Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivieren Sie Amazon GuardDuty unter bestimmten Bedingungen mithilfe von Vorlagen AWS CloudFormation
Erstellt von Ram Kandaswamy () AWS
Umwelt: Produktion | Technologien: Sicherheit, Identität, Compliance DevOps; Betrieb | AWSDienste: AWS CloudFormation; Amazon GuardDuty; AWS Lambda; AWS Identity and Access Management |
Übersicht
Sie können GuardDuty Amazon mithilfe einer AWS CloudFormation Vorlage für ein Amazon Web Services (AWS) -Konto aktivieren. Standardmäßig schlägt die Stack-Bereitstellung fehl, wenn es bereits aktiviert GuardDuty ist, wenn Sie versuchen, es CloudFormation zu aktivieren. Sie können jedoch Bedingungen in Ihrer CloudFormation Vorlage verwenden, um zu überprüfen, ob sie bereits aktiviert GuardDuty ist. CloudFormation unterstützt die Verwendung von Bedingungen, die statische Werte vergleichen; die Verwendung der Ausgabe einer anderen Ressourceneigenschaft innerhalb derselben Vorlage wird nicht unterstützt. Weitere Informationen finden Sie im CloudFormation Benutzerhandbuch unter Bedingungen.
In diesem Muster verwenden Sie eine CloudFormation benutzerdefinierte Ressource, die von einer AWS Lambda-Funktion unterstützt wird, um sie bedingt zu aktivieren, GuardDuty falls sie nicht bereits aktiviert ist. Wenn GuardDuty aktiviert, erfasst der Stack den Status und zeichnet ihn im Ausgabebereich des Stacks auf. Wenn nicht GuardDuty aktiviert, aktiviert der Stack es.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS Konto
Eine AWS Identity and Access Management Zugriffsmanagement-Rolle (IAM) mit Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudFormation Stacks
Einschränkungen
Wenn dieses Muster für ein AWS Konto oder eine Region manuell deaktiviert GuardDuty wurde, wird es GuardDuty für dieses Zielkonto oder diese Region nicht aktiviert.
Architektur
Zieltechnologie-Stack
Das Muster wird CloudFormation für Infrastructure as Code (IaC) verwendet. Sie verwenden eine CloudFormation benutzerdefinierte Ressource, die von einer Lambda-Funktion unterstützt wird, um die dynamische Service-Enablement-Funktion zu erreichen.
Zielarchitektur
Das folgende Architekturdiagramm auf hoher Ebene zeigt den Prozess der Aktivierung GuardDuty durch die Bereitstellung einer CloudFormation Vorlage:
Sie stellen eine CloudFormation Vorlage bereit, um einen CloudFormation Stack zu erstellen.
Der Stack erstellt eine IAM Rolle und eine Lambda-Funktion.
Die Lambda-Funktion übernimmt die IAM Rolle.
Wenn GuardDuty es auf dem AWS Zielkonto noch nicht aktiviert ist, wird es von der Lambda-Funktion aktiviert.
Automatisierung und Skalierung
Sie können diese AWS CloudFormation StackSet Funktion verwenden, um diese Lösung auf mehrere AWS Konten und AWS Regionen auszudehnen. Weitere Informationen finden Sie AWS CloudFormation StackSets im CloudFormation Benutzerhandbuch unter Arbeiten mit.
Tools
AWSCommand Line Interface (AWSCLI) ist ein Open-Source-Tool, mit dem Sie mithilfe von Befehlen in Ihrer Befehlszeilenshell mit AWS Diensten interagieren können.
AWS CloudFormationhilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus AWS konto- und regionsübergreifend zu verwalten.
Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der Protokolle analysiert und verarbeitet, um unerwartete und potenziell nicht autorisierte Aktivitäten in Ihrer AWS Umgebung zu identifizieren.
AWSMit Identity and Access Management (IAM) können Sie den Zugriff auf Ihre AWS Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden.
AWSLambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie die CloudFormation Vorlage. |
| AWS DevOps |
Erstellen Sie den CloudFormation Stapel. |
| AWS DevOps |
Stellen Sie sicher, GuardDuty dass diese Option für das AWS Konto aktiviert ist. |
| Cloud-Administrator, AWS Administrator |
Konfigurieren Sie zusätzliche Konten oder AWS Regionen. | Verwenden Sie die AWS CloudFormation StackSet Funktion je nach Bedarf für Ihren Anwendungsfall, um diese Lösung auf mehrere AWS Konten und AWS Regionen auszudehnen. Weitere Informationen finden Sie AWS CloudFormation StackSets im CloudFormation Benutzerhandbuch unter Arbeiten mit. | Cloud-Administrator, AWS Administrator |
Zugehörige Ressourcen
Referenzen
Anleitungen und Videos
Vereinfachen Sie Ihr Infrastrukturmanagement mithilfe von AWS CloudFormation
(Tutorial) Verwenden Sie Amazon GuardDuty und AWS Security Hub, um mehrere Konten zu sichern
(AWSre:Invent 2020) Bewährte Methoden für die Inhaltserstellung (re:Invent AWS CloudFormation
2019) AWS Bedrohungserkennung aufAWS: Eine Einführung in Amazon GuardDuty
(AWSre:INFORCE 2019)
Zusätzliche Informationen
CloudFormation Vorlage
AWSTemplateFormatVersion: 2010-09-09 Resources: rLambdaLogGroup: Type: 'AWS::Logs::LogGroup' DeletionPolicy: Delete Properties: RetentionInDays: 7 LogGroupName: /aws/lambda/resource-checker rLambdaCheckerLambdaRole: Type: 'AWS::IAM::Role' Properties: RoleName: !Sub 'resource-checker-lambda-role-${AWS::Region}' AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: lambda.amazonaws.com Action: 'sts:AssumeRole' Path: / Policies: - PolicyName: !Sub 'resource-checker-lambda-policy-${AWS::Region}' PolicyDocument: Version: 2012-10-17 Statement: - Sid: CreateLogGroup Effect: Allow Action: - 'logs:CreateLogGroup' - 'logs:CreateLogStream' - 'logs:PutLogEvents' - 'iam:CreateServiceLinkedRole' - 'cloudformation:CreateStack' - 'cloudformation:DeleteStack' - 'cloudformation:Desc*' - 'guardduty:CreateDetector' - 'guardduty:ListDetectors' - 'guardduty:DeleteDetector' Resource: '*' resourceCheckerLambda: Type: 'AWS::Lambda::Function' Properties: Description: Checks for resource type enabled and possibly name to exist FunctionName: resource-checker Handler: index.lambda_handler Role: !GetAtt - rLambdaCheckerLambdaRole - Arn Runtime: python3.8 MemorySize: 128 Timeout: 180 Code: ZipFile: | import boto3 import os import json from botocore.exceptions import ClientError import cfnresponse guardduty=boto3.client('guardduty') cfn=boto3.client('cloudformation') def lambda_handler(event, context): print('Event: ', event) if 'RequestType' in event: if event['RequestType'] in ["Create","Update"]: enabled=False try: response=guardduty.list_detectors() if "DetectorIds" in response and len(response["DetectorIds"])>0: enabled="AlreadyEnabled" elif "DetectorIds" in response and len(response["DetectorIds"])==0: cfn_response=cfn.create_stack( StackName='guardduty-cfn-stack', TemplateBody='{ "AWSTemplateFormatVersion": "2010-09-09", "Description": "A sample template", "Resources": { "IRWorkshopGuardDutyDetector": { "Type": "AWS::GuardDuty::Detector", "Properties": { "Enable": true } } } }' ) enabled="True" except Exception as e: print("Exception: ",e) responseData = {} responseData['status'] = enabled cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, "CustomResourcePhysicalID" ) elif event['RequestType'] == "Delete": cfn_response=cfn.delete_stack( StackName='guardduty-cfn-stack') cfnresponse.send(event, context, cfnresponse.SUCCESS, {}) CheckResourceExist: Type: 'Custom::LambdaCustomResource' Properties: ServiceToken: !GetAtt - resourceCheckerLambda - Arn Outputs: status: Value: !GetAtt - CheckResourceExist - status
Alternative Codeoption für die Lambda-Ressource
Die bereitgestellte CloudFormation Vorlage verwendet Inline-Code, um auf die Lambda-Ressource zu verweisen, um die Referenz und Anleitung zu erleichtern. Alternativ können Sie den Lambda-Code in einem Amazon Simple Storage Service (Amazon S3) -Bucket platzieren und in der CloudFormation Vorlage darauf verweisen. Inline-Code unterstützt keine Paketabhängigkeiten oder Bibliotheken. Sie können diese unterstützen, indem Sie den Lambda-Code in einem S3-Bucket platzieren und in der CloudFormation Vorlage darauf verweisen.
Ersetzen Sie die folgenden Codezeilen:
Code: ZipFile: |
durch die folgenden Codezeilen:
Code: S3Bucket: <bucket name> S3Key: <python file name> S3ObjectVersion: <version>
Die S3ObjectVersion
Eigenschaft kann weggelassen werden, wenn Sie in Ihrem S3-Bucket keine Versionierung verwenden. Weitere Informationen finden Sie unter Verwenden der Versionierung in S3-Buckets im Amazon S3 S3-Benutzerhandbuch.