Exportar los resultados de GuardDuty generados a buckets de Amazon S3 - Amazon GuardDuty
ConsideracionesPaso 1: Permisos necesarios para la exportación de resultadosPaso 2: Asociar la política a la clave de KMSPaso 3: Asociar la política al bucket de Amazon S3Paso 4: Exportar resultados a un bucket de S3 (consola)Paso 5: Frecuencia de exportación de los resultados

Exportar los resultados de GuardDuty generados a buckets de Amazon S3

GuardDuty retiene los resultados generados por un periodo de 90 días. GuardDuty exporta los resultados activos a Amazon EventBridge (EventBridge). Opcionalmente, puede exportar los resultados generados a un bucket de Amazon Simple Storage Service (Amazon S3). Esto ayudará a realizar un seguimiento de los datos históricos de actividades potencialmente sospechosas en la cuenta y a evaluar si las medidas de corrección recomendadas han tenido éxito.

Todos los nuevos resultados activos generados por GuardDuty se exportan automáticamente dentro de los 5 minutos siguientes a la generación del resultado. Puede establecer la frecuencia con la que se exportan a EventBridge las actualizaciones de los resultados activos. La frecuencia que seleccione se aplica a la exportación de nuevas incidencias de resultados existentes a EventBridge, al bucket de S3 (cuando esté configurado) y a Detective (cuando esté integrado). Para obtener información sobre cómo GuardDuty agrega múltiples incidencias de resultados existentes, consulte Agregación de resultados de GuardDuty.

Al configurar los ajustes para exportar resultados a un bucket de Amazon S3, GuardDuty utiliza AWS Key Management Service (AWS KMS) para cifrar los datos de los resultados en el bucket de S3. Para ello, es necesario agregar permisos al bucket de S3 y a la clave de AWS KMS de modo que GuardDuty pueda utilizarlos para exportar resultados de la cuenta.

Consideraciones

Antes de seguir con los requisitos previos y los pasos para exportar los resultados, considere los siguientes conceptos clave:

  • La configuración de exportación es regional: debe configurar las opciones de exportación en cada región donde utilice GuardDuty.

  • Exportar resultados a buckets de Amazon S3 en diferentes Regiones de AWS (entre regiones): GuardDuty admite las siguientes configuraciones de exportación:

    • El bucket u objeto de Amazon S3, y la clave de AWS KMS deben pertenecer a la misma Región de AWS.

    • En el caso de los resultados generados en una región comercial, puede optar por exportar esos resultados a un bucket de S3 en cualquier región comercial. Sin embargo, no puede exportar estos resultados a un bucket de S3 en una región de inscripción.

    • En el caso de los resultados generados en una región de inscripción, puede optar por exportarlos a la misma región de inscripción en la que se generaron o a cualquier región comercial. Sin embargo, no puede exportar los resultados de una región de inscripción a otra región de inscripción.

  • Permisos para exportar resultados: para configurar los ajustes para exportar resultados activos, el bucket de S3 debe tener permisos que permitan a GuardDuty cargar objetos. También debe tener una clave de AWS KMS que GuardDuty pueda usar para cifrar los resultados.

  • Los resultados archivados no se exportan: el comportamiento predeterminado es que no se exportan los resultados archivados, incluidas las nuevas instancias de resultados suprimidos.

    Cuando un resultado de GuardDuty se genera como Archivado, tendrá que Desarchivarlo. Esto cambia el estado de filtrar resultado a Activo. GuardDuty exporta las actualizaciones a los resultados existentes no archivados en función de cómo se configure Paso 5: Frecuencia de exportación de los resultados.

  • La cuenta de administrador de GuardDuty puede exportar resultados generados en cuentas de miembro asociadas: cuando se configura la exportación de resultados en una cuenta de administrador, todos los resultados de las cuentas de miembro asociadas que se generan en la misma región también se exportarán a la misma ubicación que se configuró para la cuenta de administrador. Para obtener más información, consulte Comprender la relación entre la cuenta de administrador de GuardDuty y las cuentas de miembro.

