Características do GuardDutyCompatibilidade com PCI DSS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é a Amazon GuardDuty?

GuardDuty A Amazon é um serviço de detecção de ameaças que monitora, analisa e processa continuamente fontes de AWS dados e registros específicos em seu AWS ambiente. GuardDuty usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos e modelos de aprendizado de máquina (ML) para identificar atividades inesperadas e potencialmente não autorizadas em seu ambiente. AWS Isso inclui os seguintes problemas:

  • Escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP e domínios maliciosos.

  • Presença de malware em suas instâncias e cargas de trabalho de contêineres do Amazon EC2, além de arquivos recém-carregados em seus buckets do Amazon S3.

  • Descoberta de padrões incomuns de eventos de login em seu banco de dados.

Por exemplo, GuardDuty pode detectar instâncias EC2 potencialmente comprometidas e cargas de trabalho de contêineres servindo malware ou minerando bitcoins. Ele também monitora o comportamento de acesso à AWS conta em busca de sinais de possível comprometimento, como implantações de infraestrutura não autorizadas — instâncias implantadas em uma região que não foram usadas antes ou chamadas de API incomuns que sugerem uma alteração na política de senhas para reduzir a força da senha.

Conteúdo

Características do GuardDuty

Aqui estão algumas das principais maneiras pelas quais a Amazon GuardDuty pode ajudar você a monitorar, detectar e gerenciar possíveis ameaças em seu AWS ambiente.

Monitora continuamente fontes de dados e registros de eventos específicos

  • Monitora automaticamente as fontes de dados fundamentais — Quando você ativa GuardDuty uma Conta da AWS, começa GuardDuty automaticamente a ingerir as fontes de dados fundamentais associadas a essa conta. Essas fontes de dados incluem eventos AWS CloudTrail de gerenciamento, registros de AWS CloudTrail eventos, registros de fluxo de VPC (de instâncias do Amazon EC2) e registros de DNS. Você não precisa habilitar mais nada para começar GuardDuty a analisar e processar essas fontes de dados para gerar descobertas de segurança associadas. Para ter mais informações, consulte Fontes de dados fundamentais.

  • Habilite planos de GuardDuty proteção opcionais — Para maior visibilidade da postura de segurança do seu AWS ambiente, GuardDuty oferece vários planos de proteção que você pode optar por ativar. Os planos de proteção ajudam você a monitorar registros e eventos de outros AWS serviços. Essas fontes incluem registros de auditoria do EKS, atividades de login do RDS, registros do S3, volumes do EBS, monitoramento de tempo de execução e registros de atividades da rede Lambda. GuardDutyconsolida essas fontes de log e eventos sob o termo - Características. Você pode habilitar um ou mais planos de proteção opcionais em um suporte Região da AWS a qualquer momento. GuardDuty iniciará o monitoramento, o processamento e a análise das atividades com base no plano de proteção ativado. Para obter mais informações sobre cada plano de proteção e como ele funciona, consulte o documento do plano de proteção correspondente.

    nota

    GuardDuty oferece flexibilidade para usar o Malware Protection for S3 de forma independente, sem habilitar o GuardDuty serviço Amazon. Para obter mais informações sobre como começar a usar somente o Malware Protection for S3, consulteGuardDuty Proteção contra malware para S3. Para usar todos os outros planos de proteção, você deve ativar o GuardDuty serviço.

Detecta a presença de malware e gera descobertas de segurança

Quando GuardDuty detecta possíveis ameaças à segurança associadas aos seus AWS recursos, ele começa a gerar descobertas de segurança que fornecem informações sobre o recurso potencialmente comprometido. Você pode explorar a geração Descobertas de exemplo e visualizar o associadoDetalhes da descoberta. Para obter informações sobre uma lista completa das descobertas de segurança que podem ser geradas em relação a cada tipo de recurso, conforme identificado por GuardDuty, consulteTipos de descoberta.

Gerencie as descobertas de segurança geradas

Talvez você queira configurar a Amazon EventBridge para receber notificações quando GuardDuty gerar uma descoberta, usar as etapas recomendadas para corrigir a descoberta, filtrar as descobertas geradas para identificar tendências ou exportá-las para um bucket do S3. Para ter mais informações, consulte Gerenciando GuardDuty descobertas.

Integre com serviços AWS de segurança relacionados

Para ajudá-lo ainda mais a analisar e investigar as tendências de segurança em seu AWS ambiente, considere usar os seguintes serviços AWS relacionados à segurança em combinação com o. GuardDuty

  • Amazon Detective — Esse serviço ajuda você a analisar, investigar e identificar rapidamente a causa raiz das descobertas de segurança ou atividades suspeitas. Detective coleta automaticamente os dados de registro de seus recursos. AWS Em seguida, ele usa machine learning, análises estatísticas e a teoria de grafos para gerar visualizações que ajudam a realizar investigações de segurança eficazes com maior rapidez. As agregações de dados, os resumos e o contexto pré-criados do Detective ajudam você a analisar e determinar a natureza e a extensão de possíveis problemas de segurança.

    Para obter informações sobre como usar o GuardDuty Detective em conjunto, consulte. Integração GuardDuty com o Amazon Detective Para saber mais sobre Detective, consulte o Guia do usuário do Amazon Detective.

  • AWS Security Hub— Esse serviço oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários AWS serviços (incluindo Amazon Macie) e produtos compatíveis da AWS Partner Network (APN). O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente.

    Para obter informações sobre como usar GuardDuty o Security Hub em conjunto, consulteIntegrando com GuardDuty AWS Security Hub. Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub.

Gerencie o ambiente de várias contas

Você pode gerenciar um AWS ambiente de várias contas usando AWS Organizations (recomendado) ou pelo método de convite. Para ter mais informações, consulte Gerenciar várias contas.

Compatibilidade com PCI DSS

GuardDuty suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do PCI AWS Compliance Package, consulte PCI DSS Nível 1.