Commencer avec GuardDuty - Amazon GuardDuty
Avant de commencerÉtape 1 : activer Amazon GuardDutyÉtape 2 : générer des exemples de résultats et explorer les opérations de baseÉtape 3 : configurer l'exportation GuardDuty des résultats vers un compartiment Amazon S3 Étape 4 : configurer les alertes de GuardDuty recherche via SNS Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer avec GuardDuty

Ce didacticiel fournit une introduction pratique à GuardDuty. Les exigences minimales pour l'activation GuardDuty en tant que compte autonome ou en tant qu' GuardDuty administrateur AWS Organizations sont décrites à l'étape 1. Les étapes 2 à 5 couvrent l'utilisation des fonctionnalités supplémentaires recommandées par GuardDuty pour tirer le meilleur parti de vos résultats.

Avant de commencer

GuardDuty est un service de détection des menaces qui surveille Source de données de base notamment les journaux d' AWS CloudTrail événements, les événements AWS CloudTrail de gestion, les journaux de flux Amazon VPC et les journaux DNS. GuardDuty analyse également les fonctionnalités associées à ses types de protection uniquement si vous les activez séparément. Les fonctionnalités incluent les journaux d'audit Kubernetes, l'activité de connexion RDS, les journaux S3, les volumes EBS, la surveillance de l'exécution et les journaux d'activité réseau Lambda. L'utilisation de ces sources de données et de ces fonctionnalités (si elles sont activées) GuardDuty génère des résultats de sécurité pour votre compte.

Une fois que vous l'avez activé GuardDuty, il commence à surveiller votre environnement. Vous pouvez le désactiver GuardDuty pour n'importe quel compte dans n'importe quelle région, à tout moment. Cela GuardDuty empêchera le traitement des sources de données de base et de toutes les fonctionnalités activées séparément.

Vous n'avez pas besoin d'activer l'une des options des Source de données de base de manière explicite. Amazon GuardDuty extrait des flux de données indépendants directement à partir de ces services. Pour un nouveau GuardDuty compte, tous les types de protection disponibles pris en charge dans un Région AWS sont activés et inclus par défaut dans la période d'essai gratuite de 30 jours. Vous pouvez choisir de toutes les refuser ou seulement l'une d'entre elles. Si vous êtes déjà GuardDuty client, vous pouvez choisir d'activer tout ou partie des plans de protection disponibles dans votre Région AWS. Pour plus d'informations, consultez la section Fonctionnalités associées à chaque type de protection dans GuardDuty.

Lors de l'activation GuardDuty, tenez compte des points suivants :

  • GuardDuty est un service régional, ce qui signifie que toutes les procédures de configuration que vous suivez sur cette page doivent être répétées dans chaque région que vous souhaitez surveiller GuardDuty.

    Nous vous recommandons vivement de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller les AWS CloudTrail événements pour les AWS services mondiaux tels que l'IAM. S'il n' GuardDuty est pas activé dans toutes les régions prises en charge, sa capacité à détecter les activités impliquant des services internationaux est réduite. Pour une liste complète des régions où cette GuardDuty offre est disponible, voirRégions et points de terminaison.

  • Tout utilisateur disposant de privilèges d'administrateur sur un AWS compte peut l'activer. Toutefois GuardDuty, conformément à la meilleure pratique de sécurité du privilège minimal, il est recommandé de créer un rôle, un utilisateur ou un groupe IAM à gérer GuardDuty spécifiquement. Pour plus d'informations sur les autorisations requises pour l'activation, GuardDuty consultezAutorisations requises pour activer GuardDuty.

  • Lorsque vous l'activez GuardDuty pour la première fois Région AWS, par défaut, tous les types de protection disponibles pris en charge dans cette région sont également activés, y compris la protection contre les logiciels malveillants pour EC2. GuardDuty crée un rôle lié à un service pour votre compte appelé. AWSServiceRoleForAmazonGuardDuty Ce rôle inclut les autorisations et les politiques de confiance qui permettent de GuardDuty consommer et d'analyser les événements directement à partir du Source de données de base pour générer des résultats de sécurité. Malware Protection for EC2 crée un autre rôle lié à un service pour votre compte appelé. AWSServiceRoleForAmazonGuardDutyMalwareProtection Ce rôle inclut les autorisations et les politiques de confiance qui permettent à Malware Protection for EC2 d'effectuer des analyses sans agent afin de détecter les logiciels malveillants dans votre GuardDuty compte. Il permet GuardDuty de créer un instantané du volume EBS dans votre compte et de partager cet instantané avec le compte de GuardDuty service. Pour plus d’informations, consultez Autorisations de rôle liées à un service pour GuardDuty. Pour de plus amples informations sur les rôles liés à un service, veuillez consulter Utilisation des rôles liés à un service.

