Che cos'è Amazon GuardDuty? - Amazon GuardDuty
Caratteristiche di GuardDutyConformità PCI DSS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Che cos'è Amazon GuardDuty?

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora, analizza ed elabora continuamente fonti di AWS dati e registri specifici nel tuo ambiente. AWS GuardDuty utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, e modelli di machine learning (ML) per identificare attività impreviste e potenzialmente non autorizzate nel tuo ambiente. AWS Ciò include i seguenti problemi:

  • Aumento dei privilegi, utilizzo di credenziali esposte o comunicazione con indirizzi IP e domini dannosi.

  • Presenza di malware sulle istanze Amazon EC2 e sui carichi di lavoro dei container e file appena caricati nei bucket Amazon S3.

  • Scoperta di modelli insoliti di eventi di accesso sul tuo database.

Ad esempio, GuardDuty è in grado di rilevare istanze EC2 e carichi di lavoro in container potenzialmente compromessi che contengono malware o estraggono bitcoin. Monitora inoltre il comportamento di accesso all' AWS account alla ricerca di segnali di potenziale compromissione, come implementazioni non autorizzate di infrastrutture, ad esempio istanze distribuite in una regione che non è mai stata utilizzata in precedenza o chiamate API insolite che suggeriscono una modifica alla politica delle password per ridurne la sicurezza.

Indice

Caratteristiche di GuardDuty

Ecco alcuni dei modi principali in cui Amazon GuardDuty può aiutarti a monitorare, rilevare e gestire le potenziali minacce nel tuo AWS ambiente.

Monitora continuamente fonti di dati e registri di eventi specifici

  • Monitora automaticamente le fonti di dati fondamentali: quando si attiva GuardDuty in an Account AWS, inizia GuardDuty automaticamente a importare le fonti di dati di base associate a quell'account. Queste fonti di dati includono eventi di AWS CloudTrail gestione, registri AWS CloudTrail eventi, log di flusso VPC (da istanze Amazon EC2) e log DNS. Non è necessario abilitare nient'altro per iniziare ad analizzare ed elaborare queste fonti di dati GuardDuty per generare i risultati di sicurezza associati. Per ulteriori informazioni, consulta Origini dati fondamentali.

  • Abilita piani di GuardDuty protezione opzionali: per una maggiore visibilità del livello di sicurezza dell' AWS ambiente, GuardDuty offre diversi piani di protezione che puoi scegliere di abilitare. I piani di protezione consentono di monitorare i registri e gli eventi di altri AWS servizi. Queste fonti includono registri di controllo EKS, attività di accesso RDS, registri S3, volumi EBS, monitoraggio del runtime e registri delle attività di rete Lambda. GuardDutyconsolida queste fonti di log ed eventi sotto il termine - Features. È possibile abilitare uno o più piani di protezione opzionali in un formato supportato in qualsiasi Regione AWS momento. GuardDuty inizierà a monitorare, elaborare e analizzare le attività in base al piano di protezione abilitato. Per ulteriori informazioni su ciascun piano di protezione e su come funziona, consulta il documento relativo al piano di protezione corrispondente.

    Nota

    GuardDuty offre la flessibilità necessaria per utilizzare Malware Protection for S3 in modo indipendente, senza abilitare il GuardDuty servizio Amazon. Per ulteriori informazioni su come iniziare a utilizzare solo Malware Protection for S3, consulta. GuardDuty Protezione da malware per S3 Per utilizzare tutti gli altri piani di protezione, è necessario abilitare il GuardDuty servizio.

Rileva la presenza di malware e genera risultati di sicurezza

Quando GuardDuty rileva potenziali minacce alla sicurezza associate alle AWS risorse, inizia a generare risultati di sicurezza che forniscono informazioni sulla risorsa potenzialmente compromessa. Puoi esplorare la generazione Risultati di esempio e la visualizzazione dei file associati. Dettagli degli esiti Per informazioni su un elenco completo dei risultati di sicurezza che possono essere generati per ogni tipo di risorsa identificato da GuardDuty, vedereTipi di esiti.

Gestire i risultati di sicurezza generati

Potresti voler configurare Amazon per EventBridge ricevere notifiche quando GuardDuty genera un risultato, utilizzare i passaggi consigliati per correggere il risultato, filtrare i risultati generati per identificare le tendenze o esportare i risultati in un bucket S3. Per ulteriori informazioni, consulta Gestione dei GuardDuty risultati.

Integrazione con i servizi di sicurezza correlati AWS

Per aiutarvi ulteriormente ad analizzare e indagare sulle tendenze di sicurezza nel vostro AWS ambiente, prendete in considerazione l'utilizzo dei seguenti servizi AWS relativi alla sicurezza in combinazione con. GuardDuty

  • Amazon Detective: questo servizio ti aiuta ad analizzare, indagare e identificare rapidamente la causa principale dei risultati di sicurezza o delle attività sospette. Detective raccoglie automaticamente i dati di registro dalle tue AWS risorse. Utilizza quindi il machine learning, l'analisi statistica e la teoria dei grafi per generare visualizzazioni che consentono di condurre indagini sulla sicurezza più rapide ed efficaci. Le aggregazioni, i riepiloghi e il contesto predefiniti di Detective ti aiutano ad analizzare e determinare la natura e l'entità dei potenziali problemi di sicurezza.

    Per informazioni sull'uso combinato di Detective GuardDuty e Detective, vedereIntegrazione GuardDuty con Amazon Detective. Per ulteriori informazioni su Detective, consulta la Amazon Detective User Guide.

  • AWS Security Hub— Questo servizio ti offre una visione completa dello stato di sicurezza delle tue AWS risorse e ti aiuta a controllare il tuo AWS ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati di sicurezza provenienti da più AWS servizi (incluso Amazon Macie) e prodotti AWS Partner Network (APN) supportati. Security Hub ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità in tutto l' AWS ambiente.

    Per informazioni sull'utilizzo congiunto GuardDuty di Security Hub, vedereIntegrazione con GuardDuty AWS Security Hub. Per ulteriori informazioni su Security Hub, consulta la Guida AWS Security Hub per l'utente.

Gestisci un ambiente con più account

Puoi gestire un AWS ambiente con più account utilizzando AWS Organizations (consigliato) o tramite il metodo di invito. Per ulteriori informazioni, consulta Gestione di più account .

Conformità PCI DSS

GuardDuty supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere PCI DSS Level 1.