Conceitos e terminologia - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos e terminologia

Ao começar a usar a Amazon GuardDuty, você pode se beneficiar ao aprender sobre seus principais conceitos.

Conta

Uma conta padrão da Amazon Web Services (AWS) que contém seus AWS recursos. Você pode fazer login AWS com sua conta e ativar GuardDuty.

Você também pode convidar outras contas para ativar GuardDuty e se associar à sua AWS conta em GuardDuty. Se seus convites forem aceitos, sua conta será designada como conta GuardDuty de administrador e as contas adicionadas se tornarão suas contas de membros. Em seguida, você pode visualizar e gerenciar as GuardDuty descobertas dessas contas em nome delas.

Os usuários da conta de administrador podem configurar GuardDuty , visualizar e gerenciar GuardDuty as descobertas de sua própria conta e de todas as contas de membros. Você pode ter até 10.000 contas de membros em GuardDuty.

Os usuários das contas dos membros podem configurar GuardDuty , visualizar e gerenciar GuardDuty descobertas em suas contas (por meio do console GuardDuty de gerenciamento ou GuardDuty API). Os usuários de contas de membro não podem visualizar ou gerenciar descobertas nas contas de outros membros.

E não Conta da AWS pode ser uma conta de GuardDuty administrador e uma conta de membro ao mesmo tempo. E só Conta da AWS pode aceitar um convite de associação. Aceitar um convite de associação é opcional.

Para ter mais informações, consulte Gerenciando várias contas na Amazon GuardDuty.

Detector

A Amazon GuardDuty é um serviço regional. Quando você ativa GuardDuty um determinado Região da AWS, você Conta da AWS é associado a um ID de detector. Esse ID alfanumérico de 32 caracteres é exclusivo para sua conta nessa região. Por exemplo, quando você ativa GuardDuty a mesma conta em uma região diferente, sua conta é associada a uma ID de detector diferente. O formato de a detectorId é12abc34d567e8fa901bc2d34e56789f0.

Todas as GuardDuty descobertas, contas e ações sobre o gerenciamento de descobertas e o GuardDuty serviço usam o ID do detector para executar uma API operação.

Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute ListDetectorsAPIo.

nota

Em ambientes de várias contas, todas as descobertas de contas-membro são acumuladas no detector da conta de administrador.

Algumas GuardDuty funcionalidades são configuradas por meio do detector, como a configuração da frequência de notificação de CloudWatch eventos e a ativação ou desativação de planos de proteção opcionais GuardDuty para processamento.

Usando a proteção contra malware para S3 em GuardDuty

Quando você ativa a Proteção contra Malware para S3 em uma conta em que GuardDuty está ativada, as ações da Proteção contra Malware para S3, como ativar, editar e desativar um recurso protegido, não são associadas à ID do detector.

Quando você não ativa GuardDuty e escolhe a opção de detecção de ameaças Malware Protection for S3, não há um ID de detector criado para sua conta.

Fontes de dados fundamentais

A origem ou a localização de um conjunto de dados. Para detectar uma atividade não autorizada ou inesperada em seu AWS ambiente. GuardDuty analisa e processa dados de registros de AWS CloudTrail eventos, eventos AWS CloudTrail de gerenciamento, eventos de AWS CloudTrail dados para S3, registros de VPC fluxo, DNS registros, consulte. Fontes de dados fundamentais

Característica

Um objeto de recurso configurado para seu plano de GuardDuty proteção ajuda a detectar uma atividade não autorizada ou inesperada em seu AWS ambiente. Cada plano GuardDuty de proteção configura o objeto de recurso correspondente para analisar e processar dados. Alguns dos objetos de recursos incluem registros de EKS auditoria, monitoramento de atividades de RDS login, registros de atividades da rede Lambda e EBS volumes. Para ter mais informações, consulte Ativação de recursos em GuardDuty.

Descoberta

Um possível problema de segurança descoberto pelo GuardDuty. Para ter mais informações, consulte Entendendo as GuardDuty descobertas da Amazon.

As descobertas são exibidas no GuardDuty console e contêm uma descrição detalhada do problema de segurança. Você também pode recuperar suas descobertas geradas chamando as ListFindingsAPIoperações GetFindingse.

Você também pode ver suas GuardDuty descobertas por meio de CloudWatch eventos da Amazon. GuardDuty envia descobertas para a Amazon CloudWatch por meio de HTTPS protocolo. Para ter mais informações, consulte Criação de respostas personalizadas às GuardDuty descobertas com a Amazon CloudWatch Events.

