View a markdown version of this page

O que é a Amazon GuardDuty? - Amazon GuardDuty
Características do GuardDutyCompatibilidade com PCI DSS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é a Amazon GuardDuty?

GuardDuty A Amazon é um serviço de detecção de ameaças que monitora, analisa e processa continuamente fontes de AWS dados e registros em seu AWS ambiente. GuardDuty usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, hashes de arquivos e modelos de aprendizado de máquina (ML) para identificar atividades suspeitas e potencialmente maliciosas em seu ambiente. AWS A lista a seguir fornece uma visão geral dos possíveis cenários de ameaças que GuardDuty podem ajudá-lo a detectar:

  • Credenciais comprometidas e extraídas. AWS

  • Extração e destruição de dados que podem levar a um evento de ransomware. Padrões incomuns de eventos de login nas versões de mecanismo compatíveis com os bancos de dados Amazon Aurora e Amazon RDS que indicam comportamento anômalo.

  • Atividade de criptomineração não autorizada em suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e em workloads de contêineres.

  • Presença de malware em suas instâncias do Amazon EC2 e em workloads de contêineres e arquivos recém-carregados em buckets do Amazon Simple Storage Service (Amazon S3).

  • Eventos no nível do sistema operacional, na rede e em arquivos que indicam comportamento não autorizado em clusters do Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS) - tarefas AWS Fargate e em instâncias do Amazon EC2 e workloads de contêineres.

O vídeo a seguir fornece uma visão geral de como GuardDuty ajuda você a detectar ameaças em seu AWS ambiente.

Conteúdo

Características do GuardDuty

Aqui estão algumas das principais maneiras pelas quais a Amazon GuardDuty pode ajudar você a monitorar, detectar e gerenciar possíveis ameaças em seu AWS ambiente.

Monitora continuamente fontes de dados e registros de eventos específicos

  • Detecção básica de ameaças — Quando você ativa GuardDuty uma Conta da AWS, começa GuardDuty automaticamente a ingerir as fontes de dados fundamentais associadas a essa conta. Essas fontes de dados incluem eventos AWS CloudTrail de gerenciamento, registros de fluxo da VPC (de instâncias do Amazon EC2) e registros de DNS. Você não precisa habilitar mais nada para começar GuardDuty a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas. Para obter mais informações, consulte GuardDuty fontes de dados fundamentais.

  • Detecção estendida de ameaças — Esse recurso detecta ataques em vários estágios que abrangem fontes de dados fundamentais, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Pode haver vários eventos na sua conta que, individualmente, não se apresentam como uma ameaça clara. No entanto, quando esses eventos são observados em uma sequência indicativa de uma atividade suspeita, GuardDuty identifica-a como uma sequência de ataque. GuardDuty notifica você gerando o tipo de descoberta da sequência de ataque associada para fornecer detalhes sobre a sequência de ataque observada.

    Sem nenhum custo adicional associado, a Detecção Estendida de Ameaças é ativada automaticamente para cada um Conta da AWS quando eles são ativados GuardDuty. Esse recurso não exige que você habilite nenhum plano de proteção focado no caso de uso. No entanto, para aumentar a amplitude da segurança de seus recursos do Amazon S3 GuardDuty , recomenda habilitar a Proteção do S3 em sua conta. Isso ajudará a Detecção de Ameaças Avançada a identificar ataques em vários estágios que potencialmente afetam seus recursos do Amazon S3.

    Para obter mais informações sobre como esse recurso funciona e quais cenários de ameaça ele abrange, consulte GuardDuty Detecção estendida de ameaças.

  • Planos de GuardDuty proteção focados no caso de uso — Para maior visibilidade da detecção de ameaças na segurança do seu AWS ambiente, GuardDuty oferece planos de proteção dedicados que você pode optar por ativar. Os planos de proteção ajudam você a monitorar registros e eventos de outros AWS serviços. Essas fontes incluem registros de auditoria do EKS, atividade de login do RDS, eventos de dados do Amazon S3 CloudTrail em, volumes do EBS, monitoramento de tempo de execução no Amazon EKS, Amazon EC2 e Amazon ECS-Fargate e registros de atividades de rede Lambda. GuardDutyconsolida essas fontes de log e eventos sob o termo - Características. Você pode habilitar um ou mais planos de proteção dedicados em um suporte Região da AWS a qualquer momento. GuardDuty iniciará o monitoramento, o processamento e a análise das atividades com base no plano de proteção ativado. Para obter mais informações sobre cada plano de proteção e como ele funciona, consulte o documento do plano de proteção correspondente.

    Plano de proteção Description

    Proteção do S3

    Identifica possíveis riscos de segurança, como tentativas de exfiltração e destruição de dados em seus buckets do Amazon S3.

    Proteção do EKS

    Monitoramento de logs de auditoria do EKS analisa os logs dos clusters do Amazon EKS em busca de atividades potencialmente mal-intencionadas e suspeitas.

    Monitoramento de runtime

    Monitora e analisa eventos em nível de sistema operacional em seu Amazon EKS, Amazon EC2 e Amazon ECS (inclusive AWS Fargate), para detectar possíveis ameaças em runtime.

