As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Começando com GuardDuty
Este tutorial fornece uma introdução prática ao. GuardDuty Os requisitos mínimos para habilitação GuardDuty como conta independente ou como GuardDuty administrador AWS Organizations são abordados na Etapa 1. As etapas 2 a 5 abrangem o uso de recursos adicionais recomendados por GuardDuty para aproveitar ao máximo suas descobertas.
**Topics**
+ [Antes de começar](#setup-before)
+ [Etapa 1: habilitar a Amazon GuardDuty](#guardduty_enable-gd)
+ [Etapa 2: gerar descobertas de amostra e explorar as operações básicas](#startup-samples)
+ [Etapa 3: Configurar a exportação de GuardDuty descobertas para um bucket do Amazon S3](#setup-export)
+ [Etapa 4: configurar alertas de GuardDuty busca por meio do SNS](#setup-sns)
+ [Próximas etapas](#setup_beyond)
## Antes de começar
GuardDuty é um serviço de detecção de ameaças que monitora [Fontes de dados fundamentais](guardduty_data-sources.md) eventos de AWS CloudTrail gerenciamento, registros de fluxo da Amazon VPC e registros de consultas de Amazon Route 53 Resolver DNS. GuardDutytambém analisa os recursos associados a seus tipos de proteção somente se você os habilitar separadamente. Os [recursos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) incluem registros de auditoria do Kubernetes, atividade de login do RDS, eventos de AWS CloudTrail dados para Amazon S3, volumes do Amazon EBS, monitoramento de tempo de execução e registros de atividades da rede Lambda. O uso dessas fontes de dados e recursos (se ativados) GuardDuty gera descobertas de segurança para sua conta.
Depois de habilitar GuardDuty, ele começa a monitorar sua conta em busca de possíveis ameaças com base nas atividades nas fontes de dados fundamentais. Por padrão, [Detecção de Ameaças Avançada](guardduty-extended-threat-detection.md) está habilitado para todos os Contas da AWS que foram ativados GuardDuty. Esse recurso detecta sequências de ataques em vários estágios que abrangem várias fontes de dados, recursos (e tempo) da AWS na sua conta. Para detectar possíveis ameaças a AWS recursos específicos, você pode optar por ativar planos de proteção focados em casos de uso que GuardDuty ofereçam. Para obter mais informações, consulte [Características do GuardDuty](what-is-guardduty.md#features-of-guardduty).
Não é necessário habilitar explicitamente nenhuma das fontes de dados fundamentais. Ao habilitar a Proteção do S3, não é necessário habilitar explicitamente o registro de eventos de dados do Amazon S3. Da mesma forma, ao habilitar a proteção EKS, não é necessário habilitar explicitamente os logs de auditoria do Amazon EKS. A Amazon GuardDuty extrai fluxos independentes de dados diretamente desses serviços.
Para uma nova GuardDuty conta, alguns dos tipos de proteção disponíveis que são suportados em um Região da AWS são ativados e incluídos no período de teste gratuito de 30 dias por padrão. É possível desabilitar um ou todos eles. Se você já tem um plano GuardDuty habilitado, você pode optar por ativar qualquer um ou todos os planos de proteção que estão disponíveis em sua região. Conta da AWS Para obter uma descrição geral dos planos de proteção e de quais planos de proteção serão habilitados por padrão, consulte [Preços em GuardDuty](guardduty-pricing.md).
**Ao ativar GuardDuty, considere os seguintes itens**:
+ GuardDuty é um serviço regional, o que significa que qualquer um dos procedimentos de configuração que você segue nesta página deve ser repetido em cada região com a qual você deseja monitorar GuardDuty.
É altamente recomendável que você habilite GuardDuty em todas as AWS regiões suportadas. Isso permite GuardDuty gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo em regiões que você não está usando ativamente. Isso também permite GuardDuty monitorar AWS CloudTrail eventos para AWS serviços globais, como o IAM. Se não GuardDuty estiver habilitado em todas as regiões suportadas, sua capacidade de detectar atividades que envolvam serviços globais será reduzida. Para obter uma lista completa das regiões em que GuardDuty está disponível, consulte[Regiões e endpoints](guardduty_regions.md).
+ Qualquer usuário com privilégios de administrador em uma AWS conta pode habilitar GuardDuty, no entanto, seguindo a melhor prática de segurança do menor privilégio, é recomendável criar uma função, um usuário ou um grupo do IAM para gerenciar GuardDuty especificamente. Para obter informações sobre as permissões necessárias para habilitar, GuardDuty consulte[Permissões necessárias para habilitar GuardDuty](security_iam_id-based-policy-examples.md#guardduty_enable-permissions).
