Exportar as descobertas do GuardDuty geradas para bucket do Amazon S3 - Amazon GuardDuty
ConsideraçõesEtapa 1: Permissões necessárias para configurar a exportação de descobertasEtapa 2: Anexar política à sua chave do KMSEtapa 3: Anexar uma política ao bucket Amazon S3Etapa 4: Exportar descobertas para um bucket do S3 (console)Etapa 5 — Frequência de exportação de descobertas

Exportar as descobertas do GuardDuty geradas para bucket do Amazon S3

O GuardDuty retém as descobertas geradas por um período de 90 dias. O GuardDuty exporta as descobertas ativas para o Amazon EventBridge (EventBridge). Opcionalmente, pode-se exportar as descobertas geradas para um bucket do Amazon Simple Storage Service (Amazon S3). Isso ajudará você a rastrear dados históricos de possíveis atividades suspeitas em sua conta e avaliar se as etapas de remediação recomendadas foram bem-sucedidas.

Novas descobertas ativas que forem geradas pelo GuardDuty serão exportadas automaticamente em até cerca de 5 minutos após a descoberta ser gerada. Você pode definir a frequência com que as atualizações das descobertas ativas são exportadas para o EventBridge. A frequência selecionada se aplica à exportação de novas ocorrências de descobertas existentes para o EventBridge, seu bucket do S3 (se configurado) e Detective (se integrado). Para obter informações sobre como o GuardDuty agrega várias ocorrências de descobertas existentes, consulte Agregação de descobertas do GuardDuty.

Ao definir as configurações para exportar descobertas para um bucket do Amazon S3, o GuardDuty usa AWS Key Management Service (AWS KMS) para criptografar os dados das descobertas no seu bucket do S3. Isso exige que você adicione permissões ao bucket do S3 e à chave AWS KMS para que o GuardDuty possa usá-las para exportar descobertas em sua conta.

Considerações

Antes de prosseguir com os pré-requisitos e as etapas para exportar as descobertas, considere os seguintes conceitos-chave:

  • As configurações de exportação são regionais: você precisa configurar as opções de exportação para cada região em que usa o GuardDuty.

  • Exportação de descobertas para buckets do Amazon S3 em diferentes Regiões da AWS (Região cruzada) - o GuardDuty suporta as seguintes configurações de exportação:

    • Seu bucket ou objeto do Amazon S3 e sua chave AWS KMS devem pertencer ao mesmo Região da AWS.

    • Para as descobertas geradas em uma região comercial, é possível optar por exportar essas descobertas para um bucket S3 em qualquer região comercial. No entanto, você não pode exportar essas descobertas para um bucket S3 em uma região de adesão.

    • Para as descobertas geradas em uma região de aceitação, é possível optar por exportar essas descobertas para a mesma região de aceitação em que foram geradas ou para qualquer região comercial. No entanto, não é possível exportar as descobertas de uma região de opt-in para outra região de opt-in.

  • Permissões para exportar descobertas — Para definir as configurações para exportar descobertas ativas, o seu bucket S3 deve ter permissões que possibilitem ao GuardDuty carregar objetos. Também é necessário ter uma chave AWS KMS que o GuardDuty possa usar para criptografar as descobertas.

  • Descobertas arquivadas não exportadas: o comportamento padrão é que as descobertas arquivadas, incluindo novas instâncias de descobertas suprimidas, não sejam exportadas.

    Quando uma descoberta do GuardDuty for gerada como arquivada, você precisará desarquivá-la. Isso altera o status de descoberta do filtro para Ativo. O GuardDuty exporta as atualizações para as descobertas não arquivadas existentes com base em como você configura o Etapa 5 — Frequência de exportação de descobertas.

  • A conta de administrador do GuardDuty pode exportar descobertas geradas em contas-membro associadas: se você configurar descobertas de exportação em uma conta de administrador do GuardDuty, todas as descobertas das contas-membro associadas geradas na região atual também serão exportadas para o mesmo local que você configurou para a conta do administrador. Para obter mais informações, consulte Noções básicas sobre o relacionamento as contas de administrador e de membro do GuardDuty.

Etapa 1: Permissões necessárias para configurar a exportação de descobertas

Ao configurar as opções de exportação de descobertas, selecione um bucket do Amazon S3 para armazenar as descobertas e uma chave do AWS KMS a ser usada para criptografia de dados. Além das permissões para ações do GuardDuty, também é necessário ter permissões para as seguintes ações a fim de configurar opções para exportar descobertas com êxito.

