Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai dengan GuardDuty
Tutorial ini memberikan pengantar langsung untuk. GuardDuty Persyaratan minimum untuk mengaktifkan GuardDuty sebagai akun mandiri atau sebagai GuardDuty administrator AWS Organizations tercakup dalam Langkah 1. Langkah 2 hingga 5 mencakup menggunakan fitur tambahan yang direkomendasikan oleh GuardDuty untuk mendapatkan hasil maksimal dari temuan Anda.
**Topics**
+ [Sebelum Anda mulai](#setup-before)
+ [Langkah 1: Aktifkan Amazon GuardDuty](#guardduty_enable-gd)
+ [Langkah 2: Menghasilkan temuan sampel dan menjelajahi operasi dasar](#startup-samples)
+ [Langkah 3: Konfigurasikan GuardDuty temuan ekspor ke bucket Amazon S3](#setup-export)
+ [Langkah 4: Siapkan peringatan GuardDuty pencarian melalui SNS](#setup-sns)
+ [Langkah selanjutnya](#setup_beyond)
## Sebelum Anda mulai
GuardDuty adalah layanan deteksi ancaman yang memantau [Sumber data dasar](guardduty_data-sources.md) seperti peristiwa AWS CloudTrail manajemen, Amazon VPC Flow Logs, dan log kueri Amazon RouteĀ 53 Resolver DNS. GuardDutyjuga menganalisis fitur yang terkait dengan jenis perlindungannya hanya jika Anda mengaktifkannya secara terpisah. [Fitur](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) termasuk log audit Kubernetes, aktivitas login RDS, peristiwa AWS CloudTrail data untuk Amazon S3, volume Amazon EBS, Pemantauan Runtime, dan log aktivitas jaringan Lambda. Menggunakan sumber dan fitur data ini (jika diaktifkan), GuardDuty menghasilkan temuan keamanan untuk akun Anda.
Setelah Anda mengaktifkan GuardDuty, itu mulai memantau akun Anda untuk potensi ancaman berdasarkan aktivitas di sumber data dasar. Secara default, [Deteksi Ancaman Diperpanjang](guardduty-extended-threat-detection.md) diaktifkan untuk semua Akun AWS yang telah diaktifkan GuardDuty. Kemampuan ini mendeteksi urutan serangan multi-tahap yang mencakup beberapa sumber data dasar, sumber AWS daya, dan waktu, di akun Anda. Untuk mendeteksi potensi ancaman terhadap AWS sumber daya tertentu, Anda dapat memilih untuk mengaktifkan paket perlindungan yang berfokus pada kasus penggunaan yang GuardDuty menawarkan. Untuk informasi selengkapnya, lihat [Fitur dari GuardDuty](what-is-guardduty.md#features-of-guardduty).
Anda tidak perlu mengaktifkan salah satu sumber data dasar secara eksplisit. Saat mengaktifkan Perlindungan S3, Anda tidak perlu mengaktifkan pencatatan peristiwa data Amazon S3 secara eksplisit. Demikian pula, saat Anda mengaktifkan Perlindungan EKS, Anda tidak perlu mengaktifkan log audit Amazon EKS secara eksplisit. Amazon GuardDuty menarik aliran data independen langsung dari layanan ini.
Untuk GuardDuty akun baru, beberapa jenis perlindungan yang tersedia yang didukung dalam akun Wilayah AWS diaktifkan dan disertakan dalam periode uji coba gratis 30 hari secara default. Anda dapat memilih keluar dari salah satu atau semuanya. Jika sudah ada Akun AWS dengan GuardDuty diaktifkan, Anda dapat memilih untuk mengaktifkan salah satu atau semua paket perlindungan yang tersedia di Wilayah Anda. Untuk ikhtisar rencana perlindungan dan rencana perlindungan mana yang akan diaktifkan secara default, lihat[Harga di GuardDuty](guardduty-pricing.md).
**Saat mengaktifkan GuardDuty, pertimbangkan item berikut:**
+ GuardDuty adalah layanan Regional, artinya prosedur konfigurasi apa pun yang Anda ikuti di halaman ini harus diulang di setiap Wilayah yang ingin Anda pantau GuardDuty.
