导出结果 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

导出结果

GuardDuty支持将活跃的发现导出到CloudWatch事件(可选)添加到 Amazon S3 存储桶。GuardDuty 生成的新的活动的调查结果在生成调查结果后的大约 5 分钟内自动导出。您可以设置将活动的调查结果导出到的频率。CloudWatch事件。您选择的频率适用于将现有查找结果的新出现次数导出到CloudWatch事件、S3 存储桶(如果已配置)和 Detective(如果集成)。有关现有调查结果的更新,请参阅。GuardDuty 结果汇总

请注意有关调查结果导出设置的以下信息

  • 导出设置是区域性的,这意味着您需要为使用的每个区域配置导出选项。GuardDuty. 但是,您可以在单个区域中使用相同的存储桶作为您使用的每个区域的导出目标。GuardDuty在。

  • 不会导出存档的调查结果(包括隐藏调查结果的新实例)。如果取消调查结果存档,其状态将更新为处于活动状态,它将在下一个间隔内导出。

  • 如果您在GuardDuty管理员账户关联成员账户中在当前区域生成的所有调查结果也会导出到您为管理员账户配置的相同位置。

要配置用于将活动的调查结果导出到 Amazon S3 存储桶的设置,您需要一个 KMS 密钥,GuardDuty可以用来加密查找结果,以及具有允许的权限的 S3 存储桶GuardDuty以上传对象。阅读本主题以了解如何配置调查结果导出和频率。

配置查找结果导出所需的权限

配置用于导出调查结果的选项时,选择用于存储调查结果的存储桶和用于数据加密的 KMS 密钥。除了以下权限之外GuardDuty操作,您还必须具有执行以下操作的权限,才能成功配置用于导出调查结果的选项。

  • KMS:ListAliases

  • s3:CreateBucket

  • s3:GetBucket位置

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPublicAccessBlock

  • s3:PutBucket策略

  • s3:PutObject

重要

如果你的政策明确拒绝putObjectAcl您无法发布调查结果。

授予GuardDutyKMS 密钥的权限

GuardDuty使用以下方法加密存储桶中的调查结果数据:Amazon KMS密钥。要成功配置调查结果导出,您首先必须提供GuardDuty使用 KMS 密钥的权限。您通过以下方式授予权限更改密钥策略为了你使用的钥匙。

如果您计划为 GuardDuty 调查结果使用新密钥,请在继续操作之前创建密钥。如果您在另一账户中使用密钥,则需要登录拥有密钥的账户才能应用密钥策略。配置导出设置时,您还需要另一个账户的密钥的密钥 ARN。

修改密钥策略以允许 GuardDuty 使用密钥

  1. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  2. 更改Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 创建一个新密钥或选择您计划用于加密导出的调查结果的现有密钥。密钥必须与存储桶位于同一个区域中,但是,您可以对要导出查找结果的每个区域使用相同的存储桶和 key pair。

  4. 选择你的密钥然后从常规配置面板。

  5. UDAR密钥策略,选择编辑.

    提示

    如果切换到策略视图将显示,选择它以显示密钥策略,然后选择编辑.

  6. 添加以下密钥策略授予GuardDuty访问你的钥匙。替换红色的值以匹配您的环境。

    Replace区域KMS 密钥所在的区域。Replace111122223333使用Amazon拥有的源账户的账号GuardDuty探测器。Replace自杀KeyId使用您选择用于加密并替换的密钥 IDSourceDetectorID使用来源账户GuardDuty当前区域的探测器 ID。

    此声明允许GuardDuty仅使用您更改策略的密钥。编辑密钥策略时,请确保 JSON 语法有效,如果在最后一条语句之前添加语句,则必须在结束括号后添加逗号。

    { "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:Region:111122223333:key/KMSKeyId", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID" } } }
    注意

    如果您使用GuardDuty在手动启用的区域中,将 “服务” 的值替换为该区域的区域终端节点。例如,如果您正在使用GuardDuty在中东(巴林)(me-south-1) 区域,将"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com".

  7. 请选择保存

  8. (可选)如果您计划使用现有存储桶,请将密钥 ARN 复制到记事本以供后续步骤中使用。要找到密钥 ARN,请参阅查找密钥 ID 和 ARN.

