GuardDuty sumber data dasar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty menggunakan sumber data dasar untuk mendeteksi komunikasi dengan domain berbahaya dan alamat IP yang diketahui, dan mengidentifikasi perilaku yang berpotensi anomali dan aktivitas yang tidak sah. Saat transit dari sumber-sumber ini ke GuardDuty, semua data log dienkripsi. GuardDuty mengekstrak berbagai bidang dari sumber log ini untuk profil dan deteksi anomali, dan kemudian membuang log ini.

Saat Anda mengaktifkan GuardDuty untuk pertama kalinya di suatu Wilayah, ada uji coba gratis 30 hari yang mencakup deteksi ancaman untuk semua sumber data dasar. Selama uji coba gratis ini, Anda dapat memantau perkiraan penggunaan bulanan yang dirinci oleh setiap sumber data dasar. Sebagai akun GuardDuty administrator yang didelegasikan, Anda dapat melihat perkiraan biaya penggunaan bulanan yang dirinci oleh setiap akun anggota milik organisasi Anda dan telah diaktifkan GuardDuty. Setelah uji coba 30 hari berakhir, Anda dapat menggunakan AWS Billing informasi tentang biaya penggunaan.

Tidak ada biaya tambahan saat GuardDuty mengakses peristiwa dan log dari sumber data dasar ini.

Setelah Anda mengaktifkan GuardDuty di Anda Akun AWS, secara otomatis mulai memantau sumber log yang dijelaskan di bagian berikut. Anda tidak perlu mengaktifkan hal lain GuardDuty untuk mulai menganalisis dan memproses sumber data ini untuk menghasilkan temuan keamanan terkait.

AWS CloudTrail acara manajemen

AWS CloudTrail memberi Anda riwayat panggilan AWS API untuk akun Anda, termasuk panggilan API yang dilakukan menggunakan AWS Management Console, alat baris perintah, dan AWS layanan tertentu. AWS SDKs CloudTrail juga membantu Anda mengidentifikasi pengguna dan akun mana yang dipanggil AWS APIs untuk layanan yang mendukung CloudTrail, alamat IP sumber dari mana panggilan dipanggil, dan waktu di mana panggilan dipanggil. Untuk informasi selengkapnya, lihat Apa yang ada AWS CloudTrail di Panduan AWS CloudTrail Pengguna.

GuardDuty Memantau peristiwa CloudTrail manajemen, juga dikenal sebagai peristiwa bidang kontrol. Peristiwa ini memberikan wawasan tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS.

Berikut ini adalah contoh peristiwa CloudTrail manajemen yang GuardDuty memantau:

Ketika Anda mengaktifkan GuardDuty, itu mulai mengkonsumsi peristiwa CloudTrail manajemen langsung dari CloudTrail melalui aliran peristiwa independen dan duplikat dan menganalisis log CloudTrail peristiwa Anda.

GuardDuty tidak mengelola CloudTrail acara Anda atau memengaruhi CloudTrail konfigurasi yang ada. Demikian pula, CloudTrail konfigurasi Anda tidak memengaruhi cara GuardDuty mengkonsumsi dan memproses log peristiwa. Untuk mengelola akses dan retensi CloudTrail acara Anda, gunakan konsol CloudTrail layanan atau API. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara di Panduan AWS CloudTrail Pengguna.

Bagaimana GuardDuty menangani peristiwa AWS CloudTrail global

Untuk sebagian besar AWS layanan, CloudTrail acara dicatat di Wilayah AWS tempat mereka dibuat. Untuk layanan global seperti AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon CloudFront, dan Amazon Route 53 (Route 53), peristiwa hanya dihasilkan di Wilayah tempat kejadian tetapi memiliki signifikansi global.

Saat GuardDuty mengkonsumsi peristiwa layanan CloudTrail Global dengan nilai keamanan seperti konfigurasi jaringan atau izin pengguna, peristiwa tersebut akan mereplikasi peristiwa tersebut dan memprosesnya di setiap Wilayah yang telah Anda aktifkan. GuardDuty Perilaku ini membantu GuardDuty menjaga profil pengguna dan peran di setiap Wilayah, yang sangat penting untuk mendeteksi kejadian anomali.

Kami sangat menyarankan agar Anda mengaktifkan GuardDuty semua Wilayah AWS yang diaktifkan untuk Anda Akun AWS. Ini membantu GuardDuty menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang mungkin tidak Anda gunakan secara aktif.

Log Alur VPC

Fitur VPC Flow Logs dari Amazon VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) di lingkungan Anda. AWS

Ketika Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log aliran VPC Anda dari EC2 instans Amazon dalam akun Anda. Ini mengkonsumsi peristiwa log aliran VPC langsung dari fitur VPC Flow Logs melalui aliran log aliran independen dan duplikat. Proses ini tidak memengaruhi konfigurasi log aliran apa pun yang ada.

GuardDuty tidak mengelola log aliran Anda atau membuatnya dapat diakses di akun Anda. Untuk mengelola akses dan retensi log aliran, Anda harus mengonfigurasi fitur VPC Flow Logs.

Log kueri DNS Route53 Resolver

Jika Anda menggunakan resolver AWS DNS untuk EC2 instans Amazon Anda (setelan default), maka GuardDuty dapat mengakses dan memproses log kueri DNS Route53 Resolver permintaan dan respons Anda melalui resolver DNS internal. AWS Jika Anda menggunakan resolver DNS lain, seperti OpenDNS atau Googledns, atau jika Anda menyiapkan resolver DNS Anda sendiri, maka tidak dapat mengakses dan memproses data dari sumber data ini. GuardDuty

Saat Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log kueri DNS Route53 Resolver Anda dari aliran data independen. Aliran data ini terpisah dari data yang disediakan melalui fitur pencatatan kueri Route 53 Resolver. Konfigurasi fitur ini tidak mempengaruhi GuardDuty analisis.