Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengekspor GuardDuty temuan yang dihasilkan ke ember Amazon S3

PDF
RSS
Mode fokus
Mengekspor GuardDuty temuan yang dihasilkan ke ember Amazon S3 - Amazon GuardDuty
PertimbanganLangkah 1 - Izin diperlukan untuk mengekspor temuanLangkah 2 - Melampirkan kebijakan ke kunci KMS AndaLangkah 3 - Melampirkan kebijakan ke bucket Amazon S3Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)Langkah 5 - Frekuensi untuk mengekspor temuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty mempertahankan temuan yang dihasilkan untuk jangka waktu 90 hari. GuardDuty mengekspor temuan aktif ke Amazon EventBridge (EventBridge). Anda dapat secara opsional mengekspor temuan yang dihasilkan ke bucket Amazon Simple Storage Service (Amazon S3). Ini akan membantu Anda melacak data historis aktivitas yang berpotensi mencurigakan di akun Anda dan mengevaluasi apakah langkah-langkah perbaikan yang disarankan berhasil.

Setiap temuan aktif baru yang GuardDuty dihasilkan secara otomatis diekspor dalam waktu sekitar 5 menit setelah temuan dihasilkan. Anda dapat mengatur frekuensi seberapa sering pembaruan temuan aktif diekspor ke EventBridge. Frekuensi yang Anda pilih berlaku untuk mengekspor kemunculan baru temuan yang ada ke EventBridge, bucket S3 Anda (saat dikonfigurasi), dan Detektif (saat terintegrasi). Untuk informasi tentang bagaimana GuardDuty menggabungkan beberapa kejadian temuan yang ada, lihat. GuardDuty menemukan agregasi

Saat mengonfigurasi setelan untuk mengekspor temuan ke bucket Amazon S3, GuardDuty gunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data temuan di bucket S3. Ini mengharuskan Anda untuk menambahkan izin ke bucket S3 dan AWS KMS kuncinya sehingga GuardDuty dapat menggunakannya untuk mengekspor temuan di akun Anda.

Pertimbangan

Sebelum melanjutkan dengan prasyarat dan langkah-langkah untuk mengekspor temuan, pertimbangkan konsep-konsep kunci berikut:

  • Pengaturan ekspor bersifat regional - Anda perlu mengonfigurasi opsi ekspor di setiap Wilayah tempat Anda menggunakan GuardDuty.

  • Mengekspor temuan ke bucket Amazon S3 di Wilayah AWS berbagai (Lintas wilayah) GuardDuty — mendukung pengaturan ekspor berikut:

    • Bucket atau objek Amazon S3 Anda, dan AWS KMS kunci harus milik yang sama. Wilayah AWS

    • Untuk temuan yang dihasilkan di Wilayah komersial, Anda dapat memilih untuk mengekspor temuan ini ke ember S3 di Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan ini ke bucket S3 di Wilayah keikutsertaan.

    • Untuk temuan yang dihasilkan di Wilayah keikutsertaan, Anda dapat memilih untuk mengekspor temuan ini ke Wilayah keikutsertaan yang sama di mana mereka dihasilkan atau Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan dari satu Wilayah keikutsertaan ke Wilayah keikutsertaan lainnya.

  • Izin untuk mengekspor temuan — Untuk mengonfigurasi pengaturan untuk mengekspor temuan aktif, bucket S3 Anda harus memiliki izin yang memungkinkan GuardDuty untuk mengunggah objek. Anda juga harus memiliki AWS KMS kunci yang GuardDuty dapat digunakan untuk mengenkripsi temuan.

  • Temuan yang diarsipkan tidak diekspor — Perilaku default adalah bahwa temuan yang diarsipkan, termasuk contoh baru dari temuan yang ditekan, tidak diekspor.

    Ketika sebuah GuardDuty temuan dihasilkan sebagai Diarsipkan, Anda harus Membatalkan pengarsipannya. Ini mengubah status pencarian Filter menjadi Aktif. GuardDuty mengekspor pembaruan ke temuan yang tidak diarsipkan yang ada berdasarkan cara Anda mengonfigurasi. Langkah 5 - Frekuensi untuk mengekspor temuan

  • GuardDuty Akun administrator dapat mengekspor temuan yang dihasilkan di akun anggota terkait — Saat Anda mengonfigurasi temuan ekspor di akun administrator, semua temuan dari akun anggota terkait yang dihasilkan di Wilayah yang sama juga diekspor ke lokasi yang sama dengan yang Anda konfigurasikan untuk akun administrator. Untuk informasi selengkapnya, lihat Memahami hubungan antara akun GuardDuty administrator dan akun anggota.

