Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Exportação das GuardDuty descobertas geradas para buckets do Amazon S3

PDF
RSS
Modo de foco
Exportação das GuardDuty descobertas geradas para buckets do Amazon S3 - Amazon GuardDuty
ConsideraçõesEtapa 1: Permissões necessárias para configurar a exportação de descobertasEtapa 2 — Anexar a política à sua chave KMSEtapa 3: Anexar uma política ao bucket Amazon S3Etapa 4: Exportar descobertas para um bucket do S3 (console)Etapa 5 — Frequência de exportação de descobertas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty retém as descobertas geradas por um período de 90 dias. GuardDuty exporta as descobertas ativas para a Amazon EventBridge (EventBridge). Opcionalmente, pode-se exportar as descobertas geradas para um bucket do Amazon Simple Storage Service (Amazon S3). Isso ajudará você a rastrear dados históricos de possíveis atividades suspeitas em sua conta e avaliar se as etapas de remediação recomendadas foram bem-sucedidas.

Todas as novas descobertas ativas GuardDuty geradas são exportadas automaticamente em cerca de 5 minutos após a geração da descoberta. Você pode definir a frequência com que as atualizações das descobertas ativas são exportadas para EventBridge. A frequência selecionada se aplica à exportação de novas ocorrências de descobertas existentes para EventBridge seu bucket S3 (quando configurado) e Detective (quando integrado). Para obter informações sobre como GuardDuty agrega várias ocorrências de descobertas existentes, consulte. GuardDuty encontrando agregação

Quando você define as configurações para exportar descobertas para um bucket do Amazon S3, GuardDuty usa AWS Key Management Service (AWS KMS) para criptografar os dados das descobertas em seu bucket do S3. Isso exige que você adicione permissões ao seu bucket do S3 e à AWS KMS chave para que você GuardDuty possa usá-las para exportar descobertas em sua conta.

Considerações

Antes de prosseguir com os pré-requisitos e as etapas para exportar as descobertas, considere os seguintes conceitos-chave:

  • As configurações de exportação são regionais — você precisa configurar as opções de exportação em cada região em que você usa GuardDuty.

  • Exportar descobertas para buckets do Amazon S3 em Regiões da AWS diferentes (entre regiões) GuardDuty — suporta as seguintes configurações de exportação:

    • Seu bucket ou objeto do Amazon S3 e sua AWS KMS chave devem pertencer ao mesmo. Região da AWS

    • Para as descobertas geradas em uma região comercial, é possível optar por exportar essas descobertas para um bucket S3 em qualquer região comercial. No entanto, você não pode exportar essas descobertas para um bucket S3 em uma região de adesão.

    • Para as descobertas geradas em uma região de aceitação, é possível optar por exportar essas descobertas para a mesma região de aceitação em que foram geradas ou para qualquer região comercial. No entanto, não é possível exportar as descobertas de uma região de opt-in para outra região de opt-in.

  • Permissões para exportar descobertas — Para definir as configurações para exportar descobertas ativas, seu bucket do S3 deve ter permissões que GuardDuty permitam carregar objetos. Você também deve ter uma AWS KMS chave que GuardDuty possa ser usada para criptografar as descobertas.

  • Descobertas arquivadas não exportadas: o comportamento padrão é que as descobertas arquivadas, incluindo novas instâncias de descobertas suprimidas, não sejam exportadas.

    Quando uma GuardDuty descoberta for gerada como arquivada, você precisará desarquivá-la. Isso altera o status de localização do filtro para Ativo. GuardDuty exporta as atualizações para as descobertas não arquivadas existentes com base em como você configura. Etapa 5 — Frequência de exportação de descobertas

  • GuardDuty a conta do administrador pode exportar descobertas geradas em contas de membros associadas — Quando você configura descobertas de exportação em uma conta de administrador, todas as descobertas das contas de membros associadas que são geradas na mesma região também são exportadas para o mesmo local que você configurou para a conta do administrador. Para obter mais informações, consulte Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros.

