Configuración de Amazon GuardDuty para reenviar eventos a un bucket de AWS S3

Para recopilar eventos en JSA, debe configurar Amazon GuardDuty para que reenvíe eventos a un bucket de AWS S3.

Inicie sesión en la consola de administración de AWS como administrador.
En la barra de menús, escriba GuardDuty el campo de búsqueda.
En el menú de navegación, seleccione Hallazgos.
En la lista Frecuencia de resultados actualizados, seleccione Actualizar CWE y S3 cada 15 minutos.
En la sección bucket de S3, haga clic en Configurar ahora.
Haga clic en una de las siguientes opciones de bucket de S3:
- Bucket existente: en su cuenta
- Bucket existente: en otra cuenta
- Nuevo bucket: cree un nuevo bucket
En la lista Elegir un bucket, seleccione su bucket de S3.
Opcional: Escriba un prefijo de ruta en el campo del prefijo del archivo de registro. Se crea una nueva carpeta en el bucket con el nombre de prefijo de ruta que especificó. La ruta que sigue al campo se actualiza para reflejar la ruta a los resultados exportados en el bucket.
Seleccione una de las siguientes opciones de cifrado KMS:
- Seleccione Elegir clave de su cuenta y, a continuación, en la lista Alias de clave, seleccione la clave para la que cambió la política.
- Seleccione Elegir clave de otra cuenta y, a continuación, escriba el ARN completo en la clave para la que cambió la política.
La clave que seleccione debe estar en la misma región que el bucket de S3. Para obtener más información acerca de cómo encontrar el ARN clave, vaya a Buscar el ID de clave y el ARN en el sitio web de Amazon AWS (https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html).

Para obtener más información acerca de las políticas clave, consulte Uso de políticas clave en AWS KMS en el sitio web de Amazon AWS (https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Haga clic en Guardar.

Cuando genera hallazgos en GuardDuty, se envían a su bucket S3.