  • Lorsque vous l'activez GuardDuty pour la première fois dans une région, votre AWS compte est automatiquement inscrit à un essai GuardDuty gratuit de 30 jours pour cette région.

Étape 1 : activer Amazon GuardDuty

La première étape pour l'utiliser GuardDuty est de l'activer dans votre compte. Une fois activé, GuardDuty il commencera immédiatement à surveiller les menaces de sécurité dans la région actuelle.

Si vous souhaitez gérer les GuardDuty résultats d'autres comptes au sein de votre organisation en tant qu' GuardDuty administrateur, vous devez ajouter des comptes membres et GuardDuty les activer également.

Note

Si vous souhaitez activer la protection contre les GuardDuty programmes malveillants pour S3 sans l'activer GuardDuty, consultez la procédure à suivreGuardDuty Protection contre les logiciels malveillants pour S3.

Standalone account environment

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/

  2. Sélectionnez l'option Amazon GuardDuty - Toutes les fonctionnalités.

  3. Choisissez Démarrer.

  4. Sur la GuardDuty page Bienvenue, consultez les conditions de service. Choisissez Activer GuardDuty.

Multi-account environment
Important

Pour ce processus, vous devez faire partie de la même organisation que tous les comptes que vous souhaitez gérer et avoir accès au compte de AWS Organizations gestion afin de déléguer un administrateur GuardDuty au sein de votre organisation. Des autorisations supplémentaires peuvent être nécessaires pour déléguer un administrateur. Pour plus d'informations, veuillez consulter Autorisations requises pour désigner un compte d' GuardDuty administrateur délégué.

Pour désigner un compte d' GuardDuty administrateur délégué

  1. Ouvrez la AWS Organizations console à l'adresse https://console.aws.amazon.com/organizations/ à l'aide du compte de gestion.

  2. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Est-ce GuardDuty déjà activé dans votre compte ?

    • Si GuardDuty ce n'est pas déjà fait, vous pouvez sélectionner Commencer, puis désigner un administrateur GuardDuty délégué sur la GuardDuty page Bienvenue.

    • Si cette option GuardDuty est activée, vous pouvez désigner un administrateur GuardDuty délégué sur la page Paramètres.

  3. Entrez l'identifiant de AWS compte à douze chiffres du compte que vous souhaitez désigner comme administrateur GuardDuty délégué de l'organisation et choisissez Déléguer.

    Note

    Si GuardDuty ce n'est pas déjà fait, la désignation d'un administrateur délégué sera activée GuardDuty pour ce compte dans votre région actuelle.

Pour ajouter un compte membre

Cette procédure couvre l'ajout de comptes de membres à un compte d'administrateur GuardDuty délégué via AWS Organizations. Il est également possible d'ajouter des membres sur invitation. Pour en savoir plus sur les deux méthodes d'association de membres GuardDuty, consultezGérer plusieurs comptes sur Amazon GuardDuty.

  1. Connexion au compte administrateur délégué

  2. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  3. Dans le panneau de navigation, choisissez Settings (Paramètres), puis Accounts (Comptes).

    La table des comptes répertorie tous les comptes de l'organisation.

  4. Choisissez les comptes que vous souhaitez ajouter en tant que membres en cochant la case située à côté de l'ID du compte. Ensuite, dans le menu Action, sélectionnez Ajouter un membre.

    Astuce

    Vous pouvez automatiser l'ajout de nouveaux comptes en tant que membres en activant la fonctionnalité Activation automatique. Toutefois, cela ne s'applique qu'aux comptes qui rejoignent votre organisation une fois cette fonctionnalité activée.

