O que é a Amazon GuardDuty? - Amazon GuardDuty
Características do GuardDutyPCIDSSConformidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é a Amazon GuardDuty?

GuardDuty A Amazon é um serviço de detecção de ameaças que monitora, analisa e processa continuamente fontes de AWS dados e registros em seu AWS ambiente. GuardDuty usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, hashes de arquivos e modelos de aprendizado de máquina (ML) para identificar atividades suspeitas e potencialmente maliciosas em seu ambiente. AWS A lista a seguir fornece uma visão geral dos possíveis cenários de ameaças que GuardDuty podem ajudá-lo a detectar:

  • Credenciais comprometidas e extraídas. AWS

  • Exfiltração e destruição de dados que podem levar a um evento de ransomware. Padrões incomuns de eventos de login nas versões de mecanismo suportadas dos bancos de dados Amazon Aurora e RDS Amazon, que indicam comportamento anômalo.

  • Atividade de criptomineração não autorizada em suas instâncias e cargas de trabalho de contêineres do Amazon Elastic Compute Cloud (AmazonEC2).

  • Presença de malware em suas EC2 instâncias e cargas de trabalho de contêineres da Amazon, além de arquivos recém-carregados em seus buckets do Amazon Simple Storage Service (Amazon S3).

  • Eventos em nível de sistema operacional, rede e arquivos que indicam comportamento não autorizado em seus clusters do Amazon Elastic Kubernetes Service (Amazon), tarefas do Amazon Elastic Container Service (EKSAmazon) e instâncias e cargas de trabalho de contêineres da ECS Amazon AWS Fargate . EC2

O vídeo a seguir fornece uma visão geral de como GuardDuty ajuda você a detectar ameaças em seu AWS ambiente.

Conteúdo

Características do GuardDuty

Aqui estão algumas das principais maneiras pelas quais a Amazon GuardDuty pode ajudar você a monitorar, detectar e gerenciar possíveis ameaças em seu AWS ambiente.

Monitora continuamente fontes de dados e registros de eventos específicos

  • Detecção básica de ameaças — Quando você ativa GuardDuty uma Conta da AWS, começa GuardDuty automaticamente a ingerir as fontes de dados fundamentais associadas a essa conta. Essas fontes de dados incluem eventos AWS CloudTrail de gerenciamento, registros de VPC fluxo (de EC2 instâncias da Amazon) e DNS registros. Você não precisa habilitar mais nada para começar GuardDuty a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas. Para obter mais informações, consulte GuardDuty fontes de dados fundamentais.

  • Planos de GuardDuty proteção focados no caso de uso — Para maior visibilidade da detecção de ameaças na segurança do seu AWS ambiente, GuardDuty oferece planos de proteção dedicados que você pode optar por ativar. Os planos de proteção ajudam você a monitorar registros e eventos de outros AWS serviços. Essas fontes incluem registros de EKS auditoria, atividades de RDS login, eventos de dados do Amazon S3 em CloudTrail, EBS volumes, monitoramento de tempo de execução na AmazonEC2, Amazon e EKS Amazon ECS -Fargate e registros de atividades de rede Lambda. GuardDutyconsolida essas fontes de log e eventos sob o termo - Características. Você pode ativar um ou mais planos de proteção dedicados em um suporte Região da AWS a qualquer momento. GuardDuty iniciará o monitoramento, o processamento e a análise das atividades com base no plano de proteção ativado. Para obter mais informações sobre cada plano de proteção e como ele funciona, consulte o documento do plano de proteção correspondente.

    Plano de proteção Descrição

    Proteção S3

    Identifica possíveis riscos de segurança, como tentativas de exfiltração e destruição de dados em seus buckets do Amazon S3.

    EKSProteção

    EKSO Audit Log Monitoring analisa os registros de auditoria do Kubernetes dos seus EKS clusters da Amazon em busca de atividades potencialmente suspeitas e maliciosas.

    Monitoramento de runtime

    Monitora e analisa eventos em nível de sistema operacional em sua Amazon, EKS Amazon EC2 e Amazon ECS (inclusive AWS Fargate), para detectar possíveis ameaças em tempo de execução.

    Proteção contra malware para EC2

    Detecta a presença potencial de malware examinando os EBS volumes da Amazon associados às suas EC2 instâncias da Amazon. Há uma opção para usar esse recurso sob demanda.

    Proteção contra malware para o S3

    Detecta a presença potencial de malware nos objetos recém-carregados em seus buckets do Amazon S3.

