Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Che cos'è Amazon GuardDuty?

PDF
RSS
Modalità Focus
Che cos'è Amazon GuardDuty? - Amazon GuardDuty
Caratteristiche di GuardDutyConformità PCI DSS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora, analizza ed elabora continuamente le fonti di AWS dati e i log nel tuo ambiente. AWS GuardDuty utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, hash di file e modelli di machine learning (ML) per identificare attività sospette e potenzialmente dannose nel tuo ambiente. AWS L'elenco seguente fornisce una panoramica dei potenziali scenari di minaccia che GuardDuty possono aiutarti a rilevare:

  • Credenziali compromesse ed esfiltrate AWS .

  • Efiltrazione e distruzione dei dati che possono portare a un evento ransomware. Modelli insoliti di eventi di accesso nelle versioni del motore supportate dei database Amazon Aurora e Amazon RDS, che indicano un comportamento anomalo.

  • Attività di cryptomining non autorizzate nelle istanze di Amazon Elastic Compute Cloud (Amazon EC2) e nei carichi di lavoro dei container.

  • Presenza di malware nelle EC2 istanze Amazon e nei carichi di lavoro dei container e file appena caricati nei bucket Amazon Simple Storage Service (Amazon S3).

  • Eventi a livello di sistema operativo, di rete e di file che indicano un comportamento non autorizzato sui cluster Amazon Elastic Kubernetes Service (Amazon EKS), sulle attività di Amazon Elastic Container Service (Amazon ECS), sulle istanze Amazon e sui carichi di lavoro dei container. AWS Fargate EC2

Il video seguente fornisce una panoramica di come ti aiuta a rilevare le minacce nel tuo ambiente. GuardDuty AWS

Indice

Caratteristiche di GuardDuty

Ecco alcuni dei modi principali in cui Amazon GuardDuty può aiutarti a monitorare, rilevare e gestire le potenziali minacce nel tuo AWS ambiente.

Monitora continuamente fonti di dati e registri di eventi specifici

  • Rilevamento delle minacce fondamentali: quando attivi GuardDuty in an Account AWS, avvia GuardDuty automaticamente l'acquisizione delle fonti di dati di base associate a quell'account. Queste fonti di dati includono eventi di AWS CloudTrail gestione, log di flusso VPC (da EC2 istanze Amazon) e log DNS. Non è necessario abilitare nient'altro per GuardDuty iniziare ad analizzare ed elaborare queste fonti di dati per generare i risultati di sicurezza associati. Per ulteriori informazioni, consulta GuardDuty fonti di dati fondamentali.

  • Rilevamento esteso delle minacce: questa funzionalità rileva attacchi in più fasi che coinvolgono fonti di dati fondamentali, più tipi di AWS risorse e tempi, all'interno di un unico. Account AWS Nel tuo account potrebbero verificarsi più eventi che, singolarmente, non si presentano come una minaccia evidente. Tuttavia, quando questi eventi vengono osservati in una sequenza indicativa di un'attività sospetta, la GuardDuty identifica come una sequenza di attacco. GuardDuty ti avvisa generando il tipo di ricerca della sequenza di attacco associata per fornire dettagli sulla sequenza di attacco osservata.

    Senza costi aggiuntivi, Extended Threat Detection viene abilitato automaticamente per ciascuna di esse al Account AWS momento dell'attivazione. GuardDuty Questa funzionalità non richiede l'attivazione di alcun piano di protezione incentrato sui casi d'uso. Tuttavia, per aumentare l'ampiezza della sicurezza delle tue risorse Amazon S3 GuardDuty , ti consigliamo di abilitare S3 Protection nel tuo account. Questo aiuterà Extended Threat Detection a identificare gli attacchi in più fasi che potrebbero avere un impatto sulle tue risorse Amazon S3.

    Per ulteriori informazioni su come funziona questa funzionalità e sugli scenari di minaccia coperti, consulta. GuardDuty Rilevamento esteso delle minacce

  • Piani di GuardDuty protezione incentrati sui casi d'uso: per una maggiore visibilità del rilevamento delle minacce nella sicurezza dell' AWS ambiente, GuardDuty offre piani di protezione dedicati che è possibile scegliere di abilitare. I piani di protezione consentono di monitorare i registri e gli eventi di altri servizi. AWS Queste fonti includono registri di controllo EKS, attività di accesso RDS, eventi dati CloudTrail in Amazon S3, volumi EBS, monitoraggio del runtime su Amazon EKS, Amazon e Amazon ECS-Fargate e registri delle attività di rete Lambda. EC2 GuardDutyconsolida queste fonti di log ed eventi sotto il termine - Caratteristiche. È possibile abilitare uno o più piani di protezione dedicati in un servizio supportato in qualsiasi Regione AWS momento. GuardDuty inizierà a monitorare, elaborare e analizzare le attività in base al piano di protezione abilitato. Per ulteriori informazioni su ciascun piano di protezione e su come funziona, consulta il documento relativo al piano di protezione corrispondente.

    Piano di protezione Descrizione

    Protezione S3

    Identifica i potenziali rischi per la sicurezza, come i tentativi di esfiltrazione e distruzione dei dati nei bucket Amazon S3.

    Protezione EKS

    EKS Audit Log Monitoring analizza i log di controllo Kubernetes dai cluster Amazon EKS per attività potenzialmente sospette e dannose.

