Qu'est-ce qu'Amazon GuardDuty ? - Amazon GuardDuty
Caractéristiques de GuardDutyPCIDSSConformité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce qu'Amazon GuardDuty ?

Amazon GuardDuty est un service de détection des menaces qui surveille, analyse et traite en permanence les sources de AWS données et les journaux de votre AWS environnement. GuardDuty utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, des hachages de fichiers et des modèles d'apprentissage automatique (ML) pour identifier les activités suspectes et potentiellement malveillantes dans votre AWS environnement. La liste suivante fournit une vue d'ensemble des scénarios de menaces potentiels qui GuardDuty peuvent vous aider à les détecter :

  • Informations d'identification compromises et exfiltrées. AWS

  • Exfiltration et destruction de données susceptibles de provoquer un ransomware. Des modèles inhabituels d'événements de connexion dans les versions du moteur prises en charge des RDS bases de données Amazon Aurora et Amazon, qui indiquent un comportement anormal.

  • Activité de cryptomining non autorisée dans vos instances Amazon Elastic Compute Cloud EC2 (Amazon) et vos charges de travail de conteneurs.

  • Présence de logiciels malveillants dans vos EC2 instances Amazon et vos charges de travail de conteneur, ainsi que de fichiers récemment chargés dans vos compartiments Amazon Simple Storage Service (Amazon S3).

  • Événements au niveau du système d'exploitation, du réseau et des fichiers indiquant un comportement non autorisé sur vos clusters Amazon Elastic Kubernetes Service (Amazon), sur vos tâches EKS Amazon Elastic Container Service ECS (Amazon), EC2 sur vos instances Amazon et sur vos AWS Fargate (Fargate) charges de travail de conteneur.

Table des matières

Caractéristiques de GuardDuty

Voici quelques-uns des principaux moyens par lesquels Amazon GuardDuty peut vous aider à surveiller, détecter et gérer les menaces potentielles dans votre AWS environnement.

Surveille en permanence des sources de données et des journaux d'événements spécifiques

  • Détection des menaces fondamentales : lorsque vous activez un Compte AWS, commence GuardDuty automatiquement GuardDuty à ingérer les sources de données de base associées à ce compte. Ces sources de données incluent les événements AWS CloudTrail de gestion, les journaux de VPC flux (provenant EC2 des instances Amazon) et DNS les journaux. Vous n'avez rien d'autre à activer pour commencer GuardDuty à analyser et à traiter ces sources de données afin de générer les résultats de sécurité associés. Pour de plus amples informations, veuillez consulter GuardDuty sources de données de base.

  • Plans de GuardDuty protection axés sur les cas d'utilisation : pour une meilleure visibilité de la détection des menaces sur la sécurité de votre AWS environnement, GuardDuty propose des plans de protection dédiés que vous pouvez choisir d'activer. Les plans de protection vous aident à surveiller les journaux et les événements provenant d'autres AWS services. Ces sources incluent les journaux EKS d'audit, l'activité de RDS connexion, les événements liés aux données Amazon S3, les EBS volumes CloudTrail, la surveillance du temps d'exécution sur AmazonEKS, Amazon et Amazon ECS -FargateEC2, ainsi que les journaux d'activité du réseau Lambda. GuardDutyconsolide ces sources de journaux et d'événements sous le terme « Fonctionnalités ». Vous pouvez activer à tout moment un ou plusieurs plans de protection dédiés dans un Région AWS programme pris en charge. GuardDuty commencera à surveiller, traiter et analyser les activités en fonction du plan de protection que vous activez. Pour plus d'informations sur chaque plan de protection et son fonctionnement, consultez le document du plan de protection correspondant.

    Plan de protection Description

    Protection S3

    Identifie les risques de sécurité potentiels tels que l'exfiltration de données et les tentatives de destruction dans vos compartiments Amazon S3.

    EKSProtection

    EKSLa surveillance des journaux d'audit analyse les journaux d'audit Kubernetes de vos EKS clusters Amazon pour détecter les activités potentiellement suspectes et malveillantes.

    Surveillance d'exécution

    Surveille et analyse les événements au niveau du système d'exploitation sur Amazon, EKS Amazon et Amazon ECS (y compris AWS Fargate)EC2, afin de détecter les menaces potentielles liées à l'exécution.

    Protection contre les logiciels malveillants pour EC2

    Détecte la présence potentielle de logiciels malveillants en analysant les EBS volumes Amazon associés à vos EC2 instances Amazon. Il existe une option permettant d'utiliser cette fonctionnalité à la demande.

    Protection contre les logiciels malveillants pour S3

    Détecte la présence potentielle de logiciels malveillants dans les objets récemment chargés dans vos compartiments Amazon S3.

    RDSProtection

    Analyse et établit le profil de votre activité de RDS connexion pour détecter les menaces d'accès potentielles aux RDS bases de données Amazon Aurora et Amazon prises en charge.

