GuardDuty sumber data dasar - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty sumber data dasar

GuardDuty menggunakan sumber data dasar untuk mendeteksi komunikasi dengan domain berbahaya dan alamat IP yang diketahui, dan mengidentifikasi perilaku yang berpotensi anomali dan aktivitas yang tidak sah. Saat transit dari sumber-sumber ini ke GuardDuty, semua data log dienkripsi. GuardDuty mengekstrak berbagai bidang dari sumber log ini untuk profil dan deteksi anomali, dan kemudian membuang log ini.

Saat Anda mengaktifkan GuardDuty untuk pertama kalinya di suatu Wilayah, ada uji coba gratis 30 hari yang mencakup deteksi ancaman untuk semua sumber data dasar. Selama uji coba gratis ini, Anda dapat memantau perkiraan penggunaan bulanan yang dirinci oleh setiap sumber data dasar. Sebagai akun GuardDuty administrator yang didelegasikan, Anda dapat melihat perkiraan biaya penggunaan bulanan yang dirinci oleh setiap akun anggota milik organisasi Anda dan telah diaktifkan GuardDuty. Setelah uji coba 30 hari berakhir, Anda dapat menggunakan AWS Billing informasi tentang biaya penggunaan.

Tidak ada biaya tambahan saat GuardDuty mengakses peristiwa dan log dari sumber data dasar ini.

Setelah Anda mengaktifkan GuardDuty di Anda Akun AWS, secara otomatis mulai memantau sumber log yang dijelaskan di bagian berikut. Anda tidak perlu mengaktifkan hal lain GuardDuty untuk mulai menganalisis dan memproses sumber data ini untuk menghasilkan temuan keamanan terkait.

AWS CloudTrail acara manajemen

AWS CloudTrail memberi Anda riwayat AWS API panggilan untuk akun Anda, termasuk API panggilan yang dilakukan menggunakan AWS Management Console, alat baris perintah, dan AWS layanan tertentu. AWS SDKs CloudTrail juga membantu Anda mengidentifikasi pengguna dan akun mana yang dipanggil AWS APIs untuk layanan yang mendukung CloudTrail, alamat IP sumber dari mana panggilan dipanggil, dan waktu di mana panggilan dipanggil. Untuk informasi selengkapnya, lihat Apa yang ada AWS CloudTrail di Panduan AWS CloudTrail Pengguna.

GuardDuty Memantau peristiwa CloudTrail manajemen, juga dikenal sebagai peristiwa bidang kontrol. Peristiwa ini memberikan wawasan tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS.

Berikut ini adalah contoh peristiwa CloudTrail manajemen yang GuardDuty memantau:

  • Mengkonfigurasi keamanan (IAMAttachRolePolicyAPIoperasi)

  • Mengkonfigurasi aturan untuk merutekan data (operasi Amazon EC2 CreateSubnetAPI)

  • Menyiapkan logging (AWS CloudTrail CreateTrailAPIoperasi)

Ketika Anda mengaktifkan GuardDuty, itu mulai mengkonsumsi peristiwa CloudTrail manajemen langsung dari CloudTrail melalui aliran peristiwa independen dan duplikat dan menganalisis log CloudTrail peristiwa Anda.

GuardDuty tidak mengelola CloudTrail acara Anda atau memengaruhi CloudTrail konfigurasi yang ada. Demikian pula, CloudTrail konfigurasi Anda tidak memengaruhi cara GuardDuty mengkonsumsi dan memproses log peristiwa. Untuk mengelola akses dan retensi CloudTrail acara Anda, gunakan konsol CloudTrail layanan atauAPI. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara di Panduan AWS CloudTrail Pengguna.

Bagaimana GuardDuty menangani peristiwa AWS CloudTrail global

Untuk sebagian besar AWS layanan, CloudTrail acara dicatat di Wilayah AWS tempat mereka dibuat. Untuk layanan global seperti AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), CloudFront Amazon, dan Amazon Route 53 (Route 53), peristiwa hanya dihasilkan di Wilayah tempat kejadian tetapi memiliki signifikansi global.

