As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registrando chamadas de GuardDuty API da Amazon com AWS CloudTrail
GuardDuty A Amazon está integrada com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em GuardDuty. CloudTrail captura todas as chamadas de API para eventos GuardDuty as, incluindo chamadas do GuardDuty console e de chamadas de código para o. GuardDuty APIs Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon Simple Storage Service (Amazon S3), incluindo eventos para. GuardDuty Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita GuardDuty, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para obter mais informações sobre CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o *[Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*.
## GuardDuty informações em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando uma atividade de evento suportada ocorre em GuardDuty, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para GuardDuty, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Serviços e integrações compatíveis com o CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais login de usuário raiz ou de usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado
+ Se a solicitação foi feita por outro AWS serviço
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## GuardDuty eventos do plano de controle em CloudTrail
Por padrão, CloudTrail registra todas as operações de GuardDuty API fornecidas na [Amazon GuardDuty API Reference](https://docs.aws.amazon.com/guardduty/latest/APIReference/) como eventos em CloudTrail arquivos.
## GuardDuty eventos de dados em CloudTrail
[GuardDuty Monitoramento de execução](runtime-monitoring.md)usa um agente de GuardDuty segurança implantado em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS), instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e `aws-guardduty-agent` tarefas (somente Amazon AWS Fargate Elastic Container Service (Amazon ECS)) para coletar [Tipos de eventos de runtime coletados](runtime-monitoring-collected-events.md) complementos () que coletam para suas cargas de trabalho e, em seguida, enviá-las para detecção de ameaças e análise. AWS GuardDuty
### Registro em log e monitoramento de eventos de dados
Opcionalmente, você pode configurar os AWS CloudTrail registros para visualizar os eventos de dados do seu agente GuardDuty de segurança.
Para criar e configurar CloudTrail, consulte [Eventos de dados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) no *Guia do AWS CloudTrail usuário* e siga as instruções para **registrar eventos de dados com seletores de eventos avançados no Console de gerenciamento da AWS**. Ao registrar a trilha em log, faça as seguintes alterações:
+ Para o **tipo de evento de dados**, escolha **GuardDutydetector**.
+ Para o **Modelo do seletor de logs**, escolha **Registrar todos os eventos em log**.
+ Expanda a **Visualização JSON** da configuração. Ela deve ser semelhante ao seguinte JSON:
```
[
{
"name": "",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::GuardDuty::Detector"
]
}
]
}
]
```
Depois de habilitar o seletor para a trilha, navegue até o console do Amazon S3 em. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) Você pode baixar os eventos de dados do bucket do S3 escolhido no momento da configuração dos CloudTrail registros.
# Exemplo: entradas do arquivo de GuardDuty log
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra o evento do plano de dados.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "111122223333:aws:ec2-instance:i-123412341234example",
"arn": "arn:aws:sts::111122223333:assumed-role/aws:ec2-instance/i-123412341234example",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "111122223333:aws:ec2-instance",
"arn": "arn:aws:iam::111122223333:role/aws:ec2-instance",
"accountId": "111122223333",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-03-05T04:00:21Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-03-05T06:03:49Z",
"eventSource": "guardduty.amazonaws.com",
"eventName": "SendSecurityTelemetry",
"awsRegion": "us-east-1",
"sourceIPAddress": "54.240.230.177",
"userAgent": "aws-sdk-rust/0.54.1 os/linux lang/rust/1.66.0",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::GuardDuty::Detector",
"ARN": "arn:aws:guardduty:us-west-2:111122223333:detector/12abc34d567e8fa901bc2d34e56789f0"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "guardduty-data.us-east-1.amazonaws.com"
}
}
```
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `CreateIPThreatIntelSet` ação (evento do plano de controle).
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::444455556666:user/Alice",
"accountId": "444455556666",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-06-14T22:54:20Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::444455556666:user/Alice",
"accountId": "444455556666",
"userName": "Alice"
}
}
},
"eventTime": "2018-06-14T22:57:56Z",
"eventSource": "guardduty.amazonaws.com",
"eventName": "CreateThreatIntelSet",
"awsRegion": "us-west-2",
"sourceIPAddress": "54.240.230.177",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"detectorId": "12abc34d567e8fa901bc2d34e56789f0",
"name": "Example",
"format": "TXT",
"activate": false,
"location": "https://s3.amazonaws.com/bucket.name/file.txt"
},
"responseElements": {
"threatIntelSetId": "1ab200428351c99d859bf61992460d24"
},
"requestID": "5f6bf981-7026-11e8-a9fc-5b37d2684c5c",
"eventID": "81337b11-e5c8-4f91-b141-deb405625bc9",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666"
}
```
A partir das informações desse evento, você pode determinar que a solicitação foi feita para criar uma lista de ameaças `Example` no GuardDuty. Você também pode ver que a solicitação foi feita por uma usuária chamada Alice em 14 de junho de 2018.