Começando com GuardDuty - Amazon GuardDuty
Antes de começarEtapa 1: habilitar a Amazon GuardDutyEtapa 2: gerar descobertas de amostra e explorar as operações básicasEtapa 3: Configurar a exportação de GuardDuty descobertas para um bucket do Amazon S3 Etapa 4: configurar alertas de GuardDuty busca por meio de SNS Próximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Começando com GuardDuty

Este tutorial fornece uma introdução prática ao. GuardDuty Os requisitos mínimos para habilitação GuardDuty como conta independente ou como GuardDuty administrador AWS Organizations são abordados na Etapa 1. As etapas 2 a 5 abrangem o uso de recursos adicionais recomendados por GuardDuty para aproveitar ao máximo suas descobertas.

Antes de começar

GuardDuty é um serviço de detecção de ameaças que monitora GuardDuty fontes de dados fundamentais registros de AWS CloudTrail eventos, eventos AWS CloudTrail de gerenciamento, Amazon VPC Flow Logs e DNS registros. GuardDuty também analisa os recursos associados a seus tipos de proteção somente se você os habilitar separadamente. Os recursos incluem registros de auditoria do Kubernetes, atividades de RDS login, registros do S3, EBS volumes, monitoramento de tempo de execução e registros de atividades da rede Lambda. O uso dessas fontes de dados e recursos (se ativados) GuardDuty gera descobertas de segurança para sua conta.

Depois de habilitar GuardDuty, ele começa a monitorar seu ambiente. Você pode desativar GuardDuty qualquer conta em qualquer região, a qualquer momento. Isso interromperá o processamento das fontes GuardDuty de dados fundamentais e de quaisquer recursos que tenham sido ativados separadamente.

Não é necessário habilitar explicitamente nenhuma das opções de GuardDuty fontes de dados fundamentais. A Amazon GuardDuty extrai fluxos independentes de dados diretamente desses serviços. Para uma nova GuardDuty conta, todos os tipos de proteção disponíveis que são suportados em um Região da AWS são ativados e incluídos no período de teste gratuito de 30 dias por padrão. Você pode desabilitar um ou todos eles. Se você já é um GuardDuty cliente, pode optar por ativar qualquer um ou todos os planos de proteção disponíveis no seu Região da AWS. Para obter mais informações, consulte Recursos associados a cada tipo de proteção em GuardDuty.

Ao ativar GuardDuty, considere os seguintes itens:

  • GuardDuty é um serviço regional, o que significa que qualquer um dos procedimentos de configuração que você segue nesta página deve ser repetido em cada região com a qual você deseja monitorar GuardDuty.

    É altamente recomendável que você habilite GuardDuty em todas as AWS regiões suportadas. Isso permite GuardDuty gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo em regiões que você não está usando ativamente. Isso também permite GuardDuty monitorar AWS CloudTrail eventos para AWS serviços globais, comoIAM. Se não GuardDuty estiver habilitado em todas as regiões suportadas, sua capacidade de detectar atividades que envolvam serviços globais será reduzida. Para obter uma lista completa das regiões em que GuardDuty está disponível, consulteRegiões e endpoints.

  • Qualquer usuário com privilégios de administrador em uma AWS conta pode habilitar GuardDuty, no entanto, seguindo a melhor prática de segurança do menor privilégio, é recomendável criar uma IAM função, usuário ou grupo para gerenciar GuardDuty especificamente. Para obter informações sobre as permissões necessárias para habilitar, GuardDuty consultePermissões necessárias para habilitar o GuardDuty.

