Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Qu'est-ce qu'Amazon GuardDuty ? Amazon GuardDuty est un service de détection des menaces qui surveille, analyse et traite en permanence les sources de AWS données et les journaux de votre AWS environnement. GuardDuty utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, des hachages de fichiers et des modèles d'apprentissage automatique (ML) pour identifier les activités suspectes et potentiellement malveillantes dans votre AWS environnement. La liste suivante fournit une vue d'ensemble des scénarios de menaces potentiels qui GuardDuty peuvent vous aider à les détecter : + Informations d'identification compromises et exfiltrées. AWS + Exfiltration et destruction de données susceptibles de provoquer un ransomware. Modèles inhabituels d'événements de connexion dans les versions de moteur prises en charge des bases de données Amazon Aurora et Amazon RDS, qui indiquent un comportement anormal. + Activité de cryptomining non autorisée dans vos instances Amazon Elastic Compute Cloud (Amazon EC2) et dans vos charges de travail de conteneurs. + Présence de logiciels malveillants dans vos instances Amazon EC2 et vos charges de travail de conteneur, et de fichiers récemment téléchargés dans vos compartiments Amazon Simple Storage Service (Amazon S3). + Événements au niveau du système d'exploitation, du réseau et des fichiers indiquant un comportement non autorisé sur vos clusters Amazon Elastic Kubernetes Service (Amazon EKS), sur vos tâches Amazon Elastic Container Service (Amazon ECS), sur vos instances Amazon AWS Fargate EC2 et sur vos charges de travail de conteneur. La vidéo suivante donne un aperçu de la manière dont vous pouvez GuardDuty détecter les menaces dans votre AWS environnement. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA) **Topics** + [Caractéristiques de GuardDuty](#features-of-guardduty) + [Conformité PCI DSS](#guardduty-pci-dss-compliance) + [Tarification en GuardDuty](guardduty-pricing.md) + [Accès GuardDuty](guardduty-access.md) ## Caractéristiques de GuardDuty Voici quelques-uns des principaux moyens par lesquels Amazon GuardDuty peut vous aider à surveiller, détecter et gérer les menaces potentielles dans votre AWS environnement. **Surveille en permanence des sources de données et des journaux d'événements spécifiques** + **Détection des menaces fondamentales** : lorsque vous activez un Compte AWS, commence GuardDuty automatiquement GuardDuty à ingérer les sources de données de base associées à ce compte. Ces sources de données incluent les événements AWS CloudTrail de gestion, les journaux de flux VPC (provenant d'instances Amazon EC2) et les journaux DNS. Vous n'avez rien d'autre à activer pour commencer GuardDuty à analyser et à traiter ces sources de données afin de générer les résultats de sécurité associés. Pour de plus amples informations, veuillez consulter [GuardDuty sources de données de base](guardduty_data-sources.md). + **Détection étendue des menaces** — Cette fonctionnalité détecte les attaques en plusieurs étapes qui couvrent les sources de données fondamentales, plusieurs types de AWS ressources et le temps, au sein d'un. Compte AWS Il se peut que plusieurs événements se produisent dans votre compte qui, pris isolément, ne constituent pas une menace claire. Toutefois, lorsque ces événements sont observés dans une séquence indiquant une activité suspecte, il s' GuardDutyagit d'une séquence d'attaque. GuardDuty vous avertit en générant le type de recherche de séquence d'attaque associé pour fournir des détails sur la séquence d'attaque observée. Sans frais supplémentaires, la détection étendue des menaces est automatiquement activée pour chacun d'entre eux Compte AWS lorsqu'ils sont activés GuardDuty. Cette fonctionnalité ne vous oblige pas à activer un plan de protection axé sur les cas d'utilisation. Toutefois, pour renforcer la sécurité de vos ressources Amazon S3, il est GuardDuty recommandé d'activer S3 Protection dans votre compte. Cela aidera Extended Threat Detection à identifier les attaques en plusieurs étapes susceptibles d'avoir un impact sur vos ressources Amazon S3. Pour plus d'informations sur le fonctionnement de cette fonctionnalité et les scénarios de menace qu'elle couvre, consultez[GuardDuty Détection étendue des menaces](guardduty-extended-threat-detection.md). + **Plans de GuardDuty protection axés sur les cas d'utilisation** : pour une meilleure visibilité de la détection des menaces sur la sécurité de votre AWS environnement, GuardDuty propose des plans de protection dédiés que vous pouvez choisir d'activer. Les plans de protection vous aident à surveiller les journaux et les événements