生成された GuardDuty 検出結果を Amazon S3 バケットにエクスポートする - Amazon GuardDuty
考慮事項ステップ 1 – 結果をエクスポートするために必要なアクセス許可ステップ 2 – KMSキーへのポリシーのアタッチステップ 3 – Amazon S3 バケットへのポリシーのアタッチステップ 4 - 結果を S3 バケットにエクスポートする (コンソール)ステップ 5 – 結果をエクスポートする頻度

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

生成された GuardDuty 検出結果を Amazon S3 バケットにエクスポートする

GuardDuty は、生成された検出結果を 90 日間保持します。 はアクティブな検出結果を Amazon EventBridge () に GuardDuty エクスポートしますEventBridge。必要に応じて、生成された結果を Amazon Simple Storage Service (Amazon S3) バケットにエクスポートできます。これにより、アカウント内の潜在的に疑わしいアクティビティの履歴データを追跡し、推奨される修復ステップが成功したかどうかを評価するのに役立ちます。

GuardDuty が生成する新しいアクティブな検出結果は、検出結果が生成されてから約 5 分以内に自動的にエクスポートされます。アクティブな検出結果の更新が にエクスポートされる頻度を設定できます EventBridge。選択した頻度は、 、S3 バケット (設定されている場合) EventBridge、Detective (統合されている場合) への既存の検出結果の新規出現のエクスポートに適用されます。が既存の検出結果の複数の出現を GuardDuty 集計する方法については、「」を参照してくださいGuardDuty 検出結果の集約

Amazon S3 バケットに検出結果をエクスポートするように設定する場合、 は AWS Key Management Service (AWS KMS) GuardDuty を使用して S3 バケットの検出結果データを暗号化します。そのためには、S3 バケットと AWS KMS キーにアクセス許可を追加して、 がそれらを使用してアカウントに結果をエクスポート GuardDuty できるようにする必要があります。

考慮事項

結果をエクスポートするための前提条件とステップに進む前に、次の主要な概念を検討してください。

  • エクスポート設定はリージョン別 – を使用する各リージョンでエクスポートオプションを設定する必要があります GuardDuty。

  • 異なる AWS リージョン (クロスリージョン) の Amazon S3 バケットに結果をエクスポートする – 次のエクスポート設定 GuardDuty をサポートします。

    • Amazon S3 バケットまたはオブジェクト、および AWS KMS キーは、同じ に属している必要があります AWS リージョン。

    • 商用リージョンで生成された検出結果については、これらの検出結果を任意の商用リージョンの S3 バケットにエクスポートすることを選択できます。ただし、これらの検出結果をオプトインリージョンの S3 バケットにエクスポートすることはできません。

    • オプトインリージョンで生成された検出結果については、これらの検出結果を生成されたのと同じオプトインリージョンまたは任意の商用リージョンにエクスポートすることを選択できます。ただし、あるオプトインリージョンから別のオプトインリージョンに結果をエクスポートすることはできません。

  • 検出結果をエクスポートするアクセス許可 – アクティブな検出結果をエクスポートする設定を行うには、S3 バケットにオブジェクトのアップロード GuardDuty を許可するアクセス許可が必要です。また、検出結果の暗号化 GuardDuty に使用できる AWS KMS キーも必要です。

  • アーカイブされた検出結果はエクスポートされません – デフォルトの動作は、抑制された検出結果の新しいインスタンスを含むアーカイブされた検出結果はエクスポートされません。

    GuardDuty 結果がアーカイブされた として生成される場合は、アーカイブを解除する必要があります。これにより、フィルタ検出結果のステータスアクティブ に変更されます。 の設定方法に基づいて、アーカイブされていない既存の検出結果に更新が GuardDuty エクスポートされますステップ 5 – 結果をエクスポートする頻度

  • GuardDuty 管理者アカウントは、関連するメンバーアカウントで生成された結果をエクスポートできます。管理者アカウントでエクスポート結果を設定すると、同じリージョンで生成された関連するメンバーアカウントからのすべての検出結果は、管理者アカウント用に設定した場所にもエクスポートされます。詳細については、「 GuardDuty 管理者アカウントとメンバーアカウントの関係を理解する」を参照してください。

ステップ 1 – 結果をエクスポートするために必要なアクセス許可

検出結果をエクスポートする設定を行うときは、検出結果を保存する Amazon S3 バケットと、データ暗号化に使用する AWS KMS キーを選択します。結果をエクスポートする設定を正常に設定するには、 GuardDuty アクションのアクセス許可に加えて、次のアクションに対するアクセス許可も必要です。

  • s3:GetBucketLocation

  • s3:PutObject

  • s3:ListBucket

ステップ 2 – KMSキーへのポリシーのアタッチ

GuardDuty は、 を使用してバケット内の検出結果データを暗号化します AWS Key Management Service。設定を正常に設定するには、まずKMSキーを使用する GuardDuty アクセス許可を付与する必要があります。ポリシーをKMSキーにアタッチすることで、アクセス許可を付与できます。

