許可できます。キー ポリシーを編集する場合は、JSON 構文が有効であることを確認してください。最終ステートメントの前にステートメントを追加する場合は、閉じ括弧の後にコンマを追加する必要があります。

    { "Sid": "Allow GuardDuty to use the key", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*" }
    注記

    手動で有効にしたリージョンで GuardDuty を使用している場合は、「service」の値をリージョンのサービスエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com" に置き換えます。

  6. [Save] を選択します。

  7. (オプション)既存のバケットを使用する予定の場合は、キーARNをメモ帳にコピーして、後の手順で使用します。ARN のキーを見つけるには、以下を参照してください。 キーIDとARNの検索.

付与 GuardDuty バケットへの許可

アカウントで既存のバケットを使用する場合、または別のAWSアカウントで使用する場合は、 GuardDuty そのバケットにオブジェクトをアップロードするための許可。これらの権限は、 S3バケットポリシーの追加. 既存のバケットを使用している場合は、バケットポリシーを追加する手順について、次のセクションを展開します。

  1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。

  2. エクスポートされた結果に使用するバケットを選択します。

  3. [Permissions (アクセス許可)] を選択し、[Bucket Policy (バケットポリシー)] を選択します。

  4. _をコピー ポリシーの例 それを バケットポリシーエディタ.

  5. ポリシー例のプレースホルダの値を、環境に適した値に置き換えます。

    置換 myBucketName バケットポリシーを追加するバケットの名前。置換 region KMS キーがある地域。置換 111122223333 バケットを所有するアカウントのAWSアカウント番号を使用して、KMSKeyId 暗号化用に選択した鍵の鍵 ID を使用します。

ポリシーの例

次のポリシー例は、Amazon S3 バケットに結果を送信するアクセス権限を GuardDuty に付与する方法を示しています。結果のエクスポートを設定した後にパスを変更する場合は、新しい場所に対するアクセス許可を付与するように、ポリシーを変更する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow GuardDuty to use the getBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "Allow GuardDuty to upload objects to the bucket", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/*" }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption header. This is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
注記

手動で有効にしたリージョンで GuardDuty を使用している場合は、サービスの値をリージョンのサービスエンドポイントに置き換えます。たとえば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、"Service": "guardduty.amazonaws.com""guardduty.me-south-1.amazonaws.com" に置き換えます。

コンソールで所見をバケットにエクスポートする

所見のエクスポートを設定する場合、既存のS3バケットを選択するか、 GuardDuty エクスポートされた所見を保存する新しいバケットを作成します。新しいバケットの使用を選択した場合、GuardDuty は作成したバケットに必要なすべてのアクセス権限を適用します。既存のバケットを使用する場合は、バケットポリシーを更新して、 GuardDuty 発見事項をバケツに入れてください。

別のアカウントの既存のバケットに所見をエクスポートすることもできます。

アカウントで新規または既存のバケットを選択する場合は、 GuardDuty は、所見の新しいフォルダをS3バケットに作成します。プレフィックスは、によって作成されたデフォルトのフォルダ構造の先頭に追加されます。 GuardDutyです。これは /AWSLogs/111122223333/GuardDuty/Region.

重要

KMS キーと S3 バケットは地域内になければなりません

これらのステップを完了する前に、KMSキーが構成されていることを確認し、既存のバケットを使用している場合は、 GuardDuty オブジェクトを作成します。

Create a new bucket in your account

新しいバケットを使用して結果のエクスポートを設定するには

  1. KMSキーにポリシーを追加する GuardDuty は、 を使用して所見を暗号化します。ポリシーの例については、以下を参照してください。 付与 GuardDuty KMSキーへの許可

  2. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  3. [設定] を選択します。

    1. [New bucket (新規バケット)] を選択して、エクスポートされた結果を保存する新しいバケットを作成します。

      [Name the bucket (バケットに名前を付ける)] フィールドに、バケットの名前を入力します。名前はすべての S3 バケットで一意である必要があります。バケット名の先頭は小文字の英数字にする必要があります。

    2. : オプション。以下 ログ ファイル接頭語、使用するパス プレフィックスを入力します。 GuardDuty は、指定されたプレフィックス名でバケットに新しいフォルダを作成します。値を入力すると、フィールドの下にあるパスの例が更新され、バケットにあるエクスポートされた結果へのパスが反映されます。

    3. [KMS encryption (KMS 暗号化)] で、次のいずれかを行います。

      • [Choose key from your account (このアカウントからキーを選択)] を選択します。

        次に、[Key alias (キーエイリアス)] リストから、ポリシーを変更したキーのキーエイリアスを選択します。

      • [Choose key from another account (別のアカウントからキーを選択)] を選択します。

        次に、ポリシーを変更したキーの完全な ARN を入力します。

        選択するキーは、バケットと同じリージョンにある必要があります。ARN の鍵を見つける方法については、以下を参照してください。 キーIDとARNの検索.