  • Quando você ativa GuardDuty pela primeira vez em qualquer um Região da AWS, por padrão, ele também ativa todos os tipos de proteção disponíveis que são suportados nessa região, incluindo a Proteção contra Malware paraEC2. GuardDuty cria uma função vinculada ao serviço para sua conta chamada. AWSServiceRoleForAmazonGuardDuty Essa função inclui as permissões e as políticas de confiança que GuardDuty permitem consumir e analisar eventos diretamente do GuardDuty fontes de dados fundamentais para gerar descobertas de segurança. O Malware Protection for EC2 cria outra função vinculada ao serviço para sua conta, chamada. AWSServiceRoleForAmazonGuardDutyMalwareProtection Essa função inclui as permissões e as políticas de confiança que permitem que o Malware Protection EC2 realize escaneamentos sem agentes para detectar malware em sua conta. GuardDuty Ele permite GuardDuty criar um instantâneo de EBS volume em sua conta e compartilhar esse instantâneo com a conta de GuardDuty serviço. Para obter mais informações, consulte Permissões de função vinculadas ao serviço para GuardDuty. Para obter mais informações sobre as funções vinculadas a um serviço, consulte Como usar funções vinculadas a serviços.

  • Quando você ativa GuardDuty pela primeira vez em qualquer região, sua AWS conta é automaticamente inscrita em um teste GuardDuty gratuito de 30 dias para essa região.

Introdução: Habilitando a Amazon GuardDuty para ambientes autônomos ou com várias contas

Etapa 1: habilitar a Amazon GuardDuty

O primeiro passo para usar GuardDuty é habilitá-lo em sua conta. Uma vez ativado, GuardDuty começará imediatamente a monitorar as ameaças à segurança na região atual.

Se você quiser gerenciar GuardDuty descobertas para outras contas em sua organização como GuardDuty administrador, você deve adicionar contas de membros e GuardDuty habilitá-las também.

nota

Se você quiser ativar a Proteção contra GuardDuty Malware para S3 sem GuardDuty habilitá-la, consulte para ver GuardDuty Proteção contra malware para S3 as etapas.

Standalone account environment

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/

  2. Selecione a opção Amazon GuardDuty - Todos os recursos.

  3. Escolha Comece a usar.

  4. Na GuardDuty página Bem-vindo ao, veja os termos do serviço. Escolha Ativar GuardDuty.

Multi-account environment
Importante

Como pré-requisitos para esse processo, você deve estar na mesma organização de todas as contas que deseja gerenciar e ter acesso à conta de AWS Organizations gerenciamento para delegar um administrador dentro da sua organização. GuardDuty Permissões adicionais podem ser necessárias para delegar um administrador. Para obter mais informações, consulte Permissões necessárias para designar uma conta de administrador delegado GuardDuty .

Para designar uma conta de administrador delegado GuardDuty

  1. Abra o AWS Organizations console em https://console.aws.amazon.com/organizations/, usando a conta de gerenciamento.

  2. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

    GuardDuty Já está habilitado em sua conta?

    • Se ainda não GuardDuty estiver habilitado, você pode selecionar Começar e designar um administrador GuardDuty delegado na página Bem-vindo ao GuardDuty.

    • Se GuardDuty estiver ativado, você poderá designar um administrador GuardDuty delegado na página Configurações.

  3. Insira o ID da AWS conta de doze dígitos da conta que você deseja designar como administrador GuardDuty delegado da organização e escolha Delegar.

    nota

    Se ainda não GuardDuty estiver habilitado, a designação de um administrador delegado GuardDuty habilitará essa conta na sua região atual.

Para adicionar contas-membro

Esse procedimento abrange a adição de contas de membros a uma conta de administrador GuardDuty delegado por meio AWS Organizations de. Também é possível adicionar membros por convite. Para saber mais sobre os dois métodos de associação de membros em GuardDuty, consulteGerenciando várias contas na Amazon GuardDuty.

  1. Faça login na conta de administrador delegado

  2. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  3. No painel de navegação, escolha Settings (Configurações) e selecione Accounts (Contas).

    A tabela de contas exibe todas as contas na organização.

  4. Selecione as contas que deseja adicionar como membros marcando a caixa de seleção ao lado do ID da conta. Depois, no menu Ação, selecione Adicionar membro.

    dica

    Você pode automatizar a inclusão de novas contas como membros habilitando o atributo de habilitação automática. No entanto, isso se aplica somente às contas que ingressam na sua organização após a habilitação do atributo.

