Conceitos e terminologia - Amazon GuardDuty

Conceitos e terminologia

Ao começar a usar o Amazon GuardDuty, você pode se beneficiar aprendendo seus conceitos principais.

Conta

Conta padrão da Amazon Web Services (AWS) que contém seus recursos da AWS. Você pode fazer login na AWS com sua cona e habilitar o GuardDuty.

Você também pode convidar outras contas para habilitar o GuardDuty e se associar à sua conta da AWS no GuardDuty. Se seus convites forem aceitos, sua conta será designada como a conta de administrador do GuardDuty, e as contas adicionais se tornarão suas contas-membro. Depois disso, será possível visualizar e gerenciar as descobertas do GuardDuty dessas contas em nome delas.

Os usuários da conta de administrador podem configurar o GuardDuty, além de visualizar e gerenciar as descobertas do GuardDuty na própria conta e em todas as contas-membro. Para obter informações sobre o número de contas de membros que sua conta de administrador pode gerenciar, consulte Cotas do GuardDuty.

Os usuários de contas-membro podem configurar o GuardDuty, além de visualizar e gerenciar as descobertas do GuardDuty nas respectivas contas (pelo console de gerenciamento do GuardDuty ou pela API do GuardDuty). Os usuários de contas de membro não podem visualizar ou gerenciar descobertas nas contas de outros membros.

Uma conta da Conta da AWS não pode ser uma conta de administrador e de membro do GuardDuty ao mesmo tempo. Uma conta da Conta da AWS pode aceitar apenas um convite de associação. Aceitar um convite de associação é opcional.

Para ter mais informações, consulte Múltiplas contas no Amazon GuardDuty.

Detector

O Amazon GuardDuty é um serviço regional. Quando você ativa o GuardDuty em um Região da AWS específico, você é associado a uma Conta da AWS ID de detector. Esse ID alfanumérico de 32 caracteres é exclusivo para sua conta nessa região. Por exemplo, ao habilitar o GuardDuty para a mesma conta em uma região diferente, sua conta será associada a um ID de detector diferente. O formato de um detectorId é 12abc34d567e8fa901bc2d34e56789f0.

Todas as descobertas, contas e ações do GuardDuty sobre o gerenciamento de descobertas e o serviço GuardDuty usam o ID do detector para executar uma operação de API.

Para encontrar detectorId para sua conta e região atual, consulte a página de Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a ListDetectors API.

nota

Em ambientes de várias contas, todas as descobertas de contas-membro são acumuladas no detector da conta de administrador.

Algumas funcionalidades do GuardDuty são configuradas por meio do detector, como a configuração da frequência de notificação de CloudWatch Events e a habilitação ou desabilitação de planos de proteção opcionais para o GuardDuty processar.

Usando a Proteção contra malware para S3 no GuardDuty

Ao habilitar a Proteção contra malware para o S3 em uma conta em que o GuardDuty está habilitado, as ações da Proteção contra malware para o S3, como habilitar, editar e desabilitar um recurso protegido, não são associadas ao ID do detector.

Quando você não ativa o GuardDuty e escolhe a opção de detecção de ameaças Proteção contra Malware para S3, não há nenhuma ID de detector criada para sua conta.

Fontes de dados fundamentais

A origem ou a localização de um conjunto de dados. Para detectar uma atividade não autorizada ou inesperada em seu ambiente da AWS. O GuardDuty analisa e processa dados de logs de eventos do AWS CloudTrail, eventos de gerenciamento do AWS CloudTrail, eventos de dados do AWS CloudTrail para S3, logs de fluxo da VPC, logs de DNS, consulte Fontes de dados fundamentais do GuardDuty.

Atributo

Um objeto de atributo configurado para seu plano de proteção do GuardDuty ajuda a detectar uma atividade não autorizada ou inesperada em seu ambiente AWS. Cada plano de proteção do GuardDuty configura o objeto de atributo correspondente para analisar e processar dados. Alguns dos objetos de atributo incluem logs de auditoria do EKS, monitoramento de atividades de login do RDS, logs de atividade de rede Lambda e volumes do EBS. Para ter mais informações, consulte Nomes de recursos para planos de proteção na API do GuardDuty.

Descoberta

Um possível problema de segurança descoberto pelo GuardDuty. Para ter mais informações, consulte Noções básicas e geração de descobertas do Amazon GuardDuty.

Os resultados são exibidos no console do GuardDuty e contêm uma descrição detalhada do problema de segurança. Também é possível recuperar as descobertas geradas chamando as operações de API GetFindings e ListFindings.

