As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # O que é a Amazon GuardDuty? GuardDuty A Amazon é um serviço de detecção de ameaças que monitora, analisa e processa continuamente fontes de AWS dados e registros em seu AWS ambiente. GuardDuty usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, hashes de arquivos e modelos de aprendizado de máquina (ML) para identificar atividades suspeitas e potencialmente maliciosas em seu ambiente. AWS A lista a seguir fornece uma visão geral dos possíveis cenários de ameaças que GuardDuty podem ajudá-lo a detectar: + Credenciais comprometidas e extraídas. AWS + Extração e destruição de dados que podem levar a um evento de ransomware. Padrões incomuns de eventos de login nas versões de mecanismo compatíveis com os bancos de dados Amazon Aurora e Amazon RDS que indicam comportamento anômalo. + Atividade de criptomineração não autorizada em suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e em workloads de contêineres. + Presença de malware em suas instâncias do Amazon EC2 e em workloads de contêineres e arquivos recém-carregados em buckets do Amazon Simple Storage Service (Amazon S3). + Eventos no nível do sistema operacional, na rede e em arquivos que indicam comportamento não autorizado em clusters do Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS) - tarefas AWS Fargate e em instâncias do Amazon EC2 e workloads de contêineres. O vídeo a seguir fornece uma visão geral de como GuardDuty ajuda você a detectar ameaças em seu AWS ambiente. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA) **Topics** + [Características do GuardDuty](#features-of-guardduty) + [Compatibilidade com PCI DSS](#guardduty-pci-dss-compliance) + [Preços em GuardDuty](guardduty-pricing.md) + [Acessando GuardDuty](guardduty-access.md) ## Características do GuardDuty Aqui estão algumas das principais maneiras pelas quais a Amazon GuardDuty pode ajudar você a monitorar, detectar e gerenciar possíveis ameaças em seu AWS ambiente. **Monitora continuamente fontes de dados e registros de eventos específicos** + **Detecção básica de ameaças** — Quando você ativa GuardDuty uma Conta da AWS, começa GuardDuty automaticamente a ingerir as fontes de dados fundamentais associadas a essa conta. Essas fontes de dados incluem eventos AWS CloudTrail de gerenciamento, registros de fluxo da VPC (de instâncias do Amazon EC2) e registros de DNS. Você não precisa habilitar mais nada para começar GuardDuty a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas. Para obter mais informações, consulte [GuardDuty fontes de dados fundamentais](guardduty_data-sources.md). + **Detecção estendida de ameaças** — Esse recurso detecta ataques em vários estágios que abrangem fontes de dados fundamentais, vários tipos de AWS recursos e tempo, dentro de um. Conta da AWS Pode haver vários eventos na sua conta que, individualmente, não se apresentam como uma ameaça clara. No entanto, quando esses eventos são observados em uma sequência indicativa de uma atividade suspeita, GuardDuty identifica-a como uma sequência de ataque. GuardDuty notifica você gerando o tipo de descoberta da sequência de ataque associada para fornecer detalhes sobre a sequência de ataque observada. Sem nenhum custo adicional associado, a Detecção Estendida de Ameaças é ativada automaticamente para cada um Conta da AWS quando eles são ativados GuardDuty. Esse recurso não exige que você habilite nenhum plano de proteção focado no caso de uso. No entanto, para aumentar a amplitude da segurança de seus recursos do Amazon S3 GuardDuty , recomenda habilitar a Proteção do S3 em sua conta. Isso ajudará a Detecção de Ameaças Avançada a identificar ataques em vários estágios que potencialmente afetam seus recursos do Amazon S3. Para obter mais informações sobre como esse recurso funciona e quais cenários de ameaça ele abrange, consulte [GuardDuty Detecção estendida de ameaças](guardduty-extended-threat-detection.md). + **Planos de GuardDuty proteção focados no caso de uso** — Para maior visibilidade da detecção de ameaças na segurança do seu AWS ambiente, GuardDuty oferece planos de proteção dedicados que