Commencer avec GuardDuty - Amazon GuardDuty
Avant de commencerÉtape 1 : activer Amazon GuardDutyÉtape 2 : générer des exemples de résultats et explorer les opérations de baseÉtape 3 : configurer l'exportation GuardDuty des résultats vers un compartiment Amazon S3 Étape 4 : configurer les alertes de GuardDuty recherche via SNS Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer avec GuardDuty

Ce didacticiel fournit une introduction pratique à GuardDuty. Les exigences minimales pour l'activation GuardDuty en tant que compte autonome ou en tant qu' GuardDuty administrateur AWS Organizations sont décrites à l'étape 1. Les étapes 2 à 5 couvrent l'utilisation des fonctionnalités supplémentaires recommandées par GuardDuty pour tirer le meilleur parti de vos résultats.

Avant de commencer

GuardDuty est un service de détection des menaces qui surveille Source de données de base notamment les événements AWS CloudTrail de gestion, les journaux de flux Amazon VPC et les journaux de requêtes Amazon Route 53 Resolver DNS. GuardDutyanalyse également les fonctionnalités associées à ses types de protection uniquement si vous les activez séparément. Les fonctionnalités incluent les journaux d'audit Kubernetes, l'activité de connexion RDS, les événements de AWS CloudTrail données pour Amazon S3, les volumes Amazon EBS, la surveillance du temps d'exécution et les journaux d'activité réseau Lambda. L'utilisation de ces sources de données et de ces fonctionnalités (si elles sont activées) GuardDuty génère des résultats de sécurité pour votre compte.

Une fois que vous l'avez activé GuardDuty, il commence à surveiller votre compte pour détecter les menaces potentielles en fonction des activités des sources de données de base. Par défaut, Détection étendue des menaces est activé pour tous ceux Comptes AWS qui l'ont activé GuardDuty. Cette fonctionnalité détecte les séquences d'attaque en plusieurs étapes qui couvrent plusieurs sources de données, AWS ressources et délais fondamentaux de votre compte. Pour détecter les menaces potentielles visant des AWS ressources spécifiques, vous pouvez choisir d'activer des plans de protection axés sur les cas d'utilisation qui GuardDuty offrent. Pour de plus amples informations, veuillez consulter Caractéristiques de GuardDuty.

Il n'est pas nécessaire d'activer explicitement l'une des sources de données de base. Lorsque vous activez S3 Protection, vous n'avez pas besoin d'activer explicitement la journalisation des événements de données Amazon S3. De même, lorsque vous activez la protection EKS, vous n'avez pas besoin d'activer explicitement les journaux d'audit Amazon EKS. Amazon GuardDuty extrait des flux de données indépendants directement à partir de ces services.

Pour un nouveau GuardDuty compte, certains des types de protection disponibles pris en charge dans un Région AWS sont activés et inclus par défaut dans la période d'essai gratuite de 30 jours. Vous pouvez choisir de toutes les refuser ou seulement l'une d'entre elles. Si vous avez déjà GuardDuty activé Compte AWS un plan de protection, vous pouvez choisir d'activer tout ou partie des plans de protection disponibles dans votre région. Pour un aperçu des plans de protection et des plans de protection qui seront activés par défaut, voirTarification en GuardDuty.

Lors de l'activation GuardDuty, tenez compte des points suivants :

  • GuardDuty est un service régional, ce qui signifie que toutes les procédures de configuration que vous suivez sur cette page doivent être répétées dans chaque région que vous souhaitez surveiller GuardDuty.

    Nous vous recommandons vivement de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller les AWS CloudTrail événements pour les AWS services mondiaux tels que l'IAM. S'il n' GuardDuty est pas activé dans toutes les régions prises en charge, sa capacité à détecter les activités impliquant des services internationaux est réduite. Pour une liste complète des régions où cette GuardDuty offre est disponible, voirRégions et points de terminaison.