  • s3:GetBucketLocation

  • s3:PutObject

Se você precisar exportar as descobertas para um prefixo específico em seu bucket do Amazon S3, você também deve adicionar as seguintes permissões ao perfil do IAM:

  • s3:GetObject

  • s3:ListBucket

Etapa 2: Anexar política à sua chave do KMS

O GuardDuty criptografa os dados de descobertas no bucket usando o AWS Key Management Service. Para configurar com êxito as definições, você deve primeiro dar permissão ao GuardDuty para usar uma chave do KMS. Você pode conceder as permissões anexando a política à sua chave do KMS.

Se você estiver usando uma chave do KMS de outra conta, precisará aplicar a política de chaves fazendo login em Conta da AWS que seja proprietária da chave. Ao configurar para exportar descobertas, você também precisará da chave ARN dessa conta que possui a chave.

Para modificar a política de chave do KMS do GuardDuty para criptografar as descobertas exportadas

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.

  3. Selecione uma chave KMS existente ou execute as etapas para Criar uma nova chave no Guia do desenvolvedor do AWS Key Management Service, que você usará para criptografar as descobertas exportadas.

    nota

    O Região da AWS de sua chave do KMS e do bucket do Amazon S3 devem ser os mesmos.

    Use o mesmo bucket do S3 e o mesmo par de chaves KMS para exportar as descobertas de qualquer região aplicável. Para obter mais informações, consulte Considerações para exportar descobertas do entre regiões.

  4. Na seção Política de chave escolha Editar.

    Se Mudar para visualização da política for exibido, selecione-o para exibir a Política de chave e, em seguida, escolha Editar.

  5. Copie o seguinte bloco de política para sua política de chave do KMS para conceder permissão ao GuardDuty para usar a chave.

    {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

  6. Edite a política substituindo os seguintes valores formatados em vermelho no exemplo da política:

    1. Substitua o ARN de chave KMS pelo nome do recurso da Amazon (ARN) de uma chave do KMS. Para saber como localizar o ARN da chave, consulte Localizar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service.

    2. Substitua 123456789012 pela ID Conta da AWS que possui a conta do GuardDuty que exporta as descobertas.

    3. Substitua a Região 2 pela região Região da AWS em que as descobertas do GuardDuty são geradas.

    4. Substitua SourceDetectorID pela conta detectorID do GuardDuty na região específica em que as descobertas foram geradas.

      Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    nota

    Se você estiver usando o GuardDuty em uma região habilitada manualmente, substitua o valor do "Serviço" pelo endpoint de serviço da região. Por exemplo, se você estiver usando o GuardDuty na região Oriente Médio (Bahrein) (me-south-1), substitua "Service": "guardduty.amazonaws.com" por "Service": "guardduty.me-south-1.amazonaws.com". Para obter informações sobre endpoints de cada região opt-in, consulte Endpoints do GuardDuty e cotas.

  7. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.

    Escolha Salvar.

  8. (Opcional) copie o ARN da chave em um bloco de notas para uso nas etapas posteriores.

Etapa 3: Anexar uma política ao bucket Amazon S3

Adicione permissões ao bucket do Amazon S3 para o qual serão exportadas as descobertas, de modo que o GuardDuty possa carregar objetos para esse bucket do S3. Independentemente de usar um bucket do Amazon S3 que pertença à sua conta ou em umConta da AWS diferente, você deve adicionar essas permissões.

Caso, em algum momento, as descobertas sejam exportadas para um bucket S3 diferente, para continuar exportando as descobertas, será necessário adicionar permissões a esse bucket do S3 e definir novamente as configurações de exportação de descobertas.

Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte Criação de um bucket no Guia do usuário do Amazon S3.

Anexar permissões a sua política de bucket do S3

  1. Execute as etapas em Para criar ou editar uma política de bucket no Guia do usuário do Amazon S3, até que a página Editar política de bucket seja exibida.

  2. A política de exemplo mostra como conceder ao GuardDuty permissão para enviar descobertas para seu bucket do Amazon S3. Caso altere o caminho depois de configurar a exportação de descobertas, você deve modificar a política para conceder permissão para o novo local.

    Copie a política de exemplo a seguir e cole-a no Editor de políticas do bucket.

    Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.

