Registrando chamadas de GuardDuty API da Amazon com AWS CloudTrail - Amazon GuardDuty
GuardDuty informações em CloudTrailGuardDuty eventos do plano de controle em CloudTrailGuardDuty eventos de dados em CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrando chamadas de GuardDuty API da Amazon com AWS CloudTrail

GuardDuty A Amazon está integrada com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em GuardDuty. CloudTrail captura todas as chamadas de API para eventos GuardDuty as, incluindo chamadas do GuardDuty console e de chamadas de código para o. GuardDuty APIs Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para. GuardDuty Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita GuardDuty, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para obter mais informações sobre CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o Guia AWS CloudTrail do usuário.

GuardDuty informações em CloudTrail

CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando uma atividade de evento suportada ocorre em GuardDuty, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para GuardDuty, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:

  • Se a solicitação foi feita com credenciais login de usuário raiz ou de usuário do IAM.

  • Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado

  • Se a solicitação foi feita por outro AWS serviço

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

GuardDuty eventos do plano de controle em CloudTrail

Por padrão, CloudTrail registra todas as operações de GuardDuty API fornecidas na Amazon GuardDuty API Reference como eventos em CloudTrail arquivos.

GuardDuty eventos de dados em CloudTrail

GuardDuty Monitoramento de execuçãousa um agente de GuardDuty segurança implantado em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS), instâncias AWS Fargate do Amazon Elastic Compute Cloud EC2 (Amazon) e tarefas (somente Amazon Elastic Container Service (Amazon ECS)) para aws-guardduty-agent coletar complementos (Tipos de eventos de runtime coletados) que AWS coletam para suas cargas de trabalho e, em seguida, enviá-los para detecção e análise de ameaças. GuardDuty

Registro em log e monitoramento de eventos de dados

Opcionalmente, você pode configurar os AWS CloudTrail registros para visualizar os eventos de dados do seu agente GuardDuty de segurança.

Para criar e configurar CloudTrail, consulte Eventos de dados no Guia do AWS CloudTrail usuário e siga as instruções para registrar eventos de dados com seletores de eventos avançados no AWS Management Console. Ao registrar a trilha em log, faça as seguintes alterações:

  • Para o tipo de evento de dados, escolha GuardDutydetector.

  • Para o Modelo do seletor de logs, escolha Registrar todos os eventos em log.

  • Expanda a Visualização JSON da configuração. Ela deve ser semelhante ao seguinte JSON:

    [
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

Depois de habilitar o seletor para a trilha, navegue até o console do Amazon S3 em. https://console.aws.amazon.com/s3/ Você pode baixar os eventos de dados do bucket do S3 escolhido no momento da configuração dos CloudTrail registros.