Registrando chamadas de GuardDuty API da Amazon com AWS CloudTrail - Amazon GuardDuty
GuardDuty informações em CloudTrailGuardDuty eventos do plano de controle em CloudTrailGuardDuty eventos de dados em CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrando chamadas de GuardDuty API da Amazon com AWS CloudTrail

GuardDuty A Amazon está integrada comAWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em GuardDuty. CloudTrail captura todas as chamadas de API para GuardDuty eventos As, incluindo chamadas do GuardDuty console e de chamadas de código para as GuardDuty APIs. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para. GuardDuty Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita GuardDuty, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para obter mais informações sobre CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o Guia AWS CloudTrail do usuário.

GuardDuty informações em CloudTrail

CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando uma atividade de evento suportada ocorre em GuardDuty, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para GuardDuty, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, a mesma é aplicada a todas as Regiões. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

  • Se a solicitação foi feita com credenciais de usuário raiz ou de usuário do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado

  • Se a solicitação foi feita por outro serviço da AWS

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

GuardDuty eventos do plano de controle em CloudTrail

Por padrão, CloudTrail registra todas as operações de GuardDuty API fornecidas na Amazon GuardDuty API Reference como eventos em CloudTrail arquivos.

GuardDuty eventos de dados em CloudTrail

Monitoramento do tempo de execução GuardDutyusa um agente de GuardDuty segurança implantado em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS), instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e aws-guardduty-agent tarefas (somente Amazon AWS Fargate Elastic Container Service (Amazon ECS)) para coletar Tipos de eventos de runtime coletados complementos () que coletam para suas cargas de trabalho e, em seguida, enviá-las para detecção de ameaças e análise. AWS GuardDuty

Registro e monitoramento de eventos de dados

Opcionalmente, você pode configurar os AWS CloudTrail registros para visualizar os eventos de dados do seu agente GuardDuty de segurança.

Para criar e configurar CloudTrail, consulte Eventos de dados no Guia do AWS CloudTrail usuário e siga as instruções para registrar eventos de dados com seletores de eventos avançados no AWS Management Console. Ao registrar a trilha em log, faça as seguintes alterações:

  • Para o tipo de evento de dados, escolha GuardDuty detector.

  • Para o Modelo do seletor de logs, escolha Registrar todos os eventos em log.

  • Expanda a Visualização JSON da configuração. Ela deve ser semelhante à indicada a seguir.

    [
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

Depois de habilitar o seletor para a trilha, navegue até o console do Amazon S3 em https://console.aws.amazon.com/s3/. Você pode baixar os eventos de dados do bucket do S3 escolhido no momento da configuração dos CloudTrail registros.