Qu'est-ce qu'Amazon GuardDuty ? - Amazon GuardDuty
Caractéristiques de GuardDutyConformité PCI DSS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce qu'Amazon GuardDuty ?

Amazon GuardDuty est un service de détection des menaces qui surveille, analyse et traite en permanence les sources de AWS données et les journaux de votre AWS environnement. GuardDuty utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, des hachages de fichiers et des modèles d'apprentissage automatique (ML) pour identifier les activités suspectes et potentiellement malveillantes dans votre AWS environnement. La liste suivante fournit une vue d'ensemble des scénarios de menaces potentiels qui GuardDuty peuvent vous aider à les détecter :

  • Informations d'identification compromises et exfiltrées. AWS

  • Exfiltration et destruction de données susceptibles de provoquer un ransomware. Schémas inhabituels d'événements de connexion dans les versions de moteur prises en charge des bases de données Amazon Aurora et Amazon RDS, qui indiquent un comportement anormal.

  • Activité de cryptomining non autorisée dans vos instances Amazon Elastic Compute Cloud EC2 (Amazon) et vos charges de travail de conteneurs.

  • Présence de logiciels malveillants dans vos EC2 instances Amazon et vos charges de travail de conteneur, ainsi que de fichiers récemment chargés dans vos compartiments Amazon Simple Storage Service (Amazon S3).

  • Événements au niveau du système d'exploitation, du réseau et des fichiers indiquant un comportement non autorisé sur vos clusters Amazon Elastic Kubernetes Service (Amazon EKS), vos tâches Amazon Elastic Container Service (Amazon ECS), vos instances Amazon AWS Fargate et vos charges de travail de conteneur. EC2

La vidéo suivante donne un aperçu de la manière dont vous pouvez GuardDuty détecter les menaces dans votre AWS environnement.

Table des matières

Caractéristiques de GuardDuty

Voici quelques-uns des principaux moyens par lesquels Amazon GuardDuty peut vous aider à surveiller, détecter et gérer les menaces potentielles dans votre AWS environnement.

Surveille en permanence des sources de données et des journaux d'événements spécifiques

  • Détection des menaces fondamentales : lorsque vous activez un Compte AWS, commence GuardDuty automatiquement GuardDuty à ingérer les sources de données de base associées à ce compte. Ces sources de données incluent les événements AWS CloudTrail de gestion, les journaux de flux VPC (provenant d' EC2 instances Amazon) et les journaux DNS. Vous n'avez rien d'autre à activer pour commencer GuardDuty à analyser et à traiter ces sources de données afin de générer les résultats de sécurité associés. Pour de plus amples informations, veuillez consulter GuardDuty sources de données de base.

  • Détection étendue des menaces — Cette fonctionnalité détecte les attaques en plusieurs étapes qui couvrent les sources de données fondamentales, plusieurs types de AWS ressources et le temps, au sein d'un. Compte AWS Il se peut que plusieurs événements se produisent dans votre compte qui, pris isolément, ne constituent pas une menace claire. Toutefois, lorsque ces événements sont observés dans une séquence indiquant une activité suspecte, il s' GuardDutyagit d'une séquence d'attaque. GuardDuty vous avertit en générant le type de recherche de séquence d'attaque associé pour fournir des détails sur la séquence d'attaque observée.

    Sans frais supplémentaires, la détection étendue des menaces est automatiquement activée pour chacun d'entre eux Compte AWS lorsqu'ils sont activés GuardDuty. Cette fonctionnalité ne vous oblige pas à activer un plan de protection axé sur les cas d'utilisation. Toutefois, pour renforcer la sécurité de vos ressources Amazon S3, il est GuardDuty recommandé d'activer S3 Protection dans votre compte. Cela aidera Extended Threat Detection à identifier les attaques en plusieurs étapes susceptibles d'avoir un impact sur vos ressources Amazon S3.

    Pour plus d'informations sur le fonctionnement de cette fonctionnalité et les scénarios de menace qu'elle couvre, consultezGuardDuty Détection étendue des menaces.

  • Plans de GuardDuty protection axés sur les cas d'utilisation : pour une meilleure visibilité de la détection des menaces sur la sécurité de votre AWS environnement, GuardDuty propose des plans de protection dédiés que vous pouvez choisir d'activer. Les plans de protection vous aident à surveiller les journaux et les événements provenant d'autres AWS services. Ces sources incluent les journaux d'audit EKS, l'activité de connexion RDS, les événements liés aux données Amazon S3, les volumes EBS CloudTrail, la surveillance du temps d'exécution sur Amazon EKS, Amazon et Amazon ECS-Fargate EC2, ainsi que les journaux d'activité réseau Lambda. GuardDutyconsolide ces sources de journaux et d'événements sous le terme « Fonctionnalités ». Vous pouvez activer à tout moment un ou plusieurs plans de protection dédiés dans un Région AWS programme pris en charge. GuardDuty commencera à surveiller, traiter et analyser les activités en fonction du plan de protection que vous activez. Pour plus d'informations sur chaque plan de protection et son fonctionnement, consultez le document du plan de protection correspondant.

    Plan de protection Description

    Protection S3

    Identifie les risques de sécurité potentiels tels que l'exfiltration de données et les tentatives de destruction dans vos compartiments Amazon S3.

    Protection EKS

    EKS Audit Log Monitoring analyse les journaux d'audit Kubernetes de vos clusters Amazon EKS pour détecter les activités potentiellement suspectes et malveillantes.

    Surveillance d'exécution

    Surveille et analyse les événements au niveau du système d'exploitation sur votre Amazon EKS EC2, Amazon et Amazon ECS (y compris AWS Fargate), afin de détecter les menaces potentielles liées à l'exécution.