授予GuardDuty存储桶的权限

在您的账户中或在其他账户中使用预先存在的存储桶时Amazon账户,你必须授予GuardDuty有权将对象上传到存储桶。您授予这些权限的方法是添加 S3 存储桶策略. 如果您使用的是预先存在的存储桶,请展开以下部分step-by-step添加存储桶策略的说明。

添加允许的存储桶策略GuardDuty上传数据元你的存储桶

  1. 通过以下网址打开 Simple Storage Service(Amazon S3)控制台:https://console.aws.amazon.com/s3/

  2. 选择您计划用于导出的调查结果的存储桶。

  3. 选择 Permissions,然后选择 Bucket Policy

  4. 复制策略示例将其粘贴到存储桶策略编辑.

  5. 将示例策略中的占位符值替换为适合您环境的值。

    ReplacemyBucketName. Replace[可选的前缀]用于导出的查找结果的文件夹位置(GuardDuty如果还没有此位置,则会在设置时创建此位置)。Replace区域KMS 密钥所在的区域。Replace111122223333使用Amazon拥有存储桶的账户号。Replace自杀KeyId使用您选择用于加密并替换的密钥 IDSourceDetectorID使用来源账户GuardDuty当前区域的探测器 ID。

示例策略

以下示例策略介绍了如何授予。GuardDuty向 Amazon S3 存储桶发送调查结果的权限。如果在配置调查结果导出后更改路径,则必须修改策略以授予新位置的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGuardDutygetBucketLocation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID" } } }, { "Sid": "AllowGuardDutyPutObject", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID" } } }, { "Sid": "DenyUnencryptedUploadsThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyIncorrectHeaderThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "DenyNon-HTTPS", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
注意

如果您使用GuardDuty在手动启用的区域中,将服务的值替换为该区域的区域终端节点。例如,如果您正在使用GuardDuty在中东(巴林)(me-south-1) 区域,将"Service": "guardduty.amazonaws.com""guardduty.me-south-1.amazonaws.com".

使用控制台将发现导出到存储桶

配置调查结果导出时,您可以选择一个现有 S3 存储桶或具有GuardDuty创建一个新存储桶以存储导出的调查结果。如果你选择使用新存储桶,GuardDuty将所有必要的权限应用于创建的存储桶。如果您使用现有存储桶,则必须首先更新存储桶策略。GuardDuty将调查结果放入存储桶中。

您还可以将调查结果导出到另一个账户中的现有存储桶。

在账户中选择新存储桶或现有存储桶时,您可以添加前缀。配置调查结果时导出GuardDuty在 S3 存储桶中为调查结果创建一个新的文件夹。前缀将在创建的默认文件夹结构的前面GuardDuty,也就是/AWSLogs/111122223333/GuardDuty/Region.

重要

KMS 密钥和 S3 存储桶必须位于同一区域。

在完成这些步骤之前,请确保您已配置 KMS 密钥,如果使用现有存储桶,则添加了存储桶策略以允许GuardDuty创建对象。

New bucket in your account

使用新存储桶配置调查结果导出

  1. 向 KMS 密钥添加策略GuardDuty将用来加密调查结果。有关策略示例,请参阅授予GuardDutyKMS 密钥的权限

  2. 打开GuardDuty控制台https://console.aws.amazon.com/guardduty/.

  3. 选择 Settings

    1. 选择新存储桶创建新存储桶以存储导出的调查结果。

      Name the bucket (命名存储桶) 字段中,输入存储桶的名称。名称在所有 S3 存储桶中必须是唯一的。存储桶名称必须以小写字母或数字开头。

    2. 如果您使用[optional prefix]在存储桶策略中,您必须在下面输入该前缀日志文件前缀,否则这是可选的。当您输入值时,字段下面的示例路径将更新,以反映将存储导出的结果的存储桶位置的路径。

    3. UDARKMS 加密,请执行以下操作之一:

      • 选择 Choose key from your account (从您的账户中选择密钥)

        然后,从中选择您更改了策略的密钥的密钥别名。密钥别名列表。

      • 选择 Choose key from another account (从其他账户中选择密钥)

        然后在更改策略的密钥中输入完整的 ARN。

        您选择的密钥必须与存储桶位于同一区域。要了解如何查找密钥 ARN,请参阅查找密钥 ID 和 ARN.