Étape 2 : générer des exemples de résultats et explorer les opérations de base

Lorsqu'il GuardDuty découvre un problème de sécurité, il génère une constatation. Une GuardDuty constatation est un ensemble de données contenant des informations relatives à ce problème de sécurité unique. Les détails du résultat peuvent être utilisés pour vous aider à examiner le problème.

GuardDuty permet de générer des exemples de résultats à l'aide de valeurs d'espace réservé, qui peuvent être utilisées pour tester les GuardDuty fonctionnalités et vous familiariser avec les résultats avant de devoir répondre à un véritable problème de sécurité découvert par GuardDuty. Suivez le guide ci-dessous pour générer des exemples de résultats pour chaque type de recherche disponible dans GuardDuty. Pour découvrir d'autres méthodes de génération d'échantillons de résultats, notamment la génération d'un événement de sécurité simulé dans votre compte, voirExemples de résultats.

Pour créer et explorer des exemples de résultats

  1. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  2. Sur la page Settings, sous Sample findings, choisissez Generate sample findings.

  3. Dans le volet de navigation, choisissez Résumé pour afficher les informations relatives aux résultats générés dans votre AWS environnement. Pour de plus amples informations sur les composants du tableau de bord récapitulatif, veuillez consulter Tableau de bord récapitulatif.

  4. Dans le volet de navigation, choisissez Conclusions. Les exemples de résultats sont affichés sur la page Résultats actuels avec le préfixe [SAMPLE].

  5. Sélectionnez un résultat dans la liste pour en afficher les détails.

    1. Vous pouvez consulter les différents champs d'informations disponibles dans le volet des informations du résultat. Les différents types de résultat peuvent avoir différents champs. Pour de plus amples informations sur les champs disponibles dans tous les types de résultat, veuillez consulter Détails d'un résultat. Depuis le volet des détails, vous pouvez effectuer les actions suivantes :

      • Sélectionnez l'ID du résultat en haut du volet pour ouvrir les détails JSON complets du résultat. Le fichier JSON complet peut également être téléchargé à partir de ce panneau. Le JSON contient des informations supplémentaires non incluses dans la vue de la console et est le format qui peut être ingéré par d'autres outils et services.

      • Veuillez consulter la section Ressource affectée. En cas de véritable découverte, les informations présentées ici vous aideront à identifier une ressource de votre compte qui devrait faire l'objet d'une enquête et incluront des liens vers les ressources appropriées AWS Management Console pour des actions.

      • Sélectionnez les icônes de loupe + ou - afin de créer un filtre inclusif ou exclusif pour chaque détail. Pour plus d'informations sur la recherche de filtres, veuillez consulter Filtrage des résultats.

  6. Archivage de tous vos exemples de résultats

    1. Sélectionnez tous les résultats en cochant la case en haut de la liste.

    2. Désélectionnez les résultats que vous souhaitez conserver.

    3. Sélectionnez le menu Actions, puis Archiver pour masquer les exemples de résultats.

      Note

      Pour afficher les résultats archivés, sélectionnez Actuel, puis Archivé pour changer d'affichage des résultats.

Étape 3 : configurer l'exportation GuardDuty des résultats vers un compartiment Amazon S3

GuardDuty recommande de configurer les paramètres pour exporter les résultats, car cela vous permet d'exporter vos résultats vers un compartiment S3 pour un stockage indéfini au-delà de la période de conservation de GuardDuty 90 jours. Cela vous permet de conserver des enregistrements des résultats ou de suivre les problèmes rencontrés dans votre AWS environnement au fil du temps. Le processus décrit ici vous explique comment configurer un nouveau compartiment S3 et créer une clé KMS pour chiffrer les résultats depuis la console. Pour plus d'informations à ce sujet, notamment sur la façon d'utiliser votre propre compartiment existant ou un compartiment d'un autre compte, veuillez consulter Exportation des résultats.

Pour configurer l'option d'exportation des résultats dans S3

  1. Pour chiffrer les résultats, vous aurez besoin d'une clé KMS avec une politique autorisant l'utilisation GuardDuty de cette clé pour le chiffrement. Les étapes suivantes vous aideront à créer une clé KMS. Si vous utilisez une clé KMS provenant d'un autre compte, vous devez appliquer la politique en matière de clés en vous connectant au Compte AWS propriétaire de la clé. La région de votre clé KMS et de votre compartiment S3 doit être la même. Toutefois, vous pouvez utiliser ce même compartiment et cette même paire de clés pour chaque région à partir de laquelle vous souhaitez exporter les résultats.

