Alterações na API do GuardDuty em março de 2023 - Amazon GuardDuty
Comparação de atributos com fontes de dadosComo funcionam as APIs com atributosComo incorporar alterações de atributos nas APIsAtributo do GuardDuty mapeado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterações na API do GuardDuty em março de 2023

As APIs do GuardDuty configuram recursos de proteção que não pertencem à lista de Fontes de dados fundamentais do GuardDuty. Um objeto de atributo contém detalhes do recurso, como nome e status do atributo, e pode conter configurações adicionais para alguns planos de proteção. Essa migração afeta as seguintes APIs na Referência de API do Amazon GuardDuty:

Comparação de atributos com fontes de dados

Historicamente, todos os recursos do GuardDuty passavam por um objeto dataSources na API. A partir de março de 2023, o GuardDuty prefere o objeto features em vez do objeto dataSources na API. Todas as fontes de dados anteriores têm seus respectivos atributos, mas os mais recentes podem não ter suas respectivas fontes de dados.

A lista a seguir mostra a comparação entre os objetos dataSources e features ao passarem por uma API:

  • O objeto dataSources contém objetos para cada tipo de proteção e seu status. O objeto features é uma lista dos atributos disponíveis que correspondem a cada tipo de proteção no GuardDuty.

    A partir de março de 2023, a habilitação de recursos será a única forma de configurar novos atributos do GuardDuty em seu ambiente da AWS.

  • O esquema dataSources na solicitação ou resposta da API é o mesmo em cada Região da AWS em que o GuardDuty está disponível. No entanto, é possível que nem todos os atributos estejam disponíveis em cada região. Portanto, os nomes dos atributos disponíveis podem variar dependendo da região.

Como funcionam as APIs com atributos

As APIs do GuardDuty continuarão retornando um objeto dataSources, conforme aplicável, e também retornarão um objeto features contendo as mesmas informações em um formato diferente. Os atributos do GuardDuty lançados antes de março de 2023 estarão disponíveis por meio do objeto dataSources e do objeto features. Os atributos lançados pelo GuardDuty a partir de março de 2023 só estarão disponíveis por meio do objeto features. Não é possível criar ou atualizar um detector ou descrevê-lo AWS Organizations usando notação de objeto dataSources e features ambos na mesma solicitação de API. Para habilitar os tipos de proteção do GuardDuty, é necessário migrar suas fontes de dados existentes para o objeto features usando as mesmas APIs que agora também incluem o objeto features.

nota

O GuardDuty não adicionará uma nova fonte de dados após essa modificação.

O GuardDuty suspendeu o uso de fontes de dados associadas aos planos de proteção. No entanto, ele ainda é compatível com Fontes de dados fundamentais do GuardDuty. As práticas recomendadas do GuardDuty propõem o uso de atributos para ativar ou editar a configuração de qualquer plano de proteção em sua conta.

Como incorporar alterações de atributos nas APIs

  • Caso gerencie as configurações do GuardDuty por meio de APIs, SDKs ou modelos AWS CloudFormation e queira habilitar possíveis novos atributos do GuardDuty, é necessário modificar o código e o modelo, respectivamente. Para obter mais informações, consulte as APIs atualizadas na Referência da API do Amazon GuardDuty.

  • Para os atributos do GuardDuty configurados antes dessa atualização, é possível continuar usando as APIs, os SDKs ou o modelo do AWS CloudFormation. No entanto, recomendamos que se passe a usar o objeto feature.

    Todas as fontes de dados têm um objeto de atributo equivalente. Para obter mais informações, consulte Como mapear dataSources para features.

  • Atualmente, additionalConfiguration o objeto features está disponível apenas para determinados tipos de proteção.

    • Para esses tipos de proteção, se status de AdditionalConfiguration do seu atributo estiver definido como ENABLED, mas a configuração status do seu recurso não estiver definida como ENABLED, o GuardDuty não tomará nenhuma ação nesse caso.

    • As seguintes APIs são afetadas por isso:

Como mapear dataSources para features

A tabela a seguir mostra o mapeamento dos tipos de proteção, dataSources, e features.

Tipo de proteção do GuardDuty Nome da fonte de dados * Nome do atributo

Logs de fluxo da VPC

flowLogs (somente leitura, não pode ser modificado)

FLOW_LOGS (somente leitura, não pode ser modificado)

Logs de consultas de DNS do Route53 Resolver

dnsLogs (somente leitura, não pode ser modificado)

DNS_LOGS (somente leitura, não pode ser modificado)

CloudTrail events

cloudTrail (somente leitura, não pode ser modificado)

CLOUD_TRAIL (somente leitura, não pode ser modificado)

S3

s3Logs

S3_DATA_EVENTS

Proteção do EKS

kubernetes.auditlogs

EKS_AUDIT_LOGS

Proteção contra malware para o S3

malwareProtection.scanEc2InstanceWithFindings.ebsVolumes

EBS_MALWARE_PROTECTION

Eventos de login do RDS

O GuardDuty fornece suporte apenas à ativação de atributos para esses tipos de proteção.

RDS_LOGIN_EVENTS

Monitoramento de runtime do EKS

EKS_RUNTIME_MONITORING

Monitoramento de runtime

RUNTIME_MONITORING

Agente de segurança GuardDuty para clusters do Amazon EKS

EKS_RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

Agente de segurança GuardDuty para clusters do Amazon ECS-Fargate

RUNTIME_MONITORING.additionalConfiguration.ECS_FARGATE_AGENT_MANAGEMENT

Agente de segurança GuardDuty para instâncias do Amazon EC2

RUNTIME_MONITORING.additionalConfiguration.EC2_AGENT_MANAGEMENT

Proteção do Lambda

LAMBDA_NETWORK_LOGS

*GetUsageStatistics usa seus próprios nomes de dataSource. Para obter mais informações, consulte Estimar o custo de uso do GuardDuty ou GetUsageStatistics.