Konsep dan terminologi - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep dan terminologi

Saat Anda memulai dengan Amazon GuardDuty, Anda bisa mendapatkan keuntungan dari mempelajari konsep-konsep utamanya.

Akun

Akun Amazon Web Services (AWS) standar yang berisi AWS sumber daya Anda. Anda dapat masuk AWS dengan akun Anda dan mengaktifkan GuardDuty.

Anda juga dapat mengundang akun lain untuk mengaktifkan GuardDuty dan menjadi terkait dengan AWS akun Anda di GuardDuty. Jika undangan Anda diterima, akun Anda ditetapkan sebagai akun akun administrator, dan GuardDuty akun yang ditambahkan menjadi akun anggota Anda. Anda kemudian dapat melihat dan mengelola GuardDuty temuan akun tersebut atas nama mereka.

Pengguna akun administrator dapat mengonfigurasi GuardDuty serta melihat dan mengelola GuardDuty temuan untuk akun mereka sendiri dan semua akun anggota mereka. Anda dapat memiliki hingga 10.000 akun anggota GuardDuty.

Pengguna akun anggota dapat mengonfigurasi GuardDuty serta melihat dan mengelola GuardDuty temuan di akun mereka (baik melalui konsol GuardDuty manajemen atau GuardDuty API). Pengguna akun anggota tidak dapat melihat atau mengelola temuan di akun anggota lain.

An tidak Akun AWS dapat menjadi akun GuardDuty administrator dan akun anggota secara bersamaan. An hanya Akun AWS dapat menerima satu undangan keanggotaan. Menerima undangan keanggotaan bersifat opsional.

Untuk informasi selengkapnya, lihat Mengelola banyak akun di Amazon GuardDuty.

Detektor

Amazon GuardDuty adalah layanan regional. Saat Anda mengaktifkan GuardDuty secara spesifik Wilayah AWS, Anda Akun AWS akan dikaitkan dengan ID detektor. ID alfanumerik 32 karakter ini unik untuk akun Anda di Wilayah tersebut. Misalnya, ketika Anda mengaktifkan GuardDuty akun yang sama di Wilayah yang berbeda, akun Anda akan dikaitkan dengan ID detektor yang berbeda. Format detectorID adalah. 12abc34d567e8fa901bc2d34e56789f0

Semua GuardDuty temuan, akun, dan tindakan tentang mengelola temuan dan GuardDuty layanan menggunakan ID detektor untuk menjalankan operasi API.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di konsol https://console.aws.amazon.com/guardduty/, atau jalankan ListDetectorsAPI detectorId

catatan

Di lingkungan multi-akun, semua temuan untuk akun anggota digulung ke detektor akun administrator.

Beberapa GuardDuty fungsi dikonfigurasi melalui detektor, seperti mengonfigurasi frekuensi pemberitahuan CloudWatch Acara, dan mengaktifkan atau menonaktifkan rencana perlindungan opsional untuk diproses. GuardDuty

Menggunakan Perlindungan Malware untuk S3 di dalam GuardDuty

Saat Anda mengaktifkan Perlindungan Malware untuk S3 di akun yang GuardDuty diaktifkan, Perlindungan Malware untuk tindakan S3 seperti mengaktifkan, mengedit, dan menonaktifkan sumber daya yang dilindungi tidak terkait dengan ID detektor.

Jika Anda tidak mengaktifkan GuardDuty dan memilih opsi deteksi ancaman Perlindungan Malware untuk S3, tidak ada ID detektor yang dibuat untuk akun Anda.

Sumber data dasar

Asal atau lokasi satu set data. Untuk mendeteksi aktivitas yang tidak sah atau tidak terduga di AWS lingkungan Anda. GuardDuty menganalisis dan memproses data dari log AWS CloudTrail peristiwa, peristiwa AWS CloudTrail manajemen, peristiwa AWS CloudTrail data untuk S3, log aliran VPC, log DNS, lihat. Sumber data dasar

Fitur

Objek fitur yang dikonfigurasi untuk paket GuardDuty perlindungan Anda membantu mendeteksi aktivitas yang tidak sah atau tidak terduga di AWS lingkungan Anda. Setiap rencana GuardDuty perlindungan mengkonfigurasi objek fitur yang sesuai untuk menganalisis dan memproses data. Beberapa objek fitur termasuk log audit EKS, pemantauan aktivitas login RDS, log aktivitas jaringan Lambda, dan volume EBS. Untuk informasi selengkapnya, lihat Fitur aktivasi di GuardDuty.

Menemukan

Masalah keamanan potensial ditemukan oleh GuardDuty. Untuk informasi selengkapnya, lihat Memahami GuardDuty temuan Amazon.

Temuan ditampilkan di GuardDuty konsol dan berisi deskripsi rinci tentang masalah keamanan. Anda juga dapat mengambil temuan yang dihasilkan dengan memanggil operasi GetFindingsdan ListFindingsAPI.

Anda juga dapat melihat GuardDuty temuan Anda melalui CloudWatch acara Amazon. GuardDuty mengirimkan temuan ke Amazon CloudWatch melalui protokol HTTPS. Untuk informasi selengkapnya, lihat Membuat tanggapan khusus terhadap GuardDuty temuan dengan Amazon CloudWatch Events.

