As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exportação das GuardDuty descobertas geradas para buckets do Amazon S3
GuardDuty retém as descobertas geradas por um período de 90 dias. GuardDuty exporta as descobertas ativas para a Amazon EventBridge (EventBridge). Opcionalmente, pode-se exportar as descobertas geradas para um bucket do Amazon Simple Storage Service (Amazon S3). Isso ajudará você a rastrear dados históricos de possíveis atividades suspeitas em sua conta e avaliar se as etapas de remediação recomendadas foram bem-sucedidas.
Todas as novas descobertas ativas GuardDuty geradas são exportadas automaticamente em cerca de 5 minutos após a geração da descoberta. Você pode definir a frequência com que as atualizações das descobertas ativas são exportadas para EventBridge. A frequência selecionada se aplica à exportação de novas ocorrências de descobertas existentes para EventBridge seu bucket S3 (quando configurado) e Detective (quando integrado). Para obter informações sobre como GuardDuty agrega várias ocorrências de descobertas existentes, consulte. [GuardDuty encontrando agregação](finding-aggregation.md)
Quando você define as configurações para exportar descobertas para um bucket do Amazon S3, GuardDuty usa AWS Key Management Service (AWS KMS) para criptografar os dados das descobertas em seu bucket do S3. Isso exige que você adicione permissões ao seu bucket do S3 e à AWS KMS chave para que você GuardDuty possa usá-las para exportar descobertas em sua conta.
**Topics**
+ [Considerações](#guardduty-export-findings-considerations)
+ [Etapa 1: Permissões necessárias para configurar a exportação de descobertas](#guardduty_exportfindings-permissions)
+ [Etapa 2: Anexar política à sua chave do KMS](#guardduty-exporting-findings-kms-policy)
+ [Etapa 3: Anexar uma política ao bucket Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Etapa 4: Exportar descobertas para um bucket do S3 (console)](#guardduty_exportfindings-new-bucket)
+ [Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas](#guardduty_exportfindings-frequency)
## Considerações
Antes de prosseguir com os pré-requisitos e as etapas para exportar as descobertas, considere os seguintes conceitos-chave:
+ **As configurações de exportação são regionais** — você precisa configurar as opções de exportação em cada região em que você usa GuardDuty.
+ **Exportar descobertas para buckets do Amazon S3 em Regiões da AWS diferentes (entre regiões**) GuardDuty — suporta as seguintes configurações de exportação:
+ Seu bucket ou objeto do Amazon S3 e sua AWS KMS chave devem pertencer ao mesmo. Região da AWS
+ Para as descobertas geradas em uma região comercial, é possível optar por exportar essas descobertas para um bucket S3 em qualquer região comercial. No entanto, você não pode exportar essas descobertas para um bucket S3 em uma região de adesão.
+ Para as descobertas geradas em uma região de aceitação, é possível optar por exportar essas descobertas para a mesma região de aceitação em que foram geradas ou para qualquer região comercial. No entanto, não é possível exportar as descobertas de uma região de opt-in para outra região de opt-in.
+ **Permissões para exportar descobertas** — Para definir as configurações para exportar descobertas ativas, seu bucket do S3 deve ter permissões que permitam GuardDuty fazer upload de objetos. Você também deve ter uma AWS KMS chave que GuardDuty possa ser usada para criptografar as descobertas.
+ **Descobertas arquivadas não exportadas**: o comportamento padrão é que as descobertas arquivadas, incluindo novas instâncias de descobertas suprimidas, não sejam exportadas.
Quando uma GuardDuty descoberta for gerada como *arquivada*, você precisará *desarquivá-la*. Isso altera o **status de localização do filtro** para **Ativo**. GuardDuty exporta as atualizações para as descobertas não arquivadas existentes com base em como você configura. [Etapa 5 — Frequência de exportação de descobertas](#guardduty_exportfindings-frequency)
+ GuardDuty a **conta do administrador pode exportar descobertas geradas em contas de membros associadas** — Quando você configura descobertas de exportação em uma conta de administrador, todas as descobertas das contas de membros associadas que são geradas na mesma região também são exportadas para o mesmo local que você configurou para a conta do administrador. Para obter mais informações, consulte [Entendendo a relação entre a conta GuardDuty do administrador e as contas dos membros](administrator_member_relationships.md).
