Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengekspor GuardDuty temuan yang dihasilkan ke ember Amazon S3
GuardDuty mempertahankan temuan yang dihasilkan untuk jangka waktu 90 hari. GuardDuty mengekspor temuan aktif ke Amazon EventBridge (EventBridge). Anda dapat secara opsional mengekspor temuan yang dihasilkan ke bucket Amazon Simple Storage Service (Amazon S3). Ini akan membantu Anda melacak data historis aktivitas yang berpotensi mencurigakan di akun Anda dan mengevaluasi apakah langkah-langkah perbaikan yang disarankan berhasil.
Setiap temuan aktif baru yang GuardDuty dihasilkan secara otomatis diekspor dalam waktu sekitar 5 menit setelah temuan dihasilkan. Anda dapat mengatur frekuensi seberapa sering pembaruan temuan aktif diekspor ke EventBridge. Frekuensi yang Anda pilih berlaku untuk mengekspor kemunculan baru temuan yang ada ke EventBridge, bucket S3 Anda (saat dikonfigurasi), dan Detektif (saat terintegrasi). Untuk informasi tentang bagaimana GuardDuty menggabungkan beberapa kejadian temuan yang ada, lihat. [GuardDuty menemukan agregasi](finding-aggregation.md)
Saat mengonfigurasi setelan untuk mengekspor temuan ke bucket Amazon S3, GuardDuty gunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data temuan di bucket S3. Ini mengharuskan Anda untuk menambahkan izin ke bucket S3 dan AWS KMS kuncinya sehingga GuardDuty dapat menggunakannya untuk mengekspor temuan di akun Anda.
**Topics**
+ [Pertimbangan-pertimbangan](#guardduty-export-findings-considerations)
+ [Langkah 1 - Izin diperlukan untuk mengekspor temuan](#guardduty_exportfindings-permissions)
+ [Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda](#guardduty-exporting-findings-kms-policy)
+ [Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)](#guardduty_exportfindings-new-bucket)
+ [Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui](#guardduty_exportfindings-frequency)
## Pertimbangan-pertimbangan
Sebelum melanjutkan dengan prasyarat dan langkah-langkah untuk mengekspor temuan, pertimbangkan konsep-konsep kunci berikut:
+ **Pengaturan ekspor bersifat regional** - Anda perlu mengonfigurasi opsi ekspor di setiap Wilayah tempat Anda menggunakan GuardDuty.
+ **Mengekspor temuan ke bucket Amazon S3 di Wilayah AWS berbagai (Lintas wilayah**) GuardDuty — mendukung pengaturan ekspor berikut:
+ Bucket atau objek Amazon S3 Anda, dan AWS KMS kunci harus milik yang sama. Wilayah AWS
+ Untuk temuan yang dihasilkan di Wilayah komersial, Anda dapat memilih untuk mengekspor temuan ini ke ember S3 di Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan ini ke bucket S3 di Wilayah keikutsertaan.
+ Untuk temuan yang dihasilkan di Wilayah keikutsertaan, Anda dapat memilih untuk mengekspor temuan ini ke Wilayah keikutsertaan yang sama di mana mereka dihasilkan atau Wilayah komersial mana pun. Namun, Anda tidak dapat mengekspor temuan dari satu Wilayah keikutsertaan ke Wilayah keikutsertaan lainnya.
+ **Izin untuk mengekspor temuan** — Untuk mengonfigurasi pengaturan untuk mengekspor temuan aktif, bucket S3 Anda harus memiliki izin yang memungkinkan GuardDuty untuk mengunggah objek. Anda juga harus memiliki AWS KMS kunci yang GuardDuty dapat digunakan untuk mengenkripsi temuan.
+ **Temuan yang diarsipkan tidak diekspor** — Perilaku default adalah bahwa temuan yang diarsipkan, termasuk contoh baru dari temuan yang ditekan, tidak diekspor.
Ketika sebuah GuardDuty temuan dihasilkan sebagai *Diarsipkan*, Anda harus *Membatalkan pengarsipannya*. Ini mengubah **status pencarian Filter** menjadi **Aktif**. GuardDuty mengekspor pembaruan ke temuan yang tidak diarsipkan yang ada berdasarkan cara Anda mengonfigurasi. [Langkah 5 — Frekuensi untuk mengekspor temuan](#guardduty_exportfindings-frequency)
+ **GuardDuty Akun administrator dapat mengekspor temuan yang dihasilkan di akun anggota terkait** — Saat Anda mengonfigurasi temuan ekspor di akun administrator, semua temuan dari akun anggota terkait yang dihasilkan di Wilayah yang sama juga diekspor ke lokasi yang sama dengan yang Anda konfigurasikan untuk akun administrator. Untuk informasi selengkapnya, lihat [Memahami hubungan antara akun GuardDuty administrator dan akun anggota](administrator_member_relationships.md).
