Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esportazione dei GuardDuty risultati generati nei bucket Amazon S3
GuardDuty conserva i risultati generati per un periodo di 90 giorni. GuardDuty esporta i risultati attivi su Amazon EventBridge (EventBridge). Facoltativamente, puoi esportare i risultati generati in un bucket Amazon Simple Storage Service (Amazon S3). Questo ti aiuterà a tenere traccia dei dati storici delle attività potenzialmente sospette nel tuo account e a valutare se le misure correttive consigliate hanno avuto successo.
Tutti i nuovi risultati attivi GuardDuty generati vengono esportati automaticamente entro circa 5 minuti dalla generazione del risultato. È possibile impostare la frequenza con cui vengono esportati gli aggiornamenti dei risultati attivi. EventBridge La frequenza selezionata si applica all'esportazione di nuove occorrenze di risultati esistenti nel bucket S3 (se configurato) e in Detective (se integrato). EventBridge Per informazioni su come GuardDuty aggrega più occorrenze di risultati esistenti, consulta. [GuardDuty ricerca dell'aggregazione](finding-aggregation.md)
Quando configuri le impostazioni per esportare i risultati in un bucket Amazon S3, GuardDuty utilizza AWS Key Management Service (AWS KMS) per crittografare i dati dei risultati nel bucket S3. Ciò richiede l'aggiunta di autorizzazioni al bucket S3 e alla AWS KMS chiave in modo che GuardDuty possa utilizzarle per esportare i risultati nel tuo account.
**Topics**
+ [Considerazioni](#guardduty-export-findings-considerations)
+ [Fase 1 — Autorizzazioni necessarie per esportare i risultati](#guardduty_exportfindings-permissions)
+ [Fase 2: Allegare la policy alla chiave KMS](#guardduty-exporting-findings-kms-policy)
+ [Fase 3: Allegare la policy al bucket Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Fase 4 - Esportazione dei risultati in un bucket S3 (console)](#guardduty_exportfindings-new-bucket)
+ [Passaggio 5: impostazione della frequenza per esportare i risultati attivi aggiornati](#guardduty_exportfindings-frequency)
## Considerazioni
Prima di procedere con i prerequisiti e i passaggi per esportare i risultati, considera i seguenti concetti chiave:
+ **Le impostazioni di esportazione sono regionali**: è necessario configurare le opzioni di esportazione in ogni regione in cui si utilizza. GuardDuty
+ **Esportazione dei risultati in bucket Amazon S3 in Regioni AWS diverse aree geografiche GuardDuty : supporta le seguenti** impostazioni di esportazione:
+ Il bucket o l'oggetto Amazon S3 e la AWS KMS chiave devono appartenere allo stesso. Regione AWS
+ Per i risultati generati in una regione commerciale, puoi scegliere di esportarli in un bucket S3 in qualsiasi regione commerciale. Tuttavia, non puoi esportare questi risultati in un bucket S3 in una regione opt-in.
+ Per i risultati generati in una regione opt-in, puoi scegliere di esportare questi risultati nella stessa regione opt-in in cui vengono generati o in qualsiasi regione commerciale. Tuttavia, non puoi esportare i risultati da una regione opt-in a un'altra regione opt-in.
+ **Autorizzazioni per esportare i risultati**: per configurare le impostazioni per l'esportazione dei risultati attivi, il bucket S3 deve disporre delle autorizzazioni che consentano di caricare oggetti. GuardDuty È inoltre necessario disporre di una AWS KMS chiave che GuardDuty possa essere utilizzata per crittografare i risultati.
+ **I risultati archiviati non vengono esportati**: il comportamento predefinito prevede che i risultati archiviati, incluse le nuove istanze di risultati soppressi, non vengano esportati.