provenant d'autres AWS services. Ces sources incluent les journaux d'audit EKS, l'activité de connexion RDS, les événements liés aux données Amazon S3, les volumes EBS CloudTrail, la surveillance du temps d'exécution sur Amazon EKS, Amazon EC2 et Amazon ECS-Fargate, ainsi que les journaux d'activité réseau Lambda. GuardDutyconsolide ces sources de journaux et d'événements sous le terme « [Fonctionnalités](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) ». Vous pouvez activer à tout moment un ou plusieurs plans de protection dédiés dans un Région AWS programme pris en charge. GuardDuty commencera à surveiller, traiter et analyser les activités en fonction du plan de protection que vous activez. Pour plus d'informations sur chaque plan de protection et son fonctionnement, consultez le document du plan de protection correspondant. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/what-is-guardduty.html) **Activez la protection contre les programmes malveillants pour S3 de manière indépendante** GuardDuty offre la possibilité d'utiliser Malware Protection for S3 de manière indépendante, sans activer le GuardDuty service Amazon. Pour plus d'informations sur la mise en route uniquement avec Malware Protection pour S3, consultez[GuardDuty Protection contre les logiciels malveillants pour S3](gdu-malware-protection-s3.md). Pour utiliser tous les autres plans de protection, vous devez activer le GuardDuty service. **Gestion d'un environnement à comptes multiples** Vous pouvez gérer un AWS environnement à comptes multiples en utilisant une méthode d'invitation AWS Organizations (recommandée) ou une ancienne méthode d'invitation. Pour de plus amples informations, veuillez consulter [Plusieurs comptes dans GuardDuty](guardduty_accounts.md). **Génère des résultats de sécurité pour les menaces détectées** Lorsqu'il GuardDuty détecte des menaces de sécurité potentielles associées à vos AWS ressources, il commence à générer des résultats de sécurité fournissant des informations sur la ressource potentiellement compromise. Une fois que vous l'avez activé GuardDuty dans votre compte, générez [Exemples de résultats](sample_findings.md) pour afficher les informations associées[Détails d'un résultat](guardduty_findings-summary.md). Pour une liste complète des résultats de sécurité, voir[GuardDuty types de recherche](guardduty_finding-types-active.md). Vous pouvez également utiliser un script de test qui génère des résultats GuardDuty de sécurité spécifiques pour comprendre comment examiner les GuardDuty résultats et y répondre. GuardDuty Pour de plus amples informations, veuillez consulter [GuardDuty Résultats des tests dans des comptes dédiés](guardduty_findings-scripts.md). **Évaluation et gestion des résultats de sécurité** GuardDuty consolide vos résultats de sécurité sur l'ensemble des comptes et affiche les résultats dans le tableau de bord récapitulatif de la GuardDuty console. Vous pouvez également récupérer les résultats via l' AWS Security Hub CSPM API ou le AWS SDK. AWS Command Line Interface Grâce à une vision globale de votre état de sécurité actuel, vous pouvez identifier les tendances et les problèmes potentiels, et prendre les mesures correctives nécessaires. Pour de plus amples informations, veuillez consulter [Gérer GuardDuty les résultats](findings_management.md). **Intégrez les services AWS de sécurité connexes** Pour mieux analyser et étudier les tendances en matière de sécurité dans votre AWS environnement, pensez à utiliser les services AWS liés à la sécurité suivants en combinaison avec. GuardDuty + **AWS Security Hub CSPM**— Ce service vous donne une vue complète de l'état de sécurité de vos AWS ressources et vous aide à vérifier que votre AWS environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Pour ce faire, il utilise, agrège, organise et hiérarchise les résultats de sécurité provenant de multiples AWS services (y compris Amazon Macie) et de produits du réseau de partenaires (APN) AWS pris en charge. Security Hub CSPM vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires dans votre AWS environnement. Pour plus d'informations sur l'utilisation GuardDuty conjointe de Security Hub CSPM, consultez. [Intégration GuardDuty avec AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub) Pour en savoir plus sur Security Hub CSPM, consultez le guide de l'[AWS Security Hub utilisateur](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). + **Amazon Detective** : ce service vous permet d'analyser, d'enquêter et d'identifier rapidement la cause première des problèmes de sécurité ou des activités suspectes. Detective collecte automatiquement les données du journal à partir de vos AWS