    1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

    2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

    3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

    4. Choisissez Create key.

    5. Choisissez Symétrique sous Type de clé, puis Suivant.

      Note

      Pour une procédure détaillée sur la création de clés KMS, veuillez consulter Création de clés du Guide du développeur AWS Key Management Service .

    6. Fournissez un alias pour votre clé, puis choisissez Suivant.

    7. Choisissez Suivant, puis à nouveau Suivant pour accepter les autorisations d'administration et d'utilisation par défaut.

    8. Une fois que vous avez fini de vérifier la configuration, choisissez Terminer pour créer la clé.

    9. Sur la page Clés gérées par le client, choisissez votre alias de clé.

    10. Dans la section Stratégie de clé, sélectionnez Passer à la vue de stratégie.

    11. Choisissez Modifier et ajoutez la politique de clé suivante à votre clé KMS, en accordant l' GuardDuty accès à votre clé. Cette instruction permet GuardDuty d'utiliser uniquement la clé à laquelle vous ajoutez cette politique. Lorsque vous modifiez la stratégie de clé, assurez-vous que la syntaxe JSON est valide. Si vous ajoutez l'instruction avant la dernière instruction, vous devez ajouter une virgule après le crochet de fermeture.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Remplacez Region1 par la région de votre clé KMS. Remplacez 444455556666 par le propriétaire de la clé KMS Compte AWS . Remplacez KMS KeyId par l'ID de clé KMS que vous avez choisie pour le chiffrement. Pour identifier toutes ces valeurs (région et ID de clé), consultez l'ARN de votre clé KMS. Compte AWS Pour localiser l'ARN de clé, veuillez consulter la section Recherche de l'ID et de l'ARN d'une clé.

      De même, remplacez 111122223333 par le Compte AWS compte. GuardDuty Remplacez Region2 par la région du GuardDuty compte. Remplacez l'SourceDetectorID par l'ID du détecteur du GuardDuty compte pour Region2.

      detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

    12. Choisissez Enregistrer.

  2. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  3. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  4. Sous Options d'exportation des résultats, choisissez Configurer maintenant.

  5. Choisissez Nouveau compartiment. Indiquez un nom unique pour votre compartiment S3.

  6. (Facultatif) Vous pouvez tester vos nouveaux paramètres d'exportation en générant des exemples de résultats. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  7. Sous la section Exemples de résultats, choisissez Générer des exemples de résultats. Les nouveaux échantillons de résultats apparaîtront sous forme d'entrées dans le compartiment S3 créé GuardDuty dans un délai maximum de cinq minutes.

Étape 4 : configurer les alertes de GuardDuty recherche via SNS

GuardDuty s'intègre à Amazon EventBridge, qui peut être utilisé pour envoyer les données des résultats à d'autres applications et services à des fins de traitement. EventBridge Vous pouvez utiliser GuardDuty les résultats pour initier des réponses automatiques à vos résultats en connectant les événements de recherche à des cibles telles que AWS Lambda les fonctions, l'automatisation d'Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS), etc.

Dans cet exemple, vous allez créer une rubrique SNS qui sera la cible d'une EventBridge règle, puis vous l'utiliserez EventBridge pour créer une règle qui capture les données de GuardDuty résultats. La règle qui en résulte transmet les détails du résultat à une adresse e-mail. Pour savoir comment envoyer des résultats à Slack ou Amazon Chime, et comment modifier les types de résultat pour lesquels les alertes sont envoyées, veuillez consulter Configurer une rubrique Amazon SNS et un point de terminaison.

Pour créer une rubrique SNS pour vos alertes de résultats

  1. Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans le volet de navigation, choisissez Rubriques.

  3. Choisissez Créer la rubrique.

  4. Pour Type, sélectionnez Standard.

  5. Pour Name (Nom), saisissez GuardDuty.

  6. Choisissez Créer la rubrique. Les détails de la rubrique pour votre nouvelle rubrique s'ouvrent.

  7. Dans la section Abonnements, choisissez Créer un abonnement.

  8. Pour Protocole, choisissez E-mail.

  9. Pour Point de terminaison, saisissez l'adresse e-mail à laquelle vous souhaitez envoyer des notifications.

  10. Choisissez Créer un abonnement.

    Vous devez confirmer votre abonnement par e-mail après avoir créé l'abonnement.