+ Quando você ativa GuardDuty pela primeira vez em qualquer um Região da AWS, por padrão, ele também ativa todos os tipos de proteção disponíveis que são suportados nessa região, incluindo a Proteção contra Malware para EC2. GuardDuty cria uma função vinculada ao serviço para sua conta chamada. `AWSServiceRoleForAmazonGuardDuty` Essa função inclui as permissões e as políticas de confiança que GuardDuty permitem consumir e analisar eventos diretamente do [GuardDuty fontes de dados fundamentais](guardduty_data-sources.md) para gerar descobertas de segurança. A Proteção contra malware para o EC2 cria outra função vinculada ao serviço para sua conta chamada `AWSServiceRoleForAmazonGuardDutyMalwareProtection`. Essa função inclui as permissões e as políticas de confiança que permitem que o Malware Protection for EC2 realize verificações sem agentes para detectar malware em sua conta. GuardDuty Ele permite GuardDuty criar um instantâneo do volume do EBS em sua conta e compartilhar esse instantâneo com a GuardDuty conta de serviço. Para obter mais informações, consulte [Service-linked permissões de função para GuardDuty](slr-permissions.md). Para obter mais informações sobre as funções vinculadas a um serviço, consulte [Como usar funções vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
+ Quando você ativa GuardDuty pela primeira vez em qualquer região, sua AWS conta é automaticamente inscrita em um teste GuardDuty gratuito de 30 dias para essa região.
O vídeo a seguir explica como uma conta de administrador pode começar a usá-la GuardDuty e ativá-la em várias contas de membros.
[](http://www.youtube.com/watch?v=0vIzHOQvjYU)
## Etapa 1: habilitar a Amazon GuardDuty
O primeiro passo para usar GuardDuty é habilitá-lo em sua conta. Uma vez ativado, GuardDuty começará imediatamente a monitorar as ameaças à segurança na região atual.
Se você quiser gerenciar GuardDuty descobertas para outras contas em sua organização como GuardDuty administrador, você deve adicionar contas de membros e GuardDuty habilitá-las também.
**nota**
Se você quiser habilitar a Proteção contra GuardDuty Malware para S3 sem GuardDuty habilitá-la, consulte para ver [GuardDuty Proteção contra malware para S3](gdu-malware-protection-s3.md) as etapas.
------
#### [ Standalone account environment ]
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Selecione a opção **Amazon GuardDuty - Todos os recursos**.
1. Escolha **Começar**.
1. Na GuardDuty página **Bem-vindo ao**, veja os termos do serviço. Escolha **Habilitar GuardDuty**.
------
#### [ Multi-account environment ]
**Importante**
Como pré-requisitos para esse processo, você deve estar na mesma organização de todas as contas que deseja gerenciar e ter acesso à conta de AWS Organizations gerenciamento para delegar um administrador dentro da sua organização. GuardDuty Permissões adicionais podem ser necessárias para delegar um administrador. Para obter mais informações, consulte [Permissões necessárias para designar uma conta de administrador delegado GuardDuty](organizations_permissions.md).
**Para designar uma conta de administrador delegado GuardDuty **
1. Abra o AWS Organizations console em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/), usando a conta de gerenciamento.
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
GuardDuty Já está habilitado em sua conta?
+ Se ainda não GuardDuty estiver habilitado, você pode selecionar **Começar** e designar um administrador GuardDuty delegado na página **Bem-vindo ao GuardDuty**.
+ Se GuardDuty estiver ativado, você poderá designar um administrador GuardDuty delegado na página **Configurações**.
1. **Insira o ID da AWS conta de doze dígitos da conta que você deseja designar como administrador GuardDuty delegado da organização e escolha Delegar.**
**nota**
Se ainda não GuardDuty estiver habilitado, a designação de um administrador delegado GuardDuty habilitará essa conta na sua região atual.
**Para adicionar contas-membro**
Esse procedimento abrange a adição de contas de membros a uma conta de administrador GuardDuty delegado por meio AWS Organizations de. Também é possível adicionar membros por convite. Para saber mais sobre os dois métodos de associação de membros em GuardDuty, consulte[Várias contas na Amazon GuardDuty](guardduty_accounts.md).
1. Faça login na conta de administrador delegado
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Configurações** e selecione **Contas**.
A tabela de contas exibe todas as contas na organização.
1. Selecione as contas que deseja adicionar como membros marcando a caixa de seleção ao lado do ID da conta. Depois, no menu **Ação**, selecione **Adicionar membro**.