    Proteção contra malware para o EC2

    Detecta a possível presença de malware ao escanear os volumes do Amazon EBS associados às suas instâncias do Amazon EC2. Há uma opção para usar esse recurso sob demanda.

    Proteção contra malware para S3

    Detecta a presença potencial de malware nos objetos recém-carregados em seus buckets do Amazon S3. Há uma opção para usar esse recurso sob demanda.

    Proteção contra malware para AWS backup

    Detecta a presença potencial de malware examinando recursos de backup, incluindo instantâneos do EBS, AMIs do EC2 e pontos de recuperação de backup AWS . Há uma opção para usar esse recurso sob demanda.

    Proteção do RDS

    Analisa e traça o perfil de atividade de login RDS em busca de possíveis ameaças de acesso aos seus bancos de dados do Amazon Aurora e Amazon RDS.

    Proteção do Lambda

    Monitora os registros de atividades da rede Lambda, começando com os registros de fluxo da VPC, para detectar ameaças às suas funções. AWS Lambda Exemplos dessas ameaças em potencial incluem criptomineração e comunicação com servidores maliciosos.
    A proteção contra malware para S3 é um recurso independente

    GuardDuty oferece flexibilidade para usar o Malware Protection for S3 de forma independente, sem habilitar o GuardDuty serviço Amazon. Para obter mais informações sobre os conceitos básicos de Proteção de Malware para S3, consulteGuardDuty Proteção contra malware para S3. Para usar todos os outros planos de proteção, você deve ativar o GuardDuty serviço.

Gerencie o ambiente de várias contas

Você pode gerenciar um AWS ambiente de várias contas usando o método de convite AWS Organizations (recomendado) ou antigo. Para obter mais informações, consulte Várias contas em GuardDuty.

Gera descobertas de segurança para ameaças detectadas

Quando GuardDuty detecta possíveis ameaças à segurança associadas aos seus AWS recursos, ele começa a gerar descobertas de segurança que fornecem informações sobre o recurso potencialmente comprometido. Depois de habilitar GuardDuty em sua conta, gere Amostras de resultados para ver o associadoDetalhes da descoberta. Para obter uma lista completa de descobertas de segurança, consulteGuardDuty tipos de descoberta.

Com GuardDuty, você também pode usar um script de testador que gera descobertas GuardDuty de segurança específicas para entender como analisar e responder às GuardDuty descobertas. Para obter mais informações, consulte GuardDuty Resultados do teste em contas dedicadas.

Avaliando e gerenciando descobertas de segurança

GuardDuty consolida suas descobertas de segurança em todas as contas e exibe os resultados no painel de resumo no GuardDuty console. Você também pode recuperar descobertas por meio da AWS Security Hub CSPM API ou do AWS SDK. AWS Command Line Interface Com uma visão ampla do seu status de segurança atual, você pode identificar tendências e potenciais problemas e tomar as medidas de correção necessárias. Para obter mais informações, consulte Gerenciando GuardDuty descobertas.

Integre com serviços AWS de segurança relacionados

Para ajudá-lo ainda mais a analisar e investigar as tendências de segurança em seu AWS ambiente, considere usar os seguintes serviços AWS relacionados à segurança em combinação com o. GuardDuty

  • AWS Security Hub CSPM— Esse serviço oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários AWS serviços (incluindo Amazon Macie) e produtos compatíveis da AWS Partner Network (APN). O Security Hub CSPM ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente.

    Para obter informações sobre como usar o GuardDuty CSPM do Security Hub em conjunto, consulte. Integrando com GuardDuty AWS Security Hub CSPM Para saber mais sobre o CSPM do Security Hub, consulte o Guia do AWS Security Hub Usuário.

  • O Amazon Detective - Este serviço ajuda a analisar, investigar e identificar rapidamente a causa raiz de descobertas de segurança ou atividades suspeitas. Detective coleta automaticamente os dados de registro de seus recursos. AWS Em seguida, ele usa machine learning, análises estatísticas e a teoria de grafos para gerar visualizações que ajudam a realizar investigações de segurança eficazes com maior rapidez. O Detective faz a pré-construção de agregações de dados, resumos e contexto predefinidos que podem ajudar você a analisar e determinar a natureza e a extensão de possíveis problemas de segurança.

    Para obter informações sobre como usar o GuardDuty Detective em conjunto, consulte. Integração GuardDuty com o Amazon Detective Para saber mais sobre Detective, consulte o Guia do usuário do Amazon Detective.

  • Amazon EventBridge — Esse serviço ajuda você a receber notificações e responder às descobertas GuardDuty de segurança quase em tempo real. GuardDuty cria um evento quando há uma mudança nas descobertas. Você pode escolher com que frequência deseja receber as notificações EventBridge. Para obter mais informações, consulte O que é a Amazon EventBridge no Guia EventBridge do usuário da Amazon.

Compatibilidade com PCI DSS

GuardDuty suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do PCI AWS Compliance Package, consulte PCI DSS Nível 1.

Para obter mais informações, consulte Novo teste de terceiros que compara GuardDuty a Amazon com sistemas de detecção de intrusões de rede no AWS blog de segurança.