  11. Pour vérifier la présence d'un message d'abonnement, accédez à votre boîte de réception et, dans le message d'abonnement, sélectionnez Confirmer l'abonnement.

    Note

    Pour vérifier l'état de l'e-mail de confirmation, accédez à la console SNS et choisissez Abonnements.

Pour créer une EventBridge règle permettant de saisir les GuardDuty résultats et de les mettre en forme

  1. Ouvrez la EventBridge console à l'adresse https://console.aws.amazon.com/events/.

  2. Dans le volet de navigation, choisissez Règles.

  3. Choisissez Créer une règle.

  4. Saisissez un nom et une description pour la règle.

    Une règle ne peut pas avoir le même nom qu’une autre règle de la même région et sur le même bus d’événement.

  5. Pour Event bus (Bus d’événement), choisissez default (défaut).

  6. Pour Type de règle, choisissez Règle avec un modèle d’événement.

  7. Choisissez Suivant.

  8. Pour Event source (Source de l'événement), choisissez AWS events (Événements).

  9. Pour Modèle d'événement, choisissez Formulaire de modèle d'événement.

  10. Pour Source d'événement, choisissez Services AWS .

  11. Pour Service AWS , choisissez GuardDuty.

  12. Dans Type d'événement, choisissez GuardDutyRechercher.

  13. Choisissez Suivant.

  14. Pour Types de cibles, choisissez service AWS .

  15. Pour Sélectionner une cible, choisissez rubrique SNS, et pour Rubrique, choisissez le nom de la rubrique SNS que vous avez créée précédemment.

  16. Dans la section Paramètres supplémentaires, pour Configurer l'entrée cible, choisissez Transformateur d'entrée.

    L'ajout d'un transformateur d'entrée formate les données de recherche JSON envoyées GuardDuty en un message lisible par l'homme.

  17. Choisissez Configure input transformer (Configurer le transformateur d'entrée).

  18. Dans la section Transformateur d'entrée cible, pour Chemin d'entrée, collez le code suivant :

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Pour formater l'e-mail, dans Modèle, collez le code suivant et assurez-vous de remplacer le texte en rouge par les valeurs appropriées à votre région :

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Choisissez Confirmer.

  21. Choisissez Suivant.

  22. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les EventBridge balises Amazon dans le guide de EventBridge l'utilisateur Amazon.

  23. Choisissez Suivant.

  24. Consultez les détails de la règle et choisissez Create rule (Créer une règle).

  25. (Facultatif) Testez votre nouvelle règle en générant des exemples de résultats à l'aide du processus de l'étape 2. Vous recevrez un e-mail pour chaque exemple de résultat généré.

Étapes suivantes

Au fur et à mesure que vous continuerez à l'utiliser GuardDuty, vous comprendrez quels types de résultats sont pertinents pour votre environnement. Chaque fois que vous recevez un nouveau résultat, vous pouvez trouver des informations, notamment des recommandations de correction concernant ce résultat, en sélectionnant En savoir plus dans la description du résultat dans le volet des détails du résultat, ou en recherchant le nom du résultat sur Types de résultats.

Les fonctionnalités suivantes vous aideront à le régler de GuardDuty manière à ce qu'il puisse fournir les résultats les plus pertinents pour votre AWS environnement :

  • Pour trier facilement les résultats en fonction de critères spécifiques, tels que l'ID d'instance, l'ID de compte, le nom du compartiment S3, etc., vous pouvez créer et enregistrer des filtres dans ces filtres GuardDuty. Pour plus d’informations, consultez Filtrage des résultats.

  • Si vous recevez des résultats concernant le comportement attendu dans votre environnement, vous pouvez automatiquement archiver les résultats en fonction des critères que vous définissez à l'aide des règles de suppression.

  • Pour éviter que des résultats ne soient générés à partir d'un sous-ensemble d'adresses IP fiables, ou pour que GuardDuty les adresses IP de surveillance ne soient pas contrôlées normalement, vous pouvez configurer des adresses IP fiables et des listes de menaces.