Exportar descobertas - Amazon GuardDuty
ConsideraçõesEtapa 1 — Permissões necessárias para exportar descobertasEtapa 2 — Anexando a política à sua chave KMSEtapa 3 — Anexar a política ao bucket do Amazon S3Etapa 4 - Exportação das descobertas para um bucket do S3 (console)Etapa 5 — Frequência de exportação dos resultados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exportar descobertas

GuardDuty retém as descobertas geradas por um período de 90 dias. GuardDuty exporta as descobertas ativas para a Amazon EventBridge (EventBridge). Opcionalmente, você pode exportar as descobertas geradas para um bucket do Amazon Simple Storage Service (Amazon S3). Isso ajudará você a rastrear os dados históricos de atividades potencialmente suspeitas em sua conta e avaliar se as etapas de correção recomendadas foram bem-sucedidas.

Todas as novas descobertas ativas GuardDuty geradas são exportadas automaticamente em cerca de 5 minutos após a geração da descoberta. Você pode definir a frequência com que as atualizações das descobertas ativas são exportadas para EventBridge. A frequência selecionada se aplica à exportação de novas ocorrências de descobertas existentes para EventBridge seu bucket S3 (quando configurado) e Detective (quando integrado). Para obter informações sobre como GuardDuty agrega várias ocorrências de descobertas existentes, consulte. GuardDuty encontrando agregação

Quando você define as configurações para exportar descobertas para um bucket do Amazon S3, GuardDuty usa AWS Key Management Service (AWS KMS) para criptografar os dados das descobertas em seu bucket do S3. Isso exige que você adicione permissões ao seu bucket do S3 e à AWS KMS chave para que você GuardDuty possa usá-las para exportar descobertas em sua conta.

Considerações

Antes de prosseguir com os pré-requisitos e as etapas para exportar as descobertas, considere os seguintes conceitos-chave:

  • As configurações de exportação são regionais — você precisa configurar as opções de exportação em cada região em que você usa GuardDuty.

  • Exportar descobertas para buckets do Amazon S3 em Regiões da AWS diferentes (entre regiões) GuardDuty — suporta as seguintes configurações de exportação:

    • Seu bucket ou objeto do Amazon S3 e sua AWS KMS chave devem pertencer ao mesmo. Região da AWS

    • Para as descobertas geradas em uma região comercial, você pode optar por exportar essas descobertas para um bucket do S3 em qualquer região comercial. No entanto, você não pode exportar essas descobertas para um bucket do S3 em uma região opcional.

    • Para as descobertas geradas em uma região de aceitação, você pode optar por exportar essas descobertas para a mesma região de aceitação em que foram geradas ou para qualquer região comercial. No entanto, você não pode exportar descobertas de uma região de aceitação para outra região de aceitação.

  • Permissões para exportar descobertas — Para definir as configurações para exportar descobertas ativas, seu bucket do S3 deve ter permissões que GuardDuty permitam carregar objetos. Você também deve ter uma AWS KMS chave que GuardDuty possa ser usada para criptografar as descobertas.

  • As descobertas arquivadas não são exportadas — o comportamento padrão é que as descobertas arquivadas, incluindo novas instâncias de descobertas suprimidas, não sejam exportadas.

    Quando uma GuardDuty descoberta for gerada como arquivada, você precisará desarquivá-la. Isso altera o status de localização do filtro para Ativo. GuardDuty exporta as atualizações para as descobertas não arquivadas existentes com base em como você configura. Etapa 5 — Frequência de exportação dos resultados

  • GuardDuty a conta do administrador pode exportar descobertas geradas em contas de membros associadas — Quando você configura descobertas de exportação em uma conta de administrador, todas as descobertas das contas de membros associadas que são geradas na mesma região também são exportadas para o mesmo local que você configurou para a conta do administrador. Para ter mais informações, consulte Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros.

