Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Che cos'è Amazon GuardDuty?

Modalità Focus

In questa pagina

Che cos'è Amazon GuardDuty? - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora, analizza ed elabora continuamente le fonti di AWS dati e i log nel tuo ambiente. AWS GuardDuty utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, hash di file e modelli di machine learning (ML) per identificare attività sospette e potenzialmente dannose nel tuo ambiente. AWS L'elenco seguente fornisce una panoramica dei potenziali scenari di minaccia che GuardDuty possono aiutarti a rilevare:

  • Credenziali compromesse ed esfiltrate AWS .

  • Efiltrazione e distruzione dei dati che possono portare a un evento ransomware. Modelli insoliti di eventi di accesso nelle versioni del motore supportate dei RDS database Amazon Aurora e Amazon, che indicano un comportamento anomalo.

  • Attività di cryptomining non autorizzate nelle istanze di Amazon Elastic Compute Cloud (AmazonEC2) e nei carichi di lavoro dei container.

  • Presenza di malware nelle EC2 istanze Amazon e nei carichi di lavoro dei container e file appena caricati nei bucket Amazon Simple Storage Service (Amazon S3).

  • Eventi a livello di sistema operativo, di rete e di file che indicano un comportamento non autorizzato sui cluster Amazon Elastic Kubernetes Service (Amazon), sulle attività di EKS Amazon Elastic Container Service (Amazon), sulle istanze Amazon e sui carichi AWS Fargate di lavoro dei containerECS. EC2

Il video seguente fornisce una panoramica di come ti aiuta a rilevare le minacce nel tuo ambiente. GuardDuty AWS

Caratteristiche di GuardDuty

Ecco alcuni dei modi principali in cui Amazon GuardDuty può aiutarti a monitorare, rilevare e gestire le potenziali minacce nel tuo AWS ambiente.

Monitora continuamente fonti di dati e registri di eventi specifici
  • Rilevamento delle minacce fondamentali: quando attivi GuardDuty in an Account AWS, avvia GuardDuty automaticamente l'acquisizione delle fonti di dati di base associate a quell'account. Queste fonti di dati includono eventi di AWS CloudTrail gestione, log di VPC flusso (da EC2 istanze Amazon) e DNS log. Non è necessario abilitare nient'altro per iniziare GuardDuty ad analizzare ed elaborare queste fonti di dati per generare i risultati di sicurezza associati. Per ulteriori informazioni, consulta GuardDuty fonti di dati fondamentali.

  • Rilevamento esteso delle minacce: questa funzionalità rileva attacchi in più fasi che coinvolgono fonti di dati fondamentali, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Nel tuo account potrebbero verificarsi più eventi che, singolarmente, non si presentano come una minaccia evidente. Tuttavia, quando questi eventi vengono osservati in una sequenza indicativa di un'attività sospetta, la GuardDuty identifica come una sequenza di attacco. GuardDuty ti avvisa generando il tipo di ricerca della sequenza di attacco associata per fornire dettagli sulla sequenza di attacco osservata.

    Senza costi aggiuntivi, Extended Threat Detection viene abilitato automaticamente per ciascuna di esse al Account AWS momento dell'attivazione. GuardDuty Questa funzionalità non richiede l'attivazione di alcun piano di protezione incentrato sui casi d'uso. Tuttavia, per aumentare l'ampiezza della sicurezza delle tue risorse Amazon S3 GuardDuty , ti consigliamo di abilitare S3 Protection nel tuo account. Questo aiuterà Extended Threat Detection a identificare attacchi in più fasi che potrebbero avere un impatto sulle tue risorse Amazon S3.

    Per ulteriori informazioni su come funziona questa funzionalità e sugli scenari di minaccia coperti, consulta. GuardDuty Rilevamento esteso delle minacce

  • Piani di GuardDuty protezione incentrati sui casi d'uso: per una maggiore visibilità del rilevamento delle minacce nella sicurezza dell' AWS ambiente, GuardDuty offre piani di protezione dedicati che è possibile scegliere di abilitare. I piani di protezione consentono di monitorare i registri e gli eventi di altri servizi. AWS Queste fonti includono registri di EKS controllo, attività di RDS accesso, eventi dati CloudTrail in Amazon S3EBS, volumi, monitoraggio del runtime su AmazonEKS, EC2 ECS Amazon e Amazon-Fargate e registri delle attività di rete Lambda. GuardDutyconsolida queste fonti di log ed eventi sotto il termine - Caratteristiche. È possibile abilitare uno o più piani di protezione dedicati in un servizio supportato in qualsiasi Regione AWS momento. GuardDuty inizierà a monitorare, elaborare e analizzare le attività in base al piano di protezione abilitato. Per ulteriori informazioni su ciascun piano di protezione e su come funziona, consulta il documento relativo al piano di protezione corrispondente.

    Piano di protezione Descrizione

    Protezione S3

    Identifica i potenziali rischi per la sicurezza, come i tentativi di esfiltrazione e distruzione dei dati nei bucket Amazon S3.

    EKSProtezione

    EKSAudit Log Monitoring analizza i log di controllo di Kubernetes dai tuoi cluster EKS Amazon alla ricerca di attività potenzialmente sospette e dannose.

    Monitoraggio del runtime

    Monitora e analizza gli eventi a livello di sistema operativo su Amazon, EKS Amazon EC2 e Amazon ECS (incluso AWS Fargate), per rilevare potenziali minacce di runtime.

