Memulai dengan GuardDuty - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan GuardDuty

Tutorial ini memberikan pengantar langsung ke. GuardDuty Persyaratan minimum untuk mengaktifkan GuardDuty sebagai akun mandiri atau sebagai GuardDuty administrator AWS Organizations tercakup dalam Langkah 1. Langkah 2 hingga 5 mencakup menggunakan fitur tambahan yang direkomendasikan oleh GuardDuty untuk mendapatkan hasil maksimal dari temuan Anda.

Sebelum Anda mulai

GuardDuty adalah layanan deteksi ancaman yang memantau GuardDuty sumber data dasar seperti log AWS CloudTrail peristiwa, peristiwa AWS CloudTrail manajemen, Amazon VPC Flow Logs, dan DNS log. GuardDutyjuga menganalisis fitur yang terkait dengan jenis perlindungannya hanya jika Anda mengaktifkannya secara terpisah. Fitur termasuk log audit Kubernetes, aktivitas RDS login, log S3, EBS volume, pemantauan Runtime, dan log aktivitas jaringan Lambda. Menggunakan sumber dan fitur data ini (jika diaktifkan), GuardDuty menghasilkan temuan keamanan untuk akun Anda.

Setelah Anda mengaktifkan GuardDuty, itu mulai memantau lingkungan Anda. Anda dapat GuardDuty menonaktifkan akun apa pun di Wilayah mana pun, kapan saja. Ini akan berhenti GuardDuty dari memproses sumber data dasar dan fitur apa pun yang diaktifkan secara terpisah.

Anda tidak perlu mengaktifkan salah satu GuardDuty sumber data dasar secara eksplisit. Saat mengaktifkan Perlindungan S3, Anda tidak perlu mengaktifkan pencatatan peristiwa data Amazon S3 secara eksplisit. Demikian pula, ketika Anda mengaktifkan EKS Perlindungan, Anda tidak perlu mengaktifkan log EKS audit Amazon secara eksplisit. Amazon GuardDuty menarik aliran data independen langsung dari layanan ini. Untuk GuardDuty akun baru, beberapa jenis perlindungan yang tersedia yang didukung dalam akun Wilayah AWS diaktifkan dan disertakan dalam periode uji coba gratis 30 hari secara default. Anda dapat memilih keluar dari salah satu atau semuanya. Jika sudah ada Akun AWS dengan GuardDuty diaktifkan, Anda dapat memilih untuk mengaktifkan salah satu atau semua paket perlindungan yang tersedia di Wilayah Anda. Untuk ikhtisar rencana perlindungan dan rencana perlindungan mana yang akan diaktifkan secara default, lihatHarga di GuardDuty.

Saat mengaktifkan GuardDuty, pertimbangkan item berikut:

  • GuardDuty adalah layanan Regional, artinya prosedur konfigurasi apa pun yang Anda ikuti di halaman ini harus diulang di setiap Wilayah yang ingin Anda pantau GuardDuty.

    Kami sangat menyarankan agar Anda mengaktifkan GuardDuty di semua AWS Wilayah yang didukung. Hal ini memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang tidak Anda gunakan secara aktif. Ini juga memungkinkan GuardDuty untuk memantau AWS CloudTrail acara untuk AWS layanan global sepertiIAM. Jika tidak GuardDuty diaktifkan di semua Wilayah yang didukung, kemampuannya untuk mendeteksi aktivitas yang melibatkan layanan global berkurang. Untuk daftar lengkap Wilayah yang GuardDuty tersedia, lihatWilayah dan titik akhir.

  • Setiap pengguna dengan hak administrator di AWS akun dapat mengaktifkan GuardDuty, namun, mengikuti praktik keamanan terbaik dengan hak istimewa terkecil, disarankan agar Anda membuat IAM peran, pengguna, atau grup untuk dikelola GuardDuty secara khusus. Untuk informasi tentang izin yang diperlukan untuk mengaktifkan GuardDuty lihatIzin diperlukan untuk mengaktifkan GuardDuty.

