Exportation des GuardDuty résultats générés vers des compartiments Amazon S3 - Amazon GuardDuty
ConsidérationsÉtape 1 — Autorisations requises pour exporter les résultatsÉtape 2 — Attacher une politique à votre clé KMSÉtape 3 — Attacher une politique au compartiment Amazon S3Étape 4 - Exportation des résultats vers un compartiment S3 (console)Étape 5 — Fréquence d'exportation des résultats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exportation des GuardDuty résultats générés vers des compartiments Amazon S3

GuardDuty conserve les résultats générés pendant une période de 90 jours. GuardDuty exporte les résultats actifs vers Amazon EventBridge (EventBridge). Vous pouvez éventuellement exporter les résultats générés vers un bucket Amazon Simple Storage Service (Amazon S3). Cela vous aidera à suivre les données historiques relatives aux activités potentiellement suspectes de votre compte et à évaluer si les mesures correctives recommandées ont été efficaces.

Tous les nouveaux résultats actifs GuardDuty générés sont automatiquement exportés environ 5 minutes après leur génération. Vous pouvez définir la fréquence à laquelle les mises à jour des résultats actifs sont exportées EventBridge. La fréquence que vous sélectionnez s'applique à l'exportation de nouvelles occurrences de résultats existants vers EventBridge votre compartiment S3 (lorsqu'il est configuré) et Detective (lorsqu'il est intégré). Pour plus d'informations sur la manière dont GuardDuty agrège plusieurs occurrences de résultats existants, voirGuardDuty recherche d'une agrégation.

Lorsque vous configurez les paramètres pour exporter les résultats vers un compartiment Amazon S3, GuardDuty utilise AWS Key Management Service (AWS KMS) pour chiffrer les données des résultats dans votre compartiment S3. Cela nécessite que vous ajoutiez des autorisations à votre compartiment S3 et à la AWS KMS clé afin que GuardDuty vous puissiez les utiliser pour exporter les résultats dans votre compte.

Considérations

Avant de passer aux prérequis et aux étapes nécessaires à l'exportation des résultats, tenez compte des concepts clés suivants :

  • Les paramètres d'exportation sont régionaux : vous devez configurer les options d'exportation dans chaque région que vous utilisez GuardDuty.

  • Exportation des résultats vers des compartiments Amazon S3 situés dans différents compartiments Régions AWS (entre régions) : GuardDuty prend en charge les paramètres d'exportation suivants :

    • Votre compartiment ou objet Amazon S3 et votre AWS KMS clé doivent appartenir au même Région AWS.

    • Pour les résultats générés dans une région commerciale, vous pouvez choisir d'exporter ces résultats vers un compartiment S3 dans n'importe quelle région commerciale. Toutefois, vous ne pouvez pas exporter ces résultats vers un compartiment S3 dans une région optionnelle.

    • Pour les résultats générés dans une région optionnelle, vous pouvez choisir d'exporter ces résultats vers la même région optionnelle où ils ont été générés ou vers n'importe quelle région commerciale. Toutefois, vous ne pouvez pas exporter les résultats d'une région optionnelle vers une autre région optionnelle.

  • Autorisations d'exportation des résultats : pour configurer les paramètres d'exportation des résultats actifs, votre compartiment S3 doit disposer des autorisations GuardDuty permettant de télécharger des objets. Vous devez également disposer d'une AWS KMS clé qui GuardDuty peut être utilisée pour chiffrer les résultats.

  • Les résultats archivés ne sont pas exportés : le comportement par défaut est que les résultats archivés, y compris les nouvelles instances de résultats supprimés, ne sont pas exportés.

    Lorsqu'une GuardDuty découverte est générée en tant qu'archive, vous devez la désarchiver. Cela fait passer le statut de recherche du filtre à Actif. GuardDuty exporte les mises à jour des résultats non archivés existants en fonction de votre configurationÉtape 5 — Fréquence d'exportation des résultats.

  • GuardDuty le compte administrateur peut exporter les résultats générés dans les comptes membres associés — Lorsque vous configurez les résultats d'exportation dans un compte administrateur, tous les résultats des comptes membres associés générés dans la même région sont également exportés vers le même emplacement que celui que vous avez configuré pour le compte administrateur. Pour de plus amples informations, veuillez consulter Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres.

Étape 1 — Autorisations requises pour exporter les résultats

Lorsque vous configurez les paramètres d'exportation des résultats, vous sélectionnez un compartiment Amazon S3 dans lequel vous pouvez stocker les résultats et une AWS KMS clé à utiliser pour le chiffrement des données. Outre les autorisations relatives aux GuardDuty actions, vous devez également être autorisé à effectuer les actions suivantes pour configurer correctement les paramètres d'exportation des résultats :

  • s3:GetBucketLocation

  • s3:PutObject

Si vous devez exporter les résultats vers un préfixe spécifique de votre compartiment Amazon S3, vous devez également ajouter les autorisations suivantes au rôle IAM :

  • s3:GetObject

  • s3:ListBucket

Étape 2 — Attacher une politique à votre clé KMS

GuardDuty chiffre les données de résultats de votre compartiment en utilisant AWS Key Management Service. Pour configurer correctement les paramètres, vous devez d'abord GuardDuty autoriser l'utilisation d'une clé KMS. Vous pouvez accorder les autorisations en attachant la stratégie à votre clé KMS.