Kami sangat menyarankan agar Anda mengaktifkan GuardDuty di semua AWS Wilayah yang didukung. Hal ini memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang tidak Anda gunakan secara aktif. Ini juga memungkinkan GuardDuty untuk memantau AWS CloudTrail acara untuk AWS layanan global seperti IAM. Jika tidak GuardDuty diaktifkan di semua Wilayah yang didukung, kemampuannya untuk mendeteksi aktivitas yang melibatkan layanan global berkurang. Untuk daftar lengkap Wilayah yang GuardDuty tersedia, lihat[Wilayah dan titik akhir](guardduty_regions.md).
+ Setiap pengguna dengan hak administrator di AWS akun dapat mengaktifkan GuardDuty, namun, mengikuti praktik keamanan terbaik dengan hak istimewa terkecil, disarankan agar Anda membuat peran, pengguna, atau grup IAM untuk dikelola secara khusus. GuardDuty Untuk informasi tentang izin yang diperlukan untuk mengaktifkan GuardDuty lihat[Izin diperlukan untuk mengaktifkan GuardDuty](security_iam_id-based-policy-examples.md#guardduty_enable-permissions).
+ Saat Anda mengaktifkan GuardDuty untuk pertama kalinya di salah satu Wilayah AWS, secara default, ini juga memungkinkan semua jenis perlindungan yang tersedia yang didukung di Wilayah tersebut, termasuk Perlindungan Malware untuk EC2. GuardDuty membuat peran terkait layanan untuk akun Anda yang dipanggil. `AWSServiceRoleForAmazonGuardDuty` Peran ini mencakup izin dan kebijakan kepercayaan yang memungkinkan GuardDuty untuk mengkonsumsi dan menganalisis peristiwa secara langsung dari [GuardDuty sumber data dasar](guardduty_data-sources.md) untuk menghasilkan temuan keamanan. Perlindungan Malware untuk EC2 menciptakan peran terkait layanan lain untuk akun Anda yang dipanggil. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` Peran ini mencakup izin dan kebijakan kepercayaan yang memungkinkan Perlindungan Malware untuk EC2 melakukan pemindaian tanpa agen untuk mendeteksi malware di akun Anda. GuardDuty Ini memungkinkan GuardDuty untuk membuat snapshot volume EBS di akun Anda, dan berbagi snapshot itu dengan akun layanan. GuardDuty Untuk informasi selengkapnya, lihat [Service-linked izin peran untuk GuardDuty](slr-permissions.md). Untuk informasi selengkapnya tentang peran terkait layanan, lihat [Menggunakan peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
+ Saat Anda mengaktifkan GuardDuty untuk pertama kalinya di Wilayah mana pun, AWS akun Anda secara otomatis terdaftar dalam uji coba GuardDuty gratis 30 hari untuk Wilayah tersebut.
Video berikut menjelaskan bagaimana akun administrator dapat memulai GuardDuty dan mengaktifkannya di beberapa akun anggota.
[](http://www.youtube.com/watch?v=0vIzHOQvjYU)
## Langkah 1: Aktifkan Amazon GuardDuty
Langkah pertama yang harus digunakan GuardDuty adalah mengaktifkannya di akun Anda. Setelah diaktifkan, GuardDuty akan segera mulai memantau ancaman keamanan di Wilayah saat ini.
Jika Anda ingin mengelola GuardDuty temuan untuk akun lain dalam organisasi Anda sebagai GuardDuty administrator, Anda harus menambahkan akun anggota dan GuardDuty mengaktifkannya juga.
**catatan**
Jika Anda ingin mengaktifkan Perlindungan GuardDuty Malware untuk S3 tanpa mengaktifkan GuardDuty, maka untuk langkah-langkahnya, lihat. [GuardDuty Perlindungan Malware untuk S3](gdu-malware-protection-s3.md)
------
#### [ Standalone account environment ]
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Pilih opsi **Amazon GuardDuty - Semua fitur**.
1. Pilih **Mulai**.
1. Pada GuardDuty halaman **Selamat Datang** di, lihat persyaratan layanan. Pilih **Aktifkan GuardDuty**.
------
#### [ Multi-account environment ]
**penting**
Sebagai prasyarat untuk proses ini, Anda harus berada di organisasi yang sama dengan semua akun yang ingin Anda kelola, dan memiliki akses ke akun AWS Organizations manajemen untuk mendelegasikan administrator di dalam organisasi Anda. GuardDuty Izin tambahan mungkin diperlukan untuk mendelegasikan administrator, untuk info selengkapnya, lihat [Izin yang diperlukan untuk menunjuk akun administrator yang didelegasikan GuardDuty](organizations_permissions.md).