  • Tout utilisateur disposant de privilèges d'administrateur sur un AWS compte peut l'activer. Toutefois GuardDuty, conformément à la meilleure pratique de sécurité du privilège minimal, il est recommandé de créer un rôle, un utilisateur ou un groupe IAM à gérer GuardDuty spécifiquement. Pour plus d'informations sur les autorisations requises pour l'activation, GuardDuty consultezAutorisations requises pour activer GuardDuty.

  • Lorsque vous l'activez GuardDuty pour la première fois Région AWS, par défaut, tous les types de protection disponibles pris en charge dans cette région sont également activés, y compris la protection contre les programmes malveillants pour EC2. GuardDuty crée un rôle lié à un service pour votre compte appelé. AWSServiceRoleForAmazonGuardDuty Ce rôle inclut les autorisations et les politiques de confiance qui permettent de GuardDuty consommer et d'analyser les événements directement à partir du GuardDuty sources de données de base pour générer des résultats de sécurité. Malware Protection for EC2 crée un autre rôle lié à un service pour votre compte appelé. AWSServiceRoleForAmazonGuardDutyMalwareProtection Ce rôle inclut les autorisations et les politiques de confiance qui permettent à Malware Protection d' EC2 effectuer des analyses sans agent afin de détecter les logiciels malveillants dans votre GuardDuty compte. Il permet GuardDuty de créer un instantané du volume EBS dans votre compte et de partager cet instantané avec le compte de GuardDuty service. Pour de plus amples informations, veuillez consulter Autorisations de rôle liées à un service pour GuardDuty. Pour de plus amples informations sur les rôles liés à un service, veuillez consulter Utilisation des rôles liés à un service.

  • Lorsque vous l'activez GuardDuty pour la première fois dans une région, votre AWS compte est automatiquement inscrit à un essai GuardDuty gratuit de 30 jours pour cette région.

La vidéo suivante explique comment démarrer avec un compte administrateur GuardDuty et comment l'activer dans plusieurs comptes membres.

Étape 1 : activer Amazon GuardDuty

La première étape pour l'utiliser GuardDuty est de l'activer dans votre compte. Une fois activé, GuardDuty il commencera immédiatement à surveiller les menaces de sécurité dans la région actuelle.

Si vous souhaitez gérer les GuardDuty résultats d'autres comptes au sein de votre organisation en tant qu' GuardDuty administrateur, vous devez ajouter des comptes membres et GuardDuty les activer également.

Note

Si vous souhaitez activer la protection contre les GuardDuty programmes malveillants pour S3 sans l'activer GuardDuty, reportez-vous à la sectionGuardDuty Protection contre les logiciels malveillants pour S3.

Standalone account environment

  1. Ouvrez la GuardDuty console à https://console.aws.amazon.com/guardduty/

  2. Sélectionnez l'option Amazon GuardDuty - Toutes les fonctionnalités.

  3. Choisissez Démarrer.

  4. Sur la GuardDuty page Bienvenue, consultez les conditions de service. Sélectionnez Activer GuardDuty.

Multi-account environment
Important

Pour ce processus, vous devez faire partie de la même organisation que tous les comptes que vous souhaitez gérer et avoir accès au compte de AWS Organizations gestion afin de déléguer un administrateur GuardDuty au sein de votre organisation. Des autorisations supplémentaires peuvent être nécessaires pour déléguer un administrateur. Pour plus d'informations, veuillez consulter Autorisations requises pour désigner un compte d' GuardDuty administrateur délégué.

Pour désigner un compte d' GuardDuty administrateur délégué

  1. Ouvrez la AWS Organizations console à l'adresse https://console.aws.amazon.com/organizations/, à l'aide du compte de gestion.

  2. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    Est-ce GuardDuty déjà activé dans votre compte ?

    • Si GuardDuty ce n'est pas déjà fait, vous pouvez sélectionner Commencer, puis désigner un administrateur GuardDuty délégué sur la GuardDuty page Bienvenue.

    • Si cette option GuardDuty est activée, vous pouvez désigner un administrateur GuardDuty délégué sur la page Paramètres.