  • Ketika Anda mengaktifkan GuardDuty untuk pertama kalinya di salah satu Wilayah AWS, secara default, itu juga memungkinkan semua jenis perlindungan yang tersedia yang didukung di Wilayah tersebut, termasuk Perlindungan Malware untukEC2. GuardDuty membuat peran terkait layanan untuk akun Anda yang dipanggil. AWSServiceRoleForAmazonGuardDuty Peran ini mencakup izin dan kebijakan kepercayaan yang memungkinkan GuardDuty untuk mengkonsumsi dan menganalisis peristiwa secara langsung dari GuardDuty sumber data dasar untuk menghasilkan temuan keamanan. Perlindungan Malware untuk EC2 membuat peran terkait layanan lain untuk akun Anda yang dipanggil. AWSServiceRoleForAmazonGuardDutyMalwareProtection Peran ini mencakup izin dan kebijakan kepercayaan yang memungkinkan Perlindungan Malware untuk EC2 melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot EBS volume di akun Anda, dan berbagi snapshot itu dengan akun GuardDuty layanan. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk GuardDuty. Untuk informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan.

  • Saat Anda mengaktifkan GuardDuty untuk pertama kalinya di Wilayah mana pun, AWS akun Anda secara otomatis terdaftar dalam uji coba GuardDuty gratis 30 hari untuk Wilayah tersebut.

Video berikut menjelaskan bagaimana akun administrator dapat memulai GuardDuty dan mengaktifkannya di beberapa akun anggota.

Langkah 1: Aktifkan Amazon GuardDuty

Langkah pertama yang harus digunakan GuardDuty adalah mengaktifkannya di akun Anda. Setelah diaktifkan, GuardDuty akan segera mulai memantau ancaman keamanan di Wilayah saat ini.

Jika Anda ingin mengelola GuardDuty temuan untuk akun lain dalam organisasi Anda sebagai GuardDuty administrator, Anda harus menambahkan akun anggota dan GuardDuty mengaktifkannya juga.

catatan

Jika Anda ingin mengaktifkan Perlindungan GuardDuty Malware untuk S3 tanpa mengaktifkan GuardDuty, maka untuk langkah-langkahnya, lihat. GuardDuty Perlindungan Malware untuk S3

Standalone account environment
  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/

  2. Pilih opsi Amazon GuardDuty - Semua fitur.

  3. Pilih Mulai.

  4. Pada GuardDuty halaman Selamat Datang di, lihat persyaratan layanan. Pilih Aktifkan GuardDuty.

Multi-account environment
penting

Sebagai prasyarat untuk proses ini, Anda harus berada di organisasi yang sama dengan semua akun yang ingin Anda kelola, dan memiliki akses ke akun AWS Organizations manajemen untuk mendelegasikan administrator di dalam organisasi Anda. GuardDuty Izin tambahan mungkin diperlukan untuk mendelegasikan administrator, untuk info selengkapnya, lihat Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty .

Untuk menunjuk akun administrator yang didelegasikan GuardDuty

  1. Buka AWS Organizations konsol di https://console.aws.amazon.com/organizations/, menggunakan akun manajemen.

  2. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

    Apakah GuardDuty sudah diaktifkan di akun Anda?

    • Jika belum GuardDuty diaktifkan, Anda dapat memilih Memulai dan kemudian menunjuk administrator yang GuardDuty didelegasikan pada halaman Selamat Datang GuardDuty di.

    • Jika GuardDuty diaktifkan, Anda dapat menunjuk administrator yang GuardDuty didelegasikan pada halaman Pengaturan.

  3. Masukkan ID AWS akun dua belas digit dari akun yang ingin Anda tetapkan sebagai administrator yang GuardDuty didelegasikan untuk organisasi dan pilih Delegasi.

    catatan

    Jika belum GuardDuty diaktifkan, menunjuk administrator yang didelegasikan akan mengaktifkan GuardDuty akun tersebut di Wilayah Anda saat ini.

Untuk menambahkan akun anggota

Prosedur ini mencakup penambahan akun anggota ke akun administrator yang GuardDuty didelegasikan melalui AWS Organizations. Ada juga opsi untuk menambahkan anggota melalui undangan. Untuk mempelajari lebih lanjut tentang kedua metode untuk mengasosiasikan anggota GuardDuty, lihatBeberapa akun di Amazon GuardDuty.

  1. Masuk ke akun administrator yang didelegasikan

  2. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  3. Di panel navigasi, pilih Pengaturan, lalu pilih Akun.

    Tabel akun menampilkan semua akun dalam organisasi.

  4. Pilih akun yang ingin Anda tambahkan sebagai anggota dengan mencentang kotak di samping ID akun. Kemudian dari menu Tindakan, pilih Tambah anggota.

    Tip

    Anda dapat mengotomatiskan penambahan akun baru sebagai anggota dengan mengaktifkan fitur Aktifkan otomatis; namun, ini hanya berlaku untuk akun yang bergabung dengan organisasi Anda setelah fitur diaktifkan.