**Untuk menunjuk akun administrator yang didelegasikan GuardDuty **
1. Buka AWS Organizations konsol di [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/), menggunakan akun manajemen.
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Apakah GuardDuty sudah diaktifkan di akun Anda?
+ Jika belum GuardDuty diaktifkan, Anda dapat memilih **Memulai** dan kemudian menunjuk administrator yang GuardDuty didelegasikan pada halaman **Selamat Datang GuardDuty** di.
+ Jika GuardDuty diaktifkan, Anda dapat menunjuk administrator yang GuardDuty didelegasikan pada halaman **Pengaturan**.
1. **Masukkan ID AWS akun dua belas digit dari akun yang ingin Anda tetapkan sebagai administrator yang GuardDuty didelegasikan untuk organisasi dan pilih Delegasi.**
**catatan**
Jika belum GuardDuty diaktifkan, menunjuk administrator yang didelegasikan akan mengaktifkan GuardDuty akun tersebut di Wilayah Anda saat ini.
**Untuk menambahkan akun anggota**
Prosedur ini mencakup penambahan akun anggota ke akun administrator yang GuardDuty didelegasikan melalui AWS Organizations. Ada juga opsi untuk menambahkan anggota melalui undangan. Untuk mempelajari lebih lanjut tentang kedua metode untuk mengasosiasikan anggota GuardDuty, lihat[Beberapa akun di Amazon GuardDuty](guardduty_accounts.md).
1. Masuk ke akun administrator yang didelegasikan
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Akun**.
Tabel akun menampilkan semua akun dalam organisasi.
1. Pilih akun yang ingin Anda tambahkan sebagai anggota dengan mencentang kotak di samping ID akun. Kemudian dari menu **Tindakan**, pilih **Tambah anggota**.
**Tip**
Anda dapat mengotomatiskan penambahan akun baru sebagai anggota dengan mengaktifkan **Auto-enable**fitur; namun, ini hanya berlaku untuk akun yang bergabung dengan organisasi Anda setelah fitur diaktifkan.
------
## Langkah 2: Menghasilkan temuan sampel dan menjelajahi operasi dasar
Ketika GuardDuty menemukan masalah keamanan, itu menghasilkan temuan. GuardDuty Temuan adalah kumpulan data yang berisi detail yang berkaitan dengan masalah keamanan unik itu. Detail temuan dapat digunakan untuk membantu Anda menyelidiki masalah tersebut.
GuardDuty mendukung menghasilkan temuan sampel dengan nilai placeholder, yang dapat digunakan untuk menguji GuardDuty fungsionalitas dan membiasakan diri dengan temuan sebelum perlu menanggapi masalah keamanan nyata yang ditemukan oleh. GuardDuty Ikuti panduan di bawah ini untuk menghasilkan temuan sampel untuk setiap jenis temuan yang tersedia di GuardDuty, untuk cara tambahan untuk menghasilkan temuan sampel, termasuk menghasilkan peristiwa keamanan simulasi dalam akun Anda, lihat[Sampel temuan](sample_findings.md).
**Untuk membuat dan mengeksplorasi temuan sampel**
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di halaman **Pengaturan**, di bawah **Sampel temuan**, pilih **Buat sampel temuan**.
1. Di panel navigasi, pilih **Ringkasan** untuk melihat wawasan tentang temuan yang dihasilkan di lingkungan Anda AWS . Untuk informasi selengkapnya tentang komponen dasbor Ringkasan, lihat[Dasbor ringkasan di Amazon GuardDuty](guardduty-summary.md).
1. Di panel navigasi, pilih **Temuan**. Temuan sampel ditampilkan pada halaman **Temuan saat ini** dengan prefiks **[SAMPEL]**.
1. Pilih temuan dari daftar untuk menampilkan detail temuan.
1. Anda dapat meninjau bidang informasi yang berbeda yang tersedia di panel detail temuan. Berbagai jenis temuan dapat memiliki bidang yang berbeda. Untuk informasi selengkapnya tentang bidang yang tersedia di semua jenis pencarian, lihat[Detail temuan](guardduty_findings-summary.md). Dari panel detail, Anda dapat mengambil tindakan berikut:
+ Pilih **ID temuan** di bagian atas panel untuk membuka detail JSON lengkap untuk temuan. File JSON yang lengkap juga dapat diunduh dari panel ini. JSON berisi beberapa informasi tambahan yang tidak disertakan dalam tampilan konsol dan merupakan format yang dapat digunakan oleh alat dan layanan lainnya.