você pode optar por ativar. Os planos de proteção ajudam você a monitorar registros e eventos de outros AWS serviços. Essas fontes incluem registros de auditoria do EKS, atividade de login do RDS, eventos de dados do Amazon S3 CloudTrail em, volumes do EBS, monitoramento de tempo de execução no Amazon EKS, Amazon EC2 e Amazon ECS-Fargate e registros de atividades de rede Lambda. GuardDutyconsolida essas fontes de log e eventos sob o termo - [Características](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html). Você pode habilitar um ou mais planos de proteção dedicados em um suporte Região da AWS a qualquer momento. GuardDuty iniciará o monitoramento, o processamento e a análise das atividades com base no plano de proteção ativado. Para obter mais informações sobre cada plano de proteção e como ele funciona, consulte o documento do plano de proteção correspondente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/what-is-guardduty.html) **A proteção contra malware para S3 é um recurso independente** GuardDuty oferece flexibilidade para usar o Malware Protection for S3 de forma independente, sem habilitar o GuardDuty serviço Amazon. Para obter mais informações sobre os conceitos básicos de Proteção de Malware para S3, consulte[GuardDuty Proteção contra malware para S3](gdu-malware-protection-s3.md). Para usar todos os outros planos de proteção, você deve ativar o GuardDuty serviço. **Gerencie o ambiente de várias contas** Você pode gerenciar um AWS ambiente de várias contas usando o método de convite AWS Organizations (recomendado) ou antigo. Para obter mais informações, consulte [Várias contas em GuardDuty](guardduty_accounts.md). **Gera descobertas de segurança para ameaças detectadas** Quando GuardDuty detecta possíveis ameaças à segurança associadas aos seus AWS recursos, ele começa a gerar descobertas de segurança que fornecem informações sobre o recurso potencialmente comprometido. Depois de habilitar GuardDuty em sua conta, gere [Amostras de resultados](sample_findings.md) para ver o associado[Detalhes da descoberta](guardduty_findings-summary.md). Para obter uma lista completa de descobertas de segurança, consulte[GuardDuty tipos de descoberta](guardduty_finding-types-active.md). Com GuardDuty, você também pode usar um script de testador que gera descobertas GuardDuty de segurança específicas para entender como analisar e responder às GuardDuty descobertas. Para obter mais informações, consulte [GuardDuty Resultados do teste em contas dedicadas](guardduty_findings-scripts.md). **Avaliando e gerenciando descobertas de segurança** GuardDuty consolida suas descobertas de segurança em todas as contas e exibe os resultados no painel de resumo no GuardDuty console. Você também pode recuperar descobertas por meio da AWS Security Hub CSPM API ou do AWS SDK. AWS Command Line Interface Com uma visão ampla do seu status de segurança atual, você pode identificar tendências e potenciais problemas e tomar as medidas de correção necessárias. Para obter mais informações, consulte [Gerenciando GuardDuty descobertas](findings_management.md). **Integre com serviços AWS de segurança relacionados** Para ajudá-lo ainda mais a analisar e investigar as tendências de segurança em seu AWS ambiente, considere usar os seguintes serviços AWS relacionados à segurança em combinação com o. GuardDuty + **AWS Security Hub CSPM**— Esse serviço oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários AWS serviços (incluindo Amazon Macie) e produtos compatíveis da AWS Partner Network (APN). O Security Hub CSPM ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente. Para obter informações sobre como usar o GuardDuty CSPM do Security Hub em conjunto, consulte. [Integrando com GuardDuty AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub) Para saber mais sobre o CSPM do Security Hub, consulte o Guia do [AWS Security Hub Usuário](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). + O **Amazon Detective** - Este serviço ajuda a analisar, investigar e identificar rapidamente a causa raiz de descobertas de segurança ou atividades suspeitas. Detective coleta automaticamente os