    4. [Save] を選択します。

Existing bucket in your account

既存のバケットを使用して結果のエクスポートを設定するには

  1. KMSキーにポリシーを追加する GuardDuty は、 を使用して所見を暗号化します。ポリシーの例については、以下を参照してください。 付与 GuardDuty KMSキーへの許可

  2. ポリシー付与を添付します GuardDuty S3 バケットにオブジェクトをアップロードするための許可。ポリシーの例については、以下を参照してください。 付与 GuardDuty バケットへの許可

  3. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  4. [設定] を選択します。

    1. 選択 アカウントの既存のバケット.

      バケットに名前を付ける フィールドにバケットの名前を入力します。

    2. : オプション。以下 ログ ファイル接頭語、使用するパス プレフィックスを入力します。 GuardDuty は、指定されたプレフィックス名でバケットに新しいフォルダを作成します。値を入力すると、フィールドの下にあるパスの例が更新され、バケットにあるエクスポートされた結果へのパスが反映されます。

    3. [KMS encryption (KMS 暗号化)] で、次のいずれかを行います。

      • [Choose key from your account (このアカウントからキーを選択)] を選択します。

        次に、[Key alias (キーエイリアス)] リストから、ポリシーを変更したキーのキーエイリアスを選択します。

      • [Choose key from another account (別のアカウントからキーを選択)] を選択します。

        次に、ポリシーを変更したキーの完全な ARN を入力します。

        選択するキーは、バケットと同じリージョンにある必要があります。ARN の鍵を見つける方法については、以下を参照してください。 キーIDとARNの検索.

    4. [Save] を選択します。

Existing bucket in another account

別のアカウントの既存のバケットを使用して所見のエクスポートを設定するには

  1. KMSキーにポリシーを追加する GuardDuty は、 を使用して所見を暗号化します。ポリシーの例については、以下を参照してください。 付与 GuardDuty KMSキーへの許可

  2. ポリシー付与を添付します GuardDuty 別の科目の S3 バケットにオブジェクトをアップロードするための許可。ポリシーの例については、「付与 GuardDuty バケットへの許可」を参照してください。

    注記

    ポリシーでバケットを所有するアカウントのアカウント ID を使用します

  3. GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  4. [設定] を選択します。

    1. [Existing bucket in another account (別のアカウントの既存のバケット)] を選択します。

    2. [Bucket ARN field (バケット ARN フィールド)] に、使用する別のアカウントのバケットの ARN を入力します。

    3. 以下 KMS暗号化 ポリシーを変更したキーの完全な ARN を入力します。

      選択するキーは、バケットと同じリージョンにある必要があります。ARN の鍵を見つける方法については、以下を参照してください。 キーIDとARNの検索.

    4. [Save] を選択します。

エクスポートアクセスエラー

結果のエクスポートオプションを構成した後、GuardDuty が結果をエクスポートできない場合、[Settings (設定)] ページにエラーメッセージが表示されます。これは、S3 バケットが削除された場合や、バケットへのアクセス権限が変更された場合など、GuardDuty がターゲットリソースにアクセスできなくなった場合に発生します。また、バケット内のデータの暗号化に使用される KMS キーにアクセスできなくなった場合にも発生します。

エクスポートに失敗すると、GuardDuty はアカウントに関連付けられた電子メールに通知を送信し、問題について通知します。問題が解決しない場合は、GuardDuty によってアカウントの結果のエクスポート無効になります。設定を更新して、結果のエクスポートをいつでも再開できます。

このエラーを受け取った場合は、結果のエクスポートを有効にして設定する方法に関するこのトピックの情報を確認してください。たとえば、キーポリシーを確認し、暗号化用に選択した KMS キーに正しいポリシーが適用されていることを確認します。

更新されたアクティブな所見のエクスポート頻度の設定

環境に応じて、更新されたアクティブな結果をエクスポートする頻度を設定します。デフォルトでは、更新された結果は 6 時間ごとにエクスポートされます。つまり、最新のエクスポート後に更新された結果が、次のエクスポートに含まれます。更新された結果が 6 時間ごとにエクスポートされ、エクスポートが 12:00 に発生した場合、12:00 以降に更新した結果が 18:00 にエクスポートされます。

頻度を設定するには

  1. AWS マネジメントコンソール にサインインして GuardDuty コンソール (https://console.aws.amazon.com/guardduty/) を開きます。

  2. [設定] を選択します。

  3. [Findings export options (結果のエクスポートオプション)] セクションで、[Frequency for updated findings (更新された結果の頻度)] を選択します。これにより、更新されたアクティブな結果を CloudWatch イベント と Amazon S3 の両方にエクスポートする頻度が設定されます。以下から選択できます。

    • Update CWE and S3 every 15 minutes (CWE と S3 を 15 分ごとに更新)

    • Update CWE and S3 every 1 hour (CWE と S3 を 1 時間ごとに更新)

    • Update CWE and S3 every 6 hours (default) (CWE と S3 を 6 時間ごとに更新 (デフォルト))

  4. [Save] を選択します。