As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty fontes de dados fundamentais

GuardDuty usa as fontes de dados básicas para detectar a comunicação com domínios e endereços IP maliciosos conhecidos e identificar comportamentos potencialmente anômalos e atividades não autorizadas. Enquanto estão em trânsito dessas fontes para GuardDuty, todos os dados de registro são criptografados. GuardDuty extrai vários campos dessas fontes de registros para criação de perfil e detecção de anomalias e, em seguida, descarta esses registros.

Quando você ativa GuardDuty pela primeira vez em uma região, há um teste gratuito de 30 dias que inclui a detecção de ameaças para todas as fontes de dados fundamentais. Durante esse teste gratuito, você pode monitorar um uso mensal estimado dividido por cada fonte de dados fundamental. Como conta de GuardDuty administrador delegado, você pode ver o custo estimado de uso mensal detalhado por cada conta membro que pertence à sua organização e foi ativada GuardDuty. Após o término do teste de 30 dias, você poderá usar AWS Billing para obter informações sobre o custo de uso.

Não há custo adicional ao GuardDuty acessar os eventos e registros dessas fontes de dados fundamentais.

Depois de habilitar o GuardDuty seu Conta da AWS, ele começa automaticamente a monitorar as fontes de registro explicadas nas seções a seguir. Você não precisa habilitar mais nada para começar GuardDuty a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas.

AWS CloudTrail eventos de gerenciamento

AWS CloudTrail fornece um histórico de AWS API chamadas para sua conta, incluindo API chamadas feitas usando as AWS Management Console AWS SDKs ferramentas de linha de comando e determinados AWS serviços. CloudTrail também ajuda a identificar quais usuários e contas foram invocados AWS APIs para serviços que oferecem suporte CloudTrail, o endereço IP de origem de onde as chamadas foram invocadas e a hora em que as chamadas foram invocadas. Para obter mais informações, consulte O que é o AWS CloudTrail no Guia do usuário do AWS CloudTrail .

GuardDuty monitora eventos CloudTrail de gerenciamento, também conhecidos como eventos do plano de controle. Esses eventos fornecem uma visão das operações de gerenciamento que são realizadas com os recursos em seu Conta da AWS.

Veja a seguir exemplos de eventos de CloudTrail gerenciamento que GuardDuty monitoram:

Quando você ativa GuardDuty, ele começa a consumir eventos CloudTrail de gerenciamento diretamente CloudTrail por meio de um fluxo de eventos independente e duplicado e analisa seus CloudTrail registros de eventos.

GuardDuty não gerencia seus CloudTrail eventos nem afeta suas CloudTrail configurações existentes. Da mesma forma, suas CloudTrail configurações não afetam a forma como GuardDuty consome e processa os registros de eventos. Para gerenciar o acesso e a retenção de seus CloudTrail eventos, use o console CloudTrail de serviço ouAPI. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos no Guia AWS CloudTrail do usuário.

Como GuardDuty lida com eventos AWS CloudTrail globais

Para a maioria dos AWS serviços, os CloudTrail eventos são registrados no Região da AWS local em que são criados. Para serviços globais como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon e CloudFront Amazon Route 53 (Route 53), os eventos são gerados somente na região em que ocorrem, mas têm um significado global.

Quando GuardDuty consome eventos de serviço CloudTrail global com valor de segurança, como configurações de rede ou permissões de usuário, ele replica esses eventos e os processa em cada região em que você ativou. GuardDuty Esse comportamento ajuda a GuardDuty manter perfis de usuário e função em cada região, o que é vital para detectar eventos anômalos.

É altamente recomendável que você ative todos GuardDuty os Regiões da AWS que estão habilitados para o seu Conta da AWS. Isso ajuda a GuardDuty gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo nas regiões que você pode não estar usando ativamente.

Logs de fluxo da VPC

O recurso VPC Flow Logs da Amazon VPC captura informações sobre o tráfego IP que entra e sai das interfaces de rede conectadas às instâncias do Amazon Elastic Compute Cloud EC2 (Amazon) em seu AWS ambiente.

Quando você ativa GuardDuty, ele imediatamente começa a analisar seus registros de VPC fluxo das EC2 instâncias da Amazon em sua conta. Ele consome eventos de registro de VPC fluxo diretamente do recurso de registros de VPC fluxo por meio de um fluxo independente e duplicado de registros de fluxo. Esse processo não afeta nenhuma das suas configurações de log de fluxo existentes.

GuardDuty não gerencia seus registros de fluxo nem os torna acessíveis em sua conta. Para gerenciar o acesso e a retenção de seus registros de fluxo, você deve configurar o recurso de registros de VPC fluxo.

Registros de consulta do Route53 Resolver DNS

Se você usar AWS DNS resolvedores para suas EC2 instâncias da Amazon (a configuração padrão), GuardDuty poderá acessar e processar seus registros de DNS consulta do Route53 Resolver de solicitação e resposta por meio dos resolvedores internos. AWS DNS Se você usar outro DNS resolvedor, como o Open DNS ou o GoogleDNS, ou se configurar seus próprios DNS resolvedores, GuardDuty não poderá acessar e processar dados dessa fonte de dados.

Quando você ativa GuardDuty, ele imediatamente começa a analisar seus registros de DNS consulta do Route53 Resolver a partir de um fluxo independente de dados. Esse fluxo de dados é separado dos dados fornecidos pelo atributo Registro em log de consultas do Resolvedor do Route 53. A configuração desse recurso não afeta a GuardDuty análise.