**dica**
Você pode automatizar a adição de novas contas como membros ativando o **Auto-enable**recurso; no entanto, isso só se aplica às contas que ingressam na sua organização após a ativação do recurso.
------
## Etapa 2: gerar descobertas de amostra e explorar as operações básicas
Quando GuardDuty descobre um problema de segurança, ele gera uma descoberta. Uma GuardDuty descoberta é um conjunto de dados contendo detalhes relacionados a esse problema de segurança exclusivo. Os detalhes da descoberta podem ser usados para ajudar a investigar o problema.
GuardDuty suporta a geração de amostras de descobertas com valores de espaço reservado, que podem ser usados para testar a GuardDuty funcionalidade e se familiarizar com as descobertas antes de precisar responder a um problema de segurança real descoberto por. GuardDuty Siga o guia abaixo para gerar exemplos de descobertas para cada tipo de descoberta disponível em GuardDuty. Para obter outras formas de gerar exemplos de descobertas, incluindo a geração de um evento de segurança simulado em sua conta, consulte[Amostras de resultados](sample_findings.md).
**Para criar e explorar descobertas de amostra**
1. No painel de navegação, selecione **Configurações**.
1. Na página **Configurações**, em **Amostras de descobertas**, escolha **Gerar amostras de descobertas**.
1. No painel de navegação, escolha **Resumo** para visualizar os insights sobre as descobertas geradas em seu AWS ambiente. Para obter mais informações sobre os componentes do painel de resumo, consulte [Painel de resumo na Amazon GuardDuty](guardduty-summary.md).
1. No painel de navegação, selecione **Descobertas**. As descoberta de amostra são exibidas na página **Descobertas atuais** com o prefixo **[SAMPLE]**.
1. Selecione uma descoberta na lista para exibir os detalhes dela.
1. Os diversos campos de informações disponíveis podem ser revisados no painel de detalhes da descoberta. Tipos diferentes de descobertas podem ter campos diferentes. Para obter mais informações sobre os campos disponíveis em todos os tipos de descoberta, consulte [Detalhes da descoberta](guardduty_findings-summary.md). No painel de detalhes, você pode utilizar as seguintes ações:
+ Na parte superior do painel, selecione o **ID da descoberta** para abrir os detalhes completos do JSON da descoberta. Nesse painel também é possível baixar o arquivo JSON completo. O JSON contém algumas informações adicionais não incluídas na visualização do console e é o formato que outras ferramentas e serviços podem ingerir.
+ Veja a seção **Recurso afetado**. Em uma descoberta real, as informações aqui ajudarão você a identificar um recurso em sua conta que deve ser investigado e incluirão links para os recursos apropriados Console de gerenciamento da AWS para uso.
+ Selecione os ícones de lupa \+ ou - para criar um filtro inclusivo ou exclusivo para esse detalhe. Para obter mais informações sobre os filtros de descobertas, consulte [Filtrando descobertas em GuardDuty](guardduty_filter-findings.md).
1. Arquive todas as suas descobertas de amostra
1. Selecione todas as descobertas marcando a caixa de seleção na parte superior da lista.
1. Desmarque todas as descobertas que você deseja manter.
1. Selecione o menu **Ações** e, em seguida, selecione **Arquivar** para ocultar as descobertas de amostra.
**nota**
Selecione **Atual** para visualizar as descobertas arquivadas e, em seguida, **Arquivado** para alternar a visualização das descobertas.
## Etapa 3: Configurar a exportação de GuardDuty descobertas para um bucket do Amazon S3
GuardDuty recomenda definir configurações para exportar descobertas porque permite exportar suas descobertas para um bucket do S3 para armazenamento indefinido além do período de retenção de 90 dias. GuardDuty Isso permite que você mantenha registros das descobertas ou acompanhe problemas em seu AWS ambiente ao longo do tempo. GuardDuty criptografa os dados das descobertas em seu bucket do S3 usando AWS Key Management Service ()AWS KMS key. Para definir as configurações, você deve dar GuardDuty à permissão uma chave KMS. Para obter detalhes das etapas, consulte [Exportar as descobertas geradas para bucket do Amazon S3](guardduty_exportfindings.md).
**Para exportar GuardDuty descobertas para o bucket do Amazon S3**
1.
**Anexar política à chave do KMS**
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Selecione uma chave do KMS existente ou execute as etapas para [Criar uma chave do KMS de criptografia simétrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html) no *Guia do desenvolvedor do AWS Key Management Service *.
A região da sua chave do KMS e do bucket do Amazon S3 deve ser a mesma.
Copie o ARN da chave em um bloco de notas para uso nas etapas posteriores.