ressources. Detective utilise ensuite le machine learning, l’analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener des investigations de sécurité plus rapides et plus efficaces. Les agrégations de données prédéfinies, les résumés et le contexte du Detective vous aident à analyser et à déterminer la nature et l'étendue des problèmes de sécurité potentiels. Pour plus d'informations sur l'utilisation conjointe de Detective GuardDuty et de Detective, consultez[Intégration GuardDuty à Amazon Detective](guardduty_integrations.md#gd-detective). Pour en savoir plus sur Detective, consultez le [guide de l'utilisateur d'Amazon Detective](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html). + **Amazon EventBridge** — Ce service vous permet de recevoir des notifications et de répondre aux GuardDuty problèmes de sécurité en temps quasi réel. GuardDuty crée un événement en cas de modification des résultats. Vous pouvez choisir la fréquence à laquelle vous souhaitez recevoir les notifications EventBridge. Pour plus d'informations, consultez [What is Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) dans le *guide de EventBridge l'utilisateur Amazon*. ## Conformité PCI DSS GuardDuty prend en charge le traitement, le stockage et la transmission des données de carte de crédit par un commerçant ou un fournisseur de services, et sa conformité à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) a été validée. Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS niveau 1. Pour plus d'informations, consultez la section [Nouveau test tiers comparant Amazon GuardDuty aux systèmes de détection d'intrusion sur le réseau](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/) dans le *blog sur la AWS sécurité*. # Tarification en GuardDuty Cette section se concentre sur le Niveau gratuit d'AWS modèle GuardDuty utilisé pour les différents plans de protection et sur la manière dont vous pouvez consulter les coûts d'utilisation estimés et réels. Si vous recherchez le détail des tarifs associés à tous les plans de protection dans les régions prises en charge, consultez [GuardDutyles tarifs](https://aws.amazon.com/guardduty/pricing/). **Niveau gratuit d'AWS** Niveau gratuit d'AWS vous permet d'explorer et d'essayer Services AWS gratuitement jusqu'à des limites spécifiées pour chaque service. Il existe trois catégories : 12 mois gratuits, toujours gratuits et essais gratuits de courte durée. Amazon GuardDuty appartient à la catégorie des essais gratuits de courte durée et propose un essai gratuit de 30 jours. Lorsque vous continuez à utiliser ce GuardDuty service après la fin de cet essai gratuit, vous commencez à encourir des frais en fonction de la façon dont vous utilisez ce service. ****1** Exception à l' GuardDuty essai gratuit de 30 jours** L'analyse des programmes malveillants à la demande (sous Malware Protection for EC2) et Malware Protection for S3 n'entrent pas dans la catégorie des essais gratuits de courte durée de GuardDuty 30 jours. La protection contre les programmes malveillants pour S3 entre dans la catégorie des 12 mois gratuits, Niveau gratuit d'AWS tandis que l'analyse des programmes malveillants à la demande suit un modèle de pay-as-you-use coût. Il n'existe pas d'essai gratuit de 30 jours ni de modèle de coût gratuit de 12 mois avec analyse des programmes malveillants à la demande. ## Utilisation de l' GuardDuty essai gratuit de 30 jours Lorsque vous l'utilisez GuardDuty pour la première fois depuis une Région AWS, vous Compte AWS êtes automatiquement inscrit à un essai gratuit de 30 jours dans cette région. Certains plans de protection seront également activés automatiquement et sont inclus dans l'essai gratuit de 30 jours. Comme il GuardDuty s'agit d'un service régional, lorsque vous l'activez pour la première fois dans une autre région, votre compte bénéficie d'un essai gratuit de 30 jours GuardDuty dans cette région. Lorsque vous travaillez avec plusieurs comptes au sein d'une GuardDuty organisation, chaque compte bénéficie de son propre essai gratuit de 30 jours. Utilisez le tableau suivant pour connaître les plans de protection activés par défaut et leur disponibilité en version d'essai gratuite. GuardDuty | Plan de protection | Activé par défaut avec GuardDuty | Disponibilité d'essai gratuite séparée **[2](#protection-plan-separate-enablement-gdu)** | | --- | --- | --- | | [Protection EKS](kubernetes-protection.md) | Oui | Oui | | [Protection S3](s3-protection.md) | Oui | Oui | | [Surveillance d’exécution](runtime-monitoring.md) | Non | Oui | | [Protection contre les logiciels malveillants pour EC2](malware-protection.md) – [GuardDuty-analyse des logiciels malveillants