Generierte GuardDuty Ergebnisse in Amazon S3 S3-Buckets exportieren - Amazon GuardDuty
ÜberlegungenSchritt 1 — Zum Exportieren der Ergebnisse sind Berechtigungen erforderlichSchritt 2 — Richtlinie an Ihren KMS Schlüssel anhängenSchritt 3 — Richtlinie an Amazon S3 S3-Bucket anhängenSchritt 4 — Ergebnisse in einen S3-Bucket (Konsole) exportierenSchritt 5 — Häufigkeit für den Export von Ergebnissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generierte GuardDuty Ergebnisse in Amazon S3 S3-Buckets exportieren

GuardDuty bewahrt die generierten Ergebnisse für einen Zeitraum von 90 Tagen auf. GuardDuty exportiert die aktiven Ergebnisse nach Amazon EventBridge (EventBridge). Sie können die generierten Ergebnisse optional in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportieren. Auf diese Weise können Sie die historischen Daten potenziell verdächtiger Aktivitäten in Ihrem Konto nachverfolgen und beurteilen, ob die empfohlenen Abhilfemaßnahmen erfolgreich waren.

Alle neuen aktiven Ergebnisse, die GuardDuty generiert werden, werden innerhalb von etwa 5 Minuten nach der Generierung des Ergebnisses automatisch exportiert. Sie können festlegen, wie oft Aktualisierungen der aktiven Ergebnisse exportiert werden EventBridge. Die Häufigkeit, die Sie auswählen, gilt für den Export neuer Vorkommen vorhandener Ergebnisse in Ihren S3-Bucket (sofern konfiguriert) und Detective (falls integriert). EventBridge Informationen darüber, wie mehrere Vorkommen vorhandener Ergebnisse GuardDuty aggregiert werden, finden Sie unter. GuardDuty Aggregation finden

Wenn Sie Einstellungen für den Export von Ergebnissen in einen Amazon S3 S3-Bucket konfigurieren, GuardDuty verwendet AWS Key Management Service (AWS KMS), um die Ergebnisdaten in Ihrem S3-Bucket zu verschlüsseln. Dazu müssen Sie Ihrem S3-Bucket und dem AWS KMS Schlüssel Berechtigungen hinzufügen, damit Sie diese für den Export der Ergebnisse in Ihrem Konto verwenden GuardDuty können.

Überlegungen

Bevor Sie mit den Voraussetzungen und Schritten für den Export von Ergebnissen fortfahren, sollten Sie die folgenden wichtigen Konzepte berücksichtigen:

  • Die Exporteinstellungen sind regional — Sie müssen die Exportoptionen in jeder Region, die Sie verwenden, konfigurieren GuardDuty.

  • Exportieren von Ergebnissen in Amazon S3 S3-Buckets in verschiedenen AWS-Regionen (regionsübergreifenden) — GuardDuty unterstützt die folgenden Exporteinstellungen:

    • Ihr Amazon S3 S3-Bucket oder Objekt und der AWS KMS Schlüssel müssen zu demselben gehören AWS-Region.

    • Für die in einer Handelsregion generierten Ergebnisse können Sie wählen, ob Sie diese Ergebnisse in einen S3-Bucket in einer beliebigen Handelsregion exportieren möchten. Sie können diese Ergebnisse jedoch nicht in einen S3-Bucket in einer Opt-in-Region exportieren.

    • Für die Ergebnisse, die in einer Opt-in-Region generiert wurden, können Sie wählen, ob Sie diese Ergebnisse in dieselbe Opt-in-Region exportieren möchten, in der sie generiert wurden, oder in eine beliebige kommerzielle Region. Sie können jedoch keine Ergebnisse aus einer Opt-in-Region in eine andere Opt-in-Region exportieren.

  • Berechtigungen zum Exportieren von Ergebnissen — Um Einstellungen für den Export aktiver Ergebnisse zu konfigurieren, muss Ihr S3-Bucket über Berechtigungen verfügen, die das Hochladen von GuardDuty Objekten ermöglichen. Sie benötigen außerdem einen AWS KMS Schlüssel, mit dem Sie die Ergebnisse verschlüsseln GuardDuty können.

  • Archivierte Ergebnisse werden nicht exportiert — Standardmäßig werden die archivierten Ergebnisse, einschließlich neuer Instanzen unterdrückter Ergebnisse, nicht exportiert.