+ Lihat bagian **Sumber daya yang terpengaruh**. Dalam temuan nyata, informasi di sini akan membantu Anda mengidentifikasi sumber daya di akun Anda yang harus diselidiki dan akan menyertakan tautan ke sumber daya yang sesuai Konsol Manajemen AWS untuk ditindaklanjuti.
+ Pilih ikon kaca pembesar dengan \+ atau - untuk membuat filter inklusif atau eksklusif untuk detail tersebut. Untuk informasi selengkapnya tentang menemukan filter, lihat[Penyaringan temuan di GuardDuty](guardduty_filter-findings.md).
1. Arsipkan semua temuan sampel Anda
1. Pilih semua temuan dengan memilih kotak centang di bagian atas daftar.
1. Hapus pilihan temuan apa pun yang ingin Anda simpan.
1. Pilih menu **Tindakan**, lalu pilih **Arsip** untuk menyembunyikan temuan sampel.
**catatan**
Untuk melihat temuan yang diarsipkan, pilih **Saat ini**, lalu pilih **Diarsipkan** untuk beralih tampilan temuan.
## Langkah 3: Konfigurasikan GuardDuty temuan ekspor ke bucket Amazon S3
GuardDuty merekomendasikan konfigurasi pengaturan untuk mengekspor temuan karena memungkinkan Anda untuk mengekspor temuan Anda ke bucket S3 untuk penyimpanan tidak terbatas di luar periode retensi 90 hari. GuardDuty Ini memungkinkan Anda untuk menyimpan catatan temuan atau melacak masalah dalam AWS lingkungan Anda dari waktu ke waktu. GuardDuty mengenkripsi data temuan di bucket S3 Anda dengan menggunakan AWS Key Management Service ().AWS KMS key Untuk mengkonfigurasi pengaturan, Anda harus memberikan GuardDuty izin kunci KMS. Untuk langkah-langkah lebih rinci, lihat[Mengekspor temuan yang dihasilkan ke Amazon S3](guardduty_exportfindings.md).
**Untuk mengekspor GuardDuty temuan ke ember Amazon S3**
1.
**Lampirkan kebijakan ke kunci KMS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.
1. *Pilih kunci KMS yang ada, atau lakukan langkah-langkah untuk [Membuat kunci KMS enkripsi simetris di Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html)AWS Key Management Service .*
Wilayah kunci KMS dan bucket Amazon S3 Anda harus sama.
Salin kunci ARN ke notepad untuk digunakan di langkah selanjutnya.
1. Di bagian **Kebijakan kunci kunci** KMS Anda, pilih **Edit**. Jika **Beralih ke tampilan kebijakan** ditampilkan, pilih untuk menampilkan **Kebijakan kunci**, lalu pilih **Edit**.
1. Salin blok kebijakan berikut ke kebijakan kunci KMS Anda:
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
Edit kebijakan dengan mengganti nilai berikut yang diformat *{{red}}*dalam contoh kebijakan:
1. Ganti {{KMS key ARN}} dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
1. Ganti {{123456789012}} dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.
1. Ganti {{Region2}} dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.
1. Ganti {{SourceDetectorID}} dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
1.
**Lampirkan kebijakan ke bucket Amazon S3**
Jika Anda belum memiliki bucket Amazon S3 tempat Anda ingin mengekspor temuan ini, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di Panduan Pengguna *Amazon S3*.
1. Lakukan langkah-langkah di bawah [Untuk membuat atau mengedit kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Amazon S3*, hingga halaman **Edit kebijakan bucket muncul**.
1. **Kebijakan contoh** menunjukkan cara memberikan GuardDuty izin untuk mengekspor temuan ke bucket Amazon S3 Anda. Jika Anda mengubah jalur setelah mengonfigurasi temuan ekspor, Anda harus mengubah kebijakan untuk memberikan izin ke lokasi baru.
Salin **contoh kebijakan** berikut dan tempelkan ke **editor kebijakan Bucket**.
Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON dari kebijakan kunci KMS Anda valid.