  3. Entrez l'identifiant de AWS compte à douze chiffres du compte que vous souhaitez désigner comme administrateur GuardDuty délégué de l'organisation et choisissez Déléguer.

    Note

    Si GuardDuty ce n'est pas déjà fait, la désignation d'un administrateur délégué sera activée GuardDuty pour ce compte dans votre région actuelle.

Pour ajouter un compte membre

Cette procédure couvre l'ajout de comptes de membres à un compte d'administrateur GuardDuty délégué via AWS Organizations. Il est également possible d'ajouter des membres sur invitation. Pour en savoir plus sur les deux méthodes d'association de membres GuardDuty, consultezPlusieurs comptes sur Amazon GuardDuty.

  1. Connexion au compte administrateur délégué

  2. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  3. Dans le panneau de navigation, choisissez Settings (Paramètres), puis Accounts (Comptes).

    La table des comptes répertorie tous les comptes de l'organisation.

  4. Choisissez les comptes que vous souhaitez ajouter en tant que membres en cochant la case située à côté de l'ID du compte. Ensuite, dans le menu Action, sélectionnez Ajouter un membre.

    Astuce

    Vous pouvez automatiser l'ajout de nouveaux comptes en tant que membres en activant la fonctionnalité Activation automatique. Toutefois, cela ne s'applique qu'aux comptes qui rejoignent votre organisation une fois cette fonctionnalité activée.

Étape 2 : générer des exemples de résultats et explorer les opérations de base

Lorsqu'il GuardDuty découvre un problème de sécurité, il génère une constatation. Une GuardDuty constatation est un ensemble de données contenant des informations relatives à ce problème de sécurité unique. Les détails du résultat peuvent être utilisés pour vous aider à examiner le problème.

GuardDuty permet de générer des exemples de résultats à l'aide de valeurs d'espace réservé, qui peuvent être utilisées pour tester les GuardDuty fonctionnalités et vous familiariser avec les résultats avant de devoir répondre à un véritable problème de sécurité découvert par GuardDuty. Suivez le guide ci-dessous pour générer des exemples de résultats pour chaque type de recherche disponible dans GuardDuty. Pour découvrir d'autres méthodes de génération d'échantillons de résultats, notamment la génération d'un événement de sécurité simulé dans votre compte, voirExemples de résultats.

Pour créer et explorer des exemples de résultats

  1. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  2. Sur la page Settings, sous Sample findings, choisissez Generate sample findings.

  3. Dans le volet de navigation, choisissez Résumé pour afficher les informations relatives aux résultats générés dans votre AWS environnement. Pour de plus amples informations sur les composants du tableau de bord récapitulatif, veuillez consulter Tableau de bord récapitulatif sur Amazon GuardDuty.

  4. Dans le volet de navigation, choisissez Conclusions. Les exemples de résultats sont affichés sur la page Résultats actuels avec le préfixe [SAMPLE].

  5. Sélectionnez un résultat dans la liste pour en afficher les détails.

    1. Vous pouvez consulter les différents champs d'informations disponibles dans le volet des informations du résultat. Les différents types de résultat peuvent avoir différents champs. Pour de plus amples informations sur les champs disponibles dans tous les types de résultat, veuillez consulter Détails d'un résultat. Depuis le volet des détails, vous pouvez effectuer les actions suivantes :

      • Sélectionnez l'ID du résultat en haut du volet pour ouvrir les détails JSON complets du résultat. Le fichier JSON complet peut également être téléchargé à partir de ce panneau. Le JSON contient des informations supplémentaires non incluses dans la vue de la console et est le format qui peut être ingéré par d'autres outils et services.

      • Veuillez consulter la section Ressource affectée. En cas de véritable découverte, les informations présentées ici vous aideront à identifier une ressource de votre compte qui devrait faire l'objet d'une enquête et incluront des liens vers les ressources appropriées AWS Management Console pour des actions.

      • Sélectionnez les icônes de loupe + ou - afin de créer un filtre inclusif ou exclusif pour chaque détail. Pour plus d'informations sur la recherche de filtres, veuillez consulter Filtrer les résultats dans GuardDuty.

