Concetti e terminologia

Quando inizi a usare Amazon GuardDuty, puoi trarre vantaggio dalla conoscenza dei suoi concetti chiave.

Account

Un account Amazon Web Services (AWS) standard che contiene AWS le tue risorse. Puoi accedere AWS con il tuo account e abilitare GuardDuty.

Puoi anche invitare altri account ad attivarsi GuardDuty e ad associarsi al tuo AWS account in GuardDuty. Se gli inviti vengono accettati, il tuo account viene designato come GuardDuty account amministratore e gli account aggiunti diventano i tuoi account membro. Puoi quindi visualizzare e gestire i GuardDuty risultati di tali account per loro conto.

Gli utenti dell'account amministratore possono configurare GuardDuty , visualizzare e gestire GuardDuty i risultati per il proprio account e per tutti gli account dei membri. Puoi avere fino a 10.000 account membri in GuardDuty.

Gli utenti degli account membro possono configurare GuardDuty , visualizzare e gestire GuardDuty i risultati nel proprio account (tramite la console di GuardDuty gestione o l' GuardDuty API). Gli utenti degli account membri non possono consultare o gestire i risultati negli account degli altri membri.

Un non Account AWS può essere un account GuardDuty amministratore e un account membro allo stesso tempo. An Account AWS può accettare solo un invito all'iscrizione. L'accettazione di un invito è facoltativa.

Per ulteriori informazioni, consulta Gestione di più account in Amazon GuardDuty.

Rivelatore

Amazon GuardDuty è un servizio regionale. Quando GuardDuty abiliti uno specifico Regione AWS, il tuo Account AWS viene associato a un ID del rilevatore. Questo ID alfanumerico di 32 caratteri è unico per il tuo account in quella regione. Ad esempio, quando attivi GuardDuty lo stesso account in una regione diversa, il tuo account verrà associato a un ID rilevatore diverso. Il formato di un detectorId è 12abc34d567e8fa901bc2d34e56789f0.

Tutti i GuardDuty risultati, gli account e le azioni relative alla gestione dei risultati e al GuardDuty servizio utilizzano l'ID del rilevatore per eseguire un'operazione API.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

Nota

Negli ambienti con più account, viene eseguito il roll up degli esiti di ogni account membro fino al rilevatore dell'account amministratore.

Alcune GuardDuty funzionalità vengono configurate tramite il rilevatore, ad esempio la configurazione della frequenza di notifica CloudWatch degli eventi e l'attivazione o la disabilitazione di piani di protezione opzionali per l' GuardDuty elaborazione.

Utilizzo di Malware Protection for S3 all'interno GuardDuty

Quando abiliti Malware Protection for S3 in un account in cui GuardDuty è abilitata, le azioni di Malware Protection for S3 come l'attivazione, la modifica e la disabilitazione di una risorsa protetta non sono associate all'ID del rilevatore.

Se non abiliti GuardDuty e scegli l'opzione di rilevamento delle minacce Malware Protection for S3, non viene creato alcun ID di rilevamento per il tuo account.

Fonti di dati fondamentali

L'origine o la posizione di un set di dati. Per rilevare un'attività non autorizzata o imprevista nel proprio AWS ambiente. GuardDuty analizza ed elabora i dati dai registri degli AWS CloudTrail eventi, dagli eventi di AWS CloudTrail gestione, dagli eventi di AWS CloudTrail dati per S3, dai log di flusso VPC, dai registri DNS, vedi. Origini dati fondamentali

Funzionalità

Un oggetto funzionale configurato per il piano di GuardDuty protezione consente di rilevare un'attività non autorizzata o imprevista nell' AWS ambiente. Ogni piano di GuardDuty protezione configura l'oggetto feature corrispondente per analizzare ed elaborare i dati. Alcuni degli oggetti delle funzionalità includono i registri di controllo EKS, il monitoraggio delle attività di accesso RDS, i registri delle attività di rete Lambda e i volumi EBS. Per ulteriori informazioni, consulta Attivazione delle funzionalità in GuardDuty.

Risultato

Un potenziale problema di sicurezza rilevato da GuardDuty. Per ulteriori informazioni, consulta Comprendere i GuardDuty risultati di Amazon.

I risultati vengono visualizzati nella GuardDuty console e contengono una descrizione dettagliata del problema di sicurezza. Puoi anche recuperare i risultati generati chiamando le operazioni dell'ListFindingsAPI GetFindingsand.

Puoi anche visualizzare i GuardDuty risultati tramite Amazon CloudWatch Events. GuardDuty invia i risultati ad Amazon CloudWatch tramite il protocollo HTTPS. Per ulteriori informazioni, consulta Creazione di risposte personalizzate ai GuardDuty risultati con Amazon CloudWatch Events.

