AWS CloudTrail eventi di gestione Log di flusso VPC Registri delle interrogazioni di Route53 Resolver DNS

GuardDuty fonti di dati fondamentali

GuardDuty utilizza le fonti di dati di base per rilevare le comunicazioni con domini e indirizzi IP dannosi noti e identificare comportamenti potenzialmente anomali e attività non autorizzate. Durante il transito da queste fonti a GuardDuty, tutti i dati di registro vengono crittografati. GuardDuty estrae vari campi da queste fonti di log per la profilazione e il rilevamento delle anomalie, quindi elimina questi registri.

Quando si abilita GuardDuty per la prima volta in una regione, è disponibile una prova gratuita di 30 giorni che include il rilevamento delle minacce per tutte le fonti di dati di base. Durante questa prova gratuita, puoi monitorare un utilizzo mensile stimato suddiviso per ciascuna fonte di dati fondamentale. In qualità di account GuardDuty amministratore delegato, puoi visualizzare il costo di utilizzo mensile stimato suddiviso per ogni account membro che appartiene alla tua organizzazione e che è stato abilitato. GuardDuty Al termine del periodo di prova di 30 giorni, puoi utilizzarlo AWS Billing per ottenere informazioni sul costo di utilizzo.

Non sono previsti costi aggiuntivi per l' GuardDuty accesso agli eventi e ai log da queste fonti di dati fondamentali.

Dopo averlo abilitato GuardDuty Account AWS, inizia automaticamente a monitorare le fonti di registro spiegate nelle sezioni seguenti. Non è necessario abilitare nient'altro per iniziare GuardDuty ad analizzare ed elaborare queste fonti di dati per generare i risultati di sicurezza associati.

Argomenti

AWS CloudTrail eventi di gestione
Log di flusso VPC
Registri delle interrogazioni di Route53 Resolver DNS

AWS CloudTrail eventi di gestione

AWS CloudTrail fornisce una cronologia delle AWS API chiamate relative all'account, incluse API le chiamate effettuate utilizzando gli AWS Management Console strumenti a riga di comando e determinati AWS servizi. AWS SDKs CloudTrail consente inoltre di identificare gli utenti e gli account richiamati AWS APIs per i servizi che supportano CloudTrail, l'indirizzo IP di origine da cui sono state richiamate le chiamate e l'ora in cui sono state richiamate le chiamate. Per ulteriori informazioni, consulta Che cos'è AWS CloudTrail? nella Guida per l'utente di AWS CloudTrail .

GuardDuty monitora gli eventi CloudTrail di gestione, noti anche come eventi del piano di controllo. Questi eventi forniscono informazioni dettagliate sulle operazioni di gestione eseguite sulle risorse dell'azienda. Account AWS

Di seguito sono riportati alcuni esempi di eventi di CloudTrail gestione GuardDuty monitorati:

Configurazione della sicurezza (operazioni) IAM AttachRolePolicy API
Configurazione delle regole per il routing dei dati (Amazon EC2 CreateSubnet API operations)
Configurazione della registrazione (operazioni)AWS CloudTrail CreateTrail API

Quando viene abilitata GuardDuty, inizia a consumare gli eventi di CloudTrail gestione direttamente CloudTrail attraverso un flusso di eventi indipendente e duplicato e analizza i CloudTrail registri degli eventi.

GuardDuty non gestisce CloudTrail gli eventi né influisce sulle configurazioni esistenti. CloudTrail Allo stesso modo, le CloudTrail configurazioni non influiscono sul modo in cui GuardDuty utilizza ed elabora i registri degli eventi. Per gestire l'accesso e la conservazione dei tuoi CloudTrail eventi, utilizza la console di CloudTrail servizio o. API Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.

Come GuardDuty gestisce gli eventi AWS CloudTrail globali

Per la maggior parte AWS dei servizi, CloudTrail gli eventi vengono registrati nel Regione AWS luogo in cui vengono creati. Per i servizi globali come AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon e CloudFront Amazon Route 53 (Route 53), gli eventi vengono generati solo nella regione in cui si verificano, ma hanno un'importanza globale.