  6. Archivage de tous vos exemples de résultats

    1. Sélectionnez tous les résultats en cochant la case en haut de la liste.

    2. Désélectionnez les résultats que vous souhaitez conserver.

    3. Sélectionnez le menu Actions, puis Archiver pour masquer les exemples de résultats.

      Note

      Pour afficher les résultats archivés, sélectionnez Actuel, puis Archivé pour changer d'affichage des résultats.

Étape 3 : configurer l'exportation GuardDuty des résultats vers un compartiment Amazon S3

GuardDuty recommande de configurer les paramètres pour exporter les résultats, car cela vous permet d'exporter vos résultats vers un compartiment S3 pour un stockage indéfini au-delà de la période de conservation de GuardDuty 90 jours. Cela vous permet de conserver des enregistrements des résultats ou de suivre les problèmes rencontrés dans votre AWS environnement au fil du temps. GuardDuty chiffre les données de résultats dans votre compartiment S3 en utilisant AWS Key Management Service (AWS KMS key). Pour configurer les paramètres, vous devez attribuer une clé KMS à GuardDuty l'autorisation. Pour des étapes plus détaillées, voirExportation des résultats générés vers Amazon S3.

Pour exporter GuardDuty les résultats vers le compartiment Amazon S3
  1. Attacher la politique à la clé KMS

    1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

    2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

    3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

    4. Sélectionnez une clé KMS existante ou suivez les étapes de création d'une clé KMS de chiffrement symétrique dans le manuel du AWS Key Management Service développeur.

      La région de votre clé KMS et de votre compartiment Amazon S3 doit être identique.

      Copiez l'ARN de la clé dans un bloc-notes pour l'utiliser dans les étapes ultérieures.

    5. Dans la section Politique des clés de votre clé KMS, choisissez Modifier. Si Basculer vers l'affichage des politiques est affiché, choisissez-le pour afficher la politique clé, puis choisissez Modifier.

    6. Copiez le bloc de politique suivant dans votre politique de clé KMS :

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

      Modifiez la politique en remplaçant les valeurs suivantes mises en forme reddans l'exemple de stratégie :

      1. KMS key ARNRemplacez-le par le Amazon Resource Name (ARN) de la clé KMS. Pour localiser l'ARN de la clé, consultez la section Trouver l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

      2. 123456789012Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

      3. Remplacez Region2 par l' Région AWS endroit où les GuardDuty résultats sont générés.

      4. Remplacez SourceDetectorID par le GuardDuty compte detectorID de la région spécifique où les résultats ont été générés.

        Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

  2. Attacher une politique au compartiment Amazon S3

    Si vous ne possédez pas encore de compartiment Amazon S3 dans lequel vous souhaitez exporter ces résultats, consultez la section Création d'un compartiment dans le guide de l'utilisateur Amazon S3.

    1. Effectuez les étapes décrites dans la section Pour créer ou modifier une politique de compartiment dans le guide de l'utilisateur Amazon S3, jusqu'à ce que la page Modifier la politique de compartiment apparaisse.

    2. L'exemple de politique montre comment accorder GuardDuty l'autorisation d'exporter les résultats vers votre compartiment Amazon S3. Si vous modifiez le chemin après avoir configuré les résultats de l'exportation, vous devez modifier la politique pour autoriser le nouvel emplacement.

      Copiez l'exemple de politique suivant et collez-le dans l'éditeur de politique Bucket.

      Si vous avez ajouté la déclaration de politique avant la déclaration finale, ajoutez une virgule avant d'ajouter cette déclaration. Assurez-vous que la syntaxe JSON de votre politique de clé KMS est valide.

      Exemple de stratégie de compartiment S3

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

    3. Modifiez la politique en remplaçant les valeurs suivantes mises en forme reddans l'exemple de stratégie :

      1. Amazon S3 bucket ARNRemplacez-le par le nom de ressource Amazon (ARN) du compartiment Amazon S3. Vous trouverez l'ARN du bucket sur la page Modifier la politique du bucket de la https://console.aws.amazon.com/s3/console.