Etapa 1: Permissões necessárias para configurar a exportação de descobertas

Ao definir as configurações para exportar descobertas, você seleciona um bucket do Amazon S3 onde você pode armazenar as descobertas e AWS KMS uma chave para usar na criptografia de dados. Além das permissões para GuardDuty ações, você também deve ter permissões para as seguintes ações para definir com êxito as configurações para exportar descobertas:

  • s3:GetBucketLocation

  • s3:PutObject

Se você precisar exportar as descobertas para um prefixo específico em seu bucket do Amazon S3, você também deve adicionar as seguintes permissões à IAM função:

  • s3:GetObject

  • s3:ListBucket

Etapa 2 — Anexar a política à sua chave KMS

GuardDuty criptografa os dados de descobertas em seu bucket usando AWS Key Management Service. Para definir as configurações com êxito, primeiro você deve dar GuardDuty permissão para usar uma KMS chave. Você pode conceder as permissões anexando a política à sua KMS chave.

Ao usar uma KMS chave de outra conta, você precisa aplicar a política de chaves fazendo login no Conta da AWS proprietário da chave. Ao definir as configurações para exportar descobertas, você também precisará da chave ARN da conta que possui a chave.

Para modificar a política de KMS chaves para GuardDuty criptografar suas descobertas exportadas

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. Selecione uma KMS chave existente ou execute as etapas para Criar uma nova chave no Guia do AWS Key Management Service desenvolvedor, que você usará para criptografar as descobertas exportadas.

    nota

    A Região da AWS KMS chave e o bucket do Amazon S3 devem ser os mesmos.

    Você pode usar o mesmo bucket e o mesmo par de KMS chaves do S3 para exportar as descobertas de qualquer região aplicável. Para obter mais informações, consulte Considerações para exportar descobertas do entre regiões.

  4. Na seção Política de chave escolha Editar.

    Se Mudar para visualização da política for exibido, selecione-o para exibir a Política de chave e, em seguida, escolha Editar.

  5. Copie o seguinte bloco de política para sua política de KMS chaves para conceder GuardDuty permissão para usar sua chave.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Edite a política substituindo os seguintes valores que estão formatados redno exemplo de política:

    1. KMS key ARNSubstitua pelo nome de recurso da Amazon (ARN) da KMS chave. Para localizar a chaveARN, consulte Como encontrar o ID da chave e ARN no Guia do AWS Key Management Service desenvolvedor.

    2. 123456789012Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.

    3. Region2Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.

    4. SourceDetectorIDSubstitua pela detectorID da GuardDuty conta na região específica em que as descobertas foram geradas.

      Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    nota

    Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obter informações sobre endpoints para cada região de inscrição, consulte GuardDuty endpoints e cotas.

  7. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a JSON sintaxe da sua política de KMS chaves seja válida.

    Escolha Salvar.

  8. (Opcional) copie ARN a chave em um bloco de notas para uso nas etapas posteriores.

Etapa 3: Anexar uma política ao bucket Amazon S3

Adicione permissões ao bucket do Amazon S3 para o qual você exportará as descobertas para que GuardDuty possa carregar objetos para esse bucket do S3. Independentemente de usar um bucket do Amazon S3 que pertença à sua conta ou a outra Conta da AWS, você deve adicionar essas permissões.

Caso, em algum momento, as descobertas sejam exportadas para um bucket S3 diferente, para continuar exportando as descobertas, será necessário adicionar permissões a esse bucket do S3 e definir novamente as configurações de exportação de descobertas.

Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte Criação de um bucket no Guia do usuário do Amazon S3.

Anexar permissões a sua política de bucket do S3

  1. Execute as etapas em Para criar ou editar uma política de bucket no Guia do usuário do Amazon S3, até que a página Editar política de bucket seja exibida.

  2. O exemplo de política mostra como conceder GuardDuty permissão para exportar descobertas para seu bucket do Amazon S3. Caso altere o caminho depois de configurar a exportação de descobertas, você deve modificar a política para conceder permissão para o novo local.

    Copie a política de exemplo a seguir e cole-a no Editor de políticas do bucket.

    Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a JSON sintaxe da sua política de KMS chaves seja válida.

