Concetti e termini chiave in Amazon GuardDuty

Un account Amazon Web Services (AWS) standard che contiene AWS le tue risorse. Puoi accedere AWS con il tuo account e abilitare GuardDuty.

Puoi anche invitare altri account ad attivarsi GuardDuty e ad associarsi al tuo AWS account in GuardDuty. Se gli inviti vengono accettati, il tuo account viene designato come GuardDuty account amministratore e gli account aggiunti diventano i tuoi account membro. Potrai quindi visualizzare e gestire i GuardDuty risultati di tali account per loro conto.

Gli utenti dell'account amministratore possono configurare GuardDuty , visualizzare e gestire GuardDuty i risultati per il proprio account e per tutti gli account dei membri. Per informazioni sul numero di account membro che l'account amministratore può gestire, consultaGuardDuty quote.

Gli utenti degli account membro possono configurare GuardDuty , visualizzare e gestire GuardDuty i risultati nel proprio account (tramite la console di GuardDuty gestione o l' GuardDuty API). Gli utenti degli account membri non possono consultare o gestire i risultati negli account degli altri membri.

Un non Account AWS può essere un account GuardDuty amministratore e un account membro allo stesso tempo. An Account AWS può accettare solo un invito all'iscrizione. L'accettazione di un invito è facoltativa.

Per ulteriori informazioni, consulta Account multipli in Amazon GuardDuty.

Una sequenza di attacco è una correlazione di più eventi che, come osservato da GuardDuty, si sono verificati in una sequenza specifica che corrisponde allo schema di un'attività sospetta. GuardDuty utilizza la sua Rilevamento esteso delle minacce capacità di rilevare questi attacchi in più fasi che riguardano fonti di dati, AWS risorse e tempistiche fondamentali del tuo account.

L'elenco seguente illustra brevemente i termini chiave associati alle sequenze di attacco:

Amazon GuardDuty è un servizio regionale. Quando GuardDuty abiliti uno specifico Regione AWS, il tuo Account AWS viene associato a un ID del rilevatore. Questo ID alfanumerico di 32 caratteri è unico per il tuo account in quella regione. Ad esempio, quando attivi GuardDuty lo stesso account in una regione diversa, il tuo account verrà associato a un ID rilevatore diverso. Il formato di un detectorId è 12abc34d567e8fa901bc2d34e56789f0.

Tutti i GuardDuty risultati, gli account e le azioni relative alla gestione dei risultati e al GuardDuty servizio utilizzano l'ID del rilevatore per eseguire un'operazione API.

Per trovare le detectorId impostazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

Alcune GuardDuty funzionalità vengono configurate tramite il rilevatore, ad esempio la configurazione della frequenza di notifica CloudWatch degli eventi e l'attivazione o la disabilitazione di piani di protezione opzionali per l' GuardDuty elaborazione.

L'origine o la posizione di un set di dati. Per rilevare un'attività non autorizzata o imprevista nel proprio AWS ambiente. GuardDuty analizza ed elabora i dati dai registri degli AWS CloudTrail eventi, dagli eventi di AWS CloudTrail gestione, dagli eventi di AWS CloudTrail dati per S3, dai log di flusso VPC, dai registri DNS, vedi. GuardDuty fonti di dati fondamentali

Un oggetto funzionale configurato per il piano di GuardDuty protezione consente di rilevare un'attività non autorizzata o imprevista nell' AWS ambiente. Ogni piano di GuardDuty protezione configura l'oggetto feature corrispondente per analizzare ed elaborare i dati. Alcuni degli oggetti delle funzionalità includono i registri di controllo EKS, il monitoraggio delle attività di accesso RDS, i registri delle attività di rete Lambda e i volumi EBS. Per ulteriori informazioni, consulta Nomi delle funzionalità per i piani di protezione nell' GuardDutyAPI.

Un potenziale problema di sicurezza rilevato da GuardDuty. Per ulteriori informazioni, consulta Comprendere e generare i GuardDuty risultati di Amazon.

I risultati vengono visualizzati nella GuardDuty console e contengono una descrizione dettagliata del problema di sicurezza. Puoi anche recuperare i risultati generati chiamando e GetFindingsListFindingsOperazioni API.

Puoi anche visualizzare i GuardDuty risultati tramite Amazon CloudWatch Events. GuardDuty invia i risultati ad Amazon CloudWatch tramite il protocollo HTTPS. Per ulteriori informazioni, consulta Creazione di risposte personalizzate ai GuardDuty risultati con Amazon CloudWatch Events.