**Kebijakan contoh bucket S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edit kebijakan dengan mengganti nilai berikut yang diformat *{{red}}*dalam contoh kebijakan:
1. Ganti {{Amazon S3 bucket ARN}} dengan Nama Sumber Daya Amazon (ARN) dari bucket Amazon S3. Anda dapat menemukan **Bucket ARN** di halaman **kebijakan Edit bucket** di konsol. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Ganti {{123456789012}} dengan Akun AWS ID yang memiliki GuardDuty akun yang mengekspor temuan.
1. Ganti {{Region2}} dengan Wilayah AWS tempat GuardDuty temuan dihasilkan.
1. Ganti {{SourceDetectorID}} dengan GuardDuty akun di Wilayah tertentu tempat temuan dihasilkan. `detectorID`
Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`
1. Ganti {{[optional prefix]}} bagian dari nilai {{S3 bucket ARN/[optional prefix]}} placeholder dengan lokasi folder opsional yang ingin Anda ekspor temuannya. *Untuk informasi selengkapnya tentang penggunaan awalan, lihat [Mengatur objek menggunakan awalan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) di Panduan Pengguna Amazon S3.*
Bila Anda menyediakan lokasi folder opsional yang belum ada, GuardDuty akan membuat lokasi tersebut hanya jika akun yang terkait dengan bucket S3 sama dengan akun yang mengekspor temuan. Saat Anda mengekspor temuan ke bucket S3 milik akun lain, lokasi folder harus sudah ada.
1. Ganti {{KMS key ARN}} dengan Nama Sumber Daya Amazon (ARN) dari kunci KMS yang terkait dengan enkripsi temuan yang diekspor ke bucket S3. *Untuk menemukan kunci ARN, lihat [Menemukan ID kunci dan ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
1.
**Langkah-langkah di GuardDuty konsol**
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, di bawah **opsi ekspor temuan,** untuk **bucket S3**, pilih **Konfigurasi sekarang** (atau **Edit**, sesuai kebutuhan).
1. Untuk **S3 bucket ARN**, masukkan **bucket ARN** yang ingin Anda kirimi temuannya. Untuk melihat ARN bucket, lihat [Melihat properti untuk bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) di Panduan Pengguna *Amazon* S3.
1. Untuk **ARN kunci KMS**, masukkan file. **key ARN** *Untuk menemukan kunci ARN, lihat [Temukan ID kunci dan kunci ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) di Panduan Pengembang.AWS Key Management Service *
1. Pilih **Simpan**.
## Langkah 4: Siapkan peringatan GuardDuty pencarian melalui SNS
GuardDuty terintegrasi dengan Amazon EventBridge, yang dapat digunakan untuk mengirim data temuan ke aplikasi dan layanan lain untuk diproses. Dengan EventBridge Anda dapat menggunakan GuardDuty temuan untuk memulai respons otomatis terhadap temuan Anda dengan menghubungkan peristiwa pencarian ke target seperti AWS Lambda fungsi, otomatisasi Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS), dan lainnya.
Dalam contoh ini Anda akan membuat topik SNS untuk menjadi target EventBridge aturan, lalu Anda akan menggunakan EventBridge untuk membuat aturan yang menangkap data temuan dari. GuardDuty Aturan yang dihasilkan akan meneruskan detail temuan ke alamat email. Untuk mempelajari bagaimana Anda dapat mengirim temuan ke Slack atau Amazon Chime, dan juga memodifikasi jenis peringatan temuan yang dikirim, lihat. [Siapkan topik dan titik akhir Amazon SNS](guardduty_findings_eventbridge.md#guardduty-eventbridge-set-up-sns-and-endpoint)
**Untuk membuat topik SNS untuk peringatan temuan Anda**
1. Buka konsol Amazon SNS di [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih **Buat Topik**.
1. Untuk **Jenis**, pilih **Standar**.
1. Untuk **Nama**, masukkan **GuardDuty**.
1. Pilih **Buat Topik**. Detail topik untuk topik baru Anda akan terbuka.
1. Di bagian **Subscriptions (Berlangganan)**, pilih **Create subscription (Buat langganan)**.
1. Untuk **Protokol**, pilih **Email**.
1. Untuk **Endpoint**, masukkan alamat email untuk mengirim notifikasi.
1. Pilih **Buat langganan**.
Setelah Anda membuat langganan, Anda harus mengonfirmasi langganan melalui email.
