Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Amazon GuardDuty terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di GuardDuty. CloudTrail menangkap semua API panggilan untuk GuardDuty sebagai acara, termasuk panggilan dari GuardDuty konsol dan dari panggilan kode ke GuardDuty APIs. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon Simple Storage Service (Amazon S3), termasuk acara untuk. GuardDuty Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam Riwayat acara. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat GuardDuty, alamat IP tempat permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk informasi selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat Panduan AWS CloudTrail Pengguna.
GuardDuty informasi di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas acara yang didukung terjadi di GuardDuty, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara.
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk GuardDuty, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak diterapkan ke semua Region. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat:
Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut ini:
-
Apakah permintaan dibuat dengan pengguna root atau IAM kredenal masuk pengguna
-
Baik permintaan tersebut dibuat dengan kredensial keamanan sementara untuk peran atau pengguna gabungan
-
Apakah permintaan itu dibuat oleh AWS layanan lain
Untuk informasi lebih lanjut, lihat CloudTrail userIdentityelemen.
GuardDuty peristiwa pesawat kontrol di CloudTrail
Secara default, CloudTrail mencatat semua GuardDuty API operasi yang disediakan di GuardDuty APIReferensi Amazon sebagai peristiwa dalam CloudTrail file.
GuardDuty peristiwa data di CloudTrail
GuardDuty Pemantauan Runtimemenggunakan agen GuardDuty keamanan yang diterapkan ke kluster Amazon Elastic Kubernetes Service (Amazon), instans EKS Amazon Elastic Compute Cloud (EC2Amazon), AWS Fargate dan tugas (hanya Amazon Elastic Container Service ECS (Amazon)) untuk aws-guardduty-agent
mengumpulkan add-on (Jenis acara runtime yang dikumpulkan) yang AWS mengumpulkan beban kerja Anda dan kemudian mengirimkannya ke untuk deteksi dan analisis ancaman. GuardDuty
Pencatatan dan pemantauan peristiwa data
Anda dapat mengonfigurasi AWS CloudTrail log secara opsional untuk melihat peristiwa data untuk agen GuardDuty keamanan Anda.
Untuk membuat dan mengonfigurasi CloudTrail, lihat Peristiwa data di Panduan AWS CloudTrail Pengguna dan ikuti petunjuk untuk Mencatat peristiwa data dengan pemilih peristiwa lanjutan di AWS Management Console. Saat mencatat jejak, pastikan untuk membuat perubahan berikut:
-
Untuk tipe peristiwa Data, pilih GuardDutydetektor.
-
Untuk template pemilih Log, pilih Log semua peristiwa.
-
Perluas JSONtampilan untuk konfigurasi. Ini harus mirip dengan yang berikutJSON:
[ { "name": "", "fieldSelectors": [ { "field": "eventCategory", "equals": [ "Data" ] }, { "field": "resources.type", "equals": [ "AWS::GuardDuty::Detector" ] } ] } ]
Setelah Anda mengaktifkan pemilih untuk jejak, navigasikan ke konsol Amazon S3 di. https://console.aws.amazon.com/s3/