Informações do GuardDuty no CloudTrail Eventos do ambiente de gerenciamento no CloudTrail Eventos de dados do GuardDuty no CloudTrail

Log de chamadas de API do Amazon GuardDuty com o AWS CloudTrail

O Amazon GuardDuty está integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, um perfil ou um serviço da AWS no GuardDuty. O CloudTrail captura todas as chamadas de API para o GuardDuty como eventos, incluindo as chamadas do console do GuardDuty e de chamadas de código para APIs do GuardDuty. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para o GuardDuty. Se você não configurar uma trilha, ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Event history (Histórico de eventos). Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o GuardDuty, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.

Para obter mais informações sobre o CloudTrail, incluindo como configurá-lo e habilitá-lo, consulte o Guia do usuário do AWS CloudTrail.

Informações do GuardDuty no CloudTrail

O CloudTrail é habilitado em sua AWS conta ao criá-la. Quando a atividade do evento suportada ocorre no GuardDuty, ela é registrada em um evento do CloudTrail juntamente com outros eventos de serviços da AWS no Histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Viewing events with CloudTrail event history.

Para obter um registro de eventos em andamento na sua conta da AWS, incluindo eventos do GuardDuty, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket Amazon S3. Por padrão, ao criar uma trilha no console, a mesma é aplicada a todas as Regiões. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. Além disso, é possível configurar outros serviços da AWS para analisar mais ainda mais e agir com base nos dados de eventos coletados nos logs do CloudTrail. Para obter mais informações, consulte:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

Se a solicitação foi feita com credenciais login de usuário raiz ou de usuário do IAM.
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado
Se a solicitação foi feita por outro serviço da AWS

Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

Eventos do ambiente de gerenciamento no CloudTrail

Por padrão, o CloudTrail registra todas as operações da API GuardDuty fornecidas na Referência de API do Amazon GuardDuty como eventos nos arquivos do CloudTrail.

Eventos de dados do GuardDuty no CloudTrail

GuardDuty Monitoramento de execução usa um agente de segurança do GuardDuty implantado nos clusters do Amazon Elastic Kubernetes Service (Amazon EKS), instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e tarefas do AWS Fargate (Amazon Elastic Container Service (somente Amazon ECS) para coletar o complemento (aws-guardduty-agent) que coleta Tipos de eventos de runtime coletados para suas workloads AWS e, em seguida, envie-os ao GuardDuty para detecção e análise de ameaças.

Registro em log e monitoramento de eventos de dados

Opcionalmente, você pode configurar os AWS CloudTrail registros para visualizar os eventos de dados do seu agente de segurança do GuardDuty.

Para criar e configurar o CloudTrail, consulte Eventos de dados no Guia do usuário do AWS CloudTrail e siga as instruções para Registrar em log os eventos de dados com seletores de eventos avançados no AWS Management Console. Ao registrar a trilha em log, faça as seguintes alterações:

Para o Tipo de evento de dados, escolha Detector do GuardDuty.
Para o Modelo do seletor de logs, escolha Registrar todos os eventos em log.

Expanda a Visualização JSON da configuração. Ela deve ser semelhante ao seguinte JSON:


[
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

Depois de habilitar o seletor para a trilha, navegue até o console do Amazon S3 em https://console.aws.amazon.com/s3/. Você pode baixar os eventos de dados do bucket do S3 escolhido no momento da configuração dos logs do CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Optar por não usar seus dados para melhorar o serviço

Exemplo: entradas dos arquivos de log do GuardDuty