Questo è il ruolo IAM con le autorizzazioni necessarie per scansionare l'oggetto S3. Quando l'etichettatura degli oggetti scansionati è abilitata, le PassRole autorizzazioni IAM aiutano ad GuardDuty aggiungere tag all'oggetto scansionato.

Dopo aver abilitato Malware Protection for S3 per un bucket, GuardDuty crea una risorsa del EC2 piano Malware Protection for S3. Questa risorsa è associata a Malware Protection for EC2 plan ID, un identificatore univoco per il bucket protetto. Utilizza la risorsa del piano Malware Protection per eseguire operazioni API su una risorsa protetta.

Un bucket Amazon S3 è considerato protetto quando si abilita Malware Protection for S3 per questo bucket e il suo stato di protezione cambia in Attivo.

GuardDuty supporta solo un bucket S3 come risorsa protetta.

Lo stato associato alla risorsa del piano Malware Protection. Dopo aver abilitato Malware Protection for S3 per il tuo bucket, questo stato indica se il bucket è configurato correttamente o meno.

In un bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), puoi usare prefissi per organizzare lo storage. Un prefisso è un raggruppamento logico degli oggetti in un bucket S3. Per ulteriori informazioni, consulta Organizing and listing objects nella Amazon S3 User Guide.

Quando GuardDuty Malware Protection for EC2 è abilitato, consente di specificare quali EC2 istanze Amazon e volumi Amazon Elastic Block Store (EBS) scansionare o ignorare. Questa funzionalità consente di aggiungere i tag esistenti associati alle EC2 istanze e al volume EBS a un elenco di tag di inclusione o a un elenco di tag di esclusione. Le risorse associate ai tag che aggiungi a un elenco di tag di inclusione vengono analizzate alla ricerca di malware, mentre quelle associate a un elenco di tag di esclusione non vengono scansionate. Per ulteriori informazioni, consulta Opzioni di scansione con tag definiti dall'utente.

Quando GuardDuty Malware Protection for EC2 è abilitato, offre la possibilità di conservare le istantanee dei volumi EBS nel tuo account. AWS GuardDuty genera i volumi EBS di replica in base alle istantanee dei volumi EBS. È possibile conservare le istantanee dei volumi EBS solo se Malware Protection for EC2 scan rileva malware nei volumi EBS di replica. Se non viene rilevato alcun malware nei volumi EBS di replica, elimina GuardDuty automaticamente le istantanee dei volumi EBS, indipendentemente dall'impostazione di conservazione delle istantanee. Per ulteriori informazioni, consulta Conservazione degli snapshot.

Le regole di soppressione automatica ti consentono di creare combinazioni di attributi molto specifiche per eliminare i risultati. Ad esempio, puoi definire una regola tramite il GuardDuty filtro per archiviare automaticamente Recon:EC2/Portscan solo le istanze in un VPC specifico, eseguendo un'AMI specifica o con un tag specifico. EC2 Questa regola comporterebbe l'archiviazione automatica dei risultati di scansione delle porte dalle istanze che soddisfano i criteri. Tuttavia, consente comunque di inviare avvisi se GuardDuty rileva che le istanze svolgono altre attività dannose, come il mining di criptovalute.

Le regole di soppressione definite nell' GuardDuty account amministratore si applicano agli account dei membri. GuardDuty GuardDuty gli account membri non possono modificare le regole di soppressione.

Con le regole di soppressione, genera GuardDuty comunque tutti i risultati. Le regole di soppressione consentono di sopprimere i risultati mantenendo nel contempo uno storico non modificabile di tutte le attività.

In genere, le regole di soppressione vengono utilizzate per nascondere i risultati che sono stati determinati come falsi positivi per l'ambiente e ridurre il rumore derivante da risultati di basso valore, in modo da potersi concentrare sulle minacce più grandi. Per ulteriori informazioni, consulta Regole di soppressione in GuardDuty.

Un elenco di indirizzi IP affidabili per comunicazioni altamente sicure con l' AWS ambiente in uso. GuardDuty non genera risultati basati su elenchi di IP affidabili. Per ulteriori informazioni, consulta Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce.

Un elenco degli indirizzi IP dannosi noti. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su questi elenchi di minacce. Per ulteriori informazioni, consulta Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce.