Concepts et terminologie

Lorsque vous débutez avec Amazon GuardDuty, vous pouvez bénéficier de l'apprentissage de ses concepts clés.

Compte

Un compte Amazon Web Services (AWS) standard contenant vos AWS ressources. Vous pouvez vous connecter AWS à votre compte et l'activer GuardDuty.

Vous pouvez également inviter d'autres comptes à activer votre AWS compte GuardDuty et à s'y associer dans GuardDuty. Si vos invitations sont acceptées, votre compte est désigné comme GuardDuty compte administrateur et les comptes ajoutés deviennent vos comptes de membre. Vous pouvez ensuite consulter et gérer les GuardDuty résultats de ces comptes en leur nom.

Les utilisateurs du compte administrateur peuvent configurer GuardDuty , consulter et gérer les GuardDuty résultats pour leur propre compte et pour tous leurs comptes membres. Vous pouvez avoir jusqu'à 10 000 comptes de membres GuardDuty.

Les utilisateurs des comptes membres peuvent configurer GuardDuty , consulter et gérer les GuardDuty résultats de leur compte (via la console GuardDuty de gestion ou l' GuardDuty API). Les utilisateurs de comptes membres ne peuvent pas afficher ou gérer des résultats dans les comptes d'autres membres.

An ne Compte AWS peut pas être un compte GuardDuty administrateur et un compte membre en même temps. An ne Compte AWS peut accepter qu'une seule invitation d'adhésion. L'acceptation d'une invitation d'adhésion est facultative.

Pour plus d’informations, consultez Gérer plusieurs comptes sur Amazon GuardDuty.

Détecteur

Amazon GuardDuty est un service régional. Lorsque vous l'activez GuardDuty dans un domaine spécifique Région AWS, vous Compte AWS êtes associé à un identifiant de détecteur. Cet identifiant alphanumérique à 32 caractères est unique à votre compte dans cette région. Par exemple, lorsque vous activez GuardDuty le même compte dans une région différente, votre compte sera associé à un identifiant de détecteur différent. Le format d'un ID de détecteur est 12abc34d567e8fa901bc2d34e56789f0.

Tous les GuardDuty résultats, comptes et actions relatifs à la gestion des résultats et au GuardDuty service utilisent un identifiant de détecteur pour exécuter une opération d'API.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la console https://console.aws.amazon.com/guardduty/ ou exécutez l'ListDetectorsAPI

Note

Dans des environnements à plusieurs comptes, tous les résultats destinés aux comptes membres sont associés au détecteur du compte administrateur.

Certaines GuardDuty fonctionnalités sont configurées via le détecteur, telles que la configuration de la fréquence de notification des CloudWatch événements et l'activation ou la désactivation de plans de protection facultatifs GuardDuty à traiter.

Utilisation de la protection contre les programmes malveillants pour S3 dans GuardDuty

Lorsque vous activez la protection contre les programmes malveillants pour S3 dans un compte où cette option GuardDuty est activée, les actions de protection contre les programmes malveillants pour S3 telles que l'activation, la modification et la désactivation d'une ressource protégée ne sont pas associées à l'ID du détecteur.

Lorsque vous n'activez pas GuardDuty et ne choisissez pas l'option de détection des menaces Malware Protection for S3, aucun identifiant de détecteur n'est créé pour votre compte.

Sources de données fondamentales

Origine ou emplacement d'un ensemble de données. Pour détecter une activité non autorisée ou inattendue dans votre AWS environnement. GuardDuty analyse et traite les données provenant des journaux d' AWS CloudTrail événements, AWS CloudTrail des événements de gestion, AWS CloudTrail des événements de données pour S3, des journaux de flux VPC, des journaux DNS, voir. Source de données de base

Fonctionnalité

Un objet fonctionnel configuré pour votre plan de GuardDuty protection permet de détecter une activité non autorisée ou inattendue dans votre AWS environnement. Chaque plan de GuardDuty protection configure l'objet fonctionnel correspondant pour analyser et traiter les données. Parmi les objets de fonctionnalité, citons les journaux d'audit EKS, la surveillance de l'activité de connexion RDS, les journaux d'activité du réseau Lambda et les volumes EBS. Pour plus d’informations, consultez Activation des fonctionnalités dans GuardDuty.

Résultat

Un problème potentiel de sécurité a été détecté par GuardDuty. Pour plus d’informations, consultez Comprendre les GuardDuty résultats d'Amazon.

Les résultats sont affichés dans la GuardDuty console et contiennent une description détaillée du problème de sécurité. Vous pouvez également récupérer les résultats que vous avez générés en appelant les opérations GetFindingset ListFindingsAPI.

Vous pouvez également consulter vos GuardDuty résultats grâce aux CloudWatch événements Amazon. GuardDuty envoie les résultats à Amazon CloudWatch via le protocole HTTPS. Pour plus d’informations, consultez Création de réponses personnalisées aux GuardDuty résultats avec Amazon CloudWatch Events.

