Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Registrar llamadas a GuardDuty la API de Amazon con AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon GuardDuty está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en GuardDuty. CloudTrail captura todas las llamadas a la API GuardDuty como eventos, incluidas las llamadas desde la GuardDuty consola y desde las llamadas de código a GuardDuty APIs. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon Simple Storage Service (Amazon S3), incluidos los eventos de. GuardDuty Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Con la información recopilada por usted CloudTrail, puede determinar el destinatario de la solicitud GuardDuty, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales. 

Para obtener más información sobre CloudTrail cómo configurarla y habilitarla, consulte la *[Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*.

## GuardDuty información en CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail está habilitada en su AWS cuenta al crear la cuenta. Cuando se produce una actividad de eventos admitida GuardDuty, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puedes ver, buscar y descargar los eventos recientes en tu AWS cuenta. Para obtener más información, consulta Cómo [ver eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los eventos de tu cuenta GuardDuty, crea una ruta. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte lo siguiente: 
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Servicios e integraciones compatibles con CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente: 
+ Si la solicitud se hizo con las credenciales de inicio de sesión del usuario raíz o del usuario de IAM
+ si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado
+ Si la solicitud la realizó otro AWS servicio

Para obtener más información, consulte [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## GuardDuty eventos del plano de control en CloudTrail
<a name="guardduty-control-plane-events-in-cloudtrail"></a>

De forma predeterminada, CloudTrail registra todas las operaciones de GuardDuty API proporcionadas en la [Amazon GuardDuty API Reference](https://docs.aws.amazon.com/guardduty/latest/APIReference/) como eventos en CloudTrail archivos.

## GuardDuty eventos de datos en CloudTrail
<a name="guardduty-data-events-in-cloudtrail"></a>

[GuardDuty Supervisión del tiempo de ejecución](runtime-monitoring.md)utiliza un agente de GuardDuty seguridad desplegado en sus clústeres de Amazon Elastic Kubernetes Service (Amazon EKS), AWS Fargate instancias de Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) y tareas `aws-guardduty-agent` (solo Amazon Elastic Container Service (Amazon ECS)) para recopilar complementos [Tipos de eventos de tiempo de ejecución recopilados](runtime-monitoring-collected-events.md) () AWS que recopilan sus cargas de trabajo y luego las envían para detectar y analizar amenazas. GuardDuty 

### Registro y supervisión de eventos de datos
<a name="runtime-monitoring-add-on-cloudtrail-logs"></a>

Si lo desea, puede configurar los AWS CloudTrail registros para ver los eventos de datos de su agente de seguridad. GuardDuty 

Para crearlos y configurarlos CloudTrail, consulte [los eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) en la *Guía del AWS CloudTrail usuario* y siga las instrucciones para **registrar los eventos de datos con los selectores de eventos avanzados del Consola de administración de AWS**. Al registrar el registro de seguimiento, asegúrese de hacer los siguientes cambios:
+ Para el **tipo de evento de datos**, elija **GuardDutydetector**.
+ En **Plantilla de selector de registros**, elija **Registrar todos los eventos**.
+ Amplíe la **Vista JSON** para la configuración. Debería ser similar al siguiente JSON:

  ```
  [
    {
      "name": "",
      "fieldSelectors": [
        {
          "field": "eventCategory",
          "equals": [
            "Data"
          ]
        },
        {
          "field": "resources.type",
          "equals": [
            "AWS::GuardDuty::Detector"
          ]
        }
      ]
    }
  ]
  ```

Tras activar el selector de la ruta, diríjase a la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Puede descargar los eventos de datos del bucket de S3 que eligió al momento de configurar los CloudTrail registros.

# Ejemplo: entradas de archivos de GuardDuty registro
<a name="understanding-guardduty-entries"></a>

 Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que muestra el evento del plano de datos.

```
{
        "eventVersion": "1.08",
        "userIdentity": {
            "type": "AssumedRole",
            "principalId": "111122223333:aws:ec2-instance:i-123412341234example",
            "arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-instance/i-123412341234example",
            "accountId": "111122223333",
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionContext": {
                "sessionIssuer": {
                    "type": "Role",
                    "principalId": "111122223333:aws:ec2-instance",
                    "arn": "arn:aws:iam::111122223333:role/aws:ec2-instance",
                    "accountId": "111122223333",
                    "userName": "aws:ec2-instance"
                },
                "attributes": {
                    "creationDate": "2023-03-05T04:00:21Z",
                    "mfaAuthenticated": "false"
                },
                "ec2RoleDelivery": "2.0"
            }
        },
        "eventTime": "2023-03-05T06:03:49Z",
        "eventSource": "guardduty.amazonaws.com",
        "eventName": "SendSecurityTelemetry",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "54.240.230.177",
        "userAgent": "aws-sdk-rust/0.54.1 os/linux lang/rust/1.66.0",
        "requestParameters": null,
        "responseElements": null,
        "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
        "readOnly": false,
        "resources": [{
            "accountId": "111122223333",
            "type": "AWS::GuardDuty::Detector",
            "ARN": "arn:aws:guardduty:us-west-2:111122223333:detector/12abc34d567e8fa901bc2d34e56789f0"
        }],
        "eventType": "AwsApiCall",
        "managementEvent": false,
        "recipientAccountId": "111122223333",
        "eventCategory": "Data",
        "tlsDetails": {
            "tlsVersion": "TLSv1.2",
            "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
            "clientProvidedHostHeader": "guardduty-data.us-east-1.amazonaws.com"
        }
    }
```

El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra la `CreateIPThreatIntelSet` acción (evento del plano de control).

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::444455556666:user/Alice",
        "accountId": "444455556666",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-06-14T22:54:20Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::444455556666:user/Alice",
                "accountId": "444455556666",
                "userName": "Alice"
            }
        }
    },
    "eventTime": "2018-06-14T22:57:56Z",
    "eventSource": "guardduty.amazonaws.com",
    "eventName": "CreateThreatIntelSet",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "54.240.230.177",
    "userAgent": "console.amazonaws.com",
    "requestParameters": {
        "detectorId": "12abc34d567e8fa901bc2d34e56789f0",
        "name": "Example",
        "format": "TXT",
        "activate": false,
        "location": "https://s3.amazonaws.com/bucket.name/file.txt"
    },
    "responseElements": {
        "threatIntelSetId": "1ab200428351c99d859bf61992460d24"
    },
    "requestID": "5f6bf981-7026-11e8-a9fc-5b37d2684c5c",
    "eventID": "81337b11-e5c8-4f91-b141-deb405625bc9",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "444455556666"
}
```

A partir de la información de este evento, puede determinar que la solicitud se realizó para crear una lista de amenazas `Example` en GuardDuty. También puede ver que la solicitud la hizo una usuaria llamada Alice el 14 de junio de 2018.