Konsep dan istilah kunci di Amazon GuardDuty

Akun Amazon Web Services (AWS) standar yang berisi AWS sumber daya Anda. Anda dapat masuk AWS dengan akun Anda dan mengaktifkan GuardDuty.

Anda juga dapat mengundang akun lain untuk mengaktifkan GuardDuty dan menjadi terkait dengan AWS akun Anda di GuardDuty. Jika undangan Anda diterima, akun Anda ditetapkan sebagai akun akun administrator, dan GuardDuty akun yang ditambahkan menjadi akun anggota Anda. Anda kemudian dapat melihat dan mengelola GuardDuty temuan akun tersebut atas nama mereka.

Pengguna akun administrator dapat mengonfigurasi GuardDuty serta melihat dan mengelola GuardDuty temuan untuk akun mereka sendiri dan semua akun anggota mereka. Untuk informasi tentang jumlah akun anggota yang dapat dikelola oleh akun administrator Anda, lihatGuardDuty kuota.

Pengguna akun anggota dapat mengonfigurasi GuardDuty serta melihat dan mengelola GuardDuty temuan di akun mereka (baik melalui konsol GuardDuty manajemen atau GuardDuty API). Pengguna akun anggota tidak dapat melihat atau mengelola temuan di akun anggota lain.

An tidak Akun AWS dapat menjadi akun GuardDuty administrator dan akun anggota secara bersamaan. An hanya Akun AWS dapat menerima satu undangan keanggotaan. Menerima undangan keanggotaan bersifat opsional.

Untuk informasi selengkapnya, lihat Beberapa akun di Amazon GuardDuty.

Urutan serangan adalah korelasi dari beberapa peristiwa yang, seperti yang diamati oleh GuardDuty, terjadi dalam urutan tertentu yang cocok dengan pola aktivitas yang mencurigakan. GuardDuty menggunakan Deteksi Ancaman Diperpanjang kemampuannya untuk mendeteksi serangan multi-tahap yang mencakup sumber data dasar, sumber AWS daya, dan garis waktu, di akun Anda.

Daftar berikut menjelaskan secara singkat istilah-istilah kunci yang terkait dengan urutan serangan:

Amazon GuardDuty adalah layanan regional. Saat Anda mengaktifkan GuardDuty secara spesifik Wilayah AWS, Anda Akun AWS akan dikaitkan dengan ID detektor. ID alfanumerik 32 karakter ini unik untuk akun Anda di Wilayah tersebut. Misalnya, ketika Anda mengaktifkan GuardDuty akun yang sama di Wilayah yang berbeda, akun Anda akan dikaitkan dengan ID detektor yang berbeda. Format a detectorId adalah12abc34d567e8fa901bc2d34e56789f0.

Semua GuardDuty temuan, akun, dan tindakan tentang mengelola temuan dan GuardDuty layanan menggunakan ID detektor untuk menjalankan API operasi.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

Beberapa GuardDuty fungsi dikonfigurasi melalui detektor, seperti mengonfigurasi frekuensi pemberitahuan CloudWatch Acara, dan mengaktifkan atau menonaktifkan rencana perlindungan opsional untuk diproses. GuardDuty

Asal atau lokasi satu set data. Untuk mendeteksi aktivitas yang tidak sah atau tidak terduga di AWS lingkungan Anda. GuardDuty menganalisis dan memproses data dari log AWS CloudTrail peristiwa, peristiwa AWS CloudTrail manajemen, peristiwa AWS CloudTrail data untuk S3, log VPC aliran, DNS log, lihat. GuardDuty sumber data dasar

Objek fitur yang dikonfigurasi untuk paket GuardDuty perlindungan Anda membantu mendeteksi aktivitas yang tidak sah atau tidak terduga di AWS lingkungan Anda. Setiap rencana GuardDuty perlindungan mengkonfigurasi objek fitur yang sesuai untuk menganalisis dan memproses data. Beberapa objek fitur termasuk log EKS audit, pemantauan aktivitas RDS login, log aktivitas jaringan Lambda, dan EBS volume. Untuk informasi selengkapnya, lihat Nama fitur untuk rencana perlindungan di GuardDuty API.

Masalah keamanan potensial ditemukan oleh GuardDuty. Untuk informasi selengkapnya, lihat Memahami dan menghasilkan GuardDuty temuan Amazon.

Temuan ditampilkan di GuardDuty konsol dan berisi deskripsi rinci tentang masalah keamanan. Anda juga dapat mengambil temuan yang dihasilkan dengan menelepon dan GetFindingsListFindingsAPIoperasi.

Anda juga dapat melihat GuardDuty temuan Anda melalui CloudWatch acara Amazon. GuardDuty mengirimkan temuan ke Amazon CloudWatch melalui HTTPS protokol. Untuk informasi selengkapnya, lihat Membuat tanggapan khusus terhadap GuardDuty temuan dengan Amazon CloudWatch Events.