Langkah 2: Menghasilkan temuan sampel dan menjelajahi operasi dasar

Ketika GuardDuty menemukan masalah keamanan, itu menghasilkan temuan. GuardDuty Temuan adalah kumpulan data yang berisi detail yang berkaitan dengan masalah keamanan unik itu. Detail temuan dapat digunakan untuk membantu Anda menyelidiki masalah tersebut.

GuardDuty mendukung menghasilkan temuan sampel dengan nilai placeholder, yang dapat digunakan untuk menguji GuardDuty fungsionalitas dan membiasakan diri dengan temuan sebelum perlu menanggapi masalah keamanan nyata yang ditemukan oleh. GuardDuty Ikuti panduan di bawah ini untuk menghasilkan temuan sampel untuk setiap jenis temuan yang tersedia di GuardDuty, untuk cara tambahan untuk menghasilkan temuan sampel, termasuk menghasilkan peristiwa keamanan simulasi dalam akun Anda, lihatSampel temuan.

Untuk membuat dan mengeksplorasi temuan sampel

  1. Pada panel navigasi, silakan pilih Pengaturan.

  2. Di halaman Pengaturan, di bawah Sampel temuan, pilih Buat sampel temuan.

  3. Di panel navigasi, pilih Ringkasan untuk melihat wawasan tentang temuan yang dihasilkan di lingkungan Anda AWS . Untuk informasi selengkapnya tentang komponen dasbor Ringkasan, lihatDasbor ringkasan di Amazon GuardDuty.

  4. Di panel navigasi, pilih Temuan. Temuan sampel ditampilkan pada halaman Temuan saat ini dengan awalan [SAMPLE].

  5. Pilih temuan dari daftar untuk menampilkan detail temuan.

    1. Anda dapat meninjau bidang informasi yang berbeda yang tersedia di panel detail temuan. Berbagai jenis temuan dapat memiliki bidang yang berbeda. Untuk informasi selengkapnya tentang bidang yang tersedia di semua jenis pencarian, lihatDetail temuan. Dari panel detail, Anda dapat mengambil tindakan berikut:

      • Pilih ID pencarian di bagian atas panel untuk membuka JSON detail lengkap temuan tersebut. JSONFile lengkap juga dapat diunduh dari panel ini. JSONIni berisi beberapa informasi tambahan yang tidak termasuk dalam tampilan konsol dan merupakan format yang dapat dicerna oleh alat dan layanan lain.

      • Lihat bagian Sumber daya yang terpengaruh. Dalam temuan nyata, informasi di sini akan membantu Anda mengidentifikasi sumber daya di akun Anda yang harus diselidiki dan akan menyertakan tautan ke sumber daya yang sesuai AWS Management Console untuk ditindaklanjuti.

      • Pilih ikon kaca pembesar dengan + atau - untuk membuat filter inklusif atau eksklusif untuk detail tersebut. Untuk informasi selengkapnya tentang menemukan filter, lihatMelihat temuan yang disaring di GuardDuty.

  6. Arsipkan semua temuan sampel Anda

    1. Pilih semua temuan dengan memilih kotak centang di bagian atas daftar.

    2. Hapus pilihan temuan apa pun yang ingin Anda simpan.

    3. Pilih menu Tindakan, lalu pilih Arsip untuk menyembunyikan temuan sampel.

      catatan

      Untuk melihat temuan yang diarsipkan, pilih Saat ini, lalu pilih Diarsipkan untuk beralih tampilan temuan.

Langkah 3: Konfigurasikan GuardDuty temuan ekspor ke bucket Amazon S3

GuardDuty merekomendasikan konfigurasi pengaturan untuk mengekspor temuan karena memungkinkan Anda untuk mengekspor temuan Anda ke bucket S3 untuk penyimpanan tidak terbatas di luar periode retensi 90 hari. GuardDuty Ini memungkinkan Anda untuk menyimpan catatan temuan atau melacak masalah dalam AWS lingkungan Anda dari waktu ke waktu. Proses yang diuraikan di sini memandu Anda melalui pengaturan bucket S3 baru dan membuat KMS kunci baru untuk mengenkripsi temuan dari dalam konsol. Untuk informasi selengkapnya tentang hal ini, termasuk cara menggunakan bucket atau bucket yang sudah ada di akun lain, lihatMengekspor temuan yang dihasilkan ke Amazon S3.