IAM PassRole

Essa é a IAM função com as permissões necessárias para escanear o objeto do S3. Quando a marcação de objetos digitalizados está ativada, as IAM PassRole permissões ajudam a GuardDuty adicionar etiquetas ao objeto digitalizado.

Recurso do plano de proteção contra malware

Depois de habilitar o Malware Protection for S3 para um bucket, GuardDuty cria um recurso de Malware Protection for EC2 Plan. Esse recurso está associado ao Malware Protection for EC2 plan ID, um identificador exclusivo para seu bucket protegido. Use o recurso do plano de proteção contra malware para realizar API operações em um recurso protegido.

Bucket protegido (recurso protegido)

Um bucket do Amazon S3 é considerado protegido quando você ativa a Proteção contra Malware do S3 para esse bucket e seu status de proteção muda para Ativo.

GuardDuty suporta somente um bucket S3 como recurso protegido.

Status de proteção

O status associado ao seu recurso do plano de proteção contra malware. Depois de ativar o Malware Protection for S3 em seu bucket, esse status representa se o bucket está configurado corretamente ou não.

Prefixo do objeto S3

Em um bucket do Amazon Simple Storage Service (Amazon S3), você pode usar prefixos para organizar seu armazenamento. Um prefixo é um agrupamento lógico dos objetos em um bucket do S3. Para obter mais informações, consulte Organização e listagem de objetos no Guia do usuário do Amazon S3.

Opções de digitalização

Quando o GuardDuty Malware Protection for EC2 está ativado, ele permite que você especifique quais EC2 instâncias da Amazon e volumes do Amazon Elastic Block Store (EBS) devem ser verificados ou ignorados. Esse recurso permite que você adicione as tags existentes associadas às suas EC2 instâncias e EBS volume a uma lista de tags de inclusão ou de exclusão. Os recursos associados às tags que você adiciona a uma lista de tags de inclusão são verificados em busca de malware, e aqueles adicionados a uma lista de tags de exclusão não são examinados. Para ter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

Retenção de instantâneos

Quando a Proteção contra GuardDuty Malware para EC2 está ativada, ela oferece a opção de reter os instantâneos de seus EBS volumes em sua AWS conta. GuardDuty gera os EBS volumes de réplica com base nos instantâneos dos seus EBS volumes. Você pode reter os instantâneos de seus EBS volumes somente se a Proteção contra Malware para EC2 escaneamento detectar malware nos volumes de réplicaEBS. Se nenhum malware for detectado nos EBS volumes de réplica, GuardDuty excluirá automaticamente os instantâneos de seus EBS volumes, independentemente da configuração de retenção de instantâneos. Para ter mais informações, consulte Retenção de snapshots.

Regra de supressão

As regras de supressão permitem criar combinações muito específicas de atributos para suprimir descobertas. Por exemplo, você pode definir uma regra por meio do GuardDuty filtro para arquivar automaticamente Recon:EC2/Portscan somente dessas instâncias em uma determinadaVPC, executando uma específica AMI ou com uma EC2 tag específica. Essa regra resultaria em descobertas de varredura de portas sendo arquivadas automaticamente a partir das instâncias que atendem aos critérios. No entanto, ele ainda permite alertar se GuardDuty detectar essas instâncias conduzindo outras atividades maliciosas, como mineração de criptomoedas.

As regras de supressão definidas na conta do GuardDuty administrador se aplicam às contas dos GuardDuty membros. GuardDuty as contas dos membros não podem modificar as regras de supressão.

Com as regras de supressão, GuardDuty ainda gera todas as descobertas. As regras de supressão fornecem supressão de descobertas e mantêm um histórico completo e imutável de toda a atividade.

Normalmente, as regras de supressão são usadas para ocultar descobertas determinadas como falsos positivos para o ambiente e reduzir o ruído de descobertas de baixo valor para que você possa se concentrar em ameaças maiores. Para ter mais informações, consulte Regras de supressão.

Lista de IPs confiáveis

Uma lista de endereços IP confiáveis para comunicação altamente segura com seu AWS ambiente. GuardDuty não gera descobertas com base em listas de IP confiáveis. Para ter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.

Lista de IPs de ameaças

Uma lista de endereços IP mal-intencionados conhecidos. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base nessas listas de ameaças. Para ter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.