      2. 123456789012Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

      3. Remplacez Region2 par l' Région AWS endroit où les GuardDuty résultats sont générés.

      4. Remplacez SourceDetectorID par le GuardDuty compte detectorID de la région spécifique où les résultats ont été générés.

        Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

      5. Remplacez une [optional prefix] partie de la valeur de l'S3 bucket ARN/[optional prefix]espace réservé par un dossier facultatif vers lequel vous souhaitez exporter les résultats. Pour plus d'informations sur l'utilisation des préfixes, consultez la section Organisation des objets à l'aide de préfixes dans le guide de l'utilisateur Amazon S3.

        Lorsque vous fournissez un emplacement de dossier facultatif qui n'existe pas encore, vous ne GuardDuty créerez cet emplacement que si le compte associé au compartiment S3 est le même que le compte exportant les résultats. Lorsque vous exportez des résultats vers un compartiment S3 appartenant à un autre compte, l'emplacement du dossier doit déjà exister.

      6. Remplacez-le KMS key ARN par le Amazon Resource Name (ARN) de la clé KMS associée au chiffrement des résultats exportés vers le compartiment S3. Pour localiser l'ARN de la clé, consultez la section Trouver l'ID et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

  3. Étapes de GuardDuty la console

    1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

    2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

    3. Sur la page Paramètres, sous Options d'exportation des résultats, pour le compartiment S3, choisissez Configurer maintenant (ou Modifier, selon les besoins).

    4. Pour l'ARN du compartiment S3, entrez l'adresse bucket ARN à laquelle vous souhaitez envoyer les résultats. Pour consulter l'ARN du compartiment, consultez la section Affichage des propriétés d'un compartiment S3 dans le guide de l'utilisateur Amazon S3.

    5. Pour l'ARN de la clé KMS, entrez lekey ARN. Pour localiser l'ARN de la clé, voir Trouver l'ID de clé et l'ARN de la clé dans le guide du AWS Key Management Service développeur.

    6. Choisissez Save (Enregistrer).

Afficher plusAfficher moins

Étape 4 : configurer les alertes de GuardDuty recherche via SNS

GuardDuty s'intègre à Amazon EventBridge, qui peut être utilisé pour envoyer les données des résultats à d'autres applications et services à des fins de traitement. EventBridge Vous pouvez utiliser GuardDuty les résultats pour initier des réponses automatiques à vos résultats en connectant les événements de recherche à des cibles telles que AWS Lambda les fonctions, l'automatisation d'Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS), etc.

Dans cet exemple, vous allez créer une rubrique SNS qui sera la cible d'une EventBridge règle, puis vous l'utiliserez EventBridge pour créer une règle qui capture les données de GuardDuty résultats. La règle qui en résulte transmet les détails du résultat à une adresse e-mail. Pour savoir comment envoyer des résultats à Slack ou Amazon Chime, et comment modifier les types de résultat pour lesquels les alertes sont envoyées, veuillez consulter Configurer une rubrique Amazon SNS et un point de terminaison.

Pour créer une rubrique SNS pour vos alertes de résultats

  1. Ouvrez la console Amazon SNS à l'adresse v3/home. https://console.aws.amazon.com/sns/

  2. Dans le volet de navigation, choisissez Rubriques.

  3. Choisissez Créer la rubrique.

  4. Pour Type, sélectionnez Standard.

  5. Pour Nom, saisissez GuardDuty.

  6. Choisissez Créer la rubrique. Les détails de la rubrique pour votre nouvelle rubrique s'ouvrent.

  7. Dans la section Abonnements, choisissez Créer un abonnement.

  8. Pour Protocole, choisissez E-mail.

  9. Pour Point de terminaison, saisissez l'adresse e-mail à laquelle vous souhaitez envoyer des notifications.

  10. Choisissez Create subscription (Créer un abonnement).

    Vous devez confirmer votre abonnement par e-mail après avoir créé l'abonnement.