## Langkah 1 - Izin diperlukan untuk mengekspor temuan
Saat mengonfigurasi setelan untuk mengekspor temuan, Anda memilih bucket Amazon S3 tempat Anda dapat menyimpan temuan dan kunci AWS KMS yang akan digunakan untuk enkripsi data. Selain izin untuk GuardDuty tindakan, Anda juga harus memiliki izin untuk tindakan berikut agar berhasil mengonfigurasi pengaturan untuk mengekspor temuan:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Jika Anda perlu mengekspor temuan ke awalan tertentu di bucket Amazon S3, Anda juga harus menambahkan izin berikut ke peran IAM:
+ `s3:GetObject`
+ `s3:ListBucket`
## Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda
GuardDuty mengenkripsi data temuan di bucket Anda dengan menggunakan. AWS Key Management Service Agar berhasil mengkonfigurasi pengaturan, Anda harus terlebih dahulu memberikan GuardDuty izin untuk menggunakan kunci KMS. Anda dapat memberikan izin dengan [melampirkan kebijakan ke kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) KMS Anda.
Saat Anda menggunakan kunci KMS dari akun lain, Anda perlu menerapkan kebijakan kunci dengan masuk ke Akun AWS yang memiliki kunci tersebut. Saat Anda mengonfigurasi pengaturan untuk mengekspor temuan, Anda juga memerlukan ARN kunci dari akun yang memiliki kunci tersebut.
**Untuk mengubah kebijakan kunci KMS GuardDuty untuk mengenkripsi temuan Anda yang diekspor**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Pilih kunci KMS yang ada atau lakukan langkah-langkah untuk [Membuat kunci baru](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*, yang akan Anda gunakan untuk mengenkripsi temuan yang diekspor.
**catatan**
Kunci KMS Anda dan bucket Amazon S3 harus sama. Wilayah AWS
Anda dapat menggunakan bucket S3 dan key pair KMS yang sama untuk mengekspor temuan dari Wilayah mana pun yang berlaku. Untuk informasi lebih lanjut, lihat [Pertimbangan-pertimbangan](#guardduty-export-findings-considerations) untuk mengekspor temuan di seluruh Wilayah.
1. Di bagian **Kebijakan kunci**, pilih **Edit**.
Jika **Beralih ke tampilan kebijakan** ditampilkan, pilih untuk menampilkan **Kebijakan kunci**, lalu pilih **Edit**.
1. Salin blok kebijakan berikut ke kebijakan kunci KMS Anda, untuk memberikan GuardDuty izin menggunakan kunci Anda.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
1. Edit kebijakan dengan mengganti nilai berikut yang diformat *{{red}}*dalam contoh kebijakan:
1. Ganti {{KMS key ARN}} dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
1. Ganti {{123456789012}} dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.
1. Ganti {{Region2}} dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.
1. Ganti {{SourceDetectorID}} dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
**catatan**
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat [GuardDuty titik akhir](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dan kuota.
1. Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.
Pilih **Simpan**.
1. (Opsional) salin kunci ARN ke notepad untuk digunakan pada langkah selanjutnya.
## Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3
Tambahkan izin ke bucket Amazon S3 tempat Anda akan mengekspor temuannya GuardDuty sehingga dapat mengunggah objek ke bucket S3 ini. Terlepas dari penggunaan bucket Amazon S3 milik akun Anda atau yang berbeda Akun AWS, Anda harus menambahkan izin ini.
Jika suatu saat, Anda memutuskan untuk mengekspor temuan ke bucket S3 yang berbeda, lalu untuk melanjutkan mengekspor temuan, Anda harus menambahkan izin ke bucket S3 tersebut dan mengonfigurasi pengaturan temuan ekspor lagi.
Jika Anda belum memiliki bucket Amazon S3 tempat Anda ingin mengekspor temuan ini, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di Panduan Pengguna *Amazon S3*.
### Untuk melampirkan izin ke kebijakan bucket S3 Anda
1. Lakukan langkah-langkah di bawah [Untuk membuat atau mengedit kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Amazon S3*, hingga halaman **Edit kebijakan bucket muncul**.
1. **Kebijakan contoh** menunjukkan cara memberikan GuardDuty izin untuk mengekspor temuan ke bucket Amazon S3 Anda. Jika Anda mengubah jalur setelah mengonfigurasi temuan ekspor, Anda harus mengubah kebijakan untuk memberikan izin ke lokasi baru.
Salin **contoh kebijakan** berikut dan tempelkan ke **editor kebijakan Bucket**.
Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.
**Kebijakan contoh bucket S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edit kebijakan dengan mengganti nilai berikut yang diformat *{{red}}*dalam contoh kebijakan:
1. Ganti {{Amazon S3 bucket ARN}} dengan Nama Sumber Daya Amazon (ARN) dari bucket Amazon S3. Anda dapat menemukan **Bucket ARN** di halaman **kebijakan Edit bucket** di konsol. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Ganti {{123456789012}} dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.