Etapa 2: gerar descobertas de amostra e explorar as operações básicas

Quando GuardDuty descobre um problema de segurança, ele gera uma descoberta. Uma GuardDuty descoberta é um conjunto de dados contendo detalhes relacionados a esse problema de segurança exclusivo. Os detalhes da descoberta podem ser usados para ajudar a investigar o problema.

GuardDuty suporta a geração de amostras de descobertas com valores de espaço reservado, que podem ser usados para testar a GuardDuty funcionalidade e se familiarizar com as descobertas antes de precisar responder a um problema de segurança real descoberto por. GuardDuty Siga o guia abaixo para gerar exemplos de descobertas para cada tipo de descoberta disponível em GuardDuty. Para obter outras formas de gerar exemplos de descobertas, incluindo a geração de um evento de segurança simulado em sua conta, consulteDescobertas de exemplo.

Para criar e explorar descobertas de amostra

  1. No painel de navegação, selecione Configurações.

  2. Na página Settings, em Sample findings, escolha Generate sample findings.

  3. No painel de navegação, escolha Resumo para visualizar os insights sobre as descobertas geradas em seu AWS ambiente. Para obter mais informações sobre os componentes do painel de resumo, consulte Painel de resumo.

  4. No painel de navegação, selecione Descobertas. As descobertas da amostra são exibidas na página Descobertas atuais com o prefixo [SAMPLE].

  5. Selecione uma descoberta na lista para exibir os detalhes dela.

    1. Os diversos campos de informações disponíveis podem ser revisados no painel de detalhes da descoberta. Tipos diferentes de descobertas podem ter campos diferentes. Para obter mais informações sobre os campos disponíveis em todos os tipos de descoberta, consulte Detalhes da descoberta. No painel de detalhes, você pode utilizar as seguintes ações:

      • Selecione a ID da descoberta na parte superior do painel para abrir os JSON detalhes completos da descoberta. O JSON arquivo completo também pode ser baixado desse painel. O JSON contém algumas informações adicionais não incluídas na exibição do console e é o formato que pode ser ingerido por outras ferramentas e serviços.

      • Veja a seção Recurso afetado. Em uma descoberta real, as informações aqui ajudarão você a identificar um recurso em sua conta que deve ser investigado e incluirão links para os recursos apropriados AWS Management Console para uso.

      • Selecione os ícones de lupa + ou - para criar um filtro inclusivo ou exclusivo para esse detalhe. Para obter mais informações sobre os filtros de descobertas, consulte Filtrar descobertas.

  6. Arquive todas as suas descobertas de amostra

    1. Selecione todas as descobertas marcando a caixa de seleção na parte superior da lista.

    2. Desmarque todas as descobertas que você deseja manter.

    3. Selecione o menu Ações e, em seguida, selecione Arquivar para ocultar as descobertas de amostra.

      nota

      Selecione Atual para visualizar as descobertas arquivadas e, em seguida, Arquivado para alternar a visualização das descobertas.

Etapa 3: Configurar a exportação de GuardDuty descobertas para um bucket do Amazon S3

GuardDuty recomenda definir configurações para exportar descobertas porque permite exportar suas descobertas para um bucket do S3 para armazenamento indefinido além do período de retenção de 90 dias. GuardDuty Isso permite que você mantenha registros das descobertas ou acompanhe problemas em seu AWS ambiente ao longo do tempo. O processo descrito aqui orienta você na configuração de um novo bucket do S3 e na criação de uma nova KMS chave para criptografar as descobertas de dentro do console. Para obter mais informações sobre isso, incluindo como usar seu próprio bucket existente ou um bucket em outra conta, consulte Exportar descobertas.