Ini adalah IAM peran dengan izin yang diperlukan untuk memindai objek S3. Saat menandai objek yang dipindai diaktifkan, IAM PassRole izin membantu GuardDuty menambahkan tag ke objek yang dipindai.

Setelah Anda mengaktifkan Perlindungan Malware untuk S3 untuk bucket, GuardDuty buat Perlindungan Malware untuk sumber daya EC2 paket. Sumber daya ini dikaitkan dengan Perlindungan Malware untuk ID EC2 paket, pengenal unik untuk bucket Anda yang dilindungi. Gunakan sumber daya paket Perlindungan Malware untuk melakukan API operasi pada sumber daya yang dilindungi.

Bucket Amazon S3 dianggap dilindungi saat Anda mengaktifkan Perlindungan Malware untuk S3 untuk bucket ini dan status perlindungannya berubah menjadi Aktif.

GuardDuty hanya mendukung bucket S3 sebagai sumber daya yang dilindungi.

Status yang terkait dengan sumber daya paket Perlindungan Malware Anda. Setelah mengaktifkan Perlindungan Malware untuk S3 untuk bucket, status ini menunjukkan apakah bucket sudah diatur dengan benar atau tidak.

Di bucket Amazon Simple Storage Service (Amazon S3), Anda dapat menggunakan awalan untuk mengatur penyimpanan Anda. Awalan adalah pengelompokan logis objek dalam ember S3. Untuk informasi selengkapnya, lihat Mengatur dan mencantumkan objek di Panduan Pengguna Amazon S3.

Saat Perlindungan GuardDuty Malware untuk EC2 diaktifkan, Anda dapat menentukan EC2 instans Amazon dan volume Amazon Elastic Block Store (EBS) yang akan dipindai atau dilewati. Fitur ini memungkinkan Anda menambahkan tag yang ada yang terkait dengan EC2 instance dan EBS volume Anda ke daftar tag inklusi atau daftar tag pengecualian. Sumber daya yang terkait dengan tag yang Anda tambahkan ke daftar tag inklusi, dipindai untuk malware, dan yang ditambahkan ke daftar tag pengecualian tidak dipindai. Untuk informasi selengkapnya, lihat Opsi pindai dengan tag yang ditentukan pengguna.

Ketika Perlindungan GuardDuty Malware untuk EC2 diaktifkan, ini menyediakan opsi untuk menyimpan snapshot EBS volume Anda di AWS akun Anda. GuardDuty menghasilkan EBS volume replika berdasarkan snapshot volume AndaEBS. Anda dapat menyimpan snapshot EBS volume Anda hanya jika Perlindungan Malware untuk EC2 pemindaian mendeteksi malware dalam volume replikaEBS. Jika tidak ada malware yang terdeteksi dalam EBS volume replika, GuardDuty secara otomatis menghapus snapshot EBS volume Anda, terlepas dari pengaturan retensi snapshot. Untuk informasi selengkapnya, lihat Retensi snapshot.

Aturan penekanan memungkinkan Anda membuat kombinasi atribut yang sangat spesifik untuk menekan temuan. Misalnya, Anda dapat menentukan aturan melalui GuardDuty filter untuk mengarsipkan otomatis hanya Recon:EC2/Portscan dari instance tersebut dalam spesifikVPC, menjalankan spesifikAMI, atau dengan tag tertentuEC2. Aturan ini akan mengakibatkan temuan pemindaian port diarsipkan secara otomatis dari instans yang memenuhi kriteria. Namun, masih memungkinkan peringatan jika GuardDuty mendeteksi instans yang melakukan aktivitas berbahaya lainnya, seperti penambangan mata uang kripto.

Aturan penindasan yang ditentukan dalam akun GuardDuty administrator berlaku untuk akun GuardDuty anggota. GuardDuty akun anggota tidak dapat mengubah aturan penindasan.

Dengan aturan penindasan, GuardDuty masih menghasilkan semua temuan. Aturan penekanan memberikan penekanan pada temuan sekaligus mempertahankan riwayat yang lengkap dan tidak berubah dari semua aktivitas.

Biasanya aturan penindasan digunakan untuk menyembunyikan temuan yang telah Anda tentukan sebagai positif palsu untuk lingkungan Anda, dan mengurangi kebisingan dari temuan bernilai rendah sehingga Anda dapat fokus pada ancaman yang lebih besar. Untuk informasi selengkapnya, lihat Aturan penindasan di GuardDuty.

Daftar alamat IP tepercaya untuk komunikasi yang sangat aman dengan AWS lingkungan Anda. GuardDuty tidak menghasilkan temuan berdasarkan daftar IP tepercaya. Untuk informasi selengkapnya, lihat Bekerja dengan daftar IP tepercaya dan daftar ancaman.

Daftar alamat IP berbahaya yang diketahui. Selain menghasilkan temuan karena aktivitas yang berpotensi mencurigakan, GuardDuty juga menghasilkan temuan berdasarkan daftar ancaman ini. Untuk informasi selengkapnya, lihat Bekerja dengan daftar IP tepercaya dan daftar ancaman.