    4. 请选择保存

Existing bucket in your account

使用现有存储桶配置调查结果导出

  1. 向 KMS 密钥添加策略GuardDuty将用来加密调查结果。有关策略示例,请参阅授予GuardDutyKMS 密钥的权限

  2. 附加策略授予GuardDuty权限将对象上传到 S3 存储桶。有关策略示例,请参阅授予GuardDuty存储桶的权限

  3. 打开GuardDuty控制台https://console.aws.amazon.com/guardduty/.

  4. 选择 Settings

    1. 选择账户中的现有存储桶.

      将存储桶命名为字段输入存储桶的名称。

    2. 可选。UDAR日志文件前缀,输入要使用的路径前缀。GuardDuty将在存储桶中创建一个具有指定前缀名称的新文件夹。当您输入值时,字段下面的示例路径将更新,以反映存储桶中导出的查找结果的路径。

    3. UDARKMS 加密,请执行以下操作之一:

      • 选择 Choose key from your account (从您的账户中选择密钥)

        然后,从中选择您更改了策略的密钥的密钥别名。密钥别名列表。

      • 选择 Choose key from another account (从其他账户中选择密钥)

        然后在更改策略的密钥中输入完整的 ARN。

        您选择的密钥必须与存储桶位于同一区域。要了解如何查找密钥 ARN,请参阅查找密钥 ID 和 ARN.

    4. 请选择保存

Existing bucket in another account

使用其他账户中的现有存储桶配置调查结果导出

  1. 向 KMS 密钥添加策略GuardDuty将用来加密调查结果。有关策略示例,请参阅授予GuardDutyKMS 密钥的权限

  2. 附加策略授予GuardDuty有权将对象上传到其他账户中的 S3 存储桶。有关策略示例,请参阅授予GuardDuty存储桶的权限.

    注意

    使用策略中拥有存储桶的账户 ID

  3. 打开GuardDuty控制台https://console.aws.amazon.com/guardduty/.

  4. 选择 Settings

    1. 选择其他账户中的现有存储桶.

    2. Bucket ARN field (存储桶 ARN 字段) 中,输入要使用的来自其他账户的存储桶的 ARN。

    3. UDARKMS 加密输入您更改了策略的密钥的完整 ARN。

      您选择的密钥必须与存储桶位于同一区域。要了解如何查找密钥 ARN,请参阅查找密钥 ID 和 ARN.

    4. 请选择保存

导出访问错误

配置查找导出选项后,如果GuardDuty无法导出调查结果,在设置页. 当 GuardDuty 无法再访问目标资源时,例如删除了 S3 存储桶或更改了存储桶的权限,可能会发生这种情况。当用于加密存储桶中数据的 KMS 密钥变得无法访问时,也会发生这种情况。

导出失败时,GuardDuty 会向与账户关联的电子邮件发送通知,让您知道该问题。如果您不解决此问题,GuardDuty禁用账户中的调查结果导出。您可以随时更新配置以重新启动调查结果导出。

如果收到此错误,请查看本主题中有关如何启用和配置查找结果导出的信息。例如,查看密钥策略并确认正确的策略应用于您选择加密的 KMS 密钥。

设置导出更新的活动查找结果的频率

根据您的环境配置用于导出更新的活动调查结果的频率。默认情况下,每 6 小时导出一次更新的调查结果。这意味着,在最近一次导出之后更新的任何调查结果都包含在下一次导出的内容中。如果每 6 小时导出一次更新的调查结果,并且导出发生在 12:00,则在 12:00 后更新的任何调查结果都会在 18:00 导出。

设置频率

  1. 登录到Amazon Web Services Management Console然后打开GuardDuty控制台https://console.aws.amazon.com/guardduty/.

  2. 选择 Settings

  3. 导出选项部分,选择调查结果的频率. 这会设置将更新的活动调查结果导出为两者的频率CloudWatch事件和 Amazon S3. 可从以下选项中进行选择:

    • 每 15 分钟更新 CWE 和 S3

    • 每 1 小时更新 CWE 和 S3

    • 每 6 小时更新 CWE 和 S3(默认值)

  4. 请选择保存