Para configurar a opção exportar descobertas do S3

  1. Para criptografar as descobertas, você precisará de uma KMS chave com uma política que permita GuardDuty usar essa chave para criptografia. As etapas a seguir ajudarão você a criar uma nova KMS chave. Se você estiver usando uma KMS chave de outra conta, precisará aplicar a política de chaves fazendo login no Conta da AWS proprietário da chave. A região da sua KMS chave e do bucket do S3 deve ser a mesma. No entanto, é possível usar esse mesmo bucket e o mesmo par de chaves para cada região de onde as descobertas serão exportadas.

    1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

    2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

    3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

    4. Escolha Create key (Criar chave).

    5. Escolha Simétrico em Tipo de chave e, em seguida, escolha Próximo.

      nota

      Para obter etapas detalhadas sobre como criar sua KMS chave, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.

    6. Forneça um Alias para sua chave e escolha Próximo.

    7. Escolha Próximo e, novamente, escolha Próximo para aceitar as permissões padrão de administração e uso.

    8. Depois de Revisar a configuração, escolha Concluir para criar a chave.

    9. Na página Chaves gerenciadas pelo cliente, escolha o alias de sua chave.

    10. Na seção Política de chaves, selecione Mudar para visualização da política.

    11. Escolha Editar e adicione a seguinte política de chaves à sua KMS chave, concedendo GuardDuty acesso à sua chave. Essa declaração permite GuardDuty usar somente a chave à qual você adiciona essa política. Ao editar a política de chaves, verifique se a JSON sintaxe é válida. Se você adicionar a declaração antes da declaração final, adicione uma vírgula após o colchete de fechamento.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Substituir Region1 com a região da sua KMS chave. Substituir 444455556666 com Conta da AWS o dono da KMS chave. Substituir KMSKeyId com o ID da KMS chave que você escolheu para criptografia. Para identificar todos esses valores — Região e ID da chave, visualize a ARNde sua KMS chave. Conta da AWS Para localizar a chaveARN, consulte Encontrando o ID da chave ARN e.

      Da mesma forma, substitua 111122223333 com o Conta da AWS da GuardDuty conta. Substituir Region2 com a região da GuardDuty conta. Substituir SourceDetectorID com o ID do detector da GuardDuty conta para Region2.

      Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute ListDetectorsAPIo.

    12. Escolha Salvar.

  2. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  3. No painel de navegação, selecione Configurações.

  4. Em Opções de exportação de descobertas, escolha Configure agora.

  5. Selecione Novo bucket. Forneça um nome exclusivo para o seu bucket do S3.

  6. (Opcional) Você pode testar suas novas configurações de exportação gerando descobertas de amostra. No painel de navegação, selecione Configurações.

  7. Em Descobertas de amostra, escolha Gerar descobertas de amostra. As novas descobertas de amostra aparecerão como entradas no bucket do S3 criado por GuardDuty em até cinco minutos.

Etapa 4: configurar alertas de GuardDuty busca por meio de SNS

GuardDuty se integra à Amazon EventBridge, que pode ser usada para enviar dados de descobertas para outros aplicativos e serviços para processamento. Com EventBridge você pode usar GuardDuty as descobertas para iniciar respostas automáticas às suas descobertas conectando eventos de busca a alvos, como AWS Lambda funções, automação do Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) e muito mais.

Neste exemplo, você criará um SNS tópico para ser o alvo de uma EventBridge regra e, em seguida, usará EventBridge para criar uma regra que capture dados de GuardDuty descobertas. A regra resultante encaminha os detalhes da descoberta para um endereço de e-mail. Para saber como você pode enviar descobertas para o Slack ou o Amazon Chime e também modificar os tipos de descobertas para os quais os alertas são enviados, consulte Configurar um tópico e um endpoint do Amazon SNS.

Para criar um SNS tópico para seus alertas de descobertas

  1. Abra o SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Tópicos.

  3. Selecione Criar tópico.

  4. Em Tipo, selecione Padrão.

  5. Em Nome, digite GuardDuty.

  6. Selecione Criar tópico. A seção Detalhes do novo tópico será aberta.

  7. Na seção Subscriptions (Inscrições), escolha Create subscription (Criar inscrição).

  8. Em Protocolo, escolha Email.

  9. Para Endpoint, insira o endereço de e-mail que deve receber as notificações.

  10. Selecione Create subscription.

    É necessário confirmar a assinatura por e-mail após a criação da assinatura.

  11. Para conferir se há uma mensagem de assinatura, acesse sua caixa de entrada de e-mail e, na mensagem de assinatura, escolha Confirmar assinatura.

    nota

    Para verificar o status do e-mail de confirmação, acesse o SNS console e escolha Assinaturas.

Para criar uma EventBridge regra para capturar GuardDuty descobertas e formatá-las

  1. Abra o EventBridge console em https://console.aws.amazon.com/events/.

  2. No painel de navegação, escolha Regras.

  3. Escolha Create rule.

  4. Insira um nome e uma descrição para a regra.

    Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.

  5. Em Event Bus (Barramento de eventos), escolha default (padrão).

  6. Em Tipo de Regra, escolha Regra com Padrão de Evento.

  7. Escolha Próximo.

  8. Em Origem de eventos, escolha Eventos da AWS .

  9. Em Padrão de evento, selecione Formulário de padrão de evento.

  10. Em Fonte do evento, selecione Serviços da AWS .

  11. Em Serviço da AWS , escolha GuardDuty.

  12. Em Tipo de evento, escolha GuardDutyLocalizar.

  13. Escolha Next (Avançar).

  14. Em Tipos de destino, escolha Serviço da AWS .

  15. Em Selecionar um alvo, escolha SNStópico e, em Tópico, escolha o nome do SNS tópico que você criou anteriormente.

  16. Na seção Configurações adicionais, para Configurar entrada de destino, escolha Transformador de entrada.

    Adicionar um transformador de entrada formata os dados de JSON localização enviados GuardDuty em uma mensagem legível por humanos.

  17. Escolha Configure input transformer.

  18. Na seção Transformador de entrada de destino, em Caminho de entrada, cole este código:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Para formatar o e-mail, em Modelo, cole o código a seguir e certifique-se de substituir o texto em vermelho pelos valores apropriados à sua região:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Selecione a opção Confirmar.

  21. Escolha Próximo.

  22. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as EventBridge tags da Amazon no Guia EventBridge do usuário da Amazon.

  23. Escolha Próximo.

  24. Analise os detalhes da regra e selecione Criar regra.

  25. (Opcional) Teste sua nova regra gerando descobertas de exemplo com o processo na Etapa 2. Você receberá um e-mail para cada descoberta de amostra gerada.

Próximas etapas

Ao continuar usando GuardDuty, você entenderá os tipos de descobertas que são relevantes para o seu ambiente. Sempre que receber uma nova descoberta, você pode encontrar informações, incluindo recomendações de remediação sobre essa descoberta, selecionando Saiba mais na descrição da descoberta no painel de detalhes da descoberta ou pesquisando o nome da descoberta em Tipos de descoberta.

Os recursos a seguir ajudarão você a se ajustar GuardDuty para que possam fornecer as descobertas mais relevantes para seu AWS ambiente:

  • Para classificar facilmente as descobertas com base em critérios específicos, como ID da instância, ID da conta, nome do bucket do S3 e muito mais, você pode criar e salvar filtros nele GuardDuty. Para obter mais informações, consulte Filtrar descobertas.

  • Se você estiver recebendo descobertas sobre o comportamento esperado em seu ambiente, poderá arquivar automaticamente as descobertas com base nos critérios definidos com as regras de supressão.

  • Para evitar que as descobertas sejam geradas a partir de um subconjunto confiável IPs ou para ter um GuardDuty monitor IPs fora do escopo normal de monitoramento, você pode configurar listas de IP e ameaças confiáveis.