Saat GuardDuty mengkonsumsi peristiwa layanan CloudTrail Global dengan nilai keamanan seperti konfigurasi jaringan atau izin pengguna, peristiwa tersebut akan mereplikasi peristiwa tersebut dan memprosesnya di setiap Wilayah yang telah Anda aktifkan. GuardDuty Perilaku ini membantu GuardDuty menjaga profil pengguna dan peran di setiap Wilayah, yang sangat penting untuk mendeteksi kejadian anomali.

Kami sangat menyarankan agar Anda mengaktifkan GuardDuty semua Wilayah AWS yang diaktifkan untuk Anda Akun AWS. Ini membantu GuardDuty menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang mungkin tidak Anda gunakan secara aktif.

VPCLog Aliran

Fitur VPC Flow Logs Amazon VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan yang dilampirkan ke instans Amazon Elastic Compute Cloud (AmazonEC2) di lingkungan Anda. AWS

Ketika Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log VPC aliran Anda dari EC2 instans Amazon dalam akun Anda. Ini mengkonsumsi peristiwa log VPC aliran langsung dari fitur VPC Flow Logs melalui aliran log aliran independen dan duplikat. Proses ini tidak memengaruhi konfigurasi log aliran apa pun yang ada.

Perlindungan Lambda

Lambda Protection adalah peningkatan opsional untuk Amazon. GuardDuty Saat ini, Pemantauan Aktivitas Jaringan Lambda mencakup log aliran VPC Amazon dari semua fungsi Lambda untuk akun Anda, bahkan log yang tidak menggunakan jaringan. VPC Untuk melindungi fungsi Lambda Anda dari potensi ancaman keamanan, Anda perlu mengonfigurasi Perlindungan Lambda di akun Anda. GuardDuty Untuk informasi selengkapnya, lihat Perlindungan Lambda.

GuardDuty Pemantauan Runtime

Saat Anda mengelola agen keamanan (baik secara manual atau melalui GuardDuty) di EKS Runtime Monitoring atau Runtime Monitoring untuk EC2 instance, dan saat GuardDuty ini digunakan di instans EC2 Amazon dan menerima Jenis acara runtime yang dikumpulkan dari instance ini GuardDuty , Akun AWS Anda tidak akan membebankan biaya untuk analisis VPC log aliran dari instans Amazon ini. EC2 Ini membantu GuardDuty menghindari biaya penggunaan ganda di akun.

GuardDuty tidak mengelola log aliran Anda atau membuatnya dapat diakses di akun Anda. Untuk mengelola akses dan retensi log alur, Anda harus mengonfigurasi fitur VPC Flow Logs.

Log kueri Route53 Resolver DNS

Jika Anda menggunakan AWS DNS resolver untuk EC2 instans Amazon Anda (setelan default), maka GuardDuty dapat mengakses dan memproses log kueri Route53 Resolver permintaan dan respons Anda melalui resolver internalDNS. AWS DNS Jika Anda menggunakan DNS resolver lain, seperti Open DNS atau GoogleDNS, atau jika Anda menyiapkan DNS resolver sendiri, maka GuardDuty tidak dapat mengakses dan memproses data dari sumber data ini.

Saat Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log DNS kueri Route53 Resolver Anda dari aliran data independen. Aliran data ini terpisah dari data yang disediakan melalui fitur pencatatan kueri Route 53 Resolver. Konfigurasi fitur ini tidak mempengaruhi GuardDuty analisis.

catatan

GuardDuty tidak mendukung DNS log pemantauan untuk EC2 instans Amazon yang diluncurkan AWS Outposts karena fitur pencatatan Amazon RouteĀ 53 Resolver kueri tidak tersedia di lingkungan tersebut.