## Etapa 1: Permissões necessárias para configurar a exportação de descobertas
Ao definir as configurações para exportar descobertas, você seleciona um bucket do Amazon S3 onde você pode armazenar as descobertas e AWS KMS uma chave para usar na criptografia de dados. Além das permissões para GuardDuty ações, você também deve ter permissões para as seguintes ações para definir com êxito as configurações para exportar descobertas:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Se você precisar exportar as descobertas para um prefixo específico em seu bucket do Amazon S3, você também deve adicionar as seguintes permissões ao perfil do IAM:
+ `s3:GetObject`
+ `s3:ListBucket`
## Etapa 2: Anexar política à sua chave do KMS
GuardDuty criptografa os dados de descobertas em seu bucket usando AWS Key Management Service. Para definir as configurações com êxito, primeiro você deve dar GuardDuty permissão para usar uma chave KMS. Você pode conceder as permissões [anexando a política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) à sua chave do KMS.
Ao usar uma chave KMS de outra conta, você precisa aplicar a política de chaves fazendo login no Conta da AWS proprietário da chave. Ao configurar para exportar descobertas, você também precisará da chave ARN dessa conta que possui a chave.
**Para modificar a política de chaves do KMS para GuardDuty criptografar suas descobertas exportadas**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Selecione uma chave KMS existente ou execute as etapas para [Criar uma nova chave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *, que você usará para criptografar as descobertas exportadas.
**nota**
A chave Região da AWS do KMS e o bucket do Amazon S3 devem ser iguais.
Use o mesmo bucket do S3 e o mesmo par de chaves KMS para exportar as descobertas de qualquer região aplicável. Para obter mais informações, consulte [Considerações](#guardduty-export-findings-considerations) para exportar descobertas do entre regiões.
1. Na seção **Política de chave** escolha **Editar**.
Se **Mudar para visualização da política** for exibido, selecione-o para exibir a **Política de chave** e, em seguida, escolha **Editar**.
1. Copie o seguinte bloco de política para sua política de chaves do KMS para conceder GuardDuty permissão para usar sua chave.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. Edite a política substituindo os seguintes valores que estão formatados **red**no exemplo de política:
1. *KMS key ARN*Substitua pelo Amazon Resource Name (ARN) da chave KMS. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1. *123456789012*Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. *Region2*Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. *SourceDetectorID*Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**nota**
Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Para obter informações sobre endpoints para cada região de inscrição, consulte [GuardDuty endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) e cotas.
1. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.
Escolha **Salvar**.
1. (Opcional) copie o ARN da chave em um bloco de notas para uso nas etapas posteriores.
## Etapa 3: Anexar uma política ao bucket Amazon S3
Adicione permissões ao bucket do Amazon S3 para o qual você exportará as descobertas para que GuardDuty possa fazer upload de objetos para esse bucket do S3. Independentemente de usar um bucket do Amazon S3 que pertença à sua conta ou a outra Conta da AWS, você deve adicionar essas permissões.
Caso, em algum momento, as descobertas sejam exportadas para um bucket S3 diferente, para continuar exportando as descobertas, será necessário adicionar permissões a esse bucket do S3 e definir novamente as configurações de exportação de descobertas.
Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte [Criação de um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.
### Anexar permissões a sua política de bucket do S3
1. Execute as etapas em [Para criar ou editar uma política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon S3*, até que a página **Editar política de bucket** seja exibida.
1. O **exemplo de política** mostra como conceder GuardDuty permissão para exportar descobertas para seu bucket do Amazon S3. Caso altere o caminho depois de configurar a exportação de descobertas, você deve modificar a política para conceder permissão para o novo local.
Copie a **política de exemplo** a seguir e cole-a no **Editor de políticas do bucket**.
Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.
**Exemplo de política de bucket do S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edite a política substituindo os seguintes valores que estão formatados **red**no exemplo de política:
1. *Amazon S3 bucket ARN*Substitua pelo nome de recurso da Amazon (ARN) do bucket do Amazon S3. Você pode encontrar o **ARN do bucket** na página **Editar política do bucket** no [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)console.
