Concepts et termes clés sur Amazon GuardDuty

Un compte Amazon Web Services (AWS) standard contenant vos AWS ressources. Vous pouvez vous connecter AWS à votre compte et l'activer GuardDuty.

Vous pouvez également inviter d'autres comptes à activer votre AWS compte GuardDuty et à s'y associer dans GuardDuty. Si vos invitations sont acceptées, votre compte est désigné comme GuardDuty compte administrateur et les comptes ajoutés deviennent vos comptes de membre. Vous pouvez ensuite consulter et gérer les GuardDuty résultats de ces comptes en leur nom.

Les utilisateurs du compte administrateur peuvent configurer GuardDuty , consulter et gérer les GuardDuty résultats pour leur propre compte et pour tous leurs comptes membres. Pour plus d'informations sur le nombre de comptes de membres que votre compte administrateur peut gérer, consultezGuardDuty quotas.

Les utilisateurs des comptes membres peuvent configurer GuardDuty , consulter et gérer les GuardDuty résultats de leur compte (via la console GuardDuty de gestion ou GuardDuty API). Les utilisateurs de comptes membres ne peuvent pas afficher ou gérer des résultats dans les comptes d'autres membres.

An ne Compte AWS peut pas être un compte GuardDuty administrateur et un compte membre en même temps. An ne Compte AWS peut accepter qu'une seule invitation d'adhésion. L'acceptation d'une invitation d'adhésion est facultative.

Pour de plus amples informations, veuillez consulter Plusieurs comptes sur Amazon GuardDuty.

Une séquence d'attaque est une corrélation entre plusieurs événements qui, tels qu'observés par GuardDuty, se sont produits dans une séquence spécifique correspondant au schéma d'une activité suspecte. GuardDuty utilise sa Détection étendue des menaces capacité pour détecter ces attaques en plusieurs étapes qui concernent les sources de données, les AWS ressources et la chronologie de base de votre compte.

La liste suivante explique brièvement les termes clés associés aux séquences d'attaque :

Amazon GuardDuty est un service régional. Lorsque vous l'activez GuardDuty dans un domaine spécifique Région AWS, vous Compte AWS êtes associé à un identifiant de détecteur. Cet identifiant alphanumérique à 32 caractères est unique à votre compte dans cette région. Par exemple, lorsque vous activez GuardDuty le même compte dans une région différente, votre compte sera associé à un identifiant de détecteur différent. Le format de a detectorId est12abc34d567e8fa901bc2d34e56789f0.

Tous les GuardDuty résultats, comptes et actions relatifs à la gestion des résultats et au GuardDuty service utilisent l'identifiant du détecteur pour exécuter une API opération.

Pour trouver les detectorId paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez ListDetectors API.

Certaines GuardDuty fonctionnalités sont configurées via le détecteur, telles que la configuration de la fréquence de notification des CloudWatch événements et l'activation ou la désactivation de plans de protection facultatifs GuardDuty à traiter.

Origine ou emplacement d'un ensemble de données. Pour détecter une activité non autorisée ou inattendue dans votre AWS environnement. GuardDuty analyse et traite les données provenant des journaux d' AWS CloudTrail événements, AWS CloudTrail des événements de gestion, AWS CloudTrail des événements de données pour S3, des journaux de VPC flux, DNS des journaux, voirGuardDuty sources de données de base.

Un objet fonctionnel configuré pour votre plan de GuardDuty protection permet de détecter une activité non autorisée ou inattendue dans votre AWS environnement. Chaque plan de GuardDuty protection configure l'objet fonctionnel correspondant pour analyser et traiter les données. Certains des objets de fonctionnalité incluent les journaux EKS d'audit, la surveillance des activités de RDS connexion, les journaux d'activité du réseau Lambda et EBS les volumes. Pour de plus amples informations, veuillez consulter Noms des fonctionnalités des plans de protection dans GuardDuty API.

Un problème potentiel de sécurité a été détecté par GuardDuty. Pour de plus amples informations, veuillez consulter Comprendre et générer les GuardDuty résultats d'Amazon.

Les résultats sont affichés dans la GuardDuty console et contiennent une description détaillée du problème de sécurité. Vous pouvez également récupérer les résultats que vous avez générés en appelant le GetFindingset ListFindingsAPIopérations.

Vous pouvez également consulter vos GuardDuty résultats par le biais CloudWatch des événements Amazon. GuardDuty envoie les résultats à Amazon CloudWatch via un HTTPS protocole. Pour de plus amples informations, veuillez consulter Création de réponses personnalisées aux GuardDuty résultats avec Amazon CloudWatch Events.

Il s'agit du IAM rôle disposant des autorisations requises pour scanner l'objet S3. Lorsque le balisage des objets numérisés est activé, les IAM PassRole autorisations permettent d' GuardDuty ajouter des balises à l'objet numérisé.

Une fois que vous avez activé la protection contre les programmes malveillants pour S3 pour un compartiment, vous GuardDuty créez une ressource de protection contre les programmes malveillants pour le EC2 plan. Cette ressource est associée à Malware Protection for EC2 plan ID, un identifiant unique pour votre compartiment protégé. Utilisez la ressource du plan Malware Protection pour effectuer API des opérations sur une ressource protégée.

Un compartiment Amazon S3 est considéré comme protégé lorsque vous activez Malware Protection for S3 pour ce compartiment et que son statut de protection passe à Active.

GuardDuty prend uniquement en charge un compartiment S3 en tant que ressource protégée.

État associé à la ressource de votre plan de protection contre les programmes malveillants. Une fois que vous avez activé Malware Protection for S3 pour votre compartiment, cet état indique si votre compartiment est correctement configuré ou non.

Dans un bucket Amazon Simple Storage Service (Amazon S3), vous pouvez utiliser des préfixes pour organiser votre stockage. Un préfixe est un regroupement logique des objets d'un compartiment S3. Pour plus d'informations, consultez la section Organisation et mise en liste des objets dans le guide de l'utilisateur Amazon S3.

Lorsque GuardDuty Malware Protection for EC2 est activée, elle vous permet de spécifier les EC2 instances Amazon et les volumes Amazon Elastic Block Store (EBS) à scanner ou à ignorer. Cette fonctionnalité vous permet d'ajouter les balises existantes associées à vos EC2 instances et à votre EBS volume à une liste de balises d'inclusion ou à une liste de balises d'exclusion. Les ressources associées aux balises que vous ajoutez à une liste de balises d'inclusion sont analysées pour détecter les logiciels malveillants, et celles ajoutées à une liste de balises d'exclusion ne sont pas analysées. Pour de plus amples informations, veuillez consulter Options d'analyse avec balises définies par l'utilisateur.

Lorsque la protection contre les GuardDuty logiciels malveillants EC2 est activée, elle propose une option permettant de conserver les instantanés de vos EBS volumes dans votre AWS compte. GuardDuty génère les EBS volumes de réplication en fonction des instantanés de vos EBS volumes. Vous ne pouvez conserver les instantanés de vos EBS volumes que si la protection contre les programmes malveillants à des fins d'EC2analyse détecte des logiciels malveillants dans les EBS volumes répliqués. Si aucun logiciel malveillant n'est détecté dans les EBS volumes de réplication, supprime GuardDuty automatiquement les instantanés de vos EBS volumes, quel que soit le paramètre de conservation des instantanés. Pour de plus amples informations, veuillez consulter Conservation des instantanés.

Les règles de suppression vous permettent de créer des combinaisons d'attributs très spécifiques pour supprimer des résultats. Par exemple, vous pouvez définir une règle via le GuardDuty filtre pour archiver automatiquement Recon:EC2/Portscan uniquement les instances d'une balise spécifiqueVPC, en cours d'exécution ou avec une EC2 balise spécifique. AMI Cette règle entraînerait l'archivage automatique des résultats d'analyse de port depuis les instances qui répondent aux critères. Cependant, il permet toujours d'émettre des alertes s'il GuardDuty détecte des instances menant d'autres activités malveillantes, telles que le minage de cryptomonnaies.

Les règles de suppression définies dans le compte GuardDuty administrateur s'appliquent aux comptes des GuardDuty membres. GuardDuty les comptes membres ne peuvent pas modifier les règles de suppression.

Avec les règles de suppression, génère GuardDuty toujours tous les résultats. Les règles de suppression permettent de supprimer des résultats tout en conservant un historique immuable et complet de toute l'activité.

En général, les règles de suppression sont utilisées pour masquer les résultats que vous avez déterminés comme faux positifs pour votre environnement et limitent les perturbations provenant des résultats de faible valeur afin de vous permettre de vous concentrer sur les menaces plus importantes. Pour de plus amples informations, veuillez consulter Règles de suppression dans GuardDuty.

Une liste d'adresses IP fiables pour une communication hautement sécurisée avec votre AWS environnement. GuardDuty ne génère pas de résultats basés sur des listes d'adresses IP fiables. Pour de plus amples informations, veuillez consulter Utilisation de listes d'adresses IP approuvées et de listes de menaces.

Liste d'adresses IP malveillantes. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur ces listes de menaces. Pour de plus amples informations, veuillez consulter Utilisation de listes d'adresses IP approuvées et de listes de menaces.