  11. Pour vérifier la présence d'un message d'abonnement, accédez à votre boîte de réception et, dans le message d'abonnement, sélectionnez Confirmer l'abonnement.

    Note

    Pour vérifier l'état de l'e-mail de confirmation, accédez à la console SNS et choisissez Abonnements.

Pour créer une EventBridge règle permettant de saisir les GuardDuty résultats et de les mettre en forme

  1. Ouvrez la EventBridge console à l'adresse https://console.aws.amazon.com/events/.

  2. Dans le volet de navigation, choisissez Règles.

  3. Choisissez Créer une règle.

  4. Saisissez un nom et une description pour la règle.

    Une règle ne peut pas avoir le même nom qu’une autre règle de la même région et sur le même bus d’événement.

  5. Pour Event bus (Bus d’événement), choisissez default (défaut).

  6. Pour Type de règle, choisissez Règle avec un modèle d’événement.

  7. Choisissez Suivant.

  8. Pour Event source (Source de l'événement), choisissez AWS events (Événements).

  9. Pour Modèle d'événement, choisissez Formulaire de modèle d'événement.

  10. Pour Event source (Origine de l’événement), choisissez AWS services (Services ).

  11. Pour Service AWS , choisissez GuardDuty.

  12. Dans Type d'événement, choisissez GuardDutyRechercher.

  13. Choisissez Suivant.

  14. Pour Types de cibles, choisissez service AWS .

  15. Pour Sélectionner une cible, choisissez rubrique SNS, et pour Rubrique, choisissez le nom de la rubrique SNS que vous avez créée précédemment.

  16. Dans la section Paramètres supplémentaires, pour Configurer l'entrée cible, choisissez Transformateur d'entrée.

    L'ajout d'un transformateur d'entrée formate les données de recherche JSON envoyées GuardDuty en un message lisible par l'homme.

  17. Choisissez Configure input transformer (Configurer le transformateur d'entrée).

  18. Dans la section Transformateur d'entrée cible, pour Chemin d'entrée, collez le code suivant :

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Pour formater l'e-mail, dans Modèle, collez le code suivant et assurez-vous de remplacer le texte en rouge par les valeurs appropriées à votre région :

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Choisissez Confirmer.

  21. Choisissez Suivant.

  22. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les EventBridge balises Amazon dans le guide de EventBridge l'utilisateur Amazon.

  23. Choisissez Suivant.

  24. Consultez les détails de la règle et choisissez Create rule (Créer une règle).

  25. (Facultatif) Testez votre nouvelle règle en générant des exemples de résultats à l'aide du processus de l'étape 2. Vous recevrez un e-mail pour chaque exemple de résultat généré.

Étapes suivantes

Au fur et à mesure que vous continuerez à l'utiliser GuardDuty, vous comprendrez quels types de résultats sont pertinents pour votre environnement. Chaque fois que vous recevez un nouveau résultat, vous pouvez trouver des informations, notamment des recommandations de correction concernant ce résultat, en sélectionnant En savoir plus dans la description du résultat dans le volet des détails du résultat, ou en recherchant le nom du résultat sur GuardDuty types de recherche.

Les fonctionnalités suivantes vous aideront à le régler GuardDuty afin qu'il puisse fournir les résultats les plus pertinents pour votre AWS environnement :

  • Pour trier facilement les résultats en fonction de critères spécifiques, tels que l'ID d'instance, l'ID de compte, le nom du compartiment S3, etc., vous pouvez créer et enregistrer des filtres dans ces filtres GuardDuty. Pour de plus amples informations, veuillez consulter Filtrer les résultats dans GuardDuty.

  • Si vous recevez des résultats concernant le comportement attendu dans votre environnement, vous pouvez automatiquement archiver les résultats en fonction des critères que vous définissez à l'aide des règles de suppression.

  • Pour éviter que des résultats ne soient générés à partir d'un sous-ensemble de sites fiables IPs, ou pour que le GuardDuty monitoring IPs sorte de son champ de surveillance normal, vous pouvez configurer des adresses IP fiables et des listes de menaces.