Untuk mengonfigurasi opsi temuan ekspor S3
  1. Untuk mengenkripsi temuan, Anda memerlukan KMS kunci dengan kebijakan yang memungkinkan GuardDuty untuk menggunakan kunci tersebut untuk enkripsi. Langkah-langkah berikut akan membantu Anda membuat KMS kunci baru. Jika Anda menggunakan KMS kunci dari akun lain, Anda perlu menerapkan kebijakan kunci dengan masuk ke Akun AWS yang memiliki kunci tersebut. Wilayah KMS kunci dan bucket S3 Anda harus sama. Namun, Anda dapat menggunakan bucket dan key pair yang sama ini untuk setiap Wilayah tempat Anda ingin mengekspor temuan.

    1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

    2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

    3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

    4. Pilih Buat kunci.

    5. Pilih Symmetric di bawah Key type, lalu pilih Next.

      catatan

      Untuk langkah-langkah mendetail tentang membuat KMS kunci, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.

    6. Berikan Alias untuk kunci Anda, lalu pilih Berikutnya.

    7. Pilih Berikutnya, dan sekali lagi pilih Berikutnya untuk menerima administrasi default dan izin penggunaan.

    8. Setelah Anda meninjau konfigurasi, pilih Selesai untuk membuat kunci.

    9. Pada halaman kunci yang dikelola Pelanggan, pilih alias kunci Anda.

    10. Di tab Kebijakan kunci, pilih Beralih ke tampilan kebijakan.

    11. Pilih Edit dan tambahkan kebijakan kunci berikut ke KMS kunci Anda, berikan GuardDuty akses ke kunci Anda. Pernyataan ini memungkinkan GuardDuty untuk hanya menggunakan kunci yang Anda tambahkan kebijakan ini. Saat mengedit kebijakan kunci, pastikan JSON sintaksnya valid. Jika Anda menambahkan pernyataan sebelum pernyataan akhir, Anda harus menambahkan koma setelah braket penutup.

      { "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID" } } }

      Ganti Region1 dengan Wilayah KMS kunci Anda. Ganti 444455556666 dengan Akun AWS yang memiliki KMS kuncinya. Ganti KMSKeyId dengan ID kunci KMS kunci yang Anda pilih untuk enkripsi. Untuk mengidentifikasi semua nilai ini — Wilayah Akun AWS, dan ID kunci, lihat KMS kunci Anda. ARN Untuk menemukan kunciARN, lihat Menemukan ID kunci dan ARN.

      Demikian pula, ganti 111122223333 dengan Akun AWS GuardDuty akun. Ganti Region2 dengan Wilayah GuardDuty akun. Ganti SourceDetectorID dengan ID detektor GuardDuty akun untuk Region2.

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

    12. Pilih Simpan.

  2. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  3. Pada panel navigasi, silakan pilih Pengaturan.

  4. Di bawah opsi ekspor temuan, pilih Konfigurasi sekarang.

  5. Pilih ember baru. Berikan nama unik untuk bucket S3 Anda.

  6. (Opsional) Anda dapat menguji pengaturan ekspor baru Anda dengan menghasilkan temuan sampel. Pada panel navigasi, silakan pilih Pengaturan.

  7. Di bawah bagian Temuan sampel, pilih Hasilkan temuan sampel. Temuan sampel baru akan muncul sebagai entri dalam ember S3 yang dibuat GuardDuty hingga lima menit.

Langkah 4: Siapkan GuardDuty pencarian peringatan melalui SNS

GuardDuty terintegrasi dengan Amazon EventBridge, yang dapat digunakan untuk mengirim data temuan ke aplikasi dan layanan lain untuk diproses. Dengan EventBridge Anda dapat menggunakan GuardDuty temuan untuk memulai respons otomatis terhadap temuan Anda dengan menghubungkan peristiwa pencarian ke target seperti AWS Lambda fungsi, otomatisasi Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) dan banyak lagi.

Dalam contoh ini Anda akan membuat SNS topik untuk menjadi target EventBridge aturan, lalu Anda akan menggunakan EventBridge untuk membuat aturan yang menangkap data temuan dari GuardDuty. Aturan yang dihasilkan akan meneruskan detail temuan ke alamat email. Untuk mempelajari bagaimana Anda dapat mengirim temuan ke Slack atau Amazon Chime, dan juga memodifikasi jenis peringatan temuan yang dikirim, lihat. Siapkan SNS topik dan titik akhir Amazon

Untuk membuat SNS topik untuk peringatan temuan Anda

  1. Buka SNS konsol Amazon di https://console.aws.amazon.com/sns/v3/home.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih Buat Topik.