Lorsque vous utilisez une clé KMS provenant d'un autre compte, vous devez appliquer la politique en matière de clés en vous connectant au Compte AWS propriétaire de la clé. Lorsque vous configurez les paramètres pour exporter les résultats, vous aurez également besoin de l'ARN de la clé du compte propriétaire de la clé.

Pour modifier la politique de clé KMS GuardDuty afin de chiffrer vos résultats exportés

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Sélectionnez une clé KMS existante ou suivez les étapes de création d'une nouvelle clé dans le guide du AWS Key Management Service développeur, que vous utiliserez pour chiffrer les résultats exportés.

    Note

    Votre clé KMS et le compartiment Amazon S3 doivent être identiques. Région AWS

    Vous pouvez utiliser le même compartiment S3 et la même paire de clés KMS pour exporter les résultats depuis n'importe quelle région applicable. Pour plus d'informations, voir Considérations pour exporter les résultats d'une région à l'autre.

  4. Dans la section Key policy (Politique de clé), choisissez Edit (Modifier).

    Si Basculer vers l'affichage des politiques est affiché, choisissez-le pour afficher la politique clé, puis choisissez Modifier.

  5. Copiez le bloc de politique suivant dans votre politique de clé KMS, pour GuardDuty autoriser l'utilisation de votre clé.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Modifiez la politique en remplaçant les valeurs suivantes mises en forme reddans l'exemple de stratégie :

    1. KMS key ARNRemplacez-le par le Amazon Resource Name (ARN) de la clé KMS. Pour localiser l'ARN de la clé, consultez la section Trouver l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

    2. 123456789012Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

    3. Remplacez Region2 par l' Région AWS endroit où les GuardDuty résultats sont générés.

    4. Remplacez SourceDetectorID par le GuardDuty compte detectorID de la région spécifique où les résultats ont été générés.

      Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    Note

    Si vous l'utilisez GuardDuty dans une région optionnelle, remplacez la valeur du « Service » par le point de terminaison régional de cette région. Par exemple, si vous utilisez GuardDuty dans la région Moyen-Orient (Bahreïn) (me-south-1), remplacez par. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Pour plus d'informations sur les points de terminaison pour chaque région optionnelle, consultez la section GuardDuty Points de terminaison et quotas.

  7. Si vous avez ajouté la déclaration de politique avant la déclaration finale, ajoutez une virgule avant d'ajouter cette déclaration. Assurez-vous que la syntaxe JSON de votre politique de clé KMS est valide.

    Choisissez Save (Enregistrer).

  8. (Facultatif) copiez l'ARN de la clé dans un bloc-notes pour l'utiliser dans les étapes ultérieures.

Étape 3 — Attacher une politique au compartiment Amazon S3

Ajoutez des autorisations au compartiment Amazon S3 vers lequel vous allez exporter les résultats afin de GuardDuty pouvoir télécharger des objets dans ce compartiment S3. Indépendamment de l'utilisation d'un compartiment Amazon S3 appartenant à votre compte ou à un autre Compte AWS, vous devez ajouter ces autorisations.

Si, à un moment donné, vous décidez d'exporter les résultats vers un autre compartiment S3, pour continuer à exporter les résultats, vous devez ajouter des autorisations à ce compartiment S3 et reconfigurer les paramètres d'exportation des résultats.

Si vous ne possédez pas encore de compartiment Amazon S3 dans lequel vous souhaitez exporter ces résultats, consultez la section Création d'un compartiment dans le guide de l'utilisateur Amazon S3.

Pour associer des autorisations à votre politique de compartiment S3

  1. Effectuez les étapes décrites dans la section Pour créer ou modifier une politique de compartiment dans le guide de l'utilisateur d'Amazon S3, jusqu'à ce que la page Modifier la politique de compartiment apparaisse.

  2. L'exemple de politique montre comment accorder GuardDuty l'autorisation d'exporter les résultats vers votre compartiment Amazon S3. Si vous modifiez le chemin après avoir configuré les résultats de l'exportation, vous devez modifier la politique pour autoriser le nouvel emplacement.

    Copiez l'exemple de politique suivant et collez-le dans l'éditeur de politique Bucket.

    Si vous avez ajouté la déclaration de politique avant la déclaration finale, ajoutez une virgule avant d'ajouter cette déclaration. Assurez-vous que la syntaxe JSON de votre politique de clé KMS est valide.