IAM PassRole

Ini adalah peran IAM dengan izin yang diperlukan untuk memindai objek S3. Saat menandai objek yang dipindai diaktifkan, PassRole izin IAM membantu GuardDuty menambahkan tag ke objek yang dipindai.

Sumber daya paket Perlindungan Malware

Setelah Anda mengaktifkan Perlindungan Malware untuk S3 untuk bucket, GuardDuty buat sumber daya paket Perlindungan Malware untuk EC2. Sumber daya ini dikaitkan dengan Perlindungan Malware untuk ID paket EC2, pengenal unik untuk bucket Anda yang dilindungi. Gunakan sumber daya paket Perlindungan Malware untuk melakukan operasi API pada sumber daya yang dilindungi.

Ember yang dilindungi (sumber daya yang dilindungi)

Bucket Amazon S3 dianggap dilindungi saat Anda mengaktifkan Perlindungan Malware untuk S3 untuk bucket ini dan status perlindungannya berubah menjadi Aktif.

GuardDuty hanya mendukung bucket S3 sebagai sumber daya yang dilindungi.

Status perlindungan

Status yang terkait dengan sumber daya paket Perlindungan Malware Anda. Setelah mengaktifkan Perlindungan Malware untuk S3 untuk bucket, status ini menunjukkan apakah bucket sudah diatur dengan benar atau tidak.

Awalan objek S3

Di bucket Amazon Simple Storage Service (Amazon S3), Anda dapat menggunakan awalan untuk mengatur penyimpanan Anda. Awalan adalah pengelompokan logis objek dalam ember S3. Untuk informasi selengkapnya, lihat Mengatur dan mencantumkan objek di Panduan Pengguna Amazon S3.

Opsi pemindaian

Saat Perlindungan GuardDuty Malware untuk EC2 diaktifkan, Anda dapat menentukan instans Amazon EC2 dan volume Amazon Elastic Block Store (EBS) mana yang akan dipindai atau dilewati. Fitur ini memungkinkan Anda menambahkan tag yang ada yang terkait dengan instans EC2 dan volume EBS Anda ke daftar tag inklusi atau daftar tag pengecualian. Sumber daya yang terkait dengan tag yang Anda tambahkan ke daftar tag inklusi, dipindai untuk malware, dan yang ditambahkan ke daftar tag pengecualian tidak dipindai. Untuk informasi selengkapnya, lihat Opsi pindai dengan tag yang ditentukan pengguna.

Retensi snapshot

Ketika Perlindungan GuardDuty Malware untuk EC2 diaktifkan, ini menyediakan opsi untuk menyimpan snapshot volume EBS Anda di akun Anda. AWS GuardDuty menghasilkan replika volume EBS berdasarkan snapshot volume EBS Anda. Anda dapat menyimpan snapshot volume EBS Anda hanya jika Perlindungan Malware untuk pemindaian EC2 mendeteksi malware dalam volume replika EBS. Jika tidak ada malware yang terdeteksi dalam volume replika EBS, GuardDuty secara otomatis menghapus snapshot volume EBS Anda, terlepas dari pengaturan retensi snapshot. Untuk informasi selengkapnya, lihat Retensi snapshot.

Aturan penindasan

Aturan penekanan memungkinkan Anda membuat kombinasi atribut yang sangat spesifik untuk menekan temuan. Misalnya, Anda dapat menentukan aturan melalui GuardDuty filter untuk mengarsipkan otomatis hanya Recon:EC2/Portscan dari instance tersebut di VPC tertentu, menjalankan AMI tertentu, atau dengan tag EC2 tertentu. Aturan ini akan mengakibatkan temuan pemindaian port diarsipkan secara otomatis dari instans yang memenuhi kriteria. Namun, masih memungkinkan peringatan jika GuardDuty mendeteksi instans yang melakukan aktivitas berbahaya lainnya, seperti penambangan mata uang kripto.

Aturan penindasan yang ditentukan dalam akun GuardDuty administrator berlaku untuk akun GuardDuty anggota. GuardDuty akun anggota tidak dapat mengubah aturan penindasan.

Dengan aturan penindasan, GuardDuty masih menghasilkan semua temuan. Aturan penekanan memberikan penekanan pada temuan sekaligus mempertahankan riwayat yang lengkap dan tidak berubah dari semua aktivitas.

Biasanya aturan penindasan digunakan untuk menyembunyikan temuan yang telah Anda tentukan sebagai positif palsu untuk lingkungan Anda, dan mengurangi kebisingan dari temuan bernilai rendah sehingga Anda dapat fokus pada ancaman yang lebih besar. Untuk informasi selengkapnya, lihat Aturan penekanan.

Daftar IP tepercaya

Daftar alamat IP tepercaya untuk komunikasi yang sangat aman dengan AWS lingkungan Anda. GuardDuty tidak menghasilkan temuan berdasarkan daftar IP tepercaya. Untuk informasi selengkapnya, lihat Bekerja dengan daftar IP tepercaya dan daftar ancaman.

Daftar IP ancaman

Daftar alamat IP berbahaya yang diketahui. Selain menghasilkan temuan karena aktivitas yang berpotensi mencurigakan, GuardDuty juga menghasilkan temuan berdasarkan daftar ancaman ini. Untuk informasi selengkapnya, lihat Bekerja dengan daftar IP tepercaya dan daftar ancaman.