Sumber data dasar

GuardDuty menggunakan sumber data dasar untuk mendeteksi komunikasi dengan domain berbahaya dan alamat IP yang diketahui dan mengidentifikasi perilaku anomali. Saat transit dari sumber-sumber ini ke GuardDuty, semua data log dienkripsi. GuardDutymengekstrak berbagai bidang dari sumber log ini untuk profil dan deteksi anomali, dan kemudian membuang log ini.

Bagian berikut menjelaskan cara GuardDuty menggunakan setiap sumber data yang didukung. Ketika Anda mengaktifkan GuardDuty di Anda Akun AWS, GuardDuty secara otomatis mulai memantau sumber log ini.

AWS CloudTrail log peristiwa

AWS CloudTrail memberi Anda riwayat panggilan AWS API untuk akun Anda, termasuk panggilan API yang dilakukan menggunakan AWS Management Console, AWS SDK, alat baris perintah, dan AWS layanan tertentu. CloudTrail juga membantu Anda mengidentifikasi pengguna dan akun mana yang memanggil AWS API untuk layanan yang mendukung CloudTrail, alamat IP sumber dari mana panggilan dipanggil, dan waktu panggilan dipanggil. Untuk informasi selengkapnya, lihat Apa yang ada AWS CloudTrail di Panduan AWS CloudTrail Pengguna.

GuardDuty juga memantau peristiwa CloudTrail manajemen. Ketika Anda mengaktifkan GuardDuty, itu mulai mengkonsumsi peristiwa CloudTrail manajemen langsung dari CloudTrail melalui aliran peristiwa independen dan duplikat dan menganalisis log CloudTrail peristiwa Anda. Tidak ada biaya tambahan saat GuardDuty mengakses acara yang direkam. CloudTrail

GuardDuty tidak mengelola CloudTrail acara Anda atau memengaruhi CloudTrail konfigurasi yang ada. Demikian pula, CloudTrail konfigurasi Anda tidak memengaruhi cara GuardDuty mengkonsumsi dan memproses log peristiwa. Untuk mengelola akses dan retensi CloudTrail acara Anda, gunakan konsol CloudTrail layanan atau API. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara di Panduan AWS CloudTrail Pengguna.

Bagaimana GuardDuty menangani peristiwa AWS CloudTrail global

Untuk sebagian besar AWS layanan, CloudTrail acara dicatat di Wilayah AWS tempat mereka dibuat. Untuk layanan global seperti AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon CloudFront, dan Amazon Route 53 (Route 53), peristiwa hanya dihasilkan di Wilayah tempat kejadian tetapi memiliki signifikansi global.

Saat GuardDuty mengkonsumsi peristiwa layanan CloudTrail Global dengan nilai keamanan seperti konfigurasi jaringan atau izin pengguna, peristiwa tersebut akan mereplikasi peristiwa tersebut dan memprosesnya di setiap Wilayah yang telah Anda aktifkan. GuardDuty Perilaku ini membantu GuardDuty menjaga profil pengguna dan peran di setiap Wilayah, yang sangat penting untuk mendeteksi kejadian anomali.

Kami sangat menyarankan agar Anda mengaktifkan GuardDuty semua Wilayah AWS yang diaktifkan untuk Anda Akun AWS. Ini membantu GuardDuty menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa bahkan di Wilayah yang mungkin tidak Anda gunakan secara aktif.

AWS CloudTrail acara manajemen

Peristiwa manajemen juga dikenal sebagai peristiwa bidang kontrol. Peristiwa ini memberikan wawasan tentang operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda.

Berikut ini adalah contoh peristiwa CloudTrail manajemen yang GuardDuty memantau:

• Mengkonfigurasi keamanan (operasi AttachRolePolicy API IAM)

• Mengkonfigurasi aturan untuk merutekan data (operasi Amazon CreateSubnet EC2 API)

• Menyiapkan logging (operasi AWS CloudTrail CreateTrail API)

Log Alur VPC

Fitur VPC Flow Logs dari Amazon VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) di lingkungan Anda. AWS

Ketika Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log aliran VPC Anda dari instans Amazon EC2 dalam akun Anda. Ini mengkonsumsi peristiwa log aliran VPC langsung dari fitur VPC Flow Logs melalui aliran log aliran independen dan duplikatif. Proses ini tidak memengaruhi konfigurasi log aliran apa pun yang ada.

GuardDuty Perlindungan Lambda

Lambda Protection adalah peningkatan opsional untuk Amazon. GuardDuty Saat ini, Pemantauan Aktivitas Jaringan Lambda menyertakan log aliran VPC Amazon dari semua fungsi Lambda untuk akun Anda, bahkan log yang tidak menggunakan jaringan VPC. Untuk melindungi fungsi Lambda Anda dari potensi ancaman keamanan, Anda perlu mengonfigurasi Perlindungan Lambda di akun Anda. GuardDuty Untuk informasi selengkapnya, lihat GuardDuty Perlindungan Lambda.

GuardDuty Pemantauan Runtime

Saat Anda mengelola agen keamanan (baik secara manual atau melalui GuardDuty) di EKS Runtime Monitoring atau Runtime Monitoring untuk instans EC2, dan saat GuardDuty ini digunakan pada instans Amazon EC2 dan menerima Jenis acara runtime yang dikumpulkan dari instance ini GuardDuty , Anda tidak akan membebankan biaya Akun AWS untuk analisis log aliran VPC dari instans Amazon EC2 ini. Ini membantu GuardDuty menghindari biaya penggunaan ganda di akun.

GuardDuty tidak mengelola log aliran Anda atau membuatnya dapat diakses di akun Anda. Untuk mengelola akses dan retensi log aliran, Anda harus mengonfigurasi fitur VPC Flow Logs.

Log DNS

Jika Anda menggunakan resolver AWS DNS untuk instans Amazon EC2 (pengaturan default), maka GuardDuty dapat mengakses dan memproses log DNS permintaan dan respons Anda melalui resolver DNS internal. AWS Jika Anda menggunakan resolver DNS lain, seperti OpenDNS atau Googledns, atau jika Anda menyiapkan resolver DNS Anda sendiri, maka tidak dapat mengakses dan memproses data dari sumber data ini. GuardDuty

Ketika Anda mengaktifkan GuardDuty, itu segera mulai menganalisis log DNS Anda dari aliran data independen. Aliran data ini terpisah dari data yang disediakan melalui fitur pencatatan kueri Route 53 Resolver. Konfigurasi fitur ini tidak mempengaruhi GuardDuty analisis.

catatan

GuardDuty tidak mendukung pemantauan log DNS untuk instans Amazon EC2 yang diluncurkan karena fitur pencatatan Amazon Route 53 Resolver kueri tidak tersedia AWS Outposts di lingkungan tersebut.