    Exemple de stratégie de compartiment S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Modifiez la politique en remplaçant les valeurs suivantes mises en forme reddans l'exemple de stratégie :

    1. Amazon S3 bucket ARNRemplacez-le par le nom de ressource Amazon (ARN) du compartiment Amazon S3. Vous trouverez l'ARN du bucket sur la page Modifier la politique du bucket de la https://console.aws.amazon.com/s3/console.

    2. 123456789012Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

    3. Remplacez Region2 par l' Région AWS endroit où les GuardDuty résultats sont générés.

    4. Remplacez SourceDetectorID par le GuardDuty compte detectorID de la région spécifique où les résultats ont été générés.

      Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

    5. Remplacez une [optional prefix] partie de la valeur de l'S3 bucket ARN/[optional prefix]espace réservé par un dossier facultatif vers lequel vous souhaitez exporter les résultats. Pour plus d'informations sur l'utilisation des préfixes, consultez la section Organisation des objets à l'aide de préfixes dans le guide de l'utilisateur Amazon S3.

      Lorsque vous fournissez un emplacement de dossier facultatif qui n'existe pas encore, vous ne GuardDuty créerez cet emplacement que si le compte associé au compartiment S3 est le même que le compte exportant les résultats. Lorsque vous exportez des résultats vers un compartiment S3 appartenant à un autre compte, l'emplacement du dossier doit déjà exister.

    6. Remplacez-le KMS key ARN par le Amazon Resource Name (ARN) de la clé KMS associée au chiffrement des résultats exportés vers le compartiment S3. Pour localiser l'ARN de la clé, consultez la section Trouver l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

    Note

    Si vous l'utilisez GuardDuty dans une région optionnelle, remplacez la valeur du « Service » par le point de terminaison régional de cette région. Par exemple, si vous utilisez GuardDuty dans la région Moyen-Orient (Bahreïn) (me-south-1), remplacez par. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Pour plus d'informations sur les points de terminaison pour chaque région optionnelle, consultez la section GuardDuty Points de terminaison et quotas.

  4. Choisissez Save (Enregistrer).

Étape 4 - Exportation des résultats vers un compartiment S3 (console)

GuardDuty vous permet d'exporter les résultats vers un compartiment existant dans un autre Compte AWS.

Lorsque vous créez un nouveau compartiment S3 ou que vous choisissez un compartiment existant dans votre compte, vous pouvez ajouter un préfixe facultatif. Lors de la configuration des résultats d'exportation, GuardDuty crée un nouveau dossier dans le compartiment S3 pour vos résultats. Le préfixe sera ajouté à la structure de dossiers par défaut créée. GuardDuty Par exemple, le format du préfixe /AWSLogs/123456789012/GuardDuty/Region facultatif.

Le chemin complet de l'objet S3 seraamzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. Le UUID est généré de manière aléatoire et ne représente pas l'ID du détecteur ou l'ID de recherche.

Important

La clé KMS doit se trouver dans la même région que le compartiment S3.

Avant de terminer ces étapes, assurez-vous d'avoir attaché les politiques correspondantes à votre clé KMS et à votre compartiment S3 existant.

Pour configurer les résultats de l'exportation

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sur la page Paramètres, sous Options d'exportation des résultats, pour le compartiment S3, choisissez Configurer maintenant (ou Modifier, selon les besoins).

  4. Pour l'ARN du compartiment S3, entrez lebucket ARN. Pour trouver l'ARN du compartiment, consultez la section Affichage des propriétés d'un compartiment S3 dans le guide de l'utilisateur Amazon S3.

  5. Pour l'ARN de la clé KMS, entrez le key ARN. Pour localiser l'ARN de la clé, consultez la section Trouver l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

  6. Joindre des politiques

  7. Choisissez Save (Enregistrer).

Étape 5 — Définition de la fréquence d'exportation des résultats actifs mis à jour

Configurez la fréquence d'exportation des résultats actifs mis à jour en fonction de votre environnement. Par défaut, les conclusions mises à jour sont exportées toutes les 6 heures. Cela signifie que tous les résultats mis à jour après l'exportation la plus récente sont inclus dans la nouvelle exportation. Si les résultats mis à jour sont exportés toutes les 6 heures et que l'exportation se produit à 12 h, tout résultat mis à jour après 12 h est exporté à 18 h.

Pour définir la fréquence

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Sélectionnez Paramètres.

  3. Dans la section Options d'exportation des résultats choisissez Fréquence des résultats mis à jour. Cela définit la fréquence d'exportation des résultats actifs mis à jour à la fois vers Amazon S3 EventBridge et vers Amazon S3. Sélectionnez parmi les éléments suivants :

    • Mise à jour EventBridge et S3 toutes les 15 minutes

    • Mise à jour EventBridge et S3 toutes les 1 heure

    • Mise à jour EventBridge et S3 toutes les 6 heures (par défaut)

  4. Sélectionnez Enregistrer les modifications.