GuardDuty informazioni in CloudTrail GuardDuty eventi del piano di controllo in CloudTrail GuardDuty eventi relativi ai dati in CloudTrail

Registrazione delle GuardDuty API chiamate Amazon con AWS CloudTrail

Amazon GuardDuty è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in GuardDuty. CloudTrail acquisisce tutte le API chiamate GuardDuty come eventi, incluse le chiamate dalla GuardDuty console e le chiamate in codice verso GuardDuty APIs. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon Simple Storage Service (Amazon S3), inclusi gli eventi per. GuardDuty Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta a cui è stata effettuata GuardDuty, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni CloudTrail, incluse le modalità di configurazione e attivazione, consulta la Guida per l'AWS CloudTrail utente.

GuardDuty informazioni in CloudTrail

CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività di evento supportata in GuardDuty, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare gli eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi di GuardDuty, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consultare:

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

Se la richiesta è stata effettuata con le credenziali di accesso IAM dell'utente root o dell'utente
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
Se la richiesta è stata effettuata da un altro servizio AWS

Per ulteriori informazioni, vedere CloudTrail userIdentityelement.

GuardDuty eventi del piano di controllo in CloudTrail

Per impostazione predefinita, CloudTrail registra tutte le GuardDuty API operazioni fornite in Amazon GuardDuty API Reference come eventi nei CloudTrail file.

GuardDuty eventi relativi ai dati in CloudTrail

GuardDuty monitoraggio del runtimeutilizza un agente di GuardDuty sicurezza distribuito nei cluster Amazon Elastic Kubernetes Service (Amazon), nelle istanze EKS Amazon Elastic Compute Cloud (Amazon) AWS Fargate e nelle attività (solo EC2 Amazon Elastic Container Service (Amazon)) per aws-guardduty-agent raccogliere componenti aggiuntivi ECS (Tipi di eventi di runtime raccolti) che AWS raccolgono i carichi di lavoro e quindi inviarli per il rilevamento e l'analisi delle minacce. GuardDuty

Registrazione e monitoraggio degli eventi di dati

Facoltativamente, puoi configurare i log per visualizzare gli eventi relativi ai dati per il AWS CloudTrail tuo agente di sicurezza. GuardDuty

Per creare e configurare CloudTrail, consulta Data events nella Guida per l'AWS CloudTrail utente e segui le istruzioni per Logging data events con selettori di eventi avanzati in. AWS Management Console Durante la registrazione del trail, assicurati di apportare le modifiche seguenti:

Per il tipo di evento Data, scegli GuardDuty detector.
Per il Modello di selettore di log, scegli Registra tutti gli eventi.

Espandi la JSONvista per la configurazione. Dovrebbe essere simile al seguenteJSON:


[
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

Dopo aver abilitato il selettore per il percorso, accedi alla console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/ Puoi scaricare gli eventi relativi ai dati dal bucket S3 scelto al momento della configurazione dei log. CloudTrail

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rifiuto esplicito all'utilizzo dei dati volto al miglioramento del servizio

Esempio: voci dei file di registro GuardDuty