1. Ganti {{us-east-2}} dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.
1. Ganti {{SourceDetectorID}} dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
1. Ganti {{[optional prefix]}} bagian dari nilai {{S3 bucket ARN/[optional prefix]}} placeholder dengan lokasi folder opsional yang ingin Anda ekspor temuannya. *Untuk informasi selengkapnya tentang penggunaan awalan, lihat [Mengatur objek menggunakan awalan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) di Panduan Pengguna Amazon S3.*
Bila Anda menyediakan lokasi folder opsional yang belum ada, GuardDuty akan membuat lokasi tersebut hanya jika akun yang terkait dengan bucket S3 sama dengan akun yang mengekspor temuan. Saat Anda mengekspor temuan ke bucket S3 milik akun lain, lokasi folder harus sudah ada.
1. Ganti {{KMS key ARN}} dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS yang terkait dengan enkripsi temuan yang diekspor ke bucket S3. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
**catatan**
Jika Anda menggunakan GuardDuty di Wilayah keikutsertaan, ganti nilai untuk “Layanan” dengan titik akhir Regional untuk Wilayah tersebut. Misalnya, jika Anda menggunakan GuardDuty di Wilayah Timur Tengah (Bahrain) (me-south-1), ganti dengan. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Untuk informasi tentang titik akhir untuk setiap Wilayah keikutsertaan, lihat [GuardDuty titik akhir](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) dan kuota.
1. Pilih **Simpan**.
## Langkah 4 - Mengekspor temuan ke bucket S3 (Konsol)
GuardDuty memungkinkan Anda untuk mengekspor temuan ke ember yang ada di ember lain Akun AWS.
Saat membuat bucket S3 baru atau memilih bucket yang ada di akun Anda, Anda dapat menambahkan awalan opsional. Saat mengonfigurasi temuan ekspor, GuardDuty buat folder baru di bucket S3 untuk temuan Anda. Awalan akan ditambahkan ke struktur folder default yang GuardDuty dibuat. Misalnya, format awalan `/AWSLogs/{{123456789012}}/GuardDuty/{{Region}}` opsional.
Seluruh jalur objek S3 akan menjadi`{{amzn-s3-demo-bucket}}/{{prefix-name}}/UUID{{.jsonl.gz}}`. `UUID`Ini dihasilkan secara acak dan tidak mewakili ID detektor atau ID temuan.
**penting**
Kunci KMS dan bucket S3 harus berada di Wilayah yang sama.
Sebelum menyelesaikan langkah-langkah ini, pastikan Anda telah melampirkan kebijakan masing-masing ke kunci KMS dan bucket S3 yang ada.
**Untuk mengonfigurasi temuan ekspor**
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, di bawah **opsi ekspor temuan**, untuk **bucket S3**, pilih **Konfigurasi sekarang** (atau **Edit**, sesuai kebutuhan).
1. Untuk **ember S3 ARN**, masukkan. ****bucket ARN**** Untuk menemukan bucket ARN, lihat [Melihat properti untuk bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) di Panduan Pengguna *Amazon* S3.
1. Untuk **ARN kunci KMS**, masukkan file. ****key ARN**** *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
1.
**Lampirkan kebijakan**
+ Lakukan langkah-langkah untuk melampirkan kebijakan bucket S3. Untuk informasi selengkapnya, lihat [Langkah 3 - Melampirkan kebijakan ke bucket Amazon S3](#guardduty_exportfindings-s3-policies).
+ Lakukan langkah-langkah untuk melampirkan kebijakan kunci KMS. Untuk informasi selengkapnya, lihat [Langkah 2 - Melampirkan kebijakan ke kunci KMS Anda](#guardduty-exporting-findings-kms-policy).
1. Pilih **Simpan**.
## Langkah 5 - Mengatur frekuensi untuk mengekspor temuan aktif yang diperbarui
Konfigurasikan frekuensi untuk mengekspor temuan aktif yang diperbarui sesuai dengan lingkungan Anda. Secara default, temuan yang diperbarui diekspor setiap 6 jam. Ini berarti bahwa setiap temuan yang diperbarui setelah ekspor terbaru akan disertakan dalam ekspor berikutnya. Jika temuan yang diperbarui diekspor setiap 6 jam dan ekspor dilakukan pada pukul 12:00, setiap temuan yang Anda perbarui setelah pukul 12:00 akan diekspor pada pukul 18:00.
**Untuk mengatur frekuensi**
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Pilih **Pengaturan**.
1. Di bagian **Opsi ekspor temuan**, pilih **Frekuensi untuk temuan yang diperbarui**. Ini menetapkan frekuensi untuk mengekspor temuan Aktif yang diperbarui ke keduanya EventBridge dan Amazon S3. Anda dapat memilih dari opsi berikut:
+ **Perbarui EventBridge dan S3 setiap 15 menit**
+ **Update EventBridge dan S3 setiap 1 jam**
+ **Perbarui EventBridge dan S3 setiap 6 jam (default)**
1. Pilih **Simpan perubahan**.