Paso 1: Permisos necesarios para la exportación de resultados

Al configurar los ajustes para exportar los resultados, se selecciona un bucket de Amazon S3 en el que almacenar los resultados y una clave de AWS KMS que se utilizará para cifrar los datos. Además de los permisos para las acciones de GuardDuty, también debe tener permisos para las siguientes acciones para configurar correctamente los ajustes para exportar resultados:

  • s3:GetBucketLocation

  • s3:PutObject

Si necesita exportar los resultados a un prefijo específico de su bucket de Amazon S3, también debe añadir los siguientes permisos al rol de IAM:

  • s3:GetObject

  • s3:ListBucket

Paso 2: Asociar la política a la clave de KMS

GuardDuty cifra los datos de los resultados en el bucket mediante AWS Key Management Service. Para configurar correctamente los ajustes, primero deberá dar permiso a GuardDuty para utilizar una clave de KMS. Para conceder los permisos, adjunte la política a su clave de KMS.

Cuando se utiliza una clave de KMS de otra cuenta, es necesario aplicar la política de claves. Para ello, inicie sesión en la Cuenta de AWS a la que pertenece la clave. Al configurar los ajustes para exportar los resultados, también necesitará el ARN de la clave de la cuenta a la que pertenece la clave.

Para modificar la política de claves de KMS para que GuardDuty cifre los resultados exportados

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Seleccione una clave de KMS existente o siga los pasos para Crear una nueva clave en la Guía para desarrolladores de AWS Key Management Service, que utilizará para cifrar los resultados exportados.

    nota

    La Región de AWS de la clave de KMS y del bucket de Amazon S3 debe ser la misma.

    Puede utilizar el mismo bucket de S3 y el mismo par de claves de KMS para exportar los resultados de cualquier región aplicable. Para obtener más información, consulte Consideraciones para exportar los resultados entre regiones.

  4. En la sección Key policy (Política de claves), elija Edit (Editar).

    Si aparece Cambiar a vista de política, elíjala para mostrar la Política de claves y, a continuación, elija Editar.

  5. Copie el siguiente bloque de política en la política de clave de KMS, para conceder a GuardDuty permiso para usar la clave.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Para editar la política, sustituya los siguientes valores formateados en rojo en el ejemplo de la política:

    1. Sustituya el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

    2. Sustituya 123456789012 por el ID de Cuenta de AWS que posee la cuenta de GuardDuty que exporta los resultados.

    3. Sustituya Region2 por la Región de AWS donde se generan los resultados de GuardDuty.

    4. Sustituya SourceDetectorID por el detectorID de la cuenta de GuardDuty en la región específica donde se generaron los resultados.

      Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    nota

    Si utiliza GuardDuty en una región de inscripción, sustituya el valor por el “Servicio” por el punto de conexión regional para esa región. Por ejemplo, si utiliza GuardDuty en la región Medio Oriente (Baréin) (me-south-1), sustituya "Service": "guardduty.amazonaws.com" por "Service": "guardduty.me-south-1.amazonaws.com". Para obtener información sobre los puntos de conexión para cada región de inscripción, consulte Puntos de conexión y cuotas de GuardDuty.

  7. Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.

    Seleccione Save.

  8. (Opcional) copie la clave de ARN en un bloc de notas para utilizarla en los pasos posteriores.

Paso 3: Asociar la política al bucket de Amazon S3

Agregue permisos al bucket de Amazon S3 al que exportará resultados para que GuardDuty pueda cargar objetos en este bucket de S3. Independientemente de utilizar un bucket de Amazon S3 que pertenezca a la cuenta del usuario o a una Cuenta de AWS diferente, debe agregar estos permisos.

Si en algún momento decide exportar los resultados a un bucket de S3 diferente, para continuar con la exportación de resultados deberá agregar permisos a ese bucket de S3 y volver a configurar los ajustes de exportación de resultados.

Si aún no dispone de un bucket de Amazon S3 al que desee exportar estos resultados, consulte Crear un bucket en la Guía del usuario de Amazon S3.

Para asociar permisos a la política del bucket de S3

  1. Siga los pasos descritos en Para crear o editar una política de bucket en la Guía del usuario de Amazon S3, hasta que aparezca la página Editar política de bucket.

  2. La política de ejemplo muestra cómo conceder a GuardDuty permiso para exportar resultados al bucket de Amazon S3. Si cambia la ruta después de configurar la exportación de resultados, deberá modificar la política para conceder permiso a la nueva ubicación.

    Copie la siguiente política de ejemplo y péguela en el Editor de políticas de bucket.

    Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.

