本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入门 GuardDuty
| GuardDuty RDS 保护处于预览版中。您对 RDS 保护功能的使用受Amazon服务条款 |
本教程介绍通过创建的实践操作 GuardDuty。步骤 1 涵盖了以独立帐户或 GuardDuty 管理员身份启用 GuardDuty 的最低要求。Amazon Organizations第 2 步至第 5 步涵盖使用推荐的其他功能, GuardDuty 以充分利用您的发现。
主题
开始前的准备工作
GuardDuty 是一项威胁检测服务,用于监控Amazon CloudTrail管理事件、Amazon S3Amazon CloudTrail 的数据事件、DNS 日志、Kubernetes 审计日志、亚马逊 VPC 流日志和 RDS 登录活动监控。它还会分析 Amazon EBS 的音量数据亚马逊的恶意软件防护 GuardDuty,这些数据需要在其中单独启用 GuardDuty。使用这些数据源,为您的账户 GuardDuty 生成安全调查结果。启用后 GuardDuty ,它将立即开始监视您的环境。 GuardDuty 可以随时禁用以阻止它处理Amazon CloudTrail管理事件、S3Amazon CloudTrail 的数据事件、DNS 日志、Kubernetes 审核日志、EBS 卷数据、VPC 流日志和 RDS 登录活动监控。
在启用 GuardDuty 服务之前,您无需启用Amazon CloudTrail管理事件、S3Amazon CloudTrail 的数据事件、DNS 日志、EKS 审核日志或 VPC 流日志。亚马逊直接从这些服务中 GuardDuty 提取独立的数据流。对于新 GuardDuty 账户,默认情况下 GuardDuty ,EKS 保护、恶意软件保护、RDS 保护和 S3 保护处于启用状态,您可以选择退出其中任何或全部。如果您是现有 GuardDuty 客户,则可以选择启用任何或所有保护计划——EKS 保护、恶意软件保护、RDS 保护和 S3 保护。有关更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源:
RDS 保护适用于选择性预览版Amazon Web Services 区域。为属于这些区域的新 GuardDuty 账户自动启用 RDS 保护。有关更多信息,请参阅区域和终端节点:
启用 GuardDuty 时,注意以下事项:
-
GuardDuty 是一项区域服务,这意味着您在此页面上遵循的任何配置过程都必须在要监控的每个区域中重复执行 GuardDuty。
我们强烈建议您在所有支持的Amazon区域 GuardDuty 中启用。这使您 GuardDuty 能够生成有关未经授权或异常活动的调查结果,即使在您不积极使用的区域也是如此。这还 GuardDuty 允许监控 IAM 等全球Amazon服务Amazon CloudTrail的事件。如果 GuardDuty 未在所有支持的区域都启用,则其检测涉及全球服务的活动的能力就会降低。有关可用的区域的 GuardDuty 完整列表,请参阅区域和终端节点。
-
在Amazon账户中拥有管理员权限的任何用户都可以启用 GuardDuty,但是,按照最低权限的安全最佳实践,建议您创建一个 IAM 角色、用户或群组来 GuardDuty 专门管理。有关启用所需权限的信息, GuardDuty 请参阅启用 GuardDuty 所需的权限。
-
当您在任何区域 GuardDuty 首次启用时,它还会在默认情况下启用恶意软件防护。 GuardDuty 为您的账户创建一个名为的服务关联角色
AWSServiceRoleForAmazonGuardDuty。此角色包括权限和信任策略,允许直接使用和分析 GuardDuty 来自Amazon CloudTrail VPC 流日志和 DNS 日志的事件以生成安全调查结果。恶意软件防护会为您的账户创建另一个服务关联角色,名为AWSServiceRoleForAmazonGuardDutyMalwareProtection。此角色包括允许恶意软件保护执行无代理扫描以检测您 GuardDuty 账户中的恶意软件的权限和信任策略。它 GuardDuty 允许在您的账户中创建 EBS 卷快照,并与 GuardDuty 服务账户共享该快照。有关更多信息,请参阅的服务权限的权限的权限的权限的权限 GuardDuty:有关服务相关角色的更多信息,请参阅使用服务相关角色的更多信息,请参阅使用服务相关角色。 -
当您在任何地区 GuardDuty 首次启用时,您的Amazon账户将自动注册该地区的 30 天 GuardDuty 免费试用。
步骤 1:启用亚马逊 GuardDuty
使用的第一步 GuardDuty 是在您的账户中启用它。启用后, GuardDuty将立即开始监控当前区域中的安全威胁。
如果您想以 GuardDuty 管理员身份管理组织内其他帐户的 GuardDuty 调查结果,则必须添加成员帐户 GuardDuty 并为其启用。选择一个选项以了解如何 GuardDuty 为您的环境启用。
第 2 步:生成样本发现并探索基本操作
当 GuardDuty 发现安全问题时,它会生成调查结果。 GuardDuty 发现是包含与该独特安全问题相关的详细信息的数据集。调查结果的详细信息可用于帮助您调查问题。
GuardDuty 支持生成带有占位符值的样本发现,该值可用于测试 GuardDuty 功能并在需要对发现的实际安全问题做出响应之前熟悉调查结果 GuardDuty。按照以下指南为每种可用的发现类型生成样本调查结果 GuardDuty,有关生成样本调查结果的其他方法,包括在账户内生成模拟安全事件,请参阅示例发现结果。