1. *123456789012*Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. *us-east-2*Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. *SourceDetectorID*Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Substitua *[optional prefix]* parte do valor do *S3 bucket ARN/[optional prefix]* espaço reservado por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre ouso de prefixos, consulte [Organizando objetos usando prefixos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) no *Guia de usuário do Amazon S3*.
Quando você fornece um local de pasta opcional que ainda não existe, GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que exporta as descobertas. Se você exportar descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.
1. *KMS key ARN*Substitua pelo Amazon Resource Name (ARN) da chave KMS associada à criptografia das descobertas exportadas para o bucket do S3. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
Se você estiver usando GuardDuty em uma região opcional, substitua o valor do “Serviço” pelo endpoint regional dessa região. Por exemplo, se você estiver usando GuardDuty na região do Oriente Médio (Bahrein) (me-south-1), substitua por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Para obter informações sobre endpoints para cada região de inscrição, consulte [GuardDuty endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) e cotas.
1. Escolha **Salvar**.
## Etapa 4: Exportar descobertas para um bucket do S3 (console)
GuardDuty permite que você exporte descobertas para um bucket existente em outro Conta da AWS.
Ao criar um novo bucket S3 ou escolher um bucket existente em sua conta, é possível adicionar um prefixo. Ao configurar as descobertas de exportação, GuardDuty cria uma nova pasta no bucket do S3 para suas descobertas. O prefixo será anexado à estrutura de pastas padrão criada. GuardDuty O formato do prefixo opcional `/AWSLogs/123456789012/GuardDuty/Region` é , por exemplo:
Todo o caminho do objeto S3 será `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. O `UUID` é gerado aleatoriamente e não representa o ID do detector ou o ID da descoberta.
**Importante**
A chave do KMS e o bucket do S3 devem estar na mesma região.
Antes de concluir essas etapas, verifique se as respectivas políticas foram anexadas à chave KMS e ao bucket do S3 existente.
**Para configurar a opção exportar descobertas**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, selecione **Configurações**.
1. Na página **Configurações**, em **Opções de exportação de descobertas**, para o **bucket do S3**, escolha **Configurar agora** (ou **Editar**, conforme necessário).
1. Para **ARN de bucket S3**, insira o ****bucket ARN****. Para encontrar o ARN do bucket, consulte [Visualização das propriedades de um bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) no *Guia do usuário do Amazon S3*.
1. Para o **ARN da chave KMS**, digite o ****key ARN****. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1.
**Anexar políticas**
+ Execute as etapas para anexar a política de bucket do S3. Para obter mais informações, consulte [Etapa 3: Anexar uma política ao bucket Amazon S3](#guardduty_exportfindings-s3-policies).
+ Execute as etapas para anexar a política de chave do KMS. Para obter mais informações, consulte [Etapa 2: Anexar política à sua chave do KMS](#guardduty-exporting-findings-kms-policy).
1. Escolha **Salvar**.
## Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas
Configure a frequência para exportar descobertas ativas atualizadas conforme apropriado para seu ambiente. Por padrão, as descobertas atualizadas são exportadas a cada 6 horas. Isso significa que todas as descobertas que forem atualizadas após a exportação mais recente serão incluídas na próxima exportação. Se as descobertas atualizadas forem exportadas a cada 6 horas e a exportação ocorrer às 12h, todas as descobertas atualizadas após 12h serão exportadas às 18h.
**Como definir a frequência**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Escolha **Configurações**.
1. Na seção **Opções de exportação de descobertas**, selecione **Frequência para descobertas atualizadas**. Isso define a frequência de exportação de descobertas ativas atualizadas para o Amazon S3 EventBridge e para o Amazon S3. Você pode escolher entre as seguintes opções:
+ **Atualização EventBridge e S3 a cada 15 minutos**
+ **Atualização EventBridge e S3 a cada 1 hora**
+ **Atualização EventBridge e S3 a cada 6 horas (padrão)**
1. Escolha **Salvar alterações**.