GuardDuty informazioni in CloudTrail GuardDuty eventi del piano di controllo in CloudTrail GuardDuty eventi relativi ai dati in CloudTrail

Registrazione delle chiamate GuardDuty API Amazon con AWS CloudTrail

Amazon GuardDuty è integrato conAWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in GuardDuty. CloudTrail acquisisce tutte le chiamate API relative GuardDuty agli eventi, incluse le chiamate dalla GuardDuty console e le chiamate in codice alle GuardDuty API. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon Simple Storage Service (Amazon S3), inclusi gli eventi per. GuardDuty Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta a cui è stata effettuata GuardDuty, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni CloudTrail, incluse le modalità di configurazione e attivazione, consulta la Guida per l'AWS CloudTrailutente.

GuardDuty informazioni in CloudTrail

CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività di evento supportata in GuardDuty, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella cronologia degli eventi. È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account AWS. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi di GuardDuty, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni . Il trail registra gli eventi di tutte le Regioni nella partizione AWS e distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consultare:

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

Se la richiesta è stata effettuata con le credenziali di accesso utente root o utente IAM
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
Se la richiesta è stata effettuata da un altro servizio AWS.

Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .

GuardDuty eventi del piano di controllo in CloudTrail

Per impostazione predefinita, CloudTrail registra tutte le operazioni GuardDuty API fornite in Amazon GuardDuty API Reference come eventi nei CloudTrail file.

GuardDuty eventi relativi ai dati in CloudTrail

Monitoraggio del runtime in GuardDutyutilizza un agente di GuardDuty sicurezza distribuito nei cluster Amazon Elastic Kubernetes Service (Amazon EKS), solo nelle attività Amazon Elastic Compute Cloud (Amazon EC2) e nelle aws-guardduty-agent attività (Amazon Elastic Container Service (AWS FargateAmazon ECS)) per raccogliere componenti aggiuntivi () che raccolgono Tipi di eventi di runtime raccolti i carichi di lavoro e inviarli a rilevamento e analisi delle minacce. AWS GuardDuty

Registrazione e monitoraggio degli eventi di dati

Facoltativamente, puoi configurare i log per visualizzare gli eventi relativi ai dati per il tuo agente di sicurezza. AWS CloudTrail GuardDuty

Per creare e configurare CloudTrail, consulta Data events nella Guida per l'AWS CloudTrailutente e segui le istruzioni per Logging data events con selettori di eventi avanzati in. AWS Management Console Durante la registrazione del trail, assicurati di apportare le modifiche seguenti:

Per il tipo di evento Data, scegli GuardDuty detector.
Per il Modello di selettore di log, scegli Registra tutti gli eventi.

Espandi la Visualizzazione JSON per la configurazione, che dovrebbe essere simile al file JSON seguente:


[
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

Dopo aver abilitato il selettore per il percorso, accedi alla console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/. Puoi scaricare gli eventi relativi ai dati dal bucket S3 scelto al momento della configurazione dei log. CloudTrail

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rifiuto esplicito all'utilizzo dei dati volto al miglioramento del servizio

Esempio: voci dei file di registro GuardDuty