1. Na seção **Política de chave** da sua chave do KMS, escolha **Editar**. Se **Mudar para visualização da política** for exibido, selecione-o para exibir a **Política de chave** e, em seguida, escolha **Editar**.
1. Copie o seguinte bloco de política para sua política de chave do KMS:
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
Edite a política substituindo os seguintes valores que estão formatados *{{red}}*no exemplo de política:
1. {{KMS key ARN}}Substitua pelo Amazon Resource Name (ARN) da chave KMS. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1. {{123456789012}}Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. {{Region2}}Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. {{SourceDetectorID}}Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1.
**Anexar política ao bucket do Amazon S3**
Se você ainda não tem um bucket do Amazon S3 para o qual deseja exportar essas descobertas, consulte [Criação de um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.
1. Execute as etapas em [Para criar ou editar uma política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon S3*, até que a página **Editar política de bucket** seja exibida.
1. O **exemplo de política** mostra como conceder GuardDuty permissão para exportar descobertas para seu bucket do Amazon S3. Caso altere o caminho depois de configurar a exportação de descobertas, você deve modificar a política para conceder permissão para o novo local.
Copie a **política de exemplo** a seguir e cole-a no **Editor de políticas do bucket**.
Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de chaves do KMS seja válida.
**Exemplo de política de bucket do S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edite a política substituindo os seguintes valores que estão formatados *{{red}}*no exemplo de política:
1. {{Amazon S3 bucket ARN}}Substitua pelo nome de recurso da Amazon (ARN) do bucket do Amazon S3. Você pode encontrar o **ARN do bucket** na página **Editar política do bucket** no [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)console.
1. {{123456789012}}Substitua pelo Conta da AWS ID que possui a GuardDuty conta que exporta as descobertas.
1. {{Region2}}Substitua pelo Região da AWS local onde as GuardDuty descobertas são geradas.
1. {{SourceDetectorID}}Substitua pela `detectorID` da GuardDuty conta na região específica em que as descobertas foram geradas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Substitua {{[optional prefix]}} parte do valor do {{S3 bucket ARN/[optional prefix]}} espaço reservado por um local de pasta opcional para o qual você deseja exportar as descobertas. Para obter mais informações sobre ouso de prefixos, consulte [Organizando objetos usando prefixos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) no *Guia de usuário do Amazon S3*.
Quando você fornece um local de pasta opcional que ainda não existe, GuardDuty criará esse local somente se a conta associada ao bucket do S3 for a mesma que a conta que exporta as descobertas. Se você exportar descobertas para um bucket do S3 que pertence a outra conta, o local da pasta já deve existir.
1. {{KMS key ARN}}Substitua pelo Amazon Resource Name (ARN) da chave KMS associada à criptografia das descobertas exportadas para o bucket do S3. Para saber como localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1.
**Etapas no GuardDuty console**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, selecione **Configurações**.
1. Na página **Configurações**, em **Opções de exportação de descobertas**, para o **bucket do S3**, escolha **Configurar agora** (ou **Editar**, conforme necessário).
1. Para o **ARN do bucket do S3**, insira o **bucket ARN** para o qual você deseja enviar as descobertas. Para visualizar o ARN do bucket, consulte [Visualização das propriedades de um bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) no *Guia do usuário do Amazon S3*.
1. Para o **ARN da chave do KMS**, insira o **key ARN**. Para localizar o ARN da chave, consulte [Localizar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
1. Escolha **Salvar**.
## Etapa 4: configurar alertas de GuardDuty busca por meio do SNS
GuardDuty se integra à Amazon EventBridge, que pode ser usada para enviar dados de descobertas para outros aplicativos e serviços para processamento. Com EventBridge você pode usar GuardDuty as descobertas para iniciar respostas automáticas às suas descobertas conectando eventos de busca a destinos como AWS Lambda funções, automação do Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) e muito mais.
Neste exemplo, você criará um tópico do SNS para ser o alvo de uma EventBridge regra e, em seguida, usará EventBridge para criar uma regra que capture dados de descobertas. GuardDuty A regra resultante encaminha os detalhes da descoberta para um endereço de e-mail. Para saber como você pode enviar descobertas para o Slack ou o Amazon Chime e também modificar os tipos de descobertas para os quais os alertas são enviados, consulte [Configurar um tópico e um endpoint do Amazon SNS](guardduty_findings_eventbridge.md#guardduty-eventbridge-set-up-sns-and-endpoint).
**Para criar um tópico do SNS para seus alertas de descobertas**
1. Abra o console do Amazon SNS em [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. No painel de navegação, escolha **Tópicos**.