    Exemplo de política de bucket do S

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  3. Edite a política substituindo os seguintes valores formatados em vermelho no exemplo da política:

    1. Substitua o ARN do bucket do Amazon S3 pelo nome de recurso da Amazon (ARN) do bucket do Amazon S3 O ARN do bucket pode ser encontrado no ARN do bucket na página Editar política do bucket no console https://console.aws.amazon.com/s3/.

    2. Substitua 123456789012 pela ID Conta da AWS que possui a conta do GuardDuty que exporta as descobertas.

    3. Substitua us-east-2 pela Região da AWS em que as descobertas do GuardDuty são geradas.

    4. Substitua SourceDetectorID pela conta detectorID do GuardDuty na região específica em que as descobertas foram geradas.

      Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    5. Substitua a parte [prefixo opcional] do valor do espaço reservado ARN/ [prefixo opcional] do bucket do S3 por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre ouso de prefixos, consulte Organizando objetos usando prefixos no Guia de usuário do Amazon S3.

      Quando você fornece um local de pasta que ainda não exista, o GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que está exportando as descobertas. Se você exportar descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.

    6. Substitua o ARN da chave do KMS pelo nome do recurso da Amazon(ARN)) dessa chave do KMS associada à criptografia das descobertas exportadas para o bucket do S3. Para saber como localizar o ARN da chave, consulte Localizar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service.

    nota

    Se você estiver usando o GuardDuty em uma região habilitada manualmente, substitua o valor do "Serviço" pelo endpoint de serviço da região. Por exemplo, se você estiver usando o GuardDuty na região Oriente Médio (Bahrein) (me-south-1), substitua "Service": "guardduty.amazonaws.com" por "Service": "guardduty.me-south-1.amazonaws.com". Para obter informações sobre endpoints de cada região opt-in, consulte Endpoints do GuardDuty e cotas.

  4. Escolha Salvar.

Etapa 4: Exportar descobertas para um bucket do S3 (console)

O GuardDuty permite que você exporte descobertas para um bucket existente em outro Conta da AWS.

Ao criar um novo bucket S3 ou escolher um bucket existente em sua conta, é possível adicionar um prefixo. Ao configurar a exportação de descobertas, o GuardDuty cria uma nova pasta no bucket do S3 para suas descobertas. O prefixo será anexado à estrutura de pastas padrão criada pelo GuardDuty. O formato do prefixo opcional /AWSLogs/123456789012/GuardDuty/Region é , por exemplo:

Todo o caminho do objeto S3 será amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz. O UUID é gerado aleatoriamente e não representa o ID do detector ou o ID da descoberta.

Importante

A chave do KMS e o bucket do S3 devem estar na mesma região.

Antes de concluir essas etapas, verifique se as respectivas políticas foram anexadas à chave KMS e ao bucket do S3 existente.

Para configurar a opção exportar descobertas

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, selecione Configurações.

  3. Na página Configurações, em Opções de exportação de descobertas, para o bucket do S3, escolha Configurar agora (ou Editar, conforme necessário).

  4. Para ARN de bucket S3, insira o bucket ARN. Para encontrar o ARN do bucket, consulte Visualização das propriedades de um bucket do S3 no Guia do usuário do Amazon S3.

  5. Para o ARN da chave KMS, digite o key ARN. Para saber como localizar o ARN da chave, consulte Localizar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service.

  6. Anexar políticas

  7. Escolha Salvar.

Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas

Configure a frequência para exportar descobertas ativas atualizadas conforme apropriado para seu ambiente. Por padrão, as descobertas atualizadas são exportadas a cada 6 horas. Isso significa que todas as descobertas que forem atualizadas após a exportação mais recente serão incluídas na próxima exportação. Se as descobertas atualizadas forem exportadas a cada 6 horas e a exportação ocorrer às 12h, todas as descobertas atualizadas após 12h serão exportadas às 18h.

Como definir a frequência

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. Escolha Settings.

  3. Na seção Opções de exportação de descobertas, selecione Frequência para descobertas atualizadas. Isso define a frequência de exportação das descobertas ativas atualizadas para o EventBridge e o Amazon S3. Você pode escolher entre as seguintes opções:

    • Atualizar o EventBridge e o S3 a cada 15 minutos

    • Atualizar o EventBridge e o S3 a cada 1 hora

    • Atualizar EventBridge e S3 a cada 6 horas (padrão)

  4. Escolha Salvar alterações.