Présentation du service

Q : Qu'est-ce qu'Amazon GuardDuty ?

Amazon GuardDuty est un service de détection des menaces qui vous permet de surveiller et protéger en permanence vos comptes et charges de travail AWS. GuardDuty analyse les flux continus de métadonnées générés depuis votre compte et l'activité réseau associée aux événements AWS CloudTrail, aux journaux de flux Amazon VPC et aux journaux DNS. Le service utilise également des renseignements sur les menaces tels que les adresses IP malveillantes connues, la détection d'anomalies et l'apprentissage automatique pour identifier les menaces avec plus de précision.

Q : Quels sont les principaux avantages d'Amazon GuardDuty ?

Amazon GuardDuty simplifie la surveillance continue de vos comptes et charges de travail AWS. Le service fonctionne indépendamment de vos ressources pour ne pas risquer d'affecter les performances ou la disponibilité de vos charges de travail. Entièrement géré, il intègre des renseignements sur les menaces, assure une détection des anomalies et utilise l'apprentissage automatique. Amazon GuardDuty émet des alertes détaillées et exploitables, faciles à intégrer aux systèmes existants de flux de travail et de gestion des événements. Le service ne s'accompagne d'aucun coût initial. Vous ne payez que pour les événements analysés et il n'est pas nécessaire d'installer un logiciel supplémentaire ni de s'abonner à des flux de renseignements sur les menaces.

Q : Combien coûte Amazon GuardDuty ?

Amazon GuardDuty est facturé en fonction de deux critères. Ces critères reposent sur le nombre d'événements AWS CloudTrail analysés (par million d'événements) et sur le volume de journaux de flux Amazon VPC et de journaux DNS analysés (par Go).

  • Analyse des événements AWS CloudTrail – GuardDuty analyse en continu les événements de gestion AWS CloudTrail, en surveillant tous les accès et comportements de vos comptes AWS et de l'infrastructure. L'analyse des événements CloudTrail est facturée par million d'