Langkah 1 - Izin diperlukan untuk mengekspor temuan

Saat mengonfigurasi setelan untuk mengekspor temuan, Anda memilih bucket Amazon S3 tempat Anda dapat menyimpan temuan dan kunci AWS KMS yang akan digunakan untuk enkripsi data. Selain izin untuk GuardDuty tindakan, Anda juga harus memiliki izin untuk tindakan berikut agar berhasil mengonfigurasi pengaturan untuk mengekspor temuan:

  • s3:GetBucketLocation

  • s3:PutObject

Jika Anda perlu mengekspor temuan ke awalan tertentu di bucket Amazon S3, Anda juga harus menambahkan izin berikut ke peran IAM:

  • s3:GetObject

  • s3:ListBucket

Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda

GuardDuty mengenkripsi data temuan di bucket Anda dengan menggunakan. AWS Key Management Service Agar berhasil mengkonfigurasi pengaturan, Anda harus terlebih dahulu memberikan GuardDuty izin untuk menggunakan kunci KMS. Anda dapat memberikan izin dengan melampirkan kebijakan ke kunci KMS Anda.

Saat Anda menggunakan kunci KMS dari akun lain, Anda perlu menerapkan kebijakan kunci dengan masuk ke Akun AWS yang memiliki kunci tersebut. Saat Anda mengonfigurasi pengaturan untuk mengekspor temuan, Anda juga memerlukan ARN kunci dari akun yang memiliki kunci tersebut.

Untuk mengubah kebijakan kunci KMS GuardDuty untuk mengenkripsi temuan Anda yang diekspor

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pilih kunci KMS yang ada atau lakukan langkah-langkah untuk Membuat kunci baru di Panduan AWS Key Management Service Pengembang, yang akan Anda gunakan untuk mengenkripsi temuan yang diekspor.

    catatan

    Kunci KMS Anda dan bucket Amazon S3 harus sama. Wilayah AWS

    Anda dapat menggunakan bucket S3 dan key pair KMS yang sama untuk mengekspor temuan dari Wilayah mana pun yang berlaku. Untuk informasi lebih lanjut, lihat Pertimbangan untuk mengekspor temuan di seluruh Wilayah.

  4. Di bagian Kebijakan kunci, pilih Edit.

    Jika Beralih ke tampilan kebijakan ditampilkan, pilih untuk menampilkan Kebijakan kunci, lalu pilih Edit.

  5. Salin blok kebijakan berikut ke kebijakan kunci KMS Anda, untuk memberikan GuardDuty izin menggunakan kunci Anda.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Edit kebijakan dengan mengganti nilai berikut yang diformat reddalam contoh kebijakan:

    1. Ganti KMS key ARN dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS. Untuk menemukan kunci ARN, lihat Menemukan ID kunci dan ARN di Panduan Pengembang.AWS Key Management Service

    2. Ganti 123456789012 dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.

    3. Ganti Region2 dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.

    4. Ganti SourceDetectorID dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. detectorID

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    catatan

    Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat GuardDuty titik akhir dan kuota.

  7. Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.

    Pilih Simpan.

  8. (Opsional) salin kunci ARN ke notepad untuk digunakan pada langkah selanjutnya.

Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3

Tambahkan izin ke bucket Amazon S3 tempat Anda akan mengekspor temuannya GuardDuty sehingga dapat mengunggah objek ke bucket S3 ini. Terlepas dari penggunaan bucket Amazon S3 milik akun Anda atau yang berbeda Akun AWS, Anda harus menambahkan izin ini.

Jika suatu saat, Anda memutuskan untuk mengekspor temuan ke bucket S3 yang berbeda, lalu untuk melanjutkan mengekspor temuan, Anda harus menambahkan izin ke bucket S3 tersebut dan mengonfigurasi pengaturan temuan ekspor lagi.

Jika Anda belum memiliki bucket Amazon S3 tempat Anda ingin mengekspor temuan ini, lihat Membuat bucket di Panduan Pengguna Amazon S3.

Untuk melampirkan izin ke kebijakan bucket S3 Anda

  1. Lakukan langkah-langkah di bawah Untuk membuat atau mengedit kebijakan bucket di Panduan Pengguna Amazon S3, hingga halaman Edit kebijakan bucket muncul.

  2. Kebijakan contoh menunjukkan cara memberikan GuardDuty izin untuk mengekspor temuan ke bucket Amazon S3 Anda. Jika Anda mengubah jalur setelah mengonfigurasi temuan ekspor, Anda harus mengubah kebijakan untuk memberikan izin ke lokasi baru.

