Conceitos e termos-chave na Amazon GuardDuty - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos e termos-chave na Amazon GuardDuty

Ao começar a usar a Amazon GuardDuty, você pode se beneficiar ao aprender sobre seus conceitos e os principais termos associados.

Conta

Uma conta padrão da Amazon Web Services (AWS) que contém seus AWS recursos. Você pode fazer login AWS com sua conta e ativar GuardDuty.

Você também pode convidar outras contas para ativar GuardDuty e se associar à sua AWS conta em GuardDuty. Se seus convites forem aceitos, sua conta será designada como conta GuardDuty de administrador e as contas adicionadas se tornarão suas contas de membros. Em seguida, você pode visualizar e gerenciar as GuardDuty descobertas dessas contas em nome delas.

Os usuários da conta de administrador podem configurar GuardDuty , visualizar e gerenciar GuardDuty as descobertas de sua própria conta e de todas as contas de membros. Para obter informações sobre o número de contas de membros que sua conta de administrador pode gerenciar, consulte Cotas do GuardDuty.

Os usuários das contas dos membros podem configurar GuardDuty , visualizar e gerenciar GuardDuty as descobertas em suas contas (por meio do console GuardDuty de gerenciamento ou GuardDuty API). Os usuários de contas de membro não podem visualizar ou gerenciar descobertas nas contas de outros membros.

E não Conta da AWS pode ser uma conta de GuardDuty administrador e uma conta de membro ao mesmo tempo. Uma conta da Conta da AWS pode aceitar apenas um convite de associação. Aceitar um convite de associação é opcional.

Para obter mais informações, consulte Várias contas na Amazon GuardDuty.

Sequência de ataque

Uma sequência de ataque é uma correlação de vários eventos que, conforme observado por GuardDuty, aconteceram em uma sequência específica que corresponde ao padrão de uma atividade suspeita. GuardDuty usa sua Detecção estendida de ameaças capacidade de detectar esses ataques em vários estágios que abrangem fontes de dados, AWS recursos e cronograma fundamentais em sua conta.

A lista a seguir explica resumidamente os principais termos associados às sequências de ataque:

  • Indicadores — Fornece informações sobre o motivo pelo qual uma sequência de eventos se alinha com uma possível atividade suspeita.

  • Sinais — Um sinal é uma API atividade GuardDuty observada ou uma GuardDuty descoberta já detectada em sua conta. Ao correlacionar os eventos que foram observados em uma sequência específica em sua conta, GuardDuty identifica uma sequência de ataque.

    Há eventos em sua conta que não são indicativos de uma possível ameaça. GuardDuty os considera sinais fracos. No entanto, quando sinais e GuardDuty descobertas fracos são observados em uma sequência específica que, quando correlacionada, se alinha a uma atividade potencialmente suspeita, GuardDuty gera uma descoberta da sequência de ataque.

  • Endpoints — Informações sobre endpoints de rede que um agente de ameaça potencialmente usou em uma sequência de ataque.

Detector

A Amazon GuardDuty é um serviço regional. Quando você ativa GuardDuty um determinado Região da AWS, você Conta da AWS é associado a um ID de detector. Esse ID alfanumérico de 32 caracteres é exclusivo para sua conta nessa região. Por exemplo, quando você ativa GuardDuty a mesma conta em uma região diferente, sua conta é associada a uma ID de detector diferente. O formato de a detectorId é12abc34d567e8fa901bc2d34e56789f0.

Todas as GuardDuty descobertas, contas e ações sobre o gerenciamento de descobertas e o GuardDuty serviço usam o ID do detector para executar uma API operação.

Para encontrar o detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute o ListDetectors API.

nota

Em ambientes de várias contas, todas as descobertas de contas-membro são acumuladas no detector da conta de administrador.

Algumas GuardDuty funcionalidades são configuradas por meio do detector, como a configuração da frequência de notificação de CloudWatch eventos e a ativação ou desativação de planos de proteção opcionais GuardDuty para processamento.

Usando a proteção contra malware para S3 em GuardDuty

Quando você ativa a Proteção contra Malware para S3 em uma conta em que GuardDuty está ativada, as ações da Proteção contra Malware para S3, como ativar, editar e desativar um recurso protegido, não são associadas à ID do detector.

Quando você não ativa GuardDuty e escolhe a opção de detecção de ameaças Malware Protection for S3, não há um ID de detector criado para sua conta.

Fontes de dados fundamentais

A origem ou a localização de um conjunto de dados. Para detectar uma atividade não autorizada ou inesperada em seu AWS ambiente. GuardDuty analisa e processa dados de registros de AWS CloudTrail eventos, eventos AWS CloudTrail de gerenciamento, eventos de AWS CloudTrail dados para S3, registros de VPC fluxo, DNS registros, consulte. Fontes de dados fundamentais do GuardDuty

Atributo

Um objeto de recurso configurado para seu plano de GuardDuty proteção ajuda a detectar uma atividade não autorizada ou inesperada em seu AWS ambiente. Cada plano GuardDuty de proteção configura o objeto de recurso correspondente para analisar e processar dados. Alguns dos objetos de recursos incluem registros de EKS auditoria, monitoramento de atividades de RDS login, registros de atividades da rede Lambda e EBS volumes. Para obter mais informações, consulte Nomes de recursos para planos de proteção na API do GuardDuty.