创建和探索样本发现
-
在导航窗格中,选择 Settings (设置)。
-
在 Settings 页面上的 Sample findings 下,选择 Generate sample findings。
-
在导航窗格中,选择 Findings (结果)。样本发现显示在当前发现结果页面上,前缀为 [SAMPLE]。
-
从列表中选择一个查找结果以显示该查找结果的详细信息。
-
您可以查看查找结果详细信息窗格中可用的不同信息字段。不同类型的发现可能有不同的字段。有关所有查找类型中的可用字段的更多信息,请参阅结果详细信息。在详细信息窗格中,您可以执行以下操作:
-
选择窗格顶部的查找结果 ID 以打开该查找结果的完整 JSON 详细信息。也可以从此面板下载完整的 JSON 文件。JSON 包含一些未包含在控制台视图中的其他信息,是其他工具和服务可以提取的格式。
-
查看 “受影响的资源” 部分。在实际发现中,此处的信息将帮助您确定账户中应调查的资源,并将包括指向相应可操作资源Amazon Web Services Management Console的链接。
-
选择 “+” 或 “-” 的玻璃图标,为该细节创建包容性或专属滤镜。有关查找筛选条件的更多信息,请参阅筛选结果
-
-
-
存档所有样本发现
-
通过选中列表顶部的复选框来选择所有发现。
-
取消选择任何您想要保留的结果。
-
选择 “操作” 菜单,然后选择 “存档” 以隐藏样本调查结果。
注意 要查看存档的调查结果,请选择 “当前”,然后选择 “已存档” 以切换调查结果视图。
-
步骤 3:配置将 GuardDuty 发现结果导出到 Amazon S3 存储桶
GuardDuty 建议配置设置以导出调查结果,因为它允许您将发现结果导出到 S3 存储桶,以便在 GuardDuty 90 天保留期之后无限期存储。这使您可以保留发现的记录或在一段时间内跟踪Amazon环境中的问题。此处概述的过程将引导您完成设置新的 S3 存储桶和创建新的 KMS 密钥以从控制台中对发现的结果进行加密。有关这方面的更多信息,包括如何使用您自己的现有存储段或其他账户中的存储桶,请参阅导出调查结果。
配置 S3 导出发现结果选项
-
要加密调查结果,您需要一个 KMS 密钥,其策略 GuardDuty 允许使用该密钥进行加密。以下步骤将帮助您创建新的 KMS 密钥。如果您使用来自其他账户的 KMS 密钥,则需要通过登录到拥有Amazon Web Services 账户该密钥的账户来应用密钥策略。您的 KMS 密钥和 S3 存储桶的区域必须相同。但是,对于要从中导出发现结果的每个区域,您可以使用相同的存储段和key pair。
-
在 Amazon KMShttps://console.aws.amazon.com/kms 打开
控制台。 -
要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector(区域选择器)。
-
在导航窗格中,选择客户托管密钥。
-
选择 Create key。
-
在 “密钥类型” 下选择 “对称”,然后选择 “下一步”。
注意 有关创建 KMS 密钥的详细步骤,请参阅Amazon Key Management Service开发人员指南中的创建密钥。
-
为您的密钥提供别名,然后选择 Ne xt。
-
选择 “下一步”,然后再次选择 “下一步” 以接受默认的管理和使用权限。
-
查看配置后,选择 “完成” 以创建密钥。
-
在客户管理的密钥页面上,选择您的密钥别名。
-
在密钥策略选项卡中,选择切换到策略视图。
-
选择编辑并将以下密钥策略添加到您的 KMS 密钥,授予对密钥的 GuardDuty 访问权限。此语句仅 GuardDuty 允许使用您向其添加此策略的密钥。编辑密钥策略时,请确保 JSON 语法有效。如果在最后一条语句之前添加语句,则必须在右括号后添加逗号。
{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID" } } }将 Re
gion1替换为 KMS 密钥的区域。将4444556666666666666替换为Amazon Web Services 账户拥有 KMS 密钥的替换。将KMSKeyId替换为您选择用于加密的 KMS 密钥的密钥 ID。要识别所有这些值(区域Amazon Web Services 账户、和密钥 ID),请查看 KMS 密钥的 ARN。要查找密钥 ARN 的操作,请参阅查找密钥 ID 和 ARN。同样,将
111122223333替换Amazon Web Services 账户为 GuardDuty 账户的。将区域 2替换为 GuardDuty 账户的区域。将SourceDetectorID替换为Region2 GuardDuty账户的检测器 ID。你可以在 https://console.aws.amazon.com/guardduty/
控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI。 选择保存。
-
-
通过 https://console.aws.amazon.com/guardduty/
打开 GuardDuty 主机。 -
在导航窗格中,选择 Settings (设置)。
-
在 “查找结果” 导出选项下,选择 “立即配置”。
-
选择 “新建存储桶”。为您的 S3 存储桶提供唯一名称。
-
(可选)您可以通过生成样本发现来测试新的导出设置。在导航窗格中,选择 Settings (设置)。
-