    Exemplo de política de bucket do S3

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Edite a política substituindo os seguintes valores que estão formatados redno exemplo de política:

    1. Amazon S3 bucket ARNSubstitua pelo nome de recurso da Amazon (ARN) do bucket do Amazon S3. Você pode encontrar o Bucket ARN na página Editar política do bucket no https://console.aws.amazon.com/s3/console.

    2. 123456789012Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.

    3. Region2Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.

    4. SourceDetectorIDSubstitua pela detectorID da GuardDuty conta na região específica em que as descobertas foram geradas.

      Para encontrar o detectorId para sua conta e região atual, consulte a página Configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

    5. Substitua [optional prefix] parte do valor do S3 bucket ARN/[optional prefix] espaço reservado por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre ouso de prefixos, consulte Organizando objetos usando prefixos no Guia de usuário do Amazon S3.

      Quando você fornece um local de pasta opcional que ainda não existe, GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que exporta as descobertas. Se você exportar descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.

    6. KMS key ARNSubstitua pelo Amazon Resource Name (ARN) da KMS chave associada à criptografia das descobertas exportadas para o bucket do S3. Para localizar a chaveARN, consulte Como encontrar o ID da chave e ARN no Guia do AWS Key Management Service desenvolvedor.

    nota

    Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" Para obter informações sobre endpoints para cada região de inscrição, consulte GuardDuty endpoints e cotas.

  4. Escolha Salvar.

Etapa 4: Exportar descobertas para um bucket do S3 (console)

GuardDuty permite que você exporte descobertas para um bucket existente em outro Conta da AWS.

Ao criar um novo bucket S3 ou escolher um bucket existente em sua conta, é possível adicionar um prefixo. Ao configurar as descobertas de exportação, GuardDuty cria uma nova pasta no bucket do S3 para suas descobertas. O prefixo será anexado à estrutura de pastas padrão criada. GuardDuty O formato do prefixo opcional /AWSLogs/123456789012/GuardDuty/Region é , por exemplo:

Todo o caminho do objeto S3 será amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. O UUID é gerado aleatoriamente e não representa o ID do detector ou o ID da descoberta.

Importante

A chave do KMS e o bucket do S3 devem estar na mesma região.

Antes de concluir essas etapas, certifique-se de ter anexado as respectivas políticas à sua KMS chave e ao bucket S3 existente.

Para configurar a opção exportar descobertas

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, selecione Configurações.

  3. Na página Configurações, em Opções de exportação de descobertas, para o bucket do S3, escolha Configurar agora (ou Editar, conforme necessário).

  4. Para o bucket do S3 ARN, insira o. bucket ARN Para encontrar o bucketARN, consulte Visualização das propriedades de um bucket do S3 no Guia do usuário do Amazon S3.

  5. Para KMSchave ARN, insira key ARNo. Para localizar a chaveARN, consulte Como encontrar o ID da chave e ARN no Guia do AWS Key Management Service desenvolvedor.

  6. Anexar políticas

  7. Escolha Salvar.

Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas

Configure a frequência para exportar descobertas ativas atualizadas conforme apropriado para seu ambiente. Por padrão, as descobertas atualizadas são exportadas a cada 6 horas. Isso significa que todas as descobertas que forem atualizadas após a exportação mais recente serão incluídas na próxima exportação. Se as descobertas atualizadas forem exportadas a cada 6 horas e a exportação ocorrer às 12h, todas as descobertas atualizadas após 12h serão exportadas às 18h.

Como definir a frequência

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. Escolha Configurações.

  3. Na seção Opções de exportação de descobertas, selecione Frequência para descobertas atualizadas. Isso define a frequência de exportação de descobertas ativas atualizadas para o Amazon S3 EventBridge e para o Amazon S3. Você pode escolher entre as seguintes opções:

    • Atualização EventBridge e S3 a cada 15 minutos

    • Atualização EventBridge e S3 a cada 1 hora

    • Atualização EventBridge e S3 a cada 6 horas (padrão)

  4. Escolha Salvar alterações.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.