1. Untuk memeriksa pesan langganan, buka kotak masuk email Anda, dan di pesan berlangganan, pilih **Konfirmasi langganan**.
**catatan**
Untuk memeriksa status konfirmasi email, buka konsol SNS dan pilih **Langganan**.
**Untuk membuat EventBridge aturan untuk menangkap GuardDuty temuan dan memformatnya**
1. Buka EventBridge konsol di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Di panel navigasi, pilih **Aturan**.
1. Pilih **Buat aturan**.
1. Masukkan nama dan deskripsi untuk aturan.
Aturan tidak boleh memiliki nama yang sama dengan aturan lain di Wilayah yang sama dan di bus peristiwa yang sama.
1. Untuk **Bus peristiwa**, pilih **default**.
1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
1. Pilih **Selanjutnya**.
1. Untuk **sumber acara**, pilih **AWS acara**.
1. Untuk **pola Acara**, pilih **Formulir pola acara**.
1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.
1. Untuk **Layanan AWS **, pilih **GuardDuty**.
1. Untuk **Jenis Acara**, pilih **GuardDutyMenemukan**.
1. Pilih **Berikutnya**.
1. Untuk **Jenis target**, pilih **Layanan AWS **.
1. Untuk **Pilih target**, pilih **topik SNS**, dan untuk **Topik**, pilih nama topik SNS yang Anda buat sebelumnya.
1. Di bagian **Pengaturan tambahan**, untuk **Konfigurasi input target**, pilih **Transformator input**.
Menambahkan transformator input memformat data pencarian JSON yang dikirim dari GuardDuty ke dalam pesan yang dapat dibaca manusia.
1. Pilih **Konfigurasi transformator input**.
1. Di bagian **Transformator input target**, untuk **jalur Input**, tempel kode berikut:
```
{
"severity": "$.detail.severity",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_Description": "$.detail.description"
}
```
1. Untuk memformat email, untuk **Template**, tempel kode berikut dan pastikan untuk mengganti teks berwarna merah dengan nilai yang sesuai dengan Wilayah Anda:
```
"You have a severity <{{severity}}> GuardDuty finding type <{{Finding_Type}}> in the <{{region}}> region."
"Finding Description:"
"<{{Finding_Description}}>."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<{{region}}>#/findings?search=id%3D<{{Finding_ID}}>"
```
1. Pilih **Konfirmasi**.
1. Pilih **Berikutnya**.
1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) *di Panduan EventBridge Pengguna Amazon*.
1. Pilih **Berikutnya**.
1. Tinjau detail aturan dan pilih **Buat aturan**.
1. (Opsional) Uji aturan baru Anda dengan menghasilkan temuan sampel dengan proses di Langkah 2. Anda akan menerima email untuk setiap temuan sampel yang dihasilkan.
## Langkah selanjutnya
Saat Anda terus menggunakan GuardDuty, Anda akan memahami jenis temuan yang relevan dengan lingkungan Anda. Setiap kali Anda menerima temuan baru, Anda dapat menemukan informasi, termasuk rekomendasi perbaikan tentang temuan itu, dengan memilih **Pelajari lebih lanjut** dari deskripsi temuan di panel rincian temuan, atau dengan mencari nama temuan di. [GuardDuty menemukan jenis](guardduty_finding-types-active.md)
Fitur-fitur berikut akan membantu Anda menyetel GuardDuty sehingga dapat memberikan temuan yang paling relevan untuk AWS lingkungan Anda:
+ Untuk mengurutkan temuan dengan mudah berdasarkan kriteria tertentu, seperti ID instans, ID akun, nama bucket S3, dan lainnya, Anda dapat membuat dan menyimpan filter di dalamnya GuardDuty. Untuk informasi selengkapnya, lihat [Penyaringan temuan di GuardDuty](guardduty_filter-findings.md).
+ Jika Anda menerima temuan untuk perilaku yang diharapkan di lingkungan Anda, Anda dapat secara otomatis mengarsipkan temuan berdasarkan kriteria yang Anda tentukan dengan [aturan penekanan](findings_suppression-rule.md).
+ Untuk mencegah temuan dihasilkan dari subset IP tepercaya, atau memiliki IP GuardDuty monitor di luar lingkup pemantauan normalnya, Anda dapat mengatur [IP Tepercaya dan](guardduty_upload-lists.md) daftar ancaman.