Etapa 1 — Permissões necessárias para exportar descobertas

Ao definir as configurações para exportar descobertas, você seleciona um bucket do Amazon S3 onde você pode armazenar as descobertas e AWS KMS uma chave para usar na criptografia de dados. Além das permissões para GuardDuty ações, você também deve ter permissões para as seguintes ações para definir com êxito as configurações para exportar descobertas:

  • s3:GetBucketLocation

  • s3:PutObject

  • s3:ListBucket

Etapa 2 — Anexando a política à sua chave KMS

GuardDuty criptografa os dados de descobertas em seu bucket usando AWS Key Management Service. Para definir as configurações com êxito, primeiro você deve dar GuardDuty permissão para usar uma chave KMS. Você pode conceder as permissões anexando a política à sua chave do KMS.

Ao usar uma chave KMS de outra conta, você precisa aplicar a política de chaves fazendo login no Conta da AWS proprietário da chave. Ao definir as configurações para exportar descobertas, você também precisará do ARN da chave da conta que possui a chave.

Para modificar a política de chaves do KMS para GuardDuty criptografar suas descobertas exportadas

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. Selecione uma chave KMS existente ou execute as etapas para Criar uma nova chave no Guia do AWS Key Management Service desenvolvedor, que você usará para criptografar as descobertas exportadas.

    nota

    A chave Região da AWS do KMS e o bucket do Amazon S3 devem ser iguais.

    Você pode usar o mesmo bucket do S3 e o mesmo par de chaves KMS para exportar as descobertas de qualquer região aplicável. Para obter mais informações, consulte Considerações para exportar descobertas entre regiões.

  4. Na seção Key policy (Política de chaves), escolha Edit (Editar).

    Se a opção Alternar para o modo de exibição de política for exibida, escolha-a para exibir a política de chaves e, em seguida, escolha Editar.

  5. Copie o seguinte bloco de política para sua política de chaves do KMS para conceder GuardDuty permissão para usar sua chave.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Edite a política substituindo os seguintes valores formatados em vermelho no exemplo da política:

    1. Substitua o ARN da chave KMS pelo Amazon Resource Name (ARN) da chave KMS. Para localizar o ARN da chave, consulte Como encontrar o ID e o ARN da chave no Guia do desenvolvedor.AWS Key Management Service

    2. Substitua 123456789012 pela Conta da AWS ID que possui a conta que exporta as descobertas. GuardDuty

    3. Substitua a Região 2 pela região Região da AWS onde as GuardDuty descobertas são geradas.

    4. Substitua o SourceDetectorID pelo detectorID da GuardDuty conta na região específica em que as descobertas foram geradas.

      Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    nota

    Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obter informações sobre endpoints para cada região de inscrição, consulte GuardDuty endpoints e cotas.

  7. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.

    Escolha Salvar.

  8. (Opcional) copie o ARN da chave em um bloco de notas para uso nas etapas posteriores.

Etapa 3 — Anexar a política ao bucket do Amazon S3

Adicione permissões ao bucket do Amazon S3 para o qual você exportará as descobertas para que GuardDuty possa carregar objetos para esse bucket do S3. Independentemente de usar um bucket do Amazon S3 que pertença à sua conta ou a outra Conta da AWS, você deve adicionar essas permissões.

Se, em algum momento, você decidir exportar as descobertas para um bucket do S3 diferente, para continuar exportando as descobertas, você deverá adicionar permissões a esse bucket do S3 e definir as configurações de exportação das descobertas novamente.

Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte Criação de um bucket no Guia do usuário do Amazon S3.

Para anexar permissões à sua política de bucket do S3

  1. Execute as etapas em Para criar ou editar uma política de bucket no Guia do usuário do Amazon S3, até que a página Editar política de bucket apareça.

  2. O exemplo de política mostra como conceder GuardDuty permissão para exportar descobertas para seu bucket do Amazon S3. Se você alterar o caminho depois de configurar as descobertas de exportação, deverá modificar a política para conceder permissão ao novo local.

    Copie o exemplo de política a seguir e cole-o no editor de políticas do Bucket.

    Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.

    Exemplo de política de bucket do S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGuardDutygetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "AllowGuardDutyPutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "DenyUnencryptedUploadsThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyIncorrectHeaderThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "DenyNon-HTTPS",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Edite a política substituindo os seguintes valores formatados em vermelho no exemplo da política:

    1. Substitua o ARN do bucket do Amazon S3 pelo Amazon Resource Name (ARN) do bucket do Amazon S3. Você pode encontrar o ARN do bucket na página Editar política do bucket no console https://console.aws.amazon.com/s3/.

