Amazon GuardDuty offre une détection intelligente des menaces en collectant, analysant et mettant en corrélation plusieurs milliards d'événements d'AWS CloudTrail, des journaux de flux d'Amazon VPC et des journaux DNS sur tous vos comptes AWS associés. La précision des détections de GuardDuty est renforcée par l'incorporation de flux de Threat Intelligence (comme les listes d'adresses IP malveillantes fournies par AWS Security et des partenaires de Threat Intelligence). GuardDuty exploite également l'apprentissage automatique pour détecter les activités anormales sur les comptes et les réseaux. Par exemple, GuardDuty émet une alerte si des appels d'API distants depuis une adresse IP malveillante sont détectés, car c'est le signe d'informations d'identification AWS potentiellement compromises. GuardDuty détecte également les menaces directes au sein de votre environnement AWS pouvant être liées à une instance compromise, comme une instance Amazon EC2 envoyant des données codées au sein de requêtes DNS.

De nombreuses organisations utilisent plusieurs comptes AWS pour bénéficier de davantage de sécurité, de souplesse et de capacités d'allocation des coûts. En quelques clics dans AWS Management Console, vous pouvez centraliser votre détection des menaces en activant Amazon GuardDuty sur l'ensemble des vos comptes AWS. Avec GuardDuty, vous n'avez pas à prévoir de logiciel ou d'infrastructure de sécurité supplémentaire pour analyser les données d'activité de votre compte et de vos charges de travail. Votre équipe de sécurité peut facilement gérer et classer les menaces depuis une vue de console unique et automatiser les réponses à partir d'un seul et même compte de sécurité.

Outre la détection des menaces, Amazon GuardDuty facilite également l'automatisation de votre réponse à ces menaces, afin de limiter les délais de correction et de restauration. Vous pouvez configurer vos scripts de correction ou vos fonctions AWS Lambda pour qu'ils se déclenchent à partir des détections de GuardDuty. Les résultats de sécurité de GuardDuty incluent des informations détaillées sur la ressource affectée, comme les balises, les groupes de sécurité ou les informations d'identification. Ils comportent également des données sur l'attaquant, notamment l'adresse IP et la géolocalisation. Ainsi, les résultats de sécurité de GuardDuty sont à la fois exploitables et riches en informations. Par exemple, il peut être difficile de détecter rapidement un compte compromis si les activités de compte ne sont pas surveillées en continu et en temps quasi réel. Avec GuardDuty, quand une instance est soupçonnée d'être victime d'un vol de données, le service émet une alerte et vous permet de créer automatiquement une entrée de contrôle d'accès limitant les accès sortants pour cette instance.