dados de registro de seus recursos. AWS Em seguida, ele usa machine learning, análises estatísticas e a teoria de grafos para gerar visualizações que ajudam a realizar investigações de segurança eficazes com maior rapidez. O Detective faz a pré-construção de agregações de dados, resumos e contexto predefinidos que podem ajudar você a analisar e determinar a natureza e a extensão de possíveis problemas de segurança. Para obter informações sobre como usar o GuardDuty Detective em conjunto, consulte. [Integração GuardDuty com o Amazon Detective](guardduty_integrations.md#gd-detective) Para saber mais sobre Detective, consulte o Guia do usuário do Amazon [Detective](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html). + **Amazon EventBridge** — Esse serviço ajuda você a receber notificações e responder às descobertas GuardDuty de segurança quase em tempo real. GuardDuty cria um evento quando há uma mudança nas descobertas. Você pode escolher com que frequência deseja receber as notificações EventBridge. Para obter mais informações, consulte [O que é a Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) no *Guia EventBridge do usuário da Amazon*. ## Compatibilidade com PCI DSS GuardDuty suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Nível 1. *Para obter mais informações, consulte [Novo teste de terceiros que compara GuardDuty a Amazon com sistemas de detecção de intrusões de rede no AWS blog](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/) de segurança.* # Preços em GuardDuty Esta seção se concentra no Nível gratuito da AWS modelo GuardDuty usado em vários planos de proteção e em como você pode visualizar os custos de uso estimados e reais. Se você estiver procurando os detalhes de preços associados a todos os planos de proteção nas regiões suportadas, consulte os [GuardDutypreços](https://aws.amazon.com/guardduty/pricing/). **Nível gratuito da AWS** Nível gratuito da AWS ajuda você a explorar e experimentar Serviços da AWS gratuitamente até os limites especificados para cada serviço. Há três categorias - 12 meses gratuitos, sempre gratuitos e testes gratuitos de curto prazo. A Amazon GuardDuty pertence à categoria de teste gratuito de curto prazo e oferece um teste gratuito de 30 dias. Ao continuar usando GuardDuty após o término do teste gratuito, você começa a incorrer em custos com base em como usa esse serviço. ****1** exceção ao GuardDuty teste gratuito de 30 dias** A verificação de malware sob demanda (em Proteção contra malware para EC2) e a Proteção contra malware para S3 não se enquadram na categoria de teste gratuito de curto prazo de GuardDuty 30 dias. A proteção contra malware para S3 se enquadra na categoria gratuita de 12 meses do, Nível gratuito da AWS enquanto a verificação de malware sob demanda segue um modelo de pay-as-you-use custo. Não há teste gratuito de 30 dias ou um modelo de custo de nível gratuito de 12 meses com verificação de malware sob demanda. ## Usando o GuardDuty teste gratuito de 30 dias Ao usar GuardDuty pela primeira vez em um Região da AWS, você Conta da AWS é automaticamente inscrito em um teste gratuito de 30 dias nessa região. Alguns dos planos de proteção também serão habilitados automaticamente e incluídos no teste gratuito de 30 dias. Como GuardDuty é um serviço regional, quando você o ativa pela primeira vez em uma região diferente, sua conta receberá um teste gratuito de 30 dias dessa GuardDuty região. Ao trabalhar com várias contas em uma GuardDuty organização, cada conta tem seu próprio teste gratuito de 30 dias. Use a tabela a seguir para verificar quais planos de proteção estão habilitados por GuardDuty padrão e sua disponibilidade de teste gratuito. | Plano de proteção | Ativado por padrão com GuardDuty | Disponibilidade de teste gratuito separado**[2](#protection-plan-separate-enablement-gdu)** | | --- | --- | --- | | [Proteção do EKS](kubernetes-protection.md) | Sim | Sim | | [Proteção do S3](s3-protection.md) | Sim | Sim | | [Monitoramento de runtime](runtime-monitoring.md) | Não | Sim | | [Proteção contra malware para o EC2](malware-protection.md) – [GuardDuty- verificação de malware