    Wenn ein GuardDuty Ergebnis als archiviert generiert wird, müssen Sie es entarchivieren. Dadurch wird der Suchstatus des Filters auf Aktiv geändert. GuardDuty exportiert die Aktualisierungen der vorhandenen, nicht archivierten Ergebnisse auf der Grundlage Ihrer KonfigurationSchritt 5 — Häufigkeit für den Export von Ergebnissen.

  • GuardDuty Das Administratorkonto kann Ergebnisse exportieren, die in verknüpften Mitgliedskonten generiert wurden — Wenn Sie Exportergebnisse in einem Administratorkonto konfigurieren, werden alle Ergebnisse der zugehörigen Mitgliedskonten, die in derselben Region generiert wurden, auch an den Speicherort exportiert, den Sie für das Administratorkonto konfiguriert haben. Weitere Informationen finden Sie unter Die Beziehung zwischen GuardDuty Administratorkonto und Mitgliedskonten verstehen.

Schritt 1 — Zum Exportieren der Ergebnisse sind Berechtigungen erforderlich

Wenn Sie Einstellungen für den Export von Ergebnissen konfigurieren, wählen Sie einen Amazon S3 S3-Bucket aus, in dem Sie die Ergebnisse und einen AWS KMS Schlüssel für die Datenverschlüsselung speichern können. Zusätzlich zu den Berechtigungen für GuardDuty Aktionen müssen Sie auch über Berechtigungen für die folgenden Aktionen verfügen, um die Einstellungen für den Export von Ergebnissen erfolgreich konfigurieren zu können:

  • s3:GetBucketLocation

  • s3:PutObject

Schritt 2 — Richtlinie an Ihren KMS Schlüssel anhängen

GuardDuty verschlüsselt die Ergebnisdaten in Ihrem Bucket mithilfe von. AWS Key Management Service Um die Einstellungen erfolgreich zu konfigurieren, müssen Sie zunächst die GuardDuty Erlaubnis zur Verwendung eines KMS Schlüssels erteilen. Sie können die Berechtigungen gewähren, indem Sie die Richtlinie an Ihren KMS Schlüssel anhängen.

Wenn Sie einen KMS Schlüssel von einem anderen Konto verwenden, müssen Sie die Schlüsselrichtlinie anwenden, indem Sie sich bei dem Konto anmelden AWS-Konto , dem der Schlüssel gehört. Wenn Sie die Einstellungen für den Export von Ergebnissen konfigurieren, benötigen Sie auch den Schlüssel ARN von dem Konto, dem der Schlüssel gehört.

Um die KMS Schlüsselrichtlinie für die Verschlüsselung Ihrer exportierten Ergebnisse GuardDuty zu ändern

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie einen vorhandenen KMS Schlüssel aus oder führen Sie die Schritte zum Erstellen eines neuen Schlüssels im AWS Key Management Service Entwicklerhandbuch aus, mit dem Sie die exportierten Ergebnisse verschlüsseln werden.

    Anmerkung

    Der AWS-Region Ihres KMS Schlüssels und des Amazon S3 S3-Buckets müssen identisch sein.

    Sie können dasselbe S3-Bucket- und KMS key pair verwenden, um die Ergebnisse aus jeder zutreffenden Region zu exportieren. Weitere Informationen finden Sie unter Informationen Überlegungen zum Exportieren von Ergebnissen zwischen Regionen.

  4. Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Edit (Bearbeiten) aus.

    Wenn Zur Richtlinienansicht wechseln angezeigt wird, wählen Sie diese aus, um die Schlüsselrichtlinie anzuzeigen, und klicken Sie dann auf Bearbeiten.

  5. Kopieren Sie den folgenden Richtlinienblock in Ihre KMS Schlüsselrichtlinie, um die GuardDuty Erlaubnis zur Verwendung Ihres Schlüssels zu erteilen.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die redim Richtlinienbeispiel formatiert sind:

    1. KMS key ARNErsetzen Sie es durch den Amazon-Ressourcennamen (ARN) des KMS Schlüssels. Informationen zum Auffinden des ARN Schlüssels finden Sie unter Finden der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.

    2. 123456789012Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.

    3. Region2Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.

    4. SourceDetectorIDErsetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. detectorID

      Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    Anmerkung

    Wenn Sie GuardDuty in einer Opt-in-Region verwenden, ersetzen Sie den Wert für den „Service“ durch den regionalen Endpunkt für diese Region. Wenn Sie beispielsweise GuardDuty in der Region Naher Osten (Bahrain) (me-south-1) verwenden, ersetzen Sie "Service": "guardduty.amazonaws.com" es durch. "Service": "guardduty.me-south-1.amazonaws.com" Informationen zu Endpunkten für jede Opt-in-Region finden Sie unter GuardDuty Endpunkte und Kontingente.