別のアカウントのKMSキーを使用する場合は、キーを所有 AWS アカウント する にログインして、キーポリシーを適用する必要があります。検出結果をエクスポートするように設定する場合、キーを所有するアカウントARNからのキーも必要です。

のKMSキーポリシーを変更 GuardDuty してエクスポートした検出結果を暗号化するには

  1. AWS KMS コンソールを https://console.aws.amazon.com/kms で開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. 既存のKMSキーを選択するか、 AWS Key Management Service デベロッパーガイド新しいキーを作成する手順を実行します。このキーを使用してエクスポートされた検出結果を暗号化します。

    注記

    KMS キーと Amazon S3 バケット AWS リージョン の は同じである必要があります。

    同じ S3 バケットとKMSキーペアを使用して、該当する任意のリージョンから結果をエクスポートできます。詳細については、考慮事項「」でリージョン間での結果のエクスポートを参照してください。

  4. [Key policy] (キーポリシー) セクションで、[Edit] (編集) を選択します。

    ポリシービューに切り替える が表示された場合は、キーポリシー を表示するにはそれを選択し、編集 を選択します。

  5. 次のポリシーブロックをKMSキーポリシーにコピーして、キーを使用するアクセス許可を付与 GuardDutyします。

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. でフォーマットされている次の値を置き換えてポリシーを編集します red ポリシーの例:

    1. 置換 KMS key ARN KMS キーの Amazon リソースネーム (ARN) を使用します。キーを見つけるにはARN、AWS Key Management Service 「 デベロッパーガイド」の「キー ID の検索」およびARN「」を参照してください。

    2. 置換 123456789012 検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID。

    3. 置換 Region2 検出 GuardDuty 結果が生成され AWS リージョン る を使用します。

    4. 置換 SourceDetectorID 結果が発生した特定のリージョンのdetectorID GuardDuty アカウントの 。

      アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    注記

    オプトインリージョン GuardDuty で を使用している場合は、「Service」の値をそのリージョンのリージョンエンドポイントに置き換えます。例えば、中東 (バーレーン) (me-south-1) リージョン GuardDuty で を使用している場合は、 を "Service": "guardduty.amazonaws.com"に置き換えます"Service": "guardduty.me-south-1.amazonaws.com"。各オプトインリージョンのエンドポイントの詳細については、GuardDuty 「エンドポイントとクォータ」を参照してください。

  7. 最終ステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。KMS キーポリシーのJSON構文が有効であることを確認します。

    [Save] を選択します。

  8. (オプション) キーをメモ帳にコピーARNして、後のステップで使用します。

ステップ 3 – Amazon S3 バケットへのポリシーのアタッチ

がオブジェクトをこの S3 バケットにアップロードできるように、検出結果をエクスポートする Amazon S3 バケットにアクセス許可を追加します。 GuardDuty アカウントまたは別の に属する Amazon S3 バケットを使用するのとは関係なく AWS アカウント、これらのアクセス許可を追加する必要があります。

いずれかの時点で別の S3 バケットに結果をエクスポートすることを決定した場合、結果をエクスポートし続けるには、その S3 バケットにアクセス許可を追加し、エクスポート結果の設定を再度設定する必要があります。

これらの検出結果をエクスポートする Amazon S3 バケットがまだない場合は、「Amazon Amazon S3 ユーザーガイド」の「バケットの作成」を参照してください。

S3 バケットポリシーにアクセス許可をアタッチするには

  1. 「Amazon S3 ユーザーガイド」の「バケットポリシーの編集」ページが表示されるまで、「バケットポリシーを作成または編集する」のステップを実行します。 Amazon S3

  2. ポリシーの例は、Amazon S3 バケットに結果をエクスポートするアクセス許可を付与 GuardDutyする方法を示しています。エクスポート結果を設定した後にパスを変更した場合は、ポリシーを変更して新しい場所にアクセス許可を付与する必要があります。

    次のポリシー例をコピーし、バケットポリシーエディタ に貼り付けます。

    最終ステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。KMS キーポリシーのJSON構文が有効であることを確認します。

    S3 バケットポリシーの例

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGuardDutygetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "AllowGuardDutyPutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "DenyUnencryptedUploadsThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyIncorrectHeaderThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "DenyNon-HTTPS",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. でフォーマットされている次の値を置き換えてポリシーを編集します red ポリシーの例:

    1. 置換 Amazon S3 bucket ARN Amazon S3 バケットの Amazon リソースネーム (ARN) を使用します。 Amazon S3 バケットARNは、https://console.aws.amazon.com/s3/コンソールのバケットポリシーの編集ページで確認できます。

    2. 置換 123456789012 検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID。

    3. 置換 Region2 検出 GuardDuty 結果が生成される AWS リージョン を使用します。

    4. 置換 SourceDetectorID 結果が発生した特定のリージョンのdetectorID GuardDuty アカウントの 。

      アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.