IAM PassRole

Il s'agit du rôle IAM disposant des autorisations requises pour scanner l'objet S3. Lorsque le balisage des objets numérisés est activé, les PassRole autorisations IAM permettent d' GuardDuty ajouter des balises à l'objet numérisé.

Ressource du plan de protection contre les logiciels

Après avoir activé Malware Protection for S3 pour un bucket, GuardDuty crée une ressource de plan Malware Protection for EC2. Cette ressource est associée à l'identifiant du plan Malware Protection for EC2, un identifiant unique pour votre compartiment protégé. Utilisez la ressource du plan Malware Protection pour effectuer des opérations d'API sur une ressource protégée.

Bucket protégé (ressource protégée)

Un compartiment Amazon S3 est considéré comme protégé lorsque vous activez Malware Protection for S3 pour ce compartiment et que son statut de protection passe à Active.

GuardDuty prend uniquement en charge un compartiment S3 en tant que ressource protégée.

État de protection

État associé à la ressource de votre plan de protection contre les programmes malveillants. Une fois que vous avez activé Malware Protection for S3 pour votre compartiment, cet état indique si votre compartiment est correctement configuré ou non.

Préfixe d'objet S3

Dans un bucket Amazon Simple Storage Service (Amazon S3), vous pouvez utiliser des préfixes pour organiser votre stockage. Un préfixe est un regroupement logique des objets d'un compartiment S3. Pour plus d'informations, consultez la section Organisation et listage d'objets dans le guide de l'utilisateur Amazon S3.

Options de numérisation

Lorsque GuardDuty Malware Protection for EC2 est activée, elle vous permet de spécifier les instances Amazon EC2 et les volumes Amazon Elastic Block Store (EBS) à scanner ou à ignorer. Cette fonctionnalité vous permet d'ajouter les balises existantes associées à vos instances EC2 et à votre volume EBS à une liste de balises d'inclusion ou d'exclusion. Les ressources associées aux balises que vous ajoutez à une liste de balises d'inclusion sont analysées pour détecter les logiciels malveillants, et celles ajoutées à une liste de balises d'exclusion ne sont pas analysées. Pour plus d’informations, consultez Options d'analyse avec balises définies par l'utilisateur.

Conservation des instantanés

Lorsque GuardDuty Malware Protection for EC2 est activée, elle permet de conserver les instantanés de vos volumes EBS dans votre compte. AWS GuardDuty génère les volumes EBS répliqués en fonction des instantanés de vos volumes EBS. Vous ne pouvez conserver les instantanés de vos volumes EBS que si le scan Malware Protection for EC2 détecte des malwares dans les répliques des volumes EBS. Si aucun logiciel malveillant n'est détecté dans les volumes EBS répliqués, supprime GuardDuty automatiquement les instantanés de vos volumes EBS, quel que soit le paramètre de conservation des instantanés. Pour plus d’informations, consultez Conservation des instantanés.

Règle de suppression

Les règles de suppression vous permettent de créer des combinaisons d'attributs très spécifiques pour supprimer des résultats. Par exemple, vous pouvez définir une règle via le GuardDuty filtre pour archiver automatiquement Recon:EC2/Portscan uniquement les instances d'un VPC spécifique, d'une AMI spécifique ou d'une balise EC2 spécifique. Cette règle entraînerait l'archivage automatique des résultats d'analyse de port depuis les instances qui répondent aux critères. Cependant, il permet toujours d'émettre des alertes s'il GuardDuty détecte des instances menant d'autres activités malveillantes, telles que le minage de crypto-monnaies.

Les règles de suppression définies dans le compte GuardDuty administrateur s'appliquent aux comptes des GuardDuty membres. GuardDuty les comptes membres ne peuvent pas modifier les règles de suppression.

Avec les règles de suppression, génère GuardDuty toujours tous les résultats. Les règles de suppression permettent de supprimer des résultats tout en conservant un historique immuable et complet de toute l'activité.

En général, les règles de suppression sont utilisées pour masquer les résultats que vous avez déterminés comme faux positifs pour votre environnement et limitent les perturbations provenant des résultats de faible valeur afin de vous permettre de vous concentrer sur les menaces plus importantes. Pour plus d’informations, consultez Règles de suppression.

Liste d'adresses IP approuvées

Une liste d'adresses IP fiables pour une communication hautement sécurisée avec votre AWS environnement. GuardDuty ne génère pas de résultats basés sur des listes d'adresses IP fiables. Pour plus d’informations, consultez Utilisation de listes d'adresses IP approuvées et de listes de menaces.

Liste d'adresses IP de menaces

Liste d'adresses IP malveillantes. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur ces listes de menaces. Pour plus d'informations, voir Utilisation de listes d'adresses IP approuvées et de listes de menaces.