  7. Wenn Sie die Grundsatzerklärung vor der endgültigen Erklärung hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON Syntax Ihrer KMS wichtigsten Richtlinie gültig ist.

    Wählen Sie Save (Speichern) aus.

  8. (Optional) Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.

Schritt 3 — Richtlinie an Amazon S3 S3-Bucket anhängen

Fügen Sie dem Amazon S3 S3-Bucket, in den Sie Ergebnisse exportieren, Berechtigungen hinzu, damit Sie Objekte in diesen S3-Bucket hochladen GuardDuty können. Unabhängig davon, ob Sie einen Amazon S3 S3-Bucket verwenden, der entweder zu Ihrem Konto oder zu einem anderen gehört AWS-Konto, müssen Sie diese Berechtigungen hinzufügen.

Wenn Sie zu irgendeinem Zeitpunkt entscheiden, Ergebnisse in einen anderen S3-Bucket zu exportieren, müssen Sie, um mit dem Export der Ergebnisse fortzufahren, Berechtigungen für diesen S3-Bucket hinzufügen und die Einstellungen für den Export der Ergebnisse erneut konfigurieren.

Wenn Sie noch keinen Amazon S3 S3-Bucket haben, in den Sie diese Ergebnisse exportieren möchten, finden Sie weitere Informationen unter Erstellen eines Buckets im Amazon S3 S3-Benutzerhandbuch.

So fügen Sie Ihrer S3-Bucket-Richtlinie Berechtigungen hinzu

  1. Führen Sie die Schritte unter So erstellen oder bearbeiten Sie eine Bucket-Richtlinie im Amazon S3 S3-Benutzerhandbuch aus, bis die Seite Bucket-Richtlinie bearbeiten angezeigt wird.

  2. Die Beispielrichtlinie zeigt, wie Sie die GuardDuty Erlaubnis zum Exportieren von Ergebnissen in Ihren Amazon S3 S3-Bucket erteilen. Wenn Sie den Pfad ändern, nachdem Sie Exportergebnisse konfiguriert haben, müssen Sie die Richtlinie ändern, um die Erlaubnis für den neuen Speicherort zu erteilen.

    Kopieren Sie die folgende Beispielrichtlinie und fügen Sie sie in den Bucket-Richtlinieneditor ein.

    Wenn Sie die Richtlinienerklärung vor der endgültigen Aussage hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Aussage ein Komma hinzu. Stellen Sie sicher, dass die JSON Syntax Ihrer KMS wichtigsten Richtlinie gültig ist.

    Beispiel für eine S3-Bucket-Richtlinie

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte ersetzen, die redim Richtlinienbeispiel formatiert sind:

    1. Amazon S3 bucket ARNErsetzen Sie es durch den Amazon-Ressourcennamen (ARN) des Amazon S3-Buckets. Sie finden den Bucket ARN auf der Seite Bucket-Richtlinie bearbeiten in der https://console.aws.amazon.com/s3/Konsole.

    2. 123456789012Ersetzen Sie ihn durch die AWS-Konto ID, der das GuardDuty Konto gehört, das die Ergebnisse exportiert.

    3. Region2Ersetzen Sie durch den AWS-Region Ort, an dem die GuardDuty Ergebnisse generiert wurden.

    4. SourceDetectorIDErsetzen Sie es durch das GuardDuty Konto in der spezifischen Region, in der die Ergebnisse generiert wurden. detectorID

      Um das detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

    5. Ersetzen Sie einen [optional prefix] Teil des S3 bucket ARN/[optional prefix] Platzhalterwerts durch einen optionalen Ordnerpfad, in den Sie die Ergebnisse exportieren möchten. Weitere Informationen zur Verwendung von Präfixen finden Sie unter Objekte mithilfe von Präfixen organisieren im Amazon S3 S3-Benutzerhandbuch.

      Wenn Sie einen optionalen Ordnerspeicherort angeben, der noch nicht existiert, GuardDuty wird dieser Speicherort nur erstellt, wenn das mit dem S3-Bucket verknüpfte Konto mit dem Konto identisch ist, das die Ergebnisse exportiert. Wenn Sie Ergebnisse in einen S3-Bucket exportieren, der zu einem anderen Konto gehört, muss der Speicherort des Ordners bereits vorhanden sein.