    5. 置換 [optional prefix] の一部 S3 bucket ARN/[optional prefix] 検出結果をエクスポートするオプションのフォルダの場所を持つプレースホルダー値。プレフィックスの使用の詳細については、Amazon S3 ユーザーガイド」の「プレフィックスを使用したオブジェクトの整理」を参照してください。

      まだ存在しないオプションのフォルダの場所を指定すると、S3 バケットに関連付けられたアカウントが検出結果をエクスポートするアカウントと同じである場合にのみ、 はその場所 GuardDuty を作成します。別のアカウントに属する S3 バケットに結果をエクスポートする場合、フォルダの場所がすでに存在している必要があります。

    6. 置換 KMS key ARN S3 バケットにエクスポートされた検出結果の暗号化に関連付けられたKMSキーの Amazon リソースネーム (ARN)。キーを見つけるにはARN、AWS Key Management Service 「 デベロッパーガイド」の「キー ID の検索」およびARN「」を参照してください。

    注記

    オプトインリージョン GuardDuty で を使用している場合は、「Service」の値をそのリージョンのリージョンエンドポイントに置き換えます。例えば、中東 (バーレーン) (me-south-1) リージョン GuardDuty で を使用している場合は、 を "Service": "guardduty.amazonaws.com"に置き換えます"Service": "guardduty.me-south-1.amazonaws.com"。各オプトインリージョンのエンドポイントの詳細については、GuardDuty 「エンドポイントとクォータ」を参照してください。

  4. [Save] を選択します。

ステップ 4 - 結果を S3 バケットにエクスポートする (コンソール)

GuardDuty では、別の の既存のバケットに結果をエクスポートできます AWS アカウント。

新しい S3 バケットを作成するとき、またはアカウントで既存のバケットを選択するときは、オプションのプレフィックスを追加できます。エクスポート結果を設定すると、 は結果用に S3 バケットに新しいフォルダ GuardDuty を作成します。プレフィックスは、 GuardDuty 作成したデフォルトのフォルダ構造に追加されます。例えば、オプションのプレフィックス の形式です/AWSLogs/123456789012/GuardDuty/Region

S3 オブジェクトのパス全体は になりますamzn-s3-demo-bucket/prefix-name/UUID.jsonl.gzUUID はランダムに生成され、ディテクター ID または検出結果 ID を表しません。

重要

KMS キーと S3 バケットは同じリージョンにある必要があります。

これらのステップを完了する前に、KMSキーと既存の S3 バケットにそれぞれのポリシーがアタッチされていることを確認してください。

エクスポート結果を設定するには

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [設定] を選択します。

  3. 設定ページで、S3 バケット の検出結果エクスポートオプション で、今すぐ設定 (または必要に応じて編集) を選択します。

  4. S3 バケット ARNの場合は、 を入力しますbucket ARN。バケットを検索するにはARN、「Amazon S3 ユーザーガイド」の「S3 バケットのプロパティの表示」を参照してください。 Amazon S3 https://console.aws.amazon.com/guardduty/ コンソールの関連付けられたバケットのプロパティページのアクセス許可タブ。

  5. KMS キー ARNには、 を入力しますkey ARN。キーを見つけるにはARN、AWS Key Management Service 「 デベロッパーガイド」の「キー ID の検索」およびARN「」を参照してください。

  6. ポリシーのアタッチ

  7. [Save] を選択します。

ステップ 5 – 更新されたアクティブな検出結果をエクスポートする頻度を設定する

環境に応じて、更新されたアクティブな検出結果をエクスポートする頻度を設定します。デフォルトでは、更新された検出結果は 6 時間ごとにエクスポートされます。つまり、最新のエクスポート後に更新された検出結果が、次のエクスポートに含まれます。更新された検出結果が 6 時間ごとにエクスポートされ、エクスポートが 12:00 に発生した場合、12:00 以降に更新した検出結果が 18:00 にエクスポートされます。

頻度を設定するには

  1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/

  2. [設定] を選択します。

  3. [Findings export options] (結果のエクスポートオプション) セクションで、[Frequency for updated findings] (更新された結果の頻度) を選択します。これにより、更新されたアクティブ検出結果を EventBridge と Amazon S3 の両方にエクスポートする頻度が設定されます。次から選択できます。

    • 15 分ごとに EventBridge と S3 を更新する

    • 1 時間ごとに EventBridge と S3 を更新する

    • 6 時間ごとに CWEと S3 を更新する (デフォルト)

  4. [Save changes] (変更の保存) をクリックします。