    Protection Lambda

    Surveille les journaux d'activité du réseau Lambda, en commençant par les journaux de VPC flux, afin de détecter les menaces qui pèsent sur vos AWS Lambda fonctions. Le minage de cryptomonnaies et la communication avec des serveurs malveillants sont des exemples de ces menaces potentielles.
    Activez la protection contre les programmes malveillants pour S3 de manière indépendante

    GuardDuty offre la possibilité d'utiliser Malware Protection for S3 de manière indépendante, sans activer le GuardDuty service Amazon. Pour plus d'informations sur la mise en route uniquement avec Malware Protection pour S3, consultezGuardDuty Protection contre les logiciels malveillants pour S3. Pour utiliser tous les autres plans de protection, vous devez activer le GuardDuty service.

Gestion d'un environnement à comptes multiples

Vous pouvez gérer un AWS environnement à comptes multiples en utilisant une méthode d'invitation AWS Organizations (recommandée) ou une ancienne méthode d'invitation. Pour de plus amples informations, veuillez consulter Gestion de plusieurs comptes .

Génère des résultats de sécurité pour les menaces détectées

Lorsqu'il GuardDuty détecte des menaces de sécurité potentielles associées à vos AWS ressources, il commence à générer des résultats de sécurité fournissant des informations sur la ressource potentiellement compromise. Une fois que vous l'avez activé GuardDuty dans votre compte, générez Exemples de résultats pour afficher les informations associéesDétails d'un résultat. Pour une liste complète des résultats de sécurité, voirTypes de résultats.

Avec GuardDuty, vous pouvez également utiliser un script de test qui génère des résultats GuardDuty de sécurité spécifiques pour comprendre comment examiner les GuardDuty résultats et y répondre. Pour de plus amples informations, veuillez consulter GuardDuty Résultats des tests dans des comptes dédiés.

Évaluation et gestion des résultats de sécurité

GuardDuty consolide vos résultats de sécurité sur l'ensemble des comptes et affiche les résultats dans le tableau de bord récapitulatif de la GuardDuty console. Vous pouvez également récupérer les résultats via le AWS Security Hub API AWS Command Line Interface, ou AWS SDK. Grâce à une vision globale de votre état de sécurité actuel, vous pouvez identifier les tendances et les problèmes potentiels, et prendre les mesures correctives nécessaires. Pour de plus amples informations, veuillez consulter Gérer GuardDuty les résultats.

Intégrez les services AWS de sécurité connexes

Pour vous aider à analyser et à étudier les tendances en matière de sécurité dans votre AWS environnement, pensez à utiliser les services AWS liés à la sécurité suivants en combinaison avec. GuardDuty

  • AWS Security Hub— Ce service vous donne une vue complète de l'état de sécurité de vos AWS ressources et vous aide à vérifier que votre AWS environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité. Pour ce faire, il utilise, agrège, organise et hiérarchise les résultats de sécurité provenant de multiples AWS services (y compris Amazon Macie) et de produits AWS pris en charge par le réseau APN de partenaires (). Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires dans votre AWS environnement.

    Pour plus d'informations sur GuardDuty l'utilisation conjointe de Security Hub, consultezIntégration GuardDuty avec AWS Security Hub. Pour en savoir plus sur Security Hub, consultez le guide de AWS Security Hub l'utilisateur.

  • Amazon Detective : ce service vous permet d'analyser, d'enquêter et d'identifier rapidement la cause première des problèmes de sécurité ou des activités suspectes. Detective collecte automatiquement les données du journal à partir de vos AWS ressources. Detective utilise ensuite le machine learning, l’analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener des investigations de sécurité plus rapides et plus efficaces. Les agrégations de données prédéfinies, les résumés et le contexte du Detective vous aident à analyser et à déterminer la nature et l'étendue des problèmes de sécurité potentiels.

    Pour plus d'informations sur l'utilisation conjointe de Detective GuardDuty et de Detective, consultezIntégration GuardDuty à Amazon Detective. Pour en savoir plus sur Detective, consultez le guide de l'utilisateur d'Amazon Detective.

  • Amazon EventBridge — Ce service vous permet de recevoir des notifications et de répondre aux GuardDuty problèmes de sécurité en temps quasi réel. GuardDutycrée un événement en cas de modification des résultats. Vous pouvez choisir la fréquence à laquelle vous souhaitez recevoir les notifications EventBridge. Pour plus d'informations, consultez la section Qu'est-ce qu'Amazon EventBridge dans le guide de EventBridge l'utilisateur Amazon.

PCIDSSConformité

GuardDuty prend en charge le traitement, le stockage et la transmission des données de carte de crédit par un commerçant ou un fournisseur de services, et sa conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI) a été validée (DSS). Pour plus d'informations PCIDSS, notamment sur la manière de demander une copie du Package de AWS PCI conformité, consultez le PCIDSSniveau 1.

Pour plus d'informations, consultez la section Nouveau test tiers comparant Amazon GuardDuty aux systèmes de détection d'intrusion sur le réseau dans le blog sur la AWS sécurité.