*Quando un GuardDuty risultato viene generato come *archiviato*, è necessario estrarlo dall'archivio.* **Ciò modifica **lo stato di ricerca del filtro** su Attivo.** GuardDuty esporta gli aggiornamenti ai risultati non archiviati esistenti in base alla configurazione. [Fase 5 — Frequenza di esportazione dei risultati](#guardduty_exportfindings-frequency)
+ **GuardDuty l'account amministratore può esportare i risultati generati negli account membro associati**: quando si configurano i risultati di esportazione in un account amministratore, tutti i risultati degli account membro associati generati nella stessa regione vengono esportati nella stessa posizione configurata per l'account amministratore. Per ulteriori informazioni, consulta [Comprensione della relazione tra account GuardDuty amministratore e account membro](administrator_member_relationships.md).
## Fase 1 — Autorizzazioni necessarie per esportare i risultati
Quando configuri le impostazioni per l'esportazione dei risultati, selezioni un bucket Amazon S3 in cui archiviare i risultati e AWS KMS una chiave da utilizzare per la crittografia dei dati. Oltre alle GuardDuty autorizzazioni per le azioni, devi disporre anche delle autorizzazioni per le seguenti azioni per configurare correttamente le impostazioni per esportare i risultati:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Se devi esportare i risultati in un prefisso specifico nel tuo bucket Amazon S3, devi anche aggiungere le seguenti autorizzazioni al ruolo IAM:
+ `s3:GetObject`
+ `s3:ListBucket`
## Fase 2: Allegare la policy alla chiave KMS
GuardDuty crittografa i dati dei risultati nel bucket utilizzando. AWS Key Management Service Per configurare correttamente le impostazioni, devi prima GuardDuty autorizzare l'uso di una chiave KMS. Puoi concedere le autorizzazioni [collegando la policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) alla tua chiave KMS.
Quando utilizzi una chiave KMS di un altro account, devi applicare la politica delle chiavi accedendo al proprietario della Account AWS chiave. Quando configuri le impostazioni per esportare i risultati, avrai anche bisogno della chiave ARN dell'account che possiede la chiave.
**Per modificare la politica delle chiavi KMS per GuardDuty crittografare i risultati esportati**
1. Apri la console all' AWS KMS indirizzo. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)
1. Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.
1. Seleziona una chiave KMS esistente o esegui i passaggi per [creare una nuova chiave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli AWS Key Management Service sviluppatori*, che utilizzerai per crittografare i risultati esportati.
**Nota**
La Regione AWS chiave KMS e il bucket Amazon S3 devono coincidere.
Puoi utilizzare lo stesso bucket S3 e la stessa key pair KMS per esportare i risultati da qualsiasi regione applicabile. Per ulteriori informazioni, consulta l'articolo sull'esportazione [Considerazioni](#guardduty-export-findings-considerations) dei risultati tra regioni.
1. Nella sezione **Key policy** (Policy chiave), scegli **Edit** (Modifica).
Se è visualizzata la **visualizzazione Passa alla politica**, selezionala per visualizzare la **Politica chiave**, quindi scegli **Modifica**.
1. Copia il seguente blocco di policy nella tua policy chiave KMS per concedere l' GuardDutyautorizzazione all'uso della tua chiave.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
1. Modifica la politica sostituendo i seguenti valori formattati *{{red}}*nell'esempio di policy:
1. Sostituisci {{KMS key ARN}} con l'Amazon Resource Name (ARN) della chiave KMS. *Per individuare l'ARN della chiave, consulta [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) nella Developer Guide.AWS Key Management Service *
1. {{123456789012}}Sostituiscilo con l' Account AWS ID proprietario dell' GuardDuty account che esporta i risultati.
1. Sostituisci {{Region2}} con il Regione AWS luogo in cui vengono generati i GuardDuty risultati.
1. Sostituisci {{SourceDetectorID}} con l' GuardDuty account `detectorID` della regione specifica in cui sono stati generati i risultati.
Per trovare le `detectorId` informazioni relative al tuo account e alla regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Nota**
Se lo utilizzi GuardDuty in una regione con attivazione, sostituisci il valore per «Servizio» con l'endpoint regionale per quella regione. Ad esempio, se utilizzi GuardDuty nella regione Medio Oriente (Bahrein) (me-south-1), sostituisci con. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` [Per informazioni sugli endpoint per ogni regione opt-in, consulta endpoint e quote. GuardDuty ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Se hai aggiunto l'informativa prima dell'informativa finale, aggiungi una virgola prima di aggiungere questa dichiarazione. Assicurati che la sintassi JSON della tua politica delle chiavi KMS sia valida.
Scegli **Save** (Salva).
1. (Facoltativo) Copia la chiave ARN su un blocco note per utilizzarla nei passaggi successivi.
## Fase 3: Allegare la policy al bucket Amazon S3
Aggiungi le autorizzazioni al bucket Amazon S3 in cui esporterai i risultati in modo da poter caricare oggetti in GuardDuty questo bucket S3. Indipendentemente dall'utilizzo di un bucket Amazon S3 che appartiene al tuo account o a un altro Account AWS, devi aggiungere queste autorizzazioni.
Se in qualsiasi momento decidi di esportare i risultati in un altro bucket S3, per continuare a esportare i risultati, devi aggiungere le autorizzazioni a quel bucket S3 e configurare nuovamente le impostazioni dei risultati di esportazione.
*Se non disponi già di un bucket Amazon S3 in cui esportare questi risultati, consulta [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) nella Amazon S3 User Guide.*
### Per allegare le autorizzazioni alla tua policy sui bucket S3
1. Esegui i passaggi indicati in [Per creare o modificare una policy sui bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nella Guida per l'*utente di Amazon S3*, finché non viene **visualizzata la pagina Modifica policy del bucket**.
1. La **policy di esempio** mostra come concedere GuardDuty l'autorizzazione all'esportazione dei risultati nel bucket Amazon S3. Se modifichi il percorso dopo aver configurato i risultati di esportazione, devi modificare la politica per concedere l'autorizzazione alla nuova posizione.
Copia la seguente **politica di esempio** e incollala nell'**editor delle politiche Bucket**.
Se hai aggiunto l'informativa prima dell'informativa finale, aggiungi una virgola prima di aggiungere questa dichiarazione. Assicurati che la sintassi JSON della tua politica delle chiavi KMS sia valida.
**Esempio di politica del bucket S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Modifica la politica sostituendo i seguenti valori formattati *{{red}}*nell'esempio di policy:
1. Sostituisci {{Amazon S3 bucket ARN}} con l'Amazon Resource Name (ARN) del bucket Amazon S3. Puoi trovare il **Bucket ARN nella** pagina **Modifica policy del bucket** nella console. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. {{123456789012}}Sostituiscilo con l' Account AWS ID proprietario dell' GuardDuty account che esporta i risultati.
1. Sostituisci {{us-east-2}} con il Regione AWS luogo in cui vengono generati i GuardDuty risultati.
1. Sostituisci {{SourceDetectorID}} con l' GuardDuty account `detectorID` della regione specifica in cui sono stati generati i risultati.
Per trovare le `detectorId` informazioni relative al tuo account e alla regione corrente, consulta la pagina **Impostazioni** nella [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console o esegui l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Sostituisci {{[optional prefix]}} parte del valore del {{S3 bucket ARN/[optional prefix]}} segnaposto con una posizione di cartella opzionale in cui desideri esportare i risultati. *Per ulteriori informazioni sull'uso dei prefissi, consulta [Organizing objects using prefixes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) nella Amazon S3 User Guide.*
Se fornisci una posizione opzionale per la cartella che non esiste già, la GuardDuty creerà solo se l'account associato al bucket S3 è lo stesso dell'account che esporta i risultati. Quando esporti i risultati in un bucket S3 che appartiene a un altro account, la posizione della cartella deve già esistere.