    2. Substitua 123456789012 pela Conta da AWS ID que possui a conta que exporta as descobertas. GuardDuty

    3. Substitua a Região 2 pela região Região da AWS onde as GuardDuty descobertas são geradas.

    4. Substitua o SourceDetectorID pelo detectorID da GuardDuty conta na região específica em que as descobertas foram geradas.

      Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectorsAPI

    5. Substitua [prefixo opcional] parte do valor do espaço reservado ARN/ [prefixo opcional] do bucket do S3 por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre o uso de prefixos, consulte Organização de objetos usando prefixos no Guia do usuário do Amazon S3.

      Quando você fornece um local de pasta opcional que ainda não existe, GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que exporta as descobertas. Quando você exporta descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.

    6. Substitua o ARN da chave KMS pelo Amazon Resource Name (ARN) da chave KMS associada à criptografia das descobertas exportadas para o bucket do S3. Para localizar o ARN da chave, consulte Como encontrar o ID e o ARN da chave no Guia do desenvolvedor.AWS Key Management Service

    nota

    Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obter informações sobre endpoints para cada região de inscrição, consulte GuardDuty endpoints e cotas.

  4. Escolha Salvar.

Etapa 4 - Exportação das descobertas para um bucket do S3 (console)

GuardDuty permite que você exporte descobertas para um bucket existente em outro Conta da AWS.

Ao criar um novo bucket do S3 ou escolher um bucket existente em sua conta, você pode adicionar um prefixo opcional. Ao configurar as descobertas de exportação, GuardDuty cria uma nova pasta no bucket do S3 para suas descobertas. O prefixo será anexado à estrutura de pastas padrão criada. GuardDuty Por exemplo, o formato do prefixo /AWSLogs/123456789012/GuardDuty/Region opcional.

Todo o caminho do objeto S3 seráDOC-EXAMPLE-BUCKET/prefix-name/UUID.jsonl.gz. O UUID é gerado aleatoriamente e não representa o ID do detector ou o ID de descoberta.

Importante

A chave do KMS e o bucket do S3 devem estar na mesma região.

Antes de concluir essas etapas, certifique-se de ter anexado as respectivas políticas à sua chave KMS e ao bucket S3 existente.

Para configurar as descobertas de exportação

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, selecione Configurações.

  3. Na página Configurações, em Opções de exportação de descobertas, para o bucket do S3, escolha Configurar agora (ou Editar, conforme necessário).

  4. Para o ARN do bucket do S3, insira o. bucket ARN Para encontrar o ARN do bucket, consulte Visualização das propriedades de um bucket do S3 no Guia do usuário do Amazon S3. Na guia Permissões da página de propriedades do bucket associado no console https://console.aws.amazon.com/guardduty/.

  5. Para ARN da chave KMS, insira o. key ARN Para localizar o ARN da chave, consulte Como encontrar o ID e o ARN da chave no Guia do desenvolvedor.AWS Key Management Service

  6. Anexar políticas

  7. Escolha Salvar.

Etapa 5 — Definindo a frequência para exportar descobertas ativas atualizadas

Configure a frequência de exportação de descobertas ativas atualizadas conforme apropriado para seu ambiente. Por padrão, as descobertas atualizadas são exportadas a cada 6 horas. Isso significa que todas as descobertas que forem atualizadas após a exportação mais recente serão incluídas na próxima exportação. Se as descobertas atualizadas forem exportadas a cada 6 horas e a exportação ocorrer às 12h, todas as descobertas atualizadas após 12h serão exportadas às 18h.

Como definir a frequência

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. Escolha Configurações.

  3. Na seção Opções de exportação de descobertas, selecione Frequência para descobertas atualizadas. Isso define a frequência de exportação de descobertas ativas atualizadas para o Amazon S3 EventBridge e para o Amazon S3. Você pode escolher entre as seguintes opções:

    • Atualização EventBridge e S3 a cada 15 minutos

    • Atualização EventBridge e S3 a cada 1 hora

    • Update CWE and S3 every 6 hours (default) (Atualizar o CWE e o S3 a cada 6 horas (padrão))

  4. Escolha Salvar alterações.