iniciada](gdu-initiated-malware-scan.md) | Sim | Sim | | [Proteção contra malware para o EC2](malware-protection.md) – [Análise de malware sob demanda em GuardDuty](on-demand-malware-scan.md) | Não | Não [1](#protection-plan-exception-free-trial-gdu) | | [GuardDuty Proteção contra malware para S3](gdu-malware-protection-s3.md) | Não | Não [1](#protection-plan-exception-free-trial-gdu) | | [Proteção do RDS](rds-protection.md) | Sim | Sim | | [Proteção do Lambda](lambda-protection.md) | Sim | Sim | **2** Quando você ativa GuardDuty pela primeira vez, os planos de proteção (exceto o Runtime Monitoring) são automaticamente ativados e incluídos no teste gratuito inicial de 30 dias. Quando uma GuardDuty conta existente ativa um novo plano de proteção após o término do teste GuardDuty gratuito inicial, esse plano de proteção vem com seu próprio teste gratuito de 30 dias. Para obter informações sobre o teste gratuito associado a cada plano de proteção. **Veja o custo estimado de uso durante o teste gratuito** — Durante o teste gratuito de 30 dias GuardDuty e, potencialmente, um plano de proteção, GuardDuty fornece o custo estimado de uso da sua conta. Se você for uma conta de GuardDuty administrador delegado, poderá ver o custo total de uso estimado e o detalhamento em nível de conta de todas as contas de membros que foram ativadas. GuardDuty Para obter mais informações, consulte [Monitorando GuardDuty o uso e estimando os custos](monitoring_costs.md). **Custo de uso após o término do teste gratuito** — Ao continuar usando GuardDuty ou qualquer um de seus planos de proteção após o término do teste gratuito, você começará a incorrer nos custos de uso associados. Para ver sua fatura, navegue até **Cost Explorer** no [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)console. Para obter mais informações sobre o faturamento da AWS conta, consulte o [Guia AWS Billing do usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html). ## Usando a Proteção contra malware para S3 com nível gratuito de 12 meses O Malware Protection for S3 usa um plano de nível gratuito associado ao seu Contas da AWS que é novo, tem um nível gratuito contínuo ou tem um nível gratuito expirado de 12 meses. Para obter mais informações, consulte [Preço e custo de uso da Proteção contra Malware para S3](pricing-malware-protection-for-s3-guardduty.md). # Acessando GuardDuty A Amazon GuardDuty está disponível na maioria Regiões da AWS. Para obter uma lista das regiões em GuardDuty que está disponível atualmente, consulte[Regiões e endpoints](guardduty_regions.md). Você pode usar GuardDuty de qualquer uma das seguintes formas: **GuardDuty console** [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) O console é uma interface baseada em navegador para acesso e uso do GuardDuty. O GuardDuty console fornece acesso à sua GuardDuty conta, dados e recursos. **AWS Command Line Interface** Com AWS Command Line Interface (AWS CLI), você pode emitir comandos na linha de comando do seu sistema para realizar GuardDuty tarefas e AWS tarefas. Os AWS CLI comandos são úteis se você quiser criar scripts que executem tarefas. Para obter informações sobre instalação e uso AWS CLI, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/). Para ver os AWS CLI comandos disponíveis para GuardDuty, consulte [Referência de AWS CLI comandos](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html). **GuardDuty API HTTPS** Você pode acessar GuardDuty e AWS programaticamente usando a API GuardDuty HTTPS, que permite emitir solicitações HTTPS diretamente para o serviço. Para obter mais informações, consulte a [Amazon GuardDuty API Reference](https://docs.aws.amazon.com/guardduty/latest/APIReference/). **AWS SDKs** AWS fornece kits de desenvolvimento de software (SDKs) que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas de programação (Java, Python, Ruby, .NET, iOS, Android e muito mais). Eles SDKs fornecem uma maneira conveniente de criar acesso programático a. GuardDuty Para obter informações sobre o AWS SDKs, incluindo como baixá-los e instalá-los, consulte [Ferramentas para Amazon Web Services](https://aws.amazon.com/tools/).