IAM PassRole

Questo è il ruolo IAM con le autorizzazioni necessarie per scansionare l'oggetto S3. Quando l'etichettatura degli oggetti scansionati è abilitata, le PassRole autorizzazioni IAM aiutano ad GuardDuty aggiungere tag all'oggetto scansionato.

Risorsa del piano Malware Protection

Dopo aver abilitato Malware Protection for S3 per un bucket, GuardDuty crea una risorsa del piano Malware Protection for EC2. Questa risorsa è associata all'ID del piano Malware Protection for EC2, un identificatore univoco per il bucket protetto. Utilizza la risorsa del piano Malware Protection per eseguire operazioni API su una risorsa protetta.

Bucket protetto (risorsa protetta)

Un bucket Amazon S3 è considerato protetto quando si abilita Malware Protection for S3 per questo bucket e il suo stato di protezione cambia in Attivo.

GuardDuty supporta solo un bucket S3 come risorsa protetta.

Stato di protezione

Lo stato associato alla risorsa del piano Malware Protection. Dopo aver abilitato Malware Protection for S3 per il tuo bucket, questo stato indica se il bucket è configurato correttamente o meno.

Prefisso dell'oggetto S3

In un bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), puoi usare prefissi per organizzare lo storage. Un prefisso è un raggruppamento logico degli oggetti in un bucket S3. Per ulteriori informazioni, consulta Organizing and listing objects nella Amazon S3 User Guide.

Opzioni di scansione

Quando GuardDuty Malware Protection for EC2 è abilitata, consente di specificare quali istanze Amazon EC2 e volumi Amazon Elastic Block Store (EBS) scansionare o ignorare. Grazie a questa funzionalità puoi aggiungere i tag esistenti associati alle istanze EC2 e al volume EBS a un elenco di tag di inclusione o di esclusione. Le risorse associate ai tag che aggiungi a un elenco di tag di inclusione vengono analizzate alla ricerca di malware, mentre quelle associate a un elenco di tag di esclusione non vengono scansionate. Per ulteriori informazioni, consulta Opzioni di scansione con tag definiti dall'utente.

Conservazione delle istantanee

Quando GuardDuty Malware Protection for EC2 è abilitata, offre la possibilità di conservare le istantanee dei volumi EBS nel tuo account. AWS GuardDuty genera i volumi EBS di replica in base alle istantanee dei tuoi volumi EBS. Puoi conservare le istantanee dei tuoi volumi EBS solo se la scansione Malware Protection for EC2 rileva il malware nei volumi EBS di replica. Se non viene rilevato alcun malware nei volumi EBS di replica, elimina GuardDuty automaticamente le istantanee dei volumi EBS, indipendentemente dall'impostazione di conservazione delle istantanee. Per ulteriori informazioni, consulta Conservazione degli snapshot.

Regola di soppressione

Le regole di soppressione automatica ti consentono di creare combinazioni di attributi molto specifiche per eliminare i risultati. Ad esempio, puoi definire una regola tramite il GuardDuty filtro per archiviare automaticamente Recon:EC2/Portscan solo le istanze in un VPC specifico, eseguendo un'AMI specifica o con un tag EC2 specifico. Questa regola comporterebbe l'archiviazione automatica dei risultati di scansione delle porte dalle istanze che soddisfano i criteri. Tuttavia, consente comunque di inviare avvisi se GuardDuty rileva che le istanze svolgono altre attività dannose, come il mining di criptovalute.

Le regole di soppressione definite nell' GuardDuty account amministratore si applicano agli account dei membri. GuardDuty GuardDuty gli account membri non possono modificare le regole di soppressione.

Con le regole di soppressione, genera GuardDuty comunque tutti i risultati. Le regole di soppressione consentono di sopprimere i risultati mantenendo nel contempo uno storico non modificabile di tutte le attività.

In genere, le regole di soppressione vengono utilizzate per nascondere i risultati che sono stati determinati come falsi positivi per l'ambiente e ridurre il rumore derivante da risultati di basso valore, in modo da potersi concentrare sulle minacce più grandi. Per ulteriori informazioni, consulta Regole di eliminazione.

Elenco di indirizzi IP affidabili

Un elenco di indirizzi IP affidabili per comunicazioni altamente sicure con l' AWS ambiente in uso. GuardDuty non genera risultati basati su elenchi di IP affidabili. Per ulteriori informazioni, consulta Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce.

Elenco di IP delle minacce

Un elenco degli indirizzi IP dannosi noti. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su questi elenchi di minacce. Per ulteriori informazioni, consulta Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce.