GuardDuty sources de données de base - Amazon GuardDuty
AWS CloudTrail événements de gestionJournaux de flux VPCJournaux de requêtes du résolveur DNS Route53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty sources de données de base

GuardDuty utilise les sources de données de base pour détecter les communications avec des domaines et adresses IP malveillants connus, et identifier les comportements potentiellement anormaux et les activités non autorisées. Pendant le transfert entre ces sources et GuardDuty, toutes les données du journal sont cryptées. GuardDuty extrait différents champs de ces sources de journaux à des fins de profilage et de détection d'anomalies, puis supprime ces journaux.

Lorsque vous l'activez GuardDuty pour la première fois dans une région, un essai gratuit de 30 jours inclut la détection des menaces pour toutes les sources de données de base. Au cours de cet essai gratuit, vous pouvez suivre une estimation de l'utilisation mensuelle ventilée par source de données de base. En tant que compte d' GuardDuty administrateur délégué, vous pouvez consulter le coût d'utilisation mensuel estimé ventilé par compte de membre qui appartient à votre organisation et qui a été activé GuardDuty. Une fois la période d'essai de 30 jours terminée, vous pouvez AWS Billing demander des informations sur le coût d'utilisation.

Il n'y a aucun coût supplémentaire pour GuardDuty accéder aux événements et aux journaux à partir de ces sources de données fondamentales.

Une fois que vous l'avez activé GuardDuty dans votre Compte AWS, il commence automatiquement à surveiller les sources de journaux expliquées dans les sections suivantes. Vous n'avez rien d'autre à activer pour commencer GuardDuty à analyser et à traiter ces sources de données afin de générer les résultats de sécurité associés.

AWS CloudTrail événements de gestion

AWS CloudTrail vous fournit un historique des AWS API appels relatifs à votre compte, y compris les API appels passés à l' AWS Management Console aide des outils de ligne de commande et de certains AWS services. AWS SDKs CloudTrail vous aide également à identifier les utilisateurs et les comptes invoqués AWS APIs pour les services pris en charge CloudTrail, l'adresse IP source à partir de laquelle les appels ont été appelés et l'heure à laquelle les appels ont été appelés. Pour de plus amples informations, veuillez consulter Présentation de AWS CloudTrail dans le Guide de l'utilisateur AWS CloudTrail .

GuardDuty surveille les événements CloudTrail de gestion, également appelés événements du plan de contrôle. Ces événements fournissent un aperçu des opérations de gestion effectuées sur les ressources de votre entreprise Compte AWS.

Voici des exemples d'événements de CloudTrail gestion GuardDuty surveillés :

  • Configuration de la sécurité (IAMAttachRolePolicyAPIopérations)

  • Configuration des règles pour les données de routage (EC2CreateSubnetAPIopérations Amazon)

  • Configuration de la journalisation (AWS CloudTrail CreateTrailAPIopérations)

Lorsque vous l'activez GuardDuty, il commence à consommer CloudTrail des événements de gestion directement CloudTrail via un flux d'événements indépendant et dupliqué et analyse vos CloudTrail journaux d'événements.

GuardDuty ne gère pas vos CloudTrail événements et n'affecte pas vos CloudTrail configurations existantes. De même, vos CloudTrail configurations n'affectent pas la façon dont les journaux d'événements sont GuardDuty consommés et traités. Pour gérer l'accès et la rétention de vos CloudTrail événements, utilisez la console CloudTrail de service ouAPI. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le Guide de AWS CloudTrail l'utilisateur.

Comment GuardDuty gère les événements AWS CloudTrail mondiaux

Pour la plupart AWS des services, les CloudTrail événements sont enregistrés Région AWS là où ils ont été créés. Pour les services internationaux tels que AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon et CloudFront Amazon Route 53 (Route 53), les événements ne sont générés que dans la région où ils se produisent, mais ils ont une importance mondiale.

Lorsqu'il GuardDuty consomme des événements de service CloudTrail globaux ayant une valeur de sécurité, tels que des configurations réseau ou des autorisations utilisateur, il reproduit ces événements et les traite dans chaque région où vous les avez activés GuardDuty. Ce comportement permet de GuardDuty maintenir les profils des utilisateurs et des rôles dans chaque région, ce qui est essentiel pour détecter les événements anormaux.

Nous vous recommandons vivement d'activer GuardDuty tous ceux Régions AWS qui sont activés pour votre Compte AWS. Cela permet GuardDuty de détecter des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez peut-être pas activement.

Journaux de flux VPC

La fonctionnalité VPC Flow Logs d'Amazon VPC capture des informations sur le trafic IP en provenance et à destination des interfaces réseau connectées aux instances Amazon Elastic Compute Cloud (AmazonEC2) au sein de votre AWS environnement.

Lorsque vous l'activez GuardDuty, il commence immédiatement à analyser vos journaux de VPC flux à partir EC2 des instances Amazon de votre compte. Il consomme les événements des journaux de VPC flux directement depuis la fonctionnalité VPC Flow Logs via un flux indépendant et dupliqué de journaux de flux. Ce processus n'affecte pas les éventuelles configurations de journaux de flux existantes.

Protection Lambda

La protection Lambda est une amélioration facultative d'Amazon. GuardDuty À l'heure actuelle, Lambda Network Activity Monitoring inclut les journaux de VPC flux Amazon relatifs à toutes les fonctions Lambda de votre compte, même ceux qui n'utilisent pas le réseau. VPC Pour protéger votre fonction Lambda contre les menaces de sécurité potentielles, vous devez configurer la protection Lambda dans votre compte. GuardDuty Pour de plus amples informations, veuillez consulter Protection Lambda.

GuardDuty Surveillance du temps d'exécution

Lorsque vous gérez l'agent de sécurité (manuellement ou via GuardDuty) dans EKS Runtime Monitoring ou Runtime Monitoring pour les EC2 instances, et qu'GuardDuty il est actuellement déployé sur une EC2 instance Amazon et que vous le recevez Types d'événement d'exécution collectés de cette instance, l'analyse Compte AWS des journaux de VPC flux provenant de cette EC2 instance Amazon ne vous GuardDuty sera pas facturée. Cela permet GuardDuty d'éviter le double coût d'utilisation sur le compte.

GuardDuty ne gère pas vos journaux de flux et ne les rend pas accessibles dans votre compte. Pour gérer l'accès à vos journaux de flux et leur conservation, vous devez configurer la fonctionnalité VPC Flow Logs.

Journaux de requêtes du résolveur DNS Route53

Si vous utilisez des AWS DNS résolveurs pour vos EC2 instances Amazon (paramètre par défaut), vous GuardDuty pouvez accéder aux journaux de DNS requêtes Route53 Resolver et les traiter via les résolveurs internes. AWS DNS Si vous utilisez un autre DNS résolveur, tel qu'Open DNS ou GoogleDNS, ou si vous configurez vos propres DNS résolveurs, vous GuardDuty ne pourrez pas accéder aux données de cette source de données et les traiter.

Lorsque vous l'activez GuardDuty, il commence immédiatement à analyser vos journaux de DNS requêtes Route53 Resolver à partir d'un flux de données indépendant. Ce flux de données est distinct des données fournies par le biais de la fonctionnalité Journalisation des requêtes de résolveur de Route 53. La configuration de cette fonctionnalité n'affecte pas GuardDuty l'analyse.

Note

GuardDuty ne prend pas en charge DNS les journaux de surveillance pour les EC2 instances Amazon lancées AWS Outposts car la fonctionnalité de journalisation des Amazon Route 53 Resolver requêtes n'est pas disponible dans cet environnement.