    6. KMS key ARNErsetzen Sie ihn durch den Amazon-Ressourcennamen (ARN) des KMS Schlüssels, der mit der Verschlüsselung der in den S3-Bucket exportierten Ergebnisse verknüpft ist. Informationen zum Auffinden des ARN Schlüssels finden Sie unter Finden der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.

    Anmerkung

    Wenn Sie GuardDuty in einer Opt-in-Region verwenden, ersetzen Sie den Wert für den „Service“ durch den regionalen Endpunkt für diese Region. Wenn Sie beispielsweise GuardDuty in der Region Naher Osten (Bahrain) (me-south-1) verwenden, ersetzen Sie "Service": "guardduty.amazonaws.com" es durch. "Service": "guardduty.me-south-1.amazonaws.com" Informationen zu Endpunkten für jede Opt-in-Region finden Sie unter GuardDuty Endpunkte und Kontingente.

  4. Wählen Sie Save (Speichern) aus.

Schritt 4 — Ergebnisse in einen S3-Bucket (Konsole) exportieren

GuardDuty ermöglicht es Ihnen, Ergebnisse in einen vorhandenen Bucket in einem anderen zu exportieren AWS-Konto.

Wenn Sie einen neuen S3-Bucket erstellen oder einen vorhandenen Bucket in Ihrem Konto auswählen, können Sie ein optionales Präfix hinzufügen. GuardDuty Erstellt bei der Konfiguration von Exportergebnissen einen neuen Ordner im S3-Bucket für Ihre Ergebnisse. Das Präfix wird an die von Ihnen GuardDuty erstellte Standardordnerstruktur angehängt. Zum Beispiel das Format des optionalen Präfixes/AWSLogs/123456789012/GuardDuty/Region.

Der gesamte Pfad des S3-Objekts wird seinamzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. Das UUID wird zufällig generiert und stellt weder die Melder-ID noch die Befund-ID dar.

Wichtig

Der KMS-Schlüssel und der S3-Bucket müssen sich in derselben Region befinden.

Bevor Sie diese Schritte ausführen, stellen Sie sicher, dass Sie Ihrem KMS Schlüssel und Ihrem vorhandenen S3-Bucket die entsprechenden Richtlinien angehängt haben.

Um Exportergebnisse zu konfigurieren

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie auf der Seite Einstellungen unter Exportoptionen für Ergebnisse für den S3-Bucket die Option Jetzt konfigurieren (oder je nach Bedarf Bearbeiten) aus.

  4. Geben Sie für den S3-Bucket ARN den einbucket ARN. Informationen zum Finden des Buckets ARN finden Sie unter Eigenschaften für einen S3-Bucket anzeigen im Amazon S3 S3-Benutzerhandbuch.

  5. Geben Sie als KMSSchlüssel ARN den ein key ARN. Informationen zum Auffinden des ARN Schlüssels finden Sie unter Finden der Schlüssel-ID und ARN im AWS Key Management Service Entwicklerhandbuch.

  6. Richtlinien anhängen

  7. Wählen Sie Save (Speichern) aus.

Schritt 5 — Einstellung der Häufigkeit für den Export aktualisierter aktiver Ergebnisse

Konfigurieren Sie die Häufigkeit für den Export aktualisierter aktiver Ergebnisse entsprechend Ihrer Umgebung. Standardmäßig werden aktualisierte Ergebnisse alle 6 Stunden exportiert. Dies bedeutet, dass alle Ergebnisse in den nächsten Export aufgenommen werden, die nach dem letzten Export aktualisiert wurden. Wenn aktualisierte Ergebnisse alle 6 Stunden exportiert werden und dieser Export um 12:00 Uhr erfolgt, wird jedes nach 12:00 Uhr aktualisierte Ergebnis um 18:00 Uhr exportiert.

So stellen Sie die Häufigkeit ein

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Wählen Sie im Bereich Exportoptionen für Erkenntnisse die Option Häufigkeit für aktualisierte Erkenntnisse aus. Dadurch wird die Häufigkeit für den Export aktualisierter Active-Ergebnisse EventBridge sowohl nach Amazon S3 als auch nach Amazon S3 festgelegt. Sie können aus den folgenden Optionen auswählen:

    • Update EventBridge und S3 alle 15 Minuten

    • Update EventBridge und S3 alle 1 Stunde

    • Update CWE und S3 alle 6 Stunden (Standard)

  4. Wählen Sie Änderungen speichern.