1. Selecione **Criar tópico**.
1. Em **Tipo**, selecione **Padrão**.
1. Em **Nome**, digite **GuardDuty**.
1. Selecione **Criar tópico**. A seção Detalhes do novo tópico será aberta.
1. Na seção **Inscrições**, escolha **Criar inscrição**.
1. Em **Protocolo**, escolha **E-mail**.
1. Para **Endpoint**, insira o endereço de e-mail que deve receber as notificações.
1. Selecione **Criar assinatura**.
É necessário confirmar a assinatura por e-mail após a criação da assinatura.
1. Para conferir se há uma mensagem de assinatura, acesse sua caixa de entrada de e-mail e, na mensagem de assinatura, escolha **Confirmar assinatura**.
**nota**
Para conferir o status do e-mail de confirmação, acesse o console do SNS e escolha **Assinaturas**.
**Para criar uma EventBridge regra para capturar GuardDuty descobertas e formatá-las**
1. Abra o EventBridge console em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. No painel de navegação, escolha **Regras**.
1. Escolha **Create rule**.
1. Insira um nome e uma descrição para a regra.
Uma regra não pode ter o mesmo nome que outra na mesma Região e barramento de eventos.
1. Em **Barramento de eventos**, escolha **padrão**.
1. Em **Rule type**, escolha **Rule with an event pattern**.
1. Escolha **Próximo**.
1. Em **Origem de eventos**, escolha **Eventos da AWS **.
1. Em **Padrão de evento**, selecione **Formulário de padrão de evento**.
1. Em **Fonte do evento**, selecione **Serviços da AWS **.
1. Em **Serviço da AWS **, escolha **GuardDuty**.
1. Em **Tipo de evento**, escolha **GuardDutyLocalizar**.
1. Escolha **Próximo**.
1. Em **Tipos de destino**, escolha **Serviço da AWS **.
1. Em **Selecionar um destino**, escolha **Tópico do SNS** e, em **Tópico**, escolha o nome do tópico do SNS que você criou anteriormente.
1. Na seção **Configurações adicionais**, para **Configurar entrada de destino**, escolha **Transformador de entrada**.
Adicionar um transformador de entrada formata os dados de localização JSON enviados GuardDuty em uma mensagem legível por humanos.
1. Escolha **Configurar o transformador de entrada**.
1. Na seção **Transformador de entrada de destino**, em **Caminho de entrada**, cole este código:
```
{
"severity": "$.detail.severity",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_Description": "$.detail.description"
}
```
1. Para formatar o e-mail, em **Modelo**, cole o código a seguir e certifique-se de substituir o texto em vermelho pelos valores apropriados à sua região:
```
"You have a severity <{{severity}}> GuardDuty finding type <{{Finding_Type}}> in the <{{region}}> region."
"Finding Description:"
"<{{Finding_Description}}>."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<{{region}}>#/findings?search=id%3D<{{Finding_ID}}>"
```
1. Escolha **Confirmar**.
1. Escolha **Próximo**.
1. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) no *Guia EventBridge do usuário da Amazon*.
1. Escolha **Próximo**.
1. Analise os detalhes da regra e selecione **Criar regra**.
1. (Opcional) Teste sua nova regra gerando descobertas de exemplo com o processo na Etapa 2. Você receberá um e-mail para cada descoberta de amostra gerada.
## Próximas etapas
Ao continuar usando GuardDuty, você entenderá os tipos de descobertas que são relevantes para o seu ambiente. Sempre que receber uma nova descoberta, você pode encontrar informações, incluindo recomendações de remediação sobre essa descoberta, selecionando **Saiba mais** na descrição da descoberta no painel de detalhes da descoberta ou pesquisando o nome da descoberta em [GuardDuty tipos de descoberta](guardduty_finding-types-active.md).
Os recursos a seguir ajudarão você a se ajustar GuardDuty para que possam fornecer as descobertas mais relevantes para seu AWS ambiente:
+ Para classificar facilmente as descobertas com base em critérios específicos, como ID da instância, ID da conta, nome do bucket do S3 e muito mais, você pode criar e salvar filtros nele GuardDuty. Para obter mais informações, consulte [Filtrando descobertas em GuardDuty](guardduty_filter-findings.md).
+ Se você estiver recebendo descobertas sobre o comportamento esperado em seu ambiente, poderá arquivar automaticamente as descobertas com base nos critérios definidos com as [regras de supressão](findings_suppression-rule.md).
+ Para evitar que descobertas sejam geradas a partir de um subconjunto de IPs confiáveis ou para que os IPs de GuardDuty monitoramento estejam fora do escopo normal de monitoramento, você pode configurar listas de [IPs confiáveis e](guardduty_upload-lists.md) de ameaças.