Quando GuardDuty utilizza eventi di servizio CloudTrail globali con valori di sicurezza come configurazioni di rete o autorizzazioni utente, replica tali eventi e li elabora in ogni regione in cui sono stati abilitati. GuardDuty Questo comportamento aiuta a GuardDuty mantenere i profili utente e di ruolo in ogni regione, il che è fondamentale per rilevare eventi anomali.

Ti consigliamo vivamente di abilitare GuardDuty tutto ciò che è abilitato per Regioni AWS il tuo. Account AWS Ciò aiuta a GuardDuty generare informazioni su attività non autorizzate o insolite anche in quelle regioni che potresti non utilizzare attivamente.

Log di flusso VPC

La funzionalità VPC Flow Logs di Amazon VPC acquisisce informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete collegate alle istanze Amazon Elastic Compute Cloud (AmazonEC2) all'interno del tuo ambiente. AWS

Quando lo abiliti GuardDuty, inizia immediatamente ad analizzare i log di VPC flusso EC2 dalle istanze Amazon all'interno del tuo account. Utilizza gli eventi dei log di VPC flusso direttamente dalla funzione VPC Flow Logs attraverso un flusso indipendente e duplicato di log di flusso. Questo processo non altera alcuna configurazione di log di flusso esistente.

Protezione Lambda: Lambda Protection è un miglioramento opzionale di Amazon. GuardDuty Attualmente, Lambda Network Activity Monitoring include i log di flusso VPC Amazon di tutte le funzioni Lambda del tuo account, anche quelli che non utilizzano la rete. VPC Per proteggere la tua funzione Lambda da potenziali minacce alla sicurezza, dovrai configurare Lambda Protection nel tuo account. GuardDuty Per ulteriori informazioni, consulta Protezione Lambda.
GuardDuty monitoraggio del runtime: Se gestisci il security agent (manualmente o tramite GuardDuty) in EKS Runtime Monitoring o Runtime Monitoring per EC2 istanze ed GuardDuty è attualmente distribuito su un'EC2istanza Amazon e riceve Tipi di eventi di runtime raccolti da questa istanza, non GuardDuty ti verrà addebitato alcun costo Account AWS per l'analisi dei log di VPC flusso di questa istanza Amazon. EC2 Questo aiuta a GuardDuty evitare il doppio dei costi di utilizzo dell'account.

GuardDuty non gestisce i log di flusso né li rende accessibili nel tuo account. Per gestire l'accesso e la conservazione dei log di flusso, devi configurare la funzione VPC Flow Logs.

Registri delle interrogazioni di Route53 Resolver DNS

Se utilizzi AWS DNS resolver per le tue EC2 istanze Amazon (l'impostazione predefinita), GuardDuty puoi accedere ed elaborare i log delle query di Route53 Resolver di richiesta e risposta tramite i DNS resolver interni. AWS DNS Se utilizzi un altro DNS resolver, come Open DNS o Google, o se configuri i tuoi resolverDNS, non puoi accedere ed elaborare i dati da questa fonte di dati. DNS GuardDuty

Quando lo abiliti GuardDuty, inizia immediatamente ad analizzare i log delle query di Route53 DNS Resolver da un flusso di dati indipendente. Questo flusso di dati è separato dai dati forniti tramite la funzionalità di Registrazione delle query del Route 53 Resolver. La configurazione di questa funzionalità non influisce sull'analisi. GuardDuty

Nota

GuardDuty non supporta DNS i log di monitoraggio per EC2 le istanze Amazon avviate su AWS Outposts perché la funzionalità di registrazione delle Amazon Route 53 Resolver query non è disponibile in quell'ambiente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Nozioni di base

Nomi delle funzionalità per i piani di protezione in API