將產生的 GuardDuty 調查結果匯出至 Amazon S3 儲存貯體

GuardDuty 會將產生的調查結果保留 90 天。GuardDuty 會將作用中的問題清單匯出至 Amazon EventBridge (EventBridge)。您可以選擇將產生的調查結果匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。這可協助您追蹤帳戶中潛在可疑活動的歷史資料，並評估建議的修復步驟是否成功。

GuardDuty 產生的任何新作用中問題清單都會在問題清單產生後約 5 分鐘內自動匯出。您可以設定將作用中問題清單更新匯出至 EventBridge 的頻率。您選取的頻率適用於將現有問題清單的新出現項目匯出至 EventBridge、S3 儲存貯體 （設定時） 和 Detective （整合時）。如需 GuardDuty 如何彙總多個現有調查結果的資訊，請參閱 GuardDuty 調查結果彙總。

當您設定將調查結果匯出到 Amazon S3 儲存貯體時，GuardDuty 會使用 AWS Key Management Service (AWS KMS) 來加密 S3 儲存貯體中的調查結果資料。這需要您將許可新增至 S3 儲存貯體和 AWS KMS 金鑰，以便 GuardDuty 可以使用它們匯出帳戶中的問題清單。

考量事項

在繼續匯出問題清單的先決條件和步驟之前，請考慮下列重要概念：

• 匯出設定是區域 – 您需要在使用 GuardDuty 的每個區域中設定匯出選項。

• 將問題清單匯出至不同 AWS 區域 （跨區域） 的 Amazon S3 儲存貯體 – GuardDuty 支援下列匯出設定：

  • 您的 Amazon S3 儲存貯體或物件和 AWS KMS 金鑰必須屬於相同的 AWS 區域。

  • 對於商業區域中產生的調查結果，您可以選擇將這些調查結果匯出到任何商業區域中的 S3 儲存貯體。不過，您無法將這些調查結果匯出至選擇加入區域中的 S3 儲存貯體。

  • 對於選擇加入區域中產生的問題清單，您可以選擇將這些問題清單匯出到產生問題清單的相同選擇加入區域或任何商業區域。不過，您無法將問題清單從一個選擇加入區域匯出至另一個選擇加入區域。

• 匯出問題清單的許可 – 若要設定匯出作用中問題清單的設定，S3 儲存貯體必須具有允許 GuardDuty 上傳物件的許可。您也必須擁有 GuardDuty 可用來加密問題清單的 AWS KMS 金鑰。

• 未匯出封存的問題清單 – 預設行為是不會匯出封存的問題清單，包括隱藏的問題清單的新執行個體。

  當 GuardDuty 調查結果產生為封存時，您將需要將其取消封存。這會將篩選條件調查結果狀態變更為作用中。GuardDuty 會根據您設定 的方式，將更新匯出至現有的未封存問題清單步驟 5 – 匯出問題清單的頻率。

• GuardDuty 管理員帳戶可以匯出在關聯成員帳戶中產生的調查結果 – 當您在管理員帳戶中設定匯出調查結果時，來自相同區域中產生之關聯成員帳戶的所有調查結果也會匯出到您為管理員帳戶設定的相同位置。如需詳細資訊，請參閱了解 GuardDuty 管理員帳戶與成員帳戶之間的關係。

步驟 1 – 匯出問題清單所需的許可

當您設定匯出問題清單的設定時，請選取 Amazon S3 儲存貯體，您可以在其中存放問題清單和用於資料加密的 AWS KMS 金鑰。除了 GuardDuty 動作的許可之外，您還必須具有下列動作的許可，才能成功設定 設定以匯出問題清單：

• s3:GetBucketLocation

• s3:PutObject

如果您需要將調查結果匯出至 Amazon S3 儲存貯體中的特定字首，您還必須將下列許可新增至 IAM 角色：

• s3:GetObject

• s3:ListBucket

步驟 2 – 將政策連接至 KMS 金鑰

GuardDuty 會使用 加密儲存貯體中的調查結果資料 AWS Key Management Service。若要成功設定設定，您必須先授予 GuardDuty 使用 KMS 金鑰的許可。您可以透過將政策連接至 KMS 金鑰來授予許可。

當您使用來自另一個帳戶的 KMS 金鑰時，您需要登入擁有金鑰 AWS 帳戶 的 來套用金鑰政策。當您將設定設定為匯出問題清單時，您也需要擁有金鑰之帳戶的金鑰 ARN。