    Política de ejemplo de bucket de S

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Para editar la política, sustituya los siguientes valores formateados en rojo en el ejemplo de la política:

    1. Sustituya el ARN del bucket de Amazon S3 por el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Encontrará el ARN del bucket en la página Editar política de bucket de la consola https://console.aws.amazon.com/s3/.

    2. Sustituya 123456789012 por el ID de Cuenta de AWS que posee la cuenta de GuardDuty que exporta los resultados.

    3. Sustituya us-east-2 por la Región de AWS donde se generan los resultados de GuardDuty.

    4. Sustituya SourceDetectorID por el detectorID de la cuenta de GuardDuty en la región específica donde se generaron los resultados.

      Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    5. Sustituya la parte [prefijo opcional] del valor del marcador de posición ARN/[prefijo opcional] del bucket de S3 por una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos mediante prefijos en la Guía del usuario de Amazon S3.

      Al proporcionar una ubicación de carpeta opcional que aún no existe, GuardDuty creará esa ubicación solamente si la cuenta asociada al bucket de S3 es la misma que la cuenta que exporta los resultados. Al exportar resultados a un bucket de S3 que pertenece a otra cuenta, la ubicación de la carpeta ya debe existir.

    6. Sustituye el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS asociada al cifrado de los resultados exportados al bucket de S3. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

    nota

    Si utiliza GuardDuty en una región de inscripción, sustituya el valor por el “Servicio” por el punto de conexión regional para esa región. Por ejemplo, si utiliza GuardDuty en la región Medio Oriente (Baréin) (me-south-1), sustituya "Service": "guardduty.amazonaws.com" por "Service": "guardduty.me-south-1.amazonaws.com". Para obtener información sobre los puntos de conexión para cada región de inscripción, consulte Puntos de conexión y cuotas de GuardDuty.

  4. Seleccione Save.

Paso 4: Exportar resultados a un bucket de S3 (consola)

GuardDuty permite exportar resultados a un bucket existente en otra Cuenta de AWS.

Al elegir un bucket nuevo o existente en su cuenta, puede agregar un prefijo. Al configurar la exportación de resultados, GuardDuty crea una nueva carpeta en el bucket de S3 para sus resultados. El prefijo se añadirá a la estructura de carpetas predeterminada que creó GuardDuty. Por ejemplo, el formato del prefijo opcional /AWSLogs/123456789012/GuardDuty/Region.

La ruta completa del objeto de S3 será amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. El UUID se genera aleatoriamente y no representa el ID del detector ni el ID del resultado.

importante

La clave de KMS y el bucket de S3 deben estar en la misma región.

Antes de completar estos pasos, asegúrese de que ha asociado las políticas respectivas a la clave de KMS y al bucket de S3 existente.

Configuración de la opción de exportación de resultados

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, seleccione Configuración.

  3. En la página Configuración, bajo Opciones de exportación de resultados, en Bucket de S3, elija Configurar ahora (o Editar, según sea necesario).

  4. En ARN del bucket de S3, ingrese el bucket ARN. Para encontrar el ARN del bucket, consulte Ver las propiedades de un bucket de S3 en la Guía del usuario de Amazon S3.

  5. En ARN de la clave de KMS, ingrese el key ARN. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

  6. Asociar políticas

  7. Seleccione Save.

Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados

Configure la frecuencia para exportar los resultados activos actualizados según convenga al entorno. De forma predeterminada, los resultados actualizados se exportan cada 6 horas. Esto significa que cualquier dato que se actualice después de la exportación más reciente se incluirá en la siguiente exportación. Si los hallazgos actualizados se exportan cada 6 horas y la exportación se produce a las 12:00, cualquier hallazgo que actualice después de las 12:00 se exportará a las 18:00.

Establecimiento de la frecuencia

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. Seleccione Configuración.

  3. En la sección Opciones de exportación de resultados, seleccione Frecuencia de los resultados actualizados. Establece la frecuencia de exportación de los resultados actualizados activos tanto a EventBridge como a Amazon S3. Puede elegir entre las siguientes opciones:

    • Actualizar EventBridge y S3 cada 15 minutos

    • Actualizar EventBridge y S3 cada 1 hora

    • Actualizar EventBridge y S3 cada 6 horas (predeterminado)

  4. Seleccione Save changes (Guardar cambios).