Você também pode ver suas descobertas do GuardDuty por meio de eventos do Amazon CloudWatch. O GuardDuty envia descobertas para o Amazon CloudWatch por meio do protocolo HTTPS. Para ter mais informações, consulte Como criar respostas personalizadas às descobertas do GuardDuty com o Amazon CloudWatch Events.

Perfil do IAM

Essa é a função do IAM com as permissões necessárias para verificar o objeto do S3. Quando a colocação de tags em objetos verificados está habilitada, as permissões do IAM PassRole ajudam o GuardDuty a adicionar tags ao objeto verificado.

Recurso do plano de Proteção contra malware

Depois de habilitar a Proteção contra Malware para S3 para um bucket, o GuardDuty cria um recurso do plano de Proteção contra Malware para EC2. Esse recurso está associado ao ID do plano de Proteção contra Malware para EC2, um identificador exclusivo para seu bucket protegido. Use o recurso do plano de Proteção contra malware para realizar operações de API em um recurso protegido.

Bucket protegido (recurso protegido)

Um bucket do Amazon S3 é considerado protegido quando você ativa a Proteção contra Malware para S3 para esse bucket e seu status de proteção muda para Ativo.

O GuardDuty oferece suporte somente a um bucket do S3 como recurso protegido.

Status de proteção

O status associado ao seu recurso do plano de Proteção contra malware. Depois de ativar a Proteção contra Malware para S3 em seu bucket, esse status representa se o bucket está ou não configurado corretamente.

Um prefixo de objeto

Em um bucket do Amazon Simple Storage Service (Amazon S3), use prefixos para organizar seu armazenamento. Um prefixo é um agrupamento lógico dos objetos em um bucket S3. Para obter mais informações, consulte Organizando e listando objetos no Guia de usuário do Amazon S3.

Opções de verificação

Quando a Proteção contra malware para EC2 do GuardDuty está habilitada, ela permite que você especifique quais instâncias do Amazon EC2 e volumes do Amazon Elastic Block Store (EBS) devem ser verificados ou ignorados. Esse atributo permite que você adicione as tags existentes associadas às suas instâncias do EC2 e ao volume do EBS a uma lista de tags de inclusão ou de exclusão. Os recursos associados às tags que você adiciona a uma lista de tags de inclusão são verificados em busca de malware, e aqueles adicionados a uma lista de tags de exclusão não são examinados. Para ter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

Retenção de snapshots

Quando a Proteção contra malware para EC2 do GuardDuty está habilitada, ela oferece a opção de reter os snapshots dos volumes do EBS em sua conta da AWS. O GuardDuty gera os volumes de réplica do EBS com base nos snapshots dos seus volumes do EBS. Você pode reter os snapshots dos seus volumes do EBS somente se a verificação da Proteção contra malware para EC2 detectar malware nos volumes de réplica do EBS. Se nenhum malware for detectado nos volumes de réplica do EBS, o GuardDuty excluirá automaticamente os snapshots dos seus volumes do EBS, independentemente da configuração de retenção de snapshots. Para ter mais informações, consulte Retenção de snapshots.

Regra de supressão

As regras de supressão permitem criar combinações muito específicas de atributos para suprimir descobertas. Por exemplo, você pode definir uma regra por meio do filtro do GuardDuty para autoarquivar Recon:EC2/Portscan apenas das instâncias em uma VPC específica, executando uma AMI específica ou com uma determinada tag do EC2. Essa regra resultaria em descobertas de varredura de portas sendo arquivadas automaticamente a partir das instâncias que atendem aos critérios. No entanto, ela ainda permite a emissão de alertas se o GuardDuty detectar essas instâncias que realizam outras atividades mal-intencionadas, como criptografia de mineração de moeda.

As regras de supressão definidas na conta de administrador do GuardDuty se aplicam às contas-membro do GuardDuty. As contas-membro do GuardDuty não podem modificar as regras de supressão.

Com as regras de supressão, o GuardDuty ainda gera todas as descobertas. As regras de supressão fornecem supressão de descobertas e mantêm um histórico completo e imutável de toda a atividade.

Normalmente, as regras de supressão são usadas para ocultar descobertas determinadas como falsos positivos para o ambiente e reduzir o ruído de descobertas de baixo valor para que você possa se concentrar em ameaças maiores. Para ter mais informações, consulte Regras de supressão no GuardDuty.

Lista de IPs confiáveis

Uma lista de endereços IP confiáveis para comunicação altamente segura com seu ambiente da AWS. O GuardDuty não gera descobertas com base em listas de IP confiáveis. Para ter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.

Lista de IPs de ameaças

Uma lista de endereços IP mal-intencionados conhecidos. Além de gerar descobertas devido a uma atividade potencialmente suspeita, o GuardDuty também gera descobertas com base nessas listas de ameaças. Para ter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.