    Salin contoh kebijakan berikut dan tempelkan ke editor kebijakan Bucket.

    Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.

    Kebijakan contoh bucket S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Edit kebijakan dengan mengganti nilai berikut yang diformat reddalam contoh kebijakan:

    1. Ganti Amazon S3 bucket ARN dengan Nama Sumber Daya Amazon (ARN) dari bucket Amazon S3. Anda dapat menemukan Bucket ARN di halaman kebijakan Edit bucket di konsol. https://console.aws.amazon.com/s3/

    2. Ganti 123456789012 dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.

    3. Ganti Region2 dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.

    4. Ganti SourceDetectorID dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. detectorID

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectorsAPI.

    5. Ganti [optional prefix] bagian dari nilai S3 bucket ARN/[optional prefix] placeholder dengan lokasi folder opsional yang ingin Anda ekspor temuannya. Untuk informasi selengkapnya tentang penggunaan awalan, lihat Mengatur objek menggunakan awalan di Panduan Pengguna Amazon S3.

      Bila Anda menyediakan lokasi folder opsional yang belum ada, GuardDuty akan membuat lokasi tersebut hanya jika akun yang terkait dengan bucket S3 sama dengan akun yang mengekspor temuan. Saat Anda mengekspor temuan ke bucket S3 milik akun lain, lokasi folder harus sudah ada.

    6. Ganti KMS key ARN dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS yang terkait dengan enkripsi temuan yang diekspor ke bucket S3. Untuk menemukan kunci ARN, lihat Menemukan ID kunci dan ARN di Panduan Pengembang.AWS Key Management Service

    catatan

    Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat GuardDuty titik akhir dan kuota.

  4. Pilih Simpan.

Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)

GuardDuty memungkinkan Anda untuk mengekspor temuan ke ember yang ada di ember lain Akun AWS.

Saat membuat bucket S3 baru atau memilih bucket yang ada di akun Anda, Anda dapat menambahkan awalan opsional. Saat mengonfigurasi temuan ekspor, GuardDuty buat folder baru di bucket S3 untuk temuan Anda. Awalan akan ditambahkan ke struktur folder default yang GuardDuty dibuat. Misalnya, format awalan /AWSLogs/123456789012/GuardDuty/Region opsional.

Seluruh jalur objek S3 akan menjadiamzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. UUIDIni dihasilkan secara acak dan tidak mewakili ID detektor atau ID temuan.

penting

Kunci KMS dan bucket S3 harus berada di Wilayah yang sama.

Sebelum menyelesaikan langkah-langkah ini, pastikan Anda telah melampirkan kebijakan masing-masing ke kunci KMS dan bucket S3 yang ada.

Untuk mengonfigurasi temuan ekspor

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pada halaman Pengaturan, di bawah opsi ekspor temuan, untuk bucket S3, pilih Konfigurasi sekarang (atau Edit, sesuai kebutuhan).

  4. Untuk ember S3 ARN, masukkan. bucket ARN Untuk menemukan bucket ARN, lihat Melihat properti untuk bucket S3 di Panduan Pengguna Amazon S3.

  5. Untuk ARN kunci KMS, masukkan file. key ARN Untuk menemukan kunci ARN, lihat Menemukan ID kunci dan ARN di Panduan Pengembang.AWS Key Management Service

  6. Lampirkan kebijakan

  7. Pilih Simpan.

Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui

Konfigurasikan frekuensi untuk mengekspor temuan aktif yang diperbarui sesuai dengan lingkungan Anda. Secara default, temuan yang diperbarui diekspor setiap 6 jam. Ini berarti bahwa setiap temuan yang diperbarui setelah ekspor terbaru akan disertakan dalam ekspor berikutnya. Jika temuan yang diperbarui diekspor setiap 6 jam dan ekspor dilakukan pada pukul 12:00, setiap temuan yang Anda perbarui setelah pukul 12:00 akan diekspor pada pukul 18:00.

Untuk mengatur frekuensi

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Pilih Pengaturan.

  3. Di bagian Opsi ekspor temuan, pilih Frekuensi untuk temuan yang diperbarui. Ini menetapkan frekuensi untuk mengekspor temuan Aktif yang diperbarui ke keduanya EventBridge dan Amazon S3. Anda dapat memilih dari opsi berikut:

    • Perbarui EventBridge dan S3 setiap 15 menit

    • Update EventBridge dan S3 setiap 1 jam

    • Perbarui EventBridge dan S3 setiap 6 jam (default)

  4. Pilih Simpan perubahan.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.