Descoberta

Um possível problema de segurança descoberto pelo GuardDuty. Para obter mais informações, consulte Entendendo e gerando GuardDuty descobertas da Amazon.

As descobertas são exibidas no GuardDuty console e contêm uma descrição detalhada do problema de segurança. Você também pode recuperar suas descobertas geradas chamando e GetFindingsListFindingsAPIoperações.

Você também pode ver suas GuardDuty descobertas por meio de CloudWatch eventos da Amazon. GuardDuty envia descobertas para a Amazon CloudWatch por meio de HTTPS protocolo. Para obter mais informações, consulte Criação de respostas personalizadas às GuardDuty descobertas com a Amazon CloudWatch Events.

Função do IAM

Essa é a IAM função com as permissões necessárias para escanear o objeto do S3. Quando a marcação de objetos digitalizados está ativada, as IAM PassRole permissões ajudam a GuardDuty adicionar etiquetas ao objeto digitalizado.

Recurso do plano de Proteção contra malware

Depois de habilitar o Malware Protection for S3 para um bucket, GuardDuty cria um recurso de Malware Protection for EC2 Plan. Esse recurso está associado ao Malware Protection for EC2 plan ID, um identificador exclusivo para seu bucket protegido. Use o recurso do plano de proteção contra malware para realizar API operações em um recurso protegido.

Bucket protegido (recurso protegido)

Um bucket do Amazon S3 é considerado protegido quando você ativa a Proteção contra Malware para S3 para esse bucket e seu status de proteção muda para Ativo.

GuardDuty suporta somente um bucket S3 como recurso protegido.

Status de proteção

O status associado ao seu recurso do plano de Proteção contra malware. Depois de ativar a Proteção contra Malware para S3 em seu bucket, esse status representa se o bucket está ou não configurado corretamente.

Um prefixo de objeto S3

Em um bucket do Amazon Simple Storage Service (Amazon S3), use prefixos para organizar seu armazenamento. Um prefixo é um agrupamento lógico dos objetos em um bucket S3. Para obter mais informações, consulte Organizando e listando objetos no Guia de usuário do Amazon S3.

Opções de verificação

Quando o GuardDuty Malware Protection for EC2 está ativado, ele permite que você especifique quais EC2 instâncias da Amazon e volumes do Amazon Elastic Block Store (EBS) devem ser verificados ou ignorados. Esse recurso permite que você adicione as tags existentes associadas às suas EC2 instâncias e EBS volume a uma lista de tags de inclusão ou de exclusão. Os recursos associados às tags que você adiciona a uma lista de tags de inclusão são verificados em busca de malware, e aqueles adicionados a uma lista de tags de exclusão não são examinados. Para obter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

Retenção de snapshots

Quando a Proteção contra GuardDuty Malware para EC2 está ativada, ela oferece a opção de reter os instantâneos de seus EBS volumes em sua AWS conta. GuardDuty gera os EBS volumes de réplica com base nos instantâneos dos seus EBS volumes. Você pode reter os instantâneos de seus EBS volumes somente se a Proteção contra Malware para EC2 escaneamento detectar malware nos volumes de réplicaEBS. Se nenhum malware for detectado nos EBS volumes de réplica, GuardDuty excluirá automaticamente os instantâneos de seus EBS volumes, independentemente da configuração de retenção de instantâneos. Para obter mais informações, consulte Retenção de snapshots.

Regra de supressão

As regras de supressão permitem criar combinações muito específicas de atributos para suprimir descobertas. Por exemplo, você pode definir uma regra por meio do GuardDuty filtro para arquivar automaticamente Recon:EC2/Portscan somente dessas instâncias em uma determinadaVPC, executando uma específica AMI ou com uma EC2 tag específica. Essa regra resultaria em descobertas de varredura de portas sendo arquivadas automaticamente a partir das instâncias que atendem aos critérios. No entanto, ele ainda permite alertar se GuardDuty detectar essas instâncias conduzindo outras atividades maliciosas, como mineração de criptomoedas.

As regras de supressão definidas na conta do GuardDuty administrador se aplicam às contas dos GuardDuty membros. GuardDuty as contas dos membros não podem modificar as regras de supressão.

Com as regras de supressão, GuardDuty ainda gera todas as descobertas. As regras de supressão fornecem supressão de descobertas e mantêm um histórico completo e imutável de toda a atividade.

Normalmente, as regras de supressão são usadas para ocultar descobertas determinadas como falsos positivos para o ambiente e reduzir o ruído de descobertas de baixo valor para que você possa se concentrar em ameaças maiores. Para obter mais informações, consulte Regras de supressão em GuardDuty.

Lista de IPs confiáveis

Uma lista de endereços IP confiáveis para comunicação altamente segura com seu AWS ambiente. GuardDuty não gera descobertas com base em listas de IP confiáveis. Para obter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.

Lista de IPs de ameaças

Uma lista de endereços IP mal-intencionados conhecidos. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base nessas listas de ameaças. Para obter mais informações, consulte Como trabalhar com listas de IPs confiáveis e listas de ameaças.