    RDSProteção

    Analisa e traça o perfil de sua atividade de RDS login para possíveis ameaças de acesso aos bancos de dados Amazon Aurora e Amazon RDS compatíveis.

    Proteção do Lambda

    Monitora os registros de atividades da rede Lambda, começando com os registros de VPC fluxo, para detectar ameaças às suas AWS Lambda funções. Exemplos dessas ameaças em potencial incluem criptomineração e comunicação com servidores maliciosos.
    Ative a proteção contra malware para S3 de forma independente

    GuardDuty oferece flexibilidade para usar o Malware Protection for S3 de forma independente, sem habilitar o GuardDuty serviço Amazon. Para obter mais informações sobre como começar a usar somente o Malware Protection for S3, consulteGuardDuty Proteção contra malware para S3. Para usar todos os outros planos de proteção, você deve ativar o GuardDuty serviço.

Gerencie o ambiente de várias contas

Você pode gerenciar um AWS ambiente de várias contas usando o método de convite AWS Organizations (recomendado) ou antigo. Para obter mais informações, consulte Várias contas em GuardDuty.

Gera descobertas de segurança para ameaças detectadas

Quando GuardDuty detecta possíveis ameaças à segurança associadas aos seus AWS recursos, ele começa a gerar descobertas de segurança que fornecem informações sobre o recurso potencialmente comprometido. Depois de ativar GuardDuty sua conta, gere Descobertas de exemplo para ver o associadoDetalhes da descoberta. Para obter uma lista completa das descobertas de segurança, consulteGuardDuty tipos de descoberta.

Com GuardDuty, você também pode usar um script de testador que gera descobertas GuardDuty de segurança específicas para entender como analisar e responder às GuardDuty descobertas. Para obter mais informações, consulte GuardDuty Resultados do teste em contas dedicadas.

Avaliando e gerenciando descobertas de segurança

GuardDuty consolida suas descobertas de segurança em todas as contas e exibe os resultados no painel de resumo no GuardDuty console. Você também pode recuperar descobertas por meio do AWS Security Hub API, AWS Command Line Interface, ou AWS SDK. Com uma visão holística do seu status de segurança atual, você pode identificar tendências e possíveis problemas e tomar as medidas de correção necessárias. Para obter mais informações, consulte Gerenciando GuardDuty descobertas.

Integre com serviços AWS de segurança relacionados

Para ajudá-lo ainda mais a analisar e investigar as tendências de segurança em seu AWS ambiente, considere usar os seguintes serviços AWS relacionados à segurança em combinação com o. GuardDuty

  • AWS Security Hub— Esse serviço oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários AWS serviços (incluindo Amazon Macie) e produtos compatíveis da AWS Partner Network (). APN O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente.

    Para obter informações sobre como usar GuardDuty o Security Hub em conjunto, consulteIntegrando com GuardDuty AWS Security Hub. Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub.

  • Amazon Detective — Esse serviço ajuda você a analisar, investigar e identificar rapidamente a causa raiz de descobertas de segurança ou atividades suspeitas. Detective coleta automaticamente os dados de registro de seus recursos. AWS Em seguida, ele usa machine learning, análises estatísticas e a teoria de grafos para gerar visualizações que ajudam a realizar investigações de segurança eficazes com maior rapidez. As agregações de dados, os resumos e o contexto pré-criados do Detective ajudam você a analisar e determinar a natureza e a extensão de possíveis problemas de segurança.

    Para obter informações sobre como usar o GuardDuty Detective em conjunto, consulte. Integração GuardDuty com o Amazon Detective Para saber mais sobre Detective, consulte o Guia do usuário do Amazon Detective.

  • Amazon EventBridge — Esse serviço ajuda você a receber notificações e responder às descobertas GuardDuty de segurança quase em tempo real. GuardDuty cria um evento quando há uma mudança nas descobertas. Você pode escolher com que frequência deseja receber as notificações EventBridge. Para obter mais informações, consulte O que é a Amazon EventBridge no Guia EventBridge do usuário da Amazon.

PCIDSSConformidade

GuardDuty suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI). DSS Para obter mais informações sobre PCIDSS, inclusive como solicitar uma cópia do AWS PCI Compliance Package, consulte PCIDSSNível 1.

Para obter mais informações, consulte Novo teste de terceiros que compara GuardDuty a Amazon com sistemas de detecção de intrusões de rede no AWS Blog de Segurança.