    Protezione da malware per EC2

    Rileva la potenziale presenza di malware eseguendo la scansione dei EBS volumi Amazon associati alle tue EC2 istanze Amazon. È disponibile un'opzione per utilizzare questa funzionalità su richiesta.

    Protezione da malware per S3

    Rileva la potenziale presenza di malware negli oggetti appena caricati all'interno dei bucket Amazon S3.

    RDSProtezione

    Analizza e profila la tua attività di RDS accesso per potenziali minacce di accesso ai database Amazon Aurora e Amazon RDS supportati.

    Protezione Lambda

    Monitora i registri delle attività della rete Lambda, a VPC partire dai log di flusso, per rilevare le minacce alle tue funzioni. AWS Lambda Esempi di queste potenziali minacce includono il cryptomining e la comunicazione con server dannosi.

    Abilita la protezione da malware per S3 in modo indipendente

    GuardDuty offre la flessibilità necessaria per utilizzare Malware Protection for S3 in modo indipendente, senza abilitare il GuardDuty servizio Amazon. Per ulteriori informazioni su come iniziare a utilizzare solo Malware Protection for S3, consulta. GuardDuty Protezione da malware per S3 Per utilizzare tutti gli altri piani di protezione, è necessario abilitare il GuardDuty servizio.

Gestisci un ambiente con più account

Puoi gestire un AWS ambiente con più account utilizzando il metodo di invito AWS Organizations (consigliato) o quello precedente. Per ulteriori informazioni, consulta Account multipli in GuardDuty.

Genera risultati di sicurezza per le minacce rilevate

Quando GuardDuty rileva potenziali minacce alla sicurezza associate alle AWS risorse, inizia a generare risultati di sicurezza che forniscono informazioni sulla risorsa potenzialmente compromessa. Dopo averlo abilitato GuardDuty nel tuo account, genera Risultati di esempio per visualizzare il file associato. Dettagli degli esiti Per un elenco completo dei risultati di sicurezza, consultaGuardDuty tipi di ricerca.

Con GuardDuty, puoi anche utilizzare uno script di tester che genera risultati GuardDuty di sicurezza specifici per capire come esaminare e rispondere ai GuardDuty risultati. Per ulteriori informazioni, consulta GuardDuty Risultati dei test in account dedicati.

Valutazione e gestione dei risultati di sicurezza

GuardDuty consolida i risultati di sicurezza tra gli account e visualizza i risultati nella dashboard di riepilogo sulla GuardDuty console. Puoi anche recuperare i risultati tramite AWS Security Hub API AWS Command Line Interface, o. AWS SDK Con una visione olistica dello stato di sicurezza attuale, è possibile identificare tendenze e potenziali problemi e adottare le misure correttive necessarie. Per ulteriori informazioni, consulta Gestione dei GuardDuty risultati.

Integrazione con i servizi di sicurezza correlati AWS

Per aiutarvi ulteriormente ad analizzare e indagare sulle tendenze di sicurezza nel vostro AWS ambiente, prendete in considerazione l'utilizzo dei seguenti servizi AWS relativi alla sicurezza in combinazione con. GuardDuty

  • AWS Security Hub— Questo servizio offre una visione completa dello stato di sicurezza delle AWS risorse e consente di controllare l' AWS ambiente rispetto agli standard e alle best practice del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati di sicurezza provenienti da più AWS servizi (incluso Amazon Macie) e prodotti AWS Partner Network () supportati. APN Security Hub ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità in tutto l' AWS ambiente.

    Per informazioni sull'utilizzo congiunto GuardDuty di Security Hub, vedereIntegrazione con GuardDuty AWS Security Hub. Per ulteriori informazioni su Security Hub, consulta la Guida AWS Security Hub per l'utente.

  • Amazon Detective: questo servizio ti aiuta ad analizzare, indagare e identificare rapidamente la causa principale dei risultati di sicurezza o delle attività sospette. Detective raccoglie automaticamente i dati di registro dalle tue AWS risorse. Utilizza quindi il machine learning, l'analisi statistica e la teoria dei grafi per generare visualizzazioni che consentono di condurre indagini sulla sicurezza più rapide ed efficaci. Le aggregazioni, i riepiloghi e il contesto predefiniti di Detective ti aiutano ad analizzare e determinare la natura e l'entità dei potenziali problemi di sicurezza.

    Per informazioni sull'uso combinato di Detective GuardDuty e Detective, vedereIntegrazione GuardDuty con Amazon Detective. Per ulteriori informazioni su Detective, consulta la Amazon Detective User Guide.

  • Amazon EventBridge: questo servizio ti aiuta a ricevere notifiche e rispondere ai risultati GuardDuty di sicurezza quasi in tempo reale. GuardDuty crea un evento in caso di modifica dei risultati. Puoi scegliere la frequenza da cui desideri ricevere le notifiche EventBridge. Per ulteriori informazioni, consulta What is Amazon EventBridge nella Amazon EventBridge User Guide.

PCIDSSConformità

GuardDuty supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (). DSS Per ulteriori informazioni PCIDSS, incluso come richiedere una copia del AWS PCI Compliance Package, vedere PCIDSSLevel 1.

Per ulteriori informazioni, consulta la sezione Un nuovo test di terze parti confronta Amazon con i sistemi GuardDuty di rilevamento delle intrusioni di rete nel AWS Security Blog.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.