Exportación de GuardDuty los hallazgos generados a buckets de Amazon S3 - Amazon GuardDuty
ConsideracionesPaso 1: Permisos necesarios para exportar los resultadosPaso 2: Adjuntar la política a la clave KMSPaso 3: Adjuntar la política al bucket de Amazon S3Paso 4: Exportar los resultados a un bucket de S3 (consola)Paso 5: Frecuencia de exportación de los resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Exportación de GuardDuty los hallazgos generados a buckets de Amazon S3

GuardDuty conserva los hallazgos generados durante un período de 90 días. GuardDuty exporta los resultados activos a Amazon EventBridge (EventBridge). Si lo desea, puede exportar los resultados generados a un bucket de Amazon Simple Storage Service (Amazon S3). Esto le ayudará a realizar un seguimiento de los datos históricos de las actividades potencialmente sospechosas en su cuenta y a evaluar si las medidas correctivas recomendadas se han aplicado correctamente.

Todos los nuevos hallazgos activos que se GuardDuty generen se exportan automáticamente unos 5 minutos después de generarse el hallazgo. Puede establecer la frecuencia con la que se exportan las actualizaciones de los hallazgos activos EventBridge. La frecuencia que seleccione se aplica a la exportación de nuevas apariciones de hallazgos existentes a EventBridge su bucket de S3 (cuando está configurado) y a Detective (cuando está integrado). Para obtener información sobre cómo GuardDuty se agregan varias apariciones de hallazgos existentes, consulteGuardDuty encontrar agregación.

Cuando configura los ajustes para exportar los hallazgos a un bucket de Amazon S3, GuardDuty utiliza AWS Key Management Service (AWS KMS) para cifrar los datos de los hallazgos en su bucket de S3. Esto requiere que añada permisos a su bucket de S3 y a la AWS KMS clave para GuardDuty poder utilizarlos para exportar los resultados a su cuenta.

Consideraciones

Antes de continuar con los requisitos previos y los pasos para exportar los resultados, tenga en cuenta los siguientes conceptos clave:

  • La configuración de exportación es regional: debe configurar las opciones de exportación en cada región en la que las utilice GuardDuty.

  • Exportación de los resultados a buckets de Amazon S3 en diferentes regiones Regiones de AWS (entre regiones): GuardDuty admite la siguiente configuración de exportación:

    • El bucket u objeto de Amazon S3 y la AWS KMS clave deben pertenecer al mismo sitio Región de AWS.

    • En el caso de los hallazgos generados en una región comercial, puede optar por exportarlos a un bucket de S3 en cualquier región comercial. Sin embargo, no puede exportar estos resultados a un depósito de S3 en una región que haya optado por participar.

    • En el caso de los hallazgos generados en una región de suscripción voluntaria, puede optar por exportarlos a la misma región en la que se generaron o a cualquier región comercial. Sin embargo, no puedes exportar los resultados de una región que haya optado por participar a otra región que sí lo haya hecho.

  • Permisos para exportar los hallazgos: para configurar los ajustes de exportación de los hallazgos activos, su bucket de S3 debe tener permisos que permitan GuardDuty cargar objetos. También debe tener una AWS KMS clave que GuardDuty pueda utilizar para cifrar los hallazgos.

  • Los hallazgos archivados no se exportan: el comportamiento predeterminado es que los hallazgos archivados, incluidas las nuevas instancias de hallazgos suprimidos, no se exportan.

    Cuando un GuardDuty hallazgo se genere como archivado, tendrá que desarchivarlo. Esto cambia el estado de búsqueda del filtro a Activo. GuardDuty exporta las actualizaciones de los hallazgos no archivados existentes en función de la configuración. Paso 5: Frecuencia de exportación de los resultados

  • GuardDuty la cuenta de administrador puede exportar las conclusiones generadas en las cuentas de los miembros asociadas: al configurar la exportación en una cuenta de administrador, todas las conclusiones de las cuentas de los miembros asociadas que se generan en la misma región también se exportan a la misma ubicación que configuró para la cuenta de administrador. Para obtener más información, consulte Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros.

Paso 1: Permisos necesarios para exportar los resultados

Al configurar los ajustes para la exportación de los resultados, selecciona un depósito de Amazon S3 donde puede almacenar los hallazgos y una AWS KMS clave para usarla para el cifrado de datos. Además de los permisos para GuardDuty las acciones, también debe tener permisos para las siguientes acciones a fin de configurar correctamente los ajustes de exportación de los hallazgos:

  • s3:GetBucketLocation

  • s3:PutObject

  • s3:ListBucket

Paso 2: Adjuntar la política a la clave KMS

GuardDuty cifra los datos de los hallazgos de su depósito mediante. AWS Key Management Service Para configurar correctamente los ajustes, primero debe dar GuardDuty permiso para usar una KMS clave. Puede conceder los permisos adjuntando la política a su KMS clave.