若要修改 GuardDuty 的 KMS 金鑰政策，以加密匯出的問題清單

1. 在 https：//https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台。

2. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

3. 選取現有的 KMS 金鑰，或執行《 AWS Key Management Service 開發人員指南》中的建立新金鑰的步驟，以用來加密匯出的問題清單。

   注意

   AWS 區域 KMS 金鑰和 Amazon S3 儲存貯體的 必須相同。

   您可以使用相同的 S3 儲存貯體和 KMS 金鑰對，從任何適用的區域匯出問題清單。如需詳細資訊，請參閱考量事項以跨區域匯出問題清單。

4. 在 Key policy (金鑰政策) 區段中，選擇 Edit (編輯)。

   如果顯示切換到政策檢視，請選擇它以顯示金鑰政策，然後選擇編輯。

5. 將下列政策區塊複製到您的 KMS 金鑰政策，以授予 GuardDuty 使用您的金鑰的許可。

   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }

6. 透過取代政策範例中以紅色格式化的下列值來編輯政策：

   1. 將 KMS 金鑰 ARN 取代為 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN，請參閱《 AWS Key Management Service 開發人員指南》中的尋找金鑰 ID 和 ARN。

   2. 將 123456789012 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。

   3. 將 Region2 取代為產生 GuardDuty 調查結果 AWS 區域 的 。

   4. detectorID 將 SourceDetectorID 取代為產生問題清單之特定區域中 GuardDuty 帳戶的 。

      若要尋找detectorId您帳戶和目前區域的 ，請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。

   注意

   如果您在選擇加入區域中使用 GuardDuty，請將「服務」的值取代為該區域的區域端點。例如，如果您是在中東 (巴林) (me-south-1) 區域使用 GuardDuty，請使用 "Service": "guardduty.me-south-1.amazonaws.com" 取代 "Service": "guardduty.amazonaws.com"。如需每個選擇加入區域的端點資訊，請參閱 GuardDuty 端點和配額。

7. 如果您在最終陳述式之前新增政策陳述式，請在新增此陳述式之前新增逗號。請確定 KMS 金鑰政策的 JSON 語法有效。

   選擇儲存。

8. （選用） 將金鑰 ARN 複製到記事本，以供後續步驟使用。

步驟 3 – 將政策連接至 Amazon S3 儲存貯體

將許可新增至您要匯出問題清單的 Amazon S3 儲存貯體，以便 GuardDuty 可以將物件上傳至此 S3 儲存貯體。無論使用屬於您帳戶或不同 的 Amazon S3 儲存貯體 AWS 帳戶，您都必須新增這些許可。

如果在任何時候，您決定將問題清單匯出到不同的 S3 儲存貯體，則若要繼續匯出問題清單，您必須將許可新增至該 S3 儲存貯體，並再次設定匯出問題清單設定。

如果您還沒有要匯出這些調查結果的 Amazon S3 儲存貯體，請參閱《Amazon S3 使用者指南》中的建立儲存貯體。

將許可連接至 S3 儲存貯體政策

1. 執行 Amazon S3 使用者指南中的建立或編輯儲存貯體政策下的步驟，直到顯示編輯儲存貯體政策頁面。

2. 範例政策顯示如何授予 GuardDuty 將問題清單匯出至 Amazon S3 儲存貯體的許可。如果您在設定匯出問題清單後變更路徑，則必須修改政策以將許可授予新位置。

   複製下列範例政策，並將其貼到儲存貯體政策編輯器中。

   如果您在最終陳述式之前新增政策陳述式，請在新增此陳述式之前新增逗號。請確定 KMS 金鑰政策的 JSON 語法有效。

   S3 儲存貯體範例政策

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Allow GetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:GetBucketLocation",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Allow PutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Deny unencrypted object uploads",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "Deny incorrect encryption header",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                   "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                   }
               }
           },
           {
               "Sid": "Deny non-HTTPS access",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }
   

3. 透過取代政策範例中以紅色格式化的下列值來編輯政策：

   1. 將 Amazon S3 儲存貯體 ARN 取代為 Amazon S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 https://console.aws.amazon.com/s3/ 主控台的編輯儲存貯體政策頁面上找到儲存貯體 ARN。

   2. 將 123456789012 取代為擁有匯出問題清單之 GuardDuty 帳戶的 AWS 帳戶 ID。

   3. 將 Region2 取代為產生 GuardDuty 調查結果的 AWS 區域 。

   4. 將 SourceDetectorID 取代為產生問題清單detectorID之特定區域中 GuardDuty 帳戶的 。

      若要尋找detectorId您帳戶和目前區域的 ，請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面，或執行 ListDetectors API。