  4. Untuk Jenis, pilih Standar.

  5. Untuk Nama, masukkan GuardDuty.

  6. Pilih Buat Topik. Detail topik untuk topik baru Anda akan terbuka.

  7. Di bagian Subscriptions (Berlangganan), pilih Create subscription (Buat langganan).

  8. Untuk Protokol, pilih Email.

  9. Untuk Endpoint, masukkan alamat email untuk mengirim notifikasi.

  10. Pilih Buat langganan.

    Setelah Anda membuat langganan, Anda harus mengonfirmasi langganan melalui email.

  11. Untuk memeriksa pesan langganan, buka kotak masuk email Anda, dan di pesan berlangganan, pilih Konfirmasi langganan.

    catatan

    Untuk memeriksa status konfirmasi email, buka SNS konsol dan pilih Langganan.

Untuk membuat EventBridge aturan untuk menangkap GuardDuty temuan dan memformatnya

  1. Buka EventBridge konsol di https://console.aws.amazon.com/events/.

  2. Di panel navigasi, pilih Aturan.

  3. Pilih Buat aturan.

  4. Masukkan nama dan deskripsi untuk aturan.

    Aturan tidak boleh memiliki nama yang sama dengan aturan lain di Wilayah yang sama dan di bus peristiwa yang sama.

  5. Untuk Bus peristiwa, pilih default.

  6. Untuk Tipe aturan, pilih Aturan dengan pola peristiwa.

  7. Pilih Selanjutnya.

  8. Untuk sumber acara, pilih AWS acara.

  9. Untuk pola Acara, pilih Formulir pola acara.

  10. Untuk Sumber peristiwa, pilih Layanan AWS .

  11. Untuk Layanan AWS , pilih GuardDuty.

  12. Untuk Jenis Acara, pilih GuardDutyMenemukan.

  13. Pilih Berikutnya.

  14. Untuk Jenis target, pilih Layanan AWS .

  15. Untuk Pilih target, pilih SNStopik, dan untuk Topik, pilih nama SNS topik yang Anda buat sebelumnya.

  16. Di bagian Pengaturan tambahan, untuk Konfigurasi input target, pilih Transformator input.

    Menambahkan transformator input memformat data JSON temuan yang dikirim dari GuardDuty ke dalam pesan yang dapat dibaca manusia.

  17. Pilih Konfigurasi transformator input.

  18. Di bagian Transformator input target, untuk jalur Input, tempel kode berikut:

    { "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
  19. Untuk memformat email, untuk Template, tempel kode berikut dan pastikan untuk mengganti teks berwarna merah dengan nilai yang sesuai dengan Wilayah Anda:

    "You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region." "Finding Description:" "Finding_Description." "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"
  20. Pilih Konfirmasi.

  21. Pilih Berikutnya.

  22. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat EventBridge tag Amazon di Panduan EventBridge Pengguna Amazon.

  23. Pilih Berikutnya.

  24. Tinjau detail aturan dan pilih Buat aturan.

  25. (Opsional) Uji aturan baru Anda dengan menghasilkan temuan sampel dengan proses di Langkah 2. Anda akan menerima email untuk setiap temuan sampel yang dihasilkan.

Langkah selanjutnya

Saat Anda terus menggunakan GuardDuty, Anda akan memahami jenis temuan yang relevan dengan lingkungan Anda. Setiap kali Anda menerima temuan baru, Anda dapat menemukan informasi, termasuk rekomendasi perbaikan tentang temuan itu, dengan memilih Pelajari lebih lanjut dari deskripsi temuan di panel rincian temuan, atau dengan mencari nama temuan di. GuardDuty menemukan jenis

Fitur-fitur berikut akan membantu Anda menyetel GuardDuty sehingga dapat memberikan temuan yang paling relevan untuk AWS lingkungan Anda:

  • Untuk mengurutkan temuan dengan mudah berdasarkan kriteria tertentu, seperti ID instans, ID akun, nama bucket S3, dan lainnya, Anda dapat membuat dan menyimpan filter di dalamnya GuardDuty. Untuk informasi selengkapnya, lihat Melihat temuan yang disaring di GuardDuty.

  • Jika Anda menerima temuan untuk perilaku yang diharapkan di lingkungan Anda, Anda dapat secara otomatis mengarsipkan temuan berdasarkan kriteria yang Anda tentukan dengan aturan penekanan.

  • Untuk mencegah temuan dihasilkan dari subset tepercayaIPs, atau memiliki GuardDuty monitor IPs di luar lingkup pemantauan normalnya, Anda dapat menyiapkan IP Tepercaya dan daftar ancaman.