AWS CloudTrail registri degli eventi AWS CloudTrail eventi gestionali Log di flusso VPC Log DNS

Origini dati fondamentali

GuardDuty utilizza le fonti di dati di base per rilevare le comunicazioni con domini e indirizzi IP dannosi noti e identificare comportamenti potenzialmente anomali e attività non autorizzate. Durante il transito da queste fonti a GuardDuty, tutti i dati di registro vengono crittografati. GuardDutyestrae vari campi da queste fonti di log per la profilazione e il rilevamento delle anomalie, quindi elimina questi registri.

Quando si abilita GuardDuty per la prima volta in una regione, è disponibile una prova gratuita di 30 giorni che include il rilevamento delle minacce per tutte le fonti di dati di base. Durante questa prova gratuita e successivamente, puoi monitorare l'utilizzo mensile stimato nella pagina di utilizzo della GuardDuty console, suddiviso per fonte di dati. In qualità di account GuardDuty amministratore delegato, puoi visualizzare il costo di utilizzo mensile stimato suddiviso per gli account membro dell'organizzazione che lo hanno abilitato. GuardDuty

Dopo averlo abilitato GuardDuty Account AWS, inizia automaticamente a monitorare le fonti di registro spiegate nelle sezioni seguenti. Non è necessario abilitare nient'altro per iniziare GuardDuty ad analizzare ed elaborare queste fonti di dati per generare i risultati di sicurezza associati.

AWS CloudTrail registri degli eventi

AWS CloudTrail fornisce una cronologia delle chiamate AWS API per il tuo account, incluse le chiamate API effettuate utilizzando gli AWS SDK AWS Management Console, gli strumenti da riga di comando e determinati AWS servizi. CloudTrail ti aiuta anche a identificare quali utenti e account hanno richiamato le AWS API per i servizi che supportano CloudTrail, l'indirizzo IP di origine da cui sono state richiamate le chiamate e l'ora in cui sono state richiamate le chiamate. Per ulteriori informazioni, consulta Che cos'è AWS CloudTrail? nella Guida per l'utente di AWS CloudTrail .

GuardDuty monitora anche gli eventi di gestione. CloudTrail Quando lo abiliti GuardDuty, inizia a consumare gli eventi di CloudTrail gestione direttamente CloudTrail attraverso un flusso di eventi indipendente e duplicato e analizza i CloudTrail registri degli eventi. Non sono previsti costi aggiuntivi per l' GuardDuty accesso agli eventi registrati in. CloudTrail

GuardDuty non gestisce i tuoi CloudTrail eventi né influisce sulle CloudTrail configurazioni esistenti. Allo stesso modo, le CloudTrail configurazioni non influiscono sul modo in cui GuardDuty utilizza ed elabora i registri degli eventi. Per gestire l'accesso e la conservazione dei tuoi CloudTrail eventi, utilizza la console di CloudTrail servizio o l'API. Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.

Come GuardDuty gestisce gli eventi AWS CloudTrail globali

Per la maggior parte AWS dei servizi, CloudTrail gli eventi vengono registrati nel Regione AWS luogo in cui vengono creati. Per i servizi globali come AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), CloudFront Amazon e Amazon Route 53 (Route 53), gli eventi vengono generati solo nella regione in cui si verificano, ma hanno un'importanza globale.

Quando GuardDuty utilizza eventi di servizio CloudTrail globali con valori di sicurezza come configurazioni di rete o autorizzazioni utente, replica tali eventi e li elabora in ogni regione in cui sono stati abilitati. GuardDuty Questo comportamento aiuta a GuardDuty mantenere i profili utente e di ruolo in ogni regione, il che è fondamentale per rilevare eventi anomali.

Ti consigliamo vivamente di abilitare GuardDuty tutto ciò che è abilitato per Regioni AWS il tuo. Account AWS Ciò aiuta a GuardDuty generare informazioni su attività non autorizzate o insolite anche in quelle regioni che potresti non utilizzare attivamente.

AWS CloudTrail eventi gestionali

Gli eventi di gestione sono noti anche come eventi del piano di controllo (control-plane). Questi eventi forniscono informazioni dettagliate sulle operazioni di gestione eseguite sulle risorse del tuo AWS account.

Di seguito sono riportati alcuni esempi di eventi CloudTrail gestionali GuardDuty monitorati:

Configurazione della sicurezza (operazioni API AttachRolePolicy di IAM)
Configurazione di regole per l'instradamento dei dati (operazioni API CreateSubnet di Amazon EC2)
Configurazione della registrazione (operazioni AWS CloudTrail CreateTrail API)

Log di flusso VPC

La funzionalità VPC Flow Logs di Amazon VPC acquisisce informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete collegate alle istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno del tuo ambiente. AWS

Quando lo abiliti GuardDuty, inizia immediatamente ad analizzare i log di flusso VPC dalle istanze Amazon EC2 all'interno del tuo account. Utilizza gli eventi di tali log direttamente dalla funzionalità Log di flusso VPC tramite un flusso indipendente e ridondante di log di flusso. Questo processo non altera alcuna configurazione di log di flusso esistente.

GuardDuty Protezione Lambda: Lambda Protection è un miglioramento opzionale di Amazon. GuardDuty Attualmente, il monitoraggio delle attività di rete Lambda include i log di flusso di Amazon VPC di tutte le funzioni Lambda del tuo account, anche quelli che non utilizzano reti VPC. Per proteggere la tua funzione Lambda da potenziali minacce alla sicurezza, dovrai configurare Lambda Protection nel tuo account. GuardDuty Per ulteriori informazioni, consulta GuardDuty Protezione Lambda.
Monitoraggio del runtime in GuardDuty: Quando gestisci l'agente di sicurezza (manualmente o tramite GuardDuty) in EKS Runtime Monitoring o Runtime Monitoring for EC2 e GuardDuty viene attualmente distribuito su un'istanza Amazon EC2 e riceve i dati Tipi di eventi di runtime raccolti da questa istanza, non GuardDuty ti verrà addebitato alcun costo per Account AWS l'analisi dei log di flusso VPC da questa istanza Amazon EC2. Questo aiuta a GuardDuty evitare il doppio dei costi di utilizzo dell'account.

GuardDuty non gestisce i log di flusso né li rende accessibili nel tuo account. Per gestire l'accesso dei log di flusso e la loro conservazione, devi configurare la funzionalità Log di flusso VPC.

Log DNS

Se utilizzi resolver AWS DNS per le tue istanze Amazon EC2 (l'impostazione predefinita), GuardDuty puoi accedere ed elaborare i log DNS di richiesta e risposta tramite i resolver DNS interni. AWS Se utilizzi un altro resolver DNS, come OpenDNS o GoogleDNS, o se configuri i tuoi resolver DNS, non puoi accedere ed elaborare i dati da questa fonte di dati. GuardDuty

Quando lo abiliti GuardDuty, inizia immediatamente ad analizzare i log DNS da un flusso di dati indipendente. Questo flusso di dati è separato dai dati forniti tramite la funzionalità di Registrazione delle query del Route 53 Resolver. La configurazione di questa funzionalità non influisce sull'analisi. GuardDuty

Nota

GuardDuty non supporta il monitoraggio dei log DNS per le istanze Amazon EC2 avviate AWS Outposts su perché Amazon Route 53 Resolver la funzionalità di registrazione delle query non è disponibile in quell'ambiente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

GuardDuty Modifiche all'API

GuardDuty Protezione EKS