    Protection contre les logiciels malveillants pour EC2

    Détecte la présence potentielle de logiciels malveillants en analysant les volumes Amazon EBS associés à vos EC2 instances Amazon. Il existe une option permettant d'utiliser cette fonctionnalité à la demande.

    Protection contre les logiciels malveillants pour S3

    Détecte la présence potentielle de logiciels malveillants dans les objets récemment chargés dans vos compartiments Amazon S3.

    Protection RDS

    Analyse et profile votre activité de connexion RDS pour détecter les menaces d'accès potentielles aux bases de données Amazon Aurora et Amazon RDS prises en charge.

    Protection Lambda

    Surveille les journaux d'activité du réseau Lambda, en commençant par les journaux de flux VPC, afin de détecter les menaces qui pèsent sur vos fonctions. AWS Lambda Le minage de cryptomonnaies et la communication avec des serveurs malveillants sont des exemples de ces menaces potentielles.
    Activez la protection contre les programmes malveillants pour S3 de manière indépendante

    GuardDuty offre la possibilité d'utiliser Malware Protection for S3 de manière indépendante, sans activer le GuardDuty service Amazon. Pour plus d'informations sur la mise en route uniquement avec Malware Protection pour S3, consultezGuardDuty Protection contre les logiciels malveillants pour S3. Pour utiliser tous les autres plans de protection, vous devez activer le GuardDuty service.

Gestion d'un environnement à comptes multiples

Vous pouvez gérer un AWS environnement à comptes multiples en utilisant une méthode d'invitation AWS Organizations (recommandée) ou une ancienne méthode d'invitation. Pour de plus amples informations, veuillez consulter Plusieurs comptes dans GuardDuty.

Génère des résultats de sécurité pour les menaces détectées

Lorsqu'il GuardDuty détecte des menaces de sécurité potentielles associées à vos AWS ressources, il commence à générer des résultats de sécurité fournissant des informations sur la ressource potentiellement compromise. Une fois que vous l'avez activé GuardDuty dans votre compte, générez Exemples de résultats pour afficher les informations associéesDétails d'un résultat. Pour une liste complète des résultats de sécurité, voirGuardDuty types de recherche.

Avec GuardDuty, vous pouvez également utiliser un script de test qui génère des résultats GuardDuty de sécurité spécifiques pour comprendre comment examiner les GuardDuty résultats et y répondre. Pour de plus amples informations, veuillez consulter GuardDuty Résultats des tests dans des comptes dédiés.

Évaluation et gestion des résultats de sécurité

GuardDuty consolide vos résultats de sécurité sur l'ensemble des comptes et affiche les résultats dans le tableau de bord récapitulatif de la GuardDuty console. Vous pouvez également récupérer les résultats via l' AWS Security Hub API ou le AWS SDK. AWS Command Line Interface Grâce à une vision globale de votre état de sécurité actuel, vous pouvez identifier les tendances et les problèmes potentiels, et prendre les mesures correctives nécessaires. Pour de plus amples informations, veuillez consulter Gérer GuardDuty les résultats.

Intégrez les services AWS de sécurité connexes

Pour vous aider à analyser et à étudier les tendances en matière de sécurité dans votre AWS environnement, pensez à utiliser les services AWS liés à la sécurité suivants en combinaison avec. GuardDuty

  • AWS Security Hub— Ce service vous donne une vue complète de l'état de sécurité de vos AWS ressources et vous aide à vérifier que votre AWS environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Pour ce faire, il utilise, agrège, organise et hiérarchise les résultats de sécurité provenant de multiples AWS services (y compris Amazon Macie) et de produits du réseau de partenaires (APN) AWS pris en charge. Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires dans votre AWS environnement.

    Pour plus d'informations sur GuardDuty l'utilisation conjointe de Security Hub, consultezIntégration GuardDuty avec AWS Security Hub. Pour en savoir plus sur Security Hub, consultez le guide de AWS Security Hub l'utilisateur.

  • Amazon Detective : ce service vous permet d'analyser, d'enquêter et d'identifier rapidement la cause première des problèmes de sécurité ou des activités suspectes. Detective collecte automatiquement les données du journal à partir de vos AWS ressources. Detective utilise ensuite le machine learning, l’analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener des investigations de sécurité plus rapides et plus efficaces. Les agrégations de données prédéfinies, les résumés et le contexte du Detective vous aident à analyser et à déterminer la nature et l'étendue des problèmes de sécurité potentiels.

    Pour plus d'informations sur l'utilisation conjointe de Detective GuardDuty et de Detective, consultezIntégration GuardDuty à Amazon Detective. Pour en savoir plus sur Detective, consultez le guide de l'utilisateur d'Amazon Detective.

  • Amazon EventBridge — Ce service vous permet de recevoir des notifications et de répondre aux GuardDuty problèmes de sécurité en temps quasi réel. GuardDuty crée un événement en cas de modification des résultats. Vous pouvez choisir la fréquence à laquelle vous souhaitez recevoir les notifications EventBridge. Pour plus d'informations, consultez la section Qu'est-ce qu'Amazon EventBridge dans le guide de EventBridge l'utilisateur Amazon.

Conformité PCI DSS

GuardDuty prend en charge le traitement, le stockage et la transmission des données de carte de crédit par un commerçant ou un fournisseur de services, et sa conformité à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) a été validée. Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section PCI DSS niveau 1.

Pour plus d'informations, consultez la section Nouveau test tiers comparant Amazon GuardDuty aux systèmes de détection d'intrusion sur le réseau dans le blog sur la AWS sécurité.