1. Sostituisci {{KMS key ARN}} con l'Amazon Resource Name (ARN) della chiave KMS associata alla crittografia dei risultati esportati nel bucket S3. *Per individuare l'ARN della chiave, consulta [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) nella Developer Guide.AWS Key Management Service *
**Nota**
Se lo utilizzi GuardDuty in una regione che accetta l'iscrizione, sostituisci il valore per il «Servizio» con l'endpoint regionale per quella regione. Ad esempio, se utilizzi GuardDuty nella regione Medio Oriente (Bahrein) (me-south-1), sostituisci con. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` [Per informazioni sugli endpoint per ogni regione opt-in, consulta endpoint e quote. GuardDuty ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Scegli **Save** (Salva).
## Fase 4 - Esportazione dei risultati in un bucket S3 (console)
GuardDuty consente di esportare i risultati in un bucket esistente in un altro. Account AWS
Quando crei un nuovo bucket S3 o scegli un bucket esistente nel tuo account, puoi aggiungere un prefisso opzionale. Quando configuri i risultati dell'esportazione, GuardDuty crea una nuova cartella nel bucket S3 per i risultati. Il prefisso verrà aggiunto alla struttura di cartelle predefinita creata. GuardDuty Ad esempio, il formato del prefisso opzionale. `/AWSLogs/{{123456789012}}/GuardDuty/{{Region}}`
L'intero percorso dell'oggetto S3 sarà. `{{amzn-s3-demo-bucket}}/{{prefix-name}}/UUID{{.jsonl.gz}}` `UUID`Viene generato casualmente e non rappresenta l'ID del rilevatore o l'ID del ritrovamento.
**Importante**
La chiave KMS e il bucket S3 devono trovarsi nella stessa regione.
Prima di completare questi passaggi, assicurati di aver collegato le rispettive politiche alla tua chiave KMS e al bucket S3 esistente.
**Per configurare i risultati delle esportazioni**
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella pagina **Impostazioni**, in **Opzioni di esportazione di** Findings, per il **bucket S3**, scegli **Configura ora** (o **Modifica**, se necessario).
1. Per l'**ARN del bucket S3**, inserisci. ****bucket ARN**** Per trovare l'ARN del bucket, [consulta Visualizzazione delle proprietà di un bucket S3 nella Amazon *S3*](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) User Guide.
1. Per l'**ARN della chiave KMS**, inserisci. ****key ARN**** *Per individuare l'ARN della chiave, consulta [Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) nella Developer Guide.AWS Key Management Service *
1.
**Allega politiche**
+ Esegui i passaggi per allegare la policy del bucket S3. Per ulteriori informazioni, consulta [Fase 3: Allegare la policy al bucket Amazon S3](#guardduty_exportfindings-s3-policies).
+ Esegui i passaggi per allegare la policy delle chiavi KMS. Per ulteriori informazioni, consulta [Fase 2: Allegare la policy alla chiave KMS](#guardduty-exporting-findings-kms-policy).
1. Scegli **Save** (Salva).
## Passaggio 5: impostazione della frequenza per esportare i risultati attivi aggiornati
Configura la frequenza di esportazione dei risultati attivi aggiornati in base al tuo ambiente. Per impostazione predefinita, i risultati aggiornati vengono esportati ogni 6 ore. Ciò significa che tutti i risultati aggiornati dopo l'esportazione più recente sono inclusi nella successiva esportazione. Se i risultati aggiornati vengono esportati ogni 6 ore e l'esportazione avviene alle 12:00, qualsiasi scoperta che si aggiorna dopo le 12:00 viene esportata alle 18:00.
**Per impostare la frequenza**
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Seleziona **Impostazioni**.
1. Nella sezione **Opzioni di esportazione dei risultati**, scegli **Frequenza dei risultati aggiornati**. Questo imposta la frequenza per l'esportazione dei risultati Active aggiornati sia EventBridge su Amazon S3 che su Amazon S3. È possibile scegliere tra le seguenti opzioni:
+ **Update EventBridge e S3 ogni 15 minuti**
+ **Update EventBridge e S3 ogni 1 ora**
+ **Aggiornamento EventBridge e S3 ogni 6 ore (impostazione predefinita)**
1. Scegli **Save changes (Salva modifiche)**.