   5. 將 S3 儲存貯體 ARN/【選用字首】 預留位置值的 【選用字首】 部分取代為您要匯出問題清單的選用資料夾位置。 S3 如需使用字首的詳細資訊，請參閱《Amazon S3 使用者指南》中的使用字首組織物件。

      當您提供尚不存在的選用資料夾位置時，只有當與 S3 儲存貯體相關聯的帳戶與匯出問題清單的帳戶相同時，GuardDuty 才會建立該位置。當您將問題清單匯出至屬於另一個帳戶的 S3 儲存貯體時，資料夾位置必須已存在。

   6. 將 KMS 金鑰 ARN 取代為與匯出至 S3 儲存貯體之調查結果加密相關聯的 KMS 金鑰的 Amazon Resource Name (ARN)。若要尋找金鑰 ARN，請參閱《 AWS Key Management Service 開發人員指南》中的尋找金鑰 ID 和 ARN。

   注意

   如果您在選擇加入區域中使用 GuardDuty，請將「服務」的值取代為該區域的區域端點。例如，如果您是在中東 (巴林) (me-south-1) 區域使用 GuardDuty，請使用 "Service": "guardduty.me-south-1.amazonaws.com" 取代 "Service": "guardduty.amazonaws.com"。如需每個選擇加入區域的端點資訊，請參閱 GuardDuty 端點和配額。

4. 選擇儲存。

步驟 4 - 匯出問題清單至 S3 儲存貯體 （主控台）

GuardDuty 允許您將調查結果匯出到另一個 中的現有儲存貯體 AWS 帳戶。

建立新的 S3 儲存貯體或選擇帳戶中現有的儲存貯體時，您可以新增選用的字首。設定匯出問題清單時，GuardDuty 會在 S3 儲存貯體中為您的問題清單建立新的資料夾。字首會附加到 GuardDuty 建立的預設資料夾結構。例如，選用字首 的格式/AWSLogs/123456789012/GuardDuty/Region。

S3 物件的整個路徑將是 amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz。UUID 是隨機產生的，不代表偵測器 ID 或調查結果 ID。

重要

KMS 金鑰和 S3 儲存貯體必須位於同一區域。

在完成這些步驟之前，請確定您已將個別政策連接到 KMS 金鑰和現有的 S3 儲存貯體。

設定匯出問題清單

1. 開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。

2. 在導覽窗格中，選擇設定。

3. 在設定頁面的調查結果匯出選項下，針對 S3 儲存貯體選擇立即設定 （或視需要編輯)。

4. 針對 S3 儲存貯體 ARN，輸入 bucket ARN。若要尋找儲存貯體 ARN，請參閱《Amazon S3 使用者指南》中的檢視 S3 儲存貯體的屬性。 Amazon S3

5. 對於 KMS 金鑰 ARN，輸入 key ARN。若要尋找金鑰 ARN，請參閱《 AWS Key Management Service 開發人員指南》中的尋找金鑰 ID 和 ARN。

6. 連接政策

   • 執行步驟以連接 S3 儲存貯體政策。如需詳細資訊，請參閱步驟 3 – 將政策連接至 Amazon S3 儲存貯體。

   • 執行步驟以連接 KMS 金鑰政策。如需詳細資訊，請參閱步驟 2 – 將政策連接至 KMS 金鑰。

7. 選擇 Save (儲存)。

步驟 5 – 設定匯出更新之作用中問題清單的頻率

根據您的環境設定匯出更新之作用中問題清單的頻率。根據預設，每 6 小時匯出更新的問題清單。這表示任何在最近一次匯出之後更新的問題清單都會包含在下一個的匯出中。如果每 6 小時匯出更新的問題清單，且匯出在 12:00 進行，則您在 12:00 之後更新的任何問題清單都會在 18:00 匯出。

設定頻率

1. 開啟 GuardDuty 主控台，網址為 https://console.aws.amazon.com/guardduty/。

2. 選擇設定。

3. 在調查結果匯出選項區段中，選擇更新後的調查結果的頻率。這會設定將更新的作用中問題清單匯出至 EventBridge 和 Amazon S3 的頻率。您可以選擇下列項目：

   • 每 15 分鐘更新 EventBridge 和 S3

   • 每 1 小時更新 EventBridge 和 S3

   • 每 6 小時更新 EventBridge 和 S3 （預設）

4. 選擇儲存變更。