Fontes de dados fundamentais do GuardDuty - Amazon GuardDuty
Eventos de gerenciamento do AWS CloudTrailLogs de fluxo da VPCLogs de consultas de DNS do Route53 Resolver

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fontes de dados fundamentais do GuardDuty

O GuardDuty usa as fontes de dados básicas para detectar a comunicação com domínios e endereços IP mal-intencionados conhecidos e identificar comportamentos anômalos e atividade não autorizada. Enquanto estiver em trânsito a partir destas fontes de dados para o GuardDuty, todos os dados de log são criptografados. O GuardDuty extrai vários campos dessas fontes de logs para a criação de perfil e detecção de anomalias e, em seguida, descarta esses logs.

Ao habilitar o GuardDuty pela primeira vez em uma região, há uma avaliação gratuita de 30 dias que inclui a detecção de ameaças para todas as fontes de dados fundamentais. Durante esse teste gratuito, você pode monitorar um uso mensal estimado dividido em cada fonte de dados fundamental. Como conta delegada de administrador do GuardDuty, você pode ver o custo mensal estimado de uso dividido em cada conta de membro que pertence à sua organização e ativou o GuardDuty. Após o término da avaliação de 30 dias, use AWS Billing para obter informações sobre o custo de uso.

Não há custo adicional quando o GuardDuty acessa os eventos e logs dessas fontes de dados fundamentais.

Depois de habilitar o GuardDuty na sua Conta da AWS, ele começa automaticamente a monitorar as fontes de log descritas nas seções a seguir. Não é preciso habilitar mais nada para que o GuardDuty comece a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas.

Eventos de gerenciamento do AWS CloudTrail

O AWS CloudTrail fornece um histórico das chamadas de APIs da AWS para sua conta, inclusive chamadas de API usando AWS Management Console, pelos AWS SDKs, pelas ferramentas da linha de comando e por determinados serviços da AWS. O CloudTrail também ajuda a identificar quais usuários e contas invocaram APIs da AWS para serviços compatíveis com o CloudTrail, o endereço IP de origem de onde as chamadas foram invocadas e a hora em que as chamadas foram invocadas. Para obter mais informações, consulte O que é o AWS CloudTrail no Guia do usuário do AWS CloudTrail.

O GuardDuty monitora os eventos de gerenciamento do CloudTrail também conhecidos como eventos de ambiente de gerenciamento. Esses eventos fornecem informações sobre as operações de gerenciamento executadas em recursos em sua conta Conta da AWS.

Veja a seguir exemplos de eventos de gerenciamento do CloudTrail que o GuardDuty monitora:

  • Configuração da segurança (operações da API AttachRolePolicy do IAM)

  • Configuração de regras para roteamento de dados (por exemplo, operações de API CreateSubnet do Amazon EC2)

  • Configurando o registro (operações da API CreateTrail do AWS CloudTrail)

Quando você habilita o GuardDuty, ele começa a consumir eventos de gerenciamento do CloudTrail diretamente do CloudTrail por meio de um fluxo independente e duplicado de eventos e analisa seus registros de eventos do CloudTrail.

O GuardDuty não gerencia seus eventos do CloudTrail nem afeta suas configurações existentes do CloudTrail. Da mesma forma, suas configurações do CloudTrail não afetam a forma como o GuardDuty consome e processa os registros de eventos. Para gerenciar o acesso e a retenção de seus eventos do CloudTrail, use o console de serviço ou a API do CloudTrail. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos CloudTrail no Guia do Usuário do AWS CloudTrail.

Como o GuardDuty lida com eventos globais do AWS CloudTrail

Para a maioria dos serviços da AWS, os eventos do CloudTrail são registrados na Região da AWS em que são criados. Para serviços globais como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon CloudFront e Amazon Route 53 (Route 53), os eventos são gerados somente na região em que ocorrem, mas têm um significado global.

Quando o GuardDuty consome Eventos de serviço globais do CloudTrail com valor de segurança, como configurações de rede ou permissões de usuário, ele replica esses eventos e os processa em cada região em que você habilitou o GuardDuty. Esse comportamento ajuda o GuardDuty a manter perfis de usuário e função em cada região, o que é vital para detectar eventos anômalos.

É altamente recomendável que você habilite o GuardDuty em todas as Regiões da AWS que estão habilitados para sua Conta da AWS. O GuardDuty pode gerar descobertas sobre atividades incomuns ou não autorizadas, mesmo em regiões que você não está utilizando ativamente.

Logs de fluxo da VPC

O atributo Logs de fluxo da VPC da Amazon VPC captura informações sobre o tráfego de IP que entra e sai de interfaces de rede anexadas a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em seu ambiente da AWS.

Quando você habilita o GuardDuty, ele imediatamente começa a analisar seus registros de fluxo de VPC a partir de instâncias do Amazon EC2 em sua conta. Ele consome os eventos de log de fluxo VPC diretamente do recurso de log de fluxo VPC por meio de um fluxo independente e duplicado de registros de fluxo. Esse processo não afeta nenhuma das suas configurações de log de fluxo existentes.

Proteção do Lambda

A Proteção do Lambda é um aprimoramento opcional do Amazon GuardDuty. Atualmente, o Monitoramento de atividades de rede do Lambda inclui registros de fluxo do Amazon VPC de todas as funções do Lambda para sua conta, mesmo aqueles que não usam redes VPC. Para proteger sua função do Lambda contra possíveis ameaças à segurança, você precisará configurar a Proteção do Lambda em sua conta do GuardDuty. Para ter mais informações, consulte Proteção do Lambda.

GuardDuty Monitoramento de execução

Quando você gerencia o atendente de segurança (manualmente ou por meio do GuardDuty) no Monitoramento de runtime EKS ou o Monitoramento de Runtime para instâncias EC2, e o GuardDuty está atualmente implantado em uma instância do Amazon EC2 e recebe o Tipos de eventos de runtime coletados dessa instância, o GuardDuty não cobrará seu pela análise dos registros de fluxo de VPC dessa instância do Amazon EC2.Conta da AWS Isso ajuda o GuardDuty a evitar o dobro do custo de uso na conta.

O GuardDuty não gerencia seus registros de fluxo nem os torna acessíveis na sua conta. Para gerenciar o acesso e a retenção dos seus registros de fluxo, você precisa configurar o recurso de Logs de fluxo da VPC.

Logs de consultas de DNS do Route53 Resolver

Se você usar resolvedores de DNS da AWS para suas instâncias do Amazon EC2 (a configuração padrão), o GuardDuty poderá acessar e processar seus registros de DNS de solicitação e responder logs de consulta ao DNS do Route53 Resolver através dos resolvedores de DNS internos da AWS. Se você usar outro resolvedor de DNS, por exemplo, o OpenDNS ou o GoogleDNS, ou se configurar seus próprios resolvedores de DNS, o GuardDuty não poderá acessar e processar dados dessa fonte de dados.

Quando você habilita o GuardDuty, ele imediatamente começa a analisar seus logs de consulta ao DNS a partir de um fluxo independente de dados. Esse fluxo de dados é separado dos dados fornecidos pelo atributo Registro em log de consultas do Resolvedor do Route 53. A configuração desse atributo não afeta a análise do GuardDuty.

nota

O GuardDuty não oferece suporte ao monitoramento de logs de DNS para instâncias do Amazon EC2 que são AWS Outposts iniciadas porque o recurso de registro de consulta Amazon Route 53 Resolver não está disponível nesse ambiente.