    Monitoraggio del runtime

    Monitora e analizza gli eventi a livello di sistema operativo su Amazon EKS, Amazon EC2 e Amazon ECS (incluso AWS Fargate), per rilevare potenziali minacce di runtime.

    Protezione da malware per EC2

    Rileva la potenziale presenza di malware eseguendo la scansione dei volumi Amazon EBS associati alle tue istanze Amazon EC2 . È disponibile un'opzione per utilizzare questa funzionalità su richiesta.

    Protezione da malware per S3

    Rileva la potenziale presenza di malware negli oggetti appena caricati all'interno dei bucket Amazon S3.

    Protezione RDS

    Analizza e profila la tua attività di accesso RDS per potenziali minacce di accesso ai database Amazon Aurora e Amazon RDS supportati.

    Protezione Lambda

    Monitora i registri delle attività della rete Lambda, a partire dai log di flusso VPC, per rilevare le minacce alle tue funzioni. AWS Lambda Esempi di queste potenziali minacce includono il cryptomining e la comunicazione con server dannosi.
    Abilita la protezione da malware per S3 in modo indipendente

    GuardDuty offre la flessibilità necessaria per utilizzare Malware Protection for S3 in modo indipendente, senza abilitare il GuardDuty servizio Amazon. Per ulteriori informazioni su come iniziare a utilizzare solo Malware Protection for S3, consulta. GuardDuty Protezione da malware per S3 Per utilizzare tutti gli altri piani di protezione, è necessario abilitare il GuardDuty servizio.

Gestisci un ambiente con più account

Puoi gestire un AWS ambiente con più account utilizzando il metodo di invito AWS Organizations (consigliato) o quello precedente. Per ulteriori informazioni, consulta Account multipli in GuardDuty.

Genera risultati di sicurezza per le minacce rilevate

Quando GuardDuty rileva potenziali minacce alla sicurezza associate alle AWS risorse, inizia a generare risultati di sicurezza che forniscono informazioni sulla risorsa potenzialmente compromessa. Dopo averlo abilitato GuardDuty nel tuo account, genera Risultati di esempio per visualizzare il file associato. Dettagli degli esiti Per un elenco completo dei risultati di sicurezza, consultaGuardDuty tipi di ricerca.

Con GuardDuty, puoi anche utilizzare uno script di tester che genera risultati GuardDuty di sicurezza specifici per capire come esaminare e rispondere ai GuardDuty risultati. Per ulteriori informazioni, consulta GuardDuty Risultati dei test in account dedicati.

Valutazione e gestione dei risultati di sicurezza

GuardDuty consolida i risultati di sicurezza tra gli account e visualizza i risultati nella dashboard di riepilogo sulla GuardDuty console. Puoi anche recuperare i risultati tramite l' AWS Security Hub API o AWS l' AWS Command Line Interface SDK. Con una visione olistica del vostro attuale stato di sicurezza, potete identificare tendenze e potenziali problemi e adottare le misure correttive necessarie. Per ulteriori informazioni, consulta Gestione dei GuardDuty risultati.

Integrazione con i servizi di sicurezza correlati AWS

Per aiutarvi ulteriormente ad analizzare e indagare sulle tendenze di sicurezza nel vostro AWS ambiente, prendete in considerazione l'utilizzo dei seguenti servizi AWS relativi alla sicurezza in combinazione con. GuardDuty

  • AWS Security Hub— Questo servizio offre una visione completa dello stato di sicurezza delle AWS risorse e consente di controllare l' AWS ambiente rispetto agli standard e alle best practice del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati di sicurezza provenienti da più AWS servizi (incluso Amazon Macie) e prodotti AWS Partner Network (APN) supportati. Security Hub ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità in tutto l' AWS ambiente.

    Per informazioni sull'utilizzo congiunto GuardDuty di Security Hub, vedereIntegrazione con GuardDuty AWS Security Hub. Per ulteriori informazioni su Security Hub, consulta la Guida AWS Security Hub per l'utente.

  • Amazon Detective: questo servizio ti aiuta ad analizzare, indagare e identificare rapidamente la causa principale dei risultati di sicurezza o delle attività sospette. Detective raccoglie automaticamente i dati di registro dalle tue AWS risorse. Utilizza quindi il machine learning, l'analisi statistica e la teoria dei grafi per generare visualizzazioni che consentono di condurre indagini sulla sicurezza più rapide ed efficaci. Le aggregazioni, i riepiloghi e il contesto predefiniti di Detective ti aiutano ad analizzare e determinare la natura e l'entità dei potenziali problemi di sicurezza.

    Per informazioni sull'uso combinato di Detective GuardDuty e Detective, vedereIntegrazione GuardDuty con Amazon Detective. Per ulteriori informazioni su Detective, consulta la Amazon Detective User Guide.

  • Amazon EventBridge: questo servizio ti aiuta a ricevere notifiche e rispondere ai risultati GuardDuty di sicurezza quasi in tempo reale. GuardDuty crea un evento in caso di modifica dei risultati. Puoi scegliere la frequenza da cui desideri ricevere le notifiche EventBridge. Per ulteriori informazioni, consulta What is Amazon EventBridge nella Amazon EventBridge User Guide.

Conformità PCI DSS

GuardDuty supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere PCI DSS Level 1.

Per ulteriori informazioni, consulta la sezione Un nuovo test di terze parti confronta Amazon con i sistemi GuardDuty di rilevamento delle intrusioni di rete nel AWS Security Blog.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.