initiée](gdu-initiated-malware-scan.md) | Oui | Oui | | [Protection contre les logiciels malveillants pour EC2](malware-protection.md) – [Analyse des malwares à la demande dans GuardDuty](on-demand-malware-scan.md) | Non | Non [1](#protection-plan-exception-free-trial-gdu) | | [GuardDuty Protection contre les logiciels malveillants pour S3](gdu-malware-protection-s3.md) | Non | Non [1](#protection-plan-exception-free-trial-gdu) | | [Protection RDS](rds-protection.md) | Oui | Oui | | [Protection Lambda](lambda-protection.md) | Oui | Oui | **2** Lorsque vous GuardDuty les activez pour la première fois, les plans de protection (à l'exception de la surveillance du temps d'exécution) sont automatiquement activés et inclus dans l'essai gratuit initial de 30 jours. Lorsqu'un GuardDuty compte existant active un nouveau plan de protection après l'expiration de son essai GuardDuty gratuit initial, ce plan de protection est assorti de son propre essai gratuit de 30 jours. Pour plus d'informations sur les essais gratuits des plans de protection, consultez le document associé à chaque plan de protection. **Afficher le coût d'utilisation estimé pendant l'essai gratuit** — Au cours de l'essai gratuit de 30 jours GuardDuty et éventuellement d'un plan de protection, GuardDuty fournit une estimation du coût d'utilisation de votre compte. Si vous êtes un compte GuardDuty administrateur délégué, vous pouvez consulter le coût d'utilisation total estimé et la répartition au niveau du compte pour tous les comptes membres qui ont été activés. GuardDuty Pour de plus amples informations, veuillez consulter [Surveillance de GuardDuty l'utilisation et estimation des coûts](monitoring_costs.md). **Coût d'utilisation après la fin de l'essai gratuit** — Si vous continuez à utiliser l' GuardDuty un de ses plans de protection après la fin de l'essai gratuit, vous commencez à encourir des frais d'utilisation associés. Pour consulter votre facture, accédez à **Cost Explorer** dans la [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)console. Pour plus d'informations sur la facturation du AWS compte, consultez le [guide de AWS Billing l'utilisateur](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html). ## Utilisation de la protection contre les programmes malveillants pour S3 avec un niveau gratuit de 12 mois Malware Protection for S3 utilise un plan gratuit associé à votre abonnement, Comptes AWS qu'il s'agisse d'un nouveau forfait, d'un niveau gratuit permanent ou d'un plan gratuit expiré de 12 mois. Pour de plus amples informations, veuillez consulter [Tarification et coût d'utilisation de Malware Protection for S3](pricing-malware-protection-for-s3-guardduty.md). # Accès GuardDuty Amazon GuardDuty est disponible dans la plupart des pays Régions AWS. Pour une liste des régions où cette GuardDuty option est actuellement disponible, consultez[Régions et points de terminaison](guardduty_regions.md). Vous pouvez l'utiliser GuardDuty de l'une des manières suivantes : **GuardDuty console** [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) La console est une interface basée sur un navigateur qui permet d'accéder à GuardDuty et de l'utiliser. La GuardDuty console permet d'accéder à votre GuardDuty compte, à vos données et à vos ressources. **AWS Command Line Interface** Avec AWS Command Line Interface (AWS CLI), vous pouvez émettre des commandes sur la ligne de commande de votre système pour effectuer des GuardDuty tâches et AWS des tâches. Les AWS CLI commandes sont utiles si vous souhaitez créer des scripts qui exécutent des tâches. Pour plus d'informations sur l'installation et l'utilisation AWS CLI, consultez le [Guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/). Pour consulter les AWS CLI commandes disponibles pour GuardDuty, consultez la section [Référence des AWS CLI commandes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html). **GuardDuty API HTTPS** Vous pouvez y accéder GuardDuty et par AWS programmation en utilisant l'API GuardDuty HTTPS, qui vous permet d'envoyer des requêtes HTTPS directement au service. Pour plus d'informations, consultez le [Amazon GuardDuty API Reference](https://docs.aws.amazon.com/guardduty/latest/APIReference/). **AWS SDKs** AWS fournit des kits de développement logiciel (SDKs) composés de bibliothèques et d'exemples de code pour différents langages de programmation et plateformes (Java, Python, Ruby, .NET, iOS, Android, etc.). Ils SDKs fournissent un moyen pratique de créer un accès programmatique à GuardDuty. Pour plus d'informations AWS SDKs, notamment sur la manière de les télécharger et de les installer, consultez la section [Outils pour Amazon Web Services](https://aws.amazon.com/tools/).