Cuando utilizas una KMS clave de otra cuenta, debes aplicar la política de claves iniciando sesión en el Cuenta de AWS propietario de la clave. Al configurar los ajustes para exportar los resultados, también necesitarás la clave ARN de la cuenta propietaria de la clave.

Para modificar la política de KMS claves GuardDuty para cifrar los hallazgos exportados

  1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. Selecciona una KMS clave existente o sigue los pasos para crear una nueva clave en la Guía para AWS Key Management Service desarrolladores, que utilizarás para cifrar los hallazgos exportados.

    nota

    La Región de AWS KMS clave y el bucket de Amazon S3 deben ser iguales.

    Puede utilizar el mismo segmento de S3 y el mismo KMS key pair para exportar los resultados de cualquier región aplicable. Para obtener más información, consulte Consideraciones para exportar los resultados de todas las regiones.

  4. En la sección Key policy (Política de claves), elija Edit (Editar).

    Si aparece la vista Cambiar a política, selecciónela para que aparezca la política clave y, a continuación, seleccione Editar.

  5. Copia el siguiente bloque de políticas a tu política KMS clave para conceder GuardDuty permiso para usar tu clave.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Edite la política sustituyendo los siguientes valores que están formateados en reden el ejemplo de política:

    1. Reemplazar KMS key ARN con el nombre de recurso de Amazon (ARN) de la KMS clave. Para localizar la claveARN, consulte Cómo encontrar el ID de la clave y ARN en la Guía para AWS Key Management Service desarrolladores.

    2. Reemplazar 123456789012 con el Cuenta de AWS identificador propietario de la GuardDuty cuenta que exporta los resultados.

    3. Reemplazar Region2 con el Región de AWS lugar donde se generan los GuardDuty hallazgos.

    4. Reemplazar SourceDetectorID con la GuardDuty cuenta detectorID de la región específica en la que se generaron los hallazgos.

      Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

    nota

    Si lo utilizas GuardDuty en una región en la que puedes suscribirte, sustituye el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si lo utilizas GuardDuty en la región de Oriente Medio (Bahréin) (me-south-1), sustitúyelo por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.

  7. Si has añadido la declaración de política antes de la declaración final, añade una coma antes de añadir esta declaración. Asegúrese de que la JSON sintaxis de la política KMS clave sea válida.

    Seleccione Guardar.

  8. (Opcional) copia la clave ARN en un bloc de notas para usarla en los pasos posteriores.

Paso 3: Adjuntar la política al bucket de Amazon S3

Añada permisos al depósito de Amazon S3 al que exportará los resultados para GuardDuty poder cargar objetos en este depósito de S3. Independientemente de si utiliza un bucket de Amazon S3 que pertenezca a su cuenta o a una diferente Cuenta de AWS, debe añadir estos permisos.

Si en algún momento decide exportar las conclusiones a un bucket de S3 diferente, para continuar exportando las conclusiones, debe añadir permisos a ese bucket de S3 y volver a configurar los ajustes de exportación de las conclusiones.

Si aún no tiene un depósito de Amazon S3 al que desee exportar estos resultados, consulte Creación de un depósito en la Guía del usuario de Amazon S3.

Para adjuntar permisos a su política de buckets de S3

  1. Siga los pasos descritos en Para crear o editar una política de bucket en la Guía del usuario de Amazon S3, hasta que aparezca la página Editar política de bucket.

  2. La política de ejemplo muestra cómo conceder GuardDuty permisos para exportar los resultados a su bucket de Amazon S3. Si cambias la ruta después de configurar los resultados de exportación, debes modificar la política para conceder el permiso a la nueva ubicación.

    Copia el siguiente ejemplo de política y pégalo en el editor de políticas de Bucket.

    Si agregó la declaración de política antes de la declaración final, agregue una coma antes de agregar esta declaración. Asegúrese de que la JSON sintaxis de la política KMS clave sea válida.

    Política de ejemplo de bucket de S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGuardDutygetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "AllowGuardDutyPutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "DenyUnencryptedUploadsThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyIncorrectHeaderThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "DenyNon-HTTPS",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Edite la política sustituyendo los siguientes valores que están formateados reden el ejemplo de política:

    1. Reemplazar Amazon S3 bucket ARN con el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Puedes encontrar el bucket ARN en la página de edición de la política de bucket de la https://console.aws.amazon.com/s3/consola.