在样本发现部分下,选择生成样本发现。新的样本发现将在最多五分钟后以条目形式显示 GuardDuty 在创建的 S3 存储桶中。
步骤 4:设置通过 SNS 的 GuardDuty 查找提醒
GuardDuty 与亚马逊集成 EventBridge,可用于将调查结果数据发送到其他应用程序和服务进行处理。借助, EventBridge 您可以通过将查找事件连接到Amazon Lambda函数、Amazon EC2 Systems Manager 自动化、Amazon Simple Notification Service (SNS) 等目标,使用 GuardDuty 发现结果启动对发现的自动响应。
在本示例中,您将创建一个 SNS 主题作为 EventBridge 规则的目标,然后您将使用 EventBridge 创建一个从中捕获发现数据的规则 GuardDuty。生成的规则将查找详细信息转发到电子邮件地址。要了解如何向 Slack 或 Amazon Chime 发送调查结果,以及如何修改发送调查结果提醒的类型,请参阅设置 Amazon SNS 主题和终端节点。
为您的发现警报创建 SNS 主题
-
通过以下网址打开 Amazon SNS 控制台:https://console.aws.amazon.com/sns/v3/home
。 -
在导航窗格中,选择 Topics(主题)。
-
选择 Create Topic。
-
对于 “类型”,选择 “标准”。
-
对于 Name(名称),请输入
GuardDuty。 -
选择 Create Topic。您的新主题的主题详细信息将打开。
-
在订阅部分中,选择创建订阅。
-
对于协议,选择电子邮件。
-
对于 Endpoint(端点),请输入要向其发送通知的电子邮件地址。
-
选择 Create subscription(创建订阅)。
创建订阅后,必须通过电子邮件确认订阅。
-
要查看订阅消息,请转到您的电子邮件收件箱,然后在订阅消息中选择确认订阅。
注意 要检查电子邮件确认状态,请前往 SNS 控制台并选择 “订阅”。
创建 EventBridge 规则以捕获 GuardDuty 发现结果并对其进行格式化
-
通过 https://console.aws.amazon.com/events/
打开 EventBridge 主机。 -
在导航窗格中,选择 Rules (规则)。
-
选择 Create rule (创建规则)。
-
为规则输入名称和描述。
规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。
-
对于 Event bus(事件总线),选择 default(默认)。
-
对于 Rule type(规则类型),选择 Rule with an event pattern(具有事件模式的规则)。
-
选择下一步。
-
对于事件源,选择Amazon事件。
-
对于事件模式,选择事件模式表单。
-
对于 Event source(事件源),选择 Amazon services(服务)。
-
如需Amazon服务,请选择GuardDuty。
-
对于 “事件类型”,选择 “GuardDuty查找”。
-
选择 Next(下一步)。
-
对于 Target types(目标类型),选择 Amazon service(服务)。
-
对于选择目标,选择 SNS 主题,对于 “主题”,选择您之前创建的 SNS 主题的名称。
-
在 “其他设置” 部分中,对于 “配置目标输入”,选择 “输入转换器”。
添加输入转换器会将发送的 JSON 查找数据格式 GuardDuty 化为人类可读的消息。
-
选择 Configure input transformer(配置输入转换器)。
-
在目标输入转换器部分的输入路径中,粘贴以下代码:
{ "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" } -
要格式化电子邮件,请在 “模板” 中粘贴以下代码:
"You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region." "Finding Description:" "<Finding_description>. " "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>" -
选择 Confirm(确认)。
-
选择 Next(下一步)。
-
(可选)为规则输入一个或多个标签。有关更多信息,请参阅亚马逊 EventBridge 用户指南中的亚马逊 EventBridge 标签。
-
选择下一步。
-
查看规则详细信息并选择 Create rule(创建规则)。
-
(可选)使用步骤 2 中的流程生成样本结果,测试您的新规则。您将收到一封关于生成的每个样本发现的电子邮件。
后续步骤
在您继续使用的过程中 GuardDuty,您将了解与您的环境相关的发现类型。无论何时收到新的发现结果,都可以通过从查找结果详细信息窗格中的查找结果描述中选择 “了解更多”,或者在上搜索查找结果的名称来查找信息,包括有关该发现的补救建议查找类型。
以下功能将帮助您进行调整, GuardDuty 使其能够为您的Amazon环境提供最相关的发现:
-
要根据实例 ID、账户 ID、S3 存储桶名称等特定标准轻松对发现结果进行排序,可以在其中创建和保存筛选条件 GuardDuty。有关更多信息,请参阅筛选结果:
-
如果您正在收到有关环境中预期行为的调查结果,则可以根据您使用抑制规则定义的标准自动存档调查结果。
-
要防止从可信 IP 的子集中生成发现结果,或者让 GuardDuty 监控 IP 超出其正常监控范围,可以设置可信 IP 和威胁列表。