    2. Reemplazar 123456789012 con el Cuenta de AWS ID propietario de la GuardDuty cuenta que exporta los resultados.

    3. Reemplazar Region2 con el Región de AWS lugar donde se generan los GuardDuty hallazgos.

    4. Reemplazar SourceDetectorID con la GuardDuty cuenta detectorID de la región específica en la que se generaron los hallazgos.

      Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute el ListDetectors API.

    5. Reemplazar [optional prefix] parte del S3 bucket ARN/[optional prefix] valor de marcador de posición con una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos mediante prefijos en la Guía del usuario de Amazon S3.

      Si proporciona una ubicación de carpeta opcional que aún no existe, la GuardDuty creará solo si la cuenta asociada al bucket de S3 es la misma que la cuenta que exporta los resultados. Al exportar los resultados a un depósito de S3 que pertenece a otra cuenta, la ubicación de la carpeta debe existir ya.

    6. Reemplazar KMS key ARN con el nombre de recurso de Amazon (ARN) de la KMS clave asociada al cifrado de los hallazgos exportados al bucket de S3. Para localizar la claveARN, consulte Búsqueda del ID de clave y ARN en la Guía para AWS Key Management Service desarrolladores.

    nota

    Si la utilizas GuardDuty en una región con suscripción voluntaria, sustituye el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si lo utilizas GuardDuty en la región de Oriente Medio (Bahréin) (me-south-1), sustitúyelo por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.

  4. Seleccione Guardar.

Paso 4: Exportar los resultados a un bucket de S3 (consola)

GuardDuty le permite exportar los resultados a un depósito existente en otro Cuenta de AWS.

Al crear un nuevo depósito de S3 o al elegir uno existente en su cuenta, puede añadir un prefijo opcional. Al configurar las conclusiones de la exportación, GuardDuty crea una nueva carpeta en el depósito de S3 para guardar las conclusiones. El prefijo se añadirá a la estructura de carpetas predeterminada que se GuardDuty creó. Por ejemplo, el formato del prefijo opcional. /AWSLogs/123456789012/GuardDuty/Region

Será la ruta completa del objeto S3. amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz UUIDSe genera aleatoriamente y no representa el ID del detector ni el ID de búsqueda.

importante

La KMS clave y el depósito S3 deben estar en la misma región.

Antes de completar estos pasos, asegúrese de haber adjuntado las políticas respectivas a su KMS clave y al depósito de S3 existente.

Para configurar los resultados de la exportación

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, seleccione Configuración.

  3. En la página Configuración, en las opciones de exportación de Findings, para S3 bucket, seleccione Configurar ahora (o Editar, según sea necesario).

  4. Para el bucket de S3 ARN, introduzca elbucket ARN. Para encontrar el depósitoARN, consulte Visualización de las propiedades de un depósito de S3 en la Guía del usuario de Amazon S3. En la pestaña Permisos de la página de propiedades del bucket asociado en la https://console.aws.amazon.com/guardduty/consola.

  5. Para KMSla clave ARN, introduce el key ARN. Para localizar la claveARN, consulta Cómo encontrar el ID de la clave y ARN en la Guía para AWS Key Management Service desarrolladores.

  6. Adjunte políticas

  7. Seleccione Guardar.

Paso 5: Establecer la frecuencia para exportar los hallazgos activos actualizados

Configure la frecuencia de exportación de los hallazgos activos actualizados según corresponda a su entorno. De forma predeterminada, los resultados actualizados se exportan cada 6 horas. Esto significa que cualquier dato que se actualice después de la exportación más reciente se incluirá en la siguiente exportación. Si los hallazgos actualizados se exportan cada 6 horas y la exportación se produce a las 12:00, cualquier hallazgo que actualice después de las 12:00 se exportará a las 18:00.

Establecimiento de la frecuencia

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. Elija Configuración.

  3. En la sección Opciones de exportación de resultados, seleccione Frecuencia de los resultados actualizados. Esto establece la frecuencia de exportación de los hallazgos activos actualizados tanto EventBridge a Amazon S3 como a Amazon S3. Puede elegir entre las siguientes opciones:

    • Actualice EventBridge y S3 cada 15 minutos

    • Actualice EventBridge y S3 cada 1 hora

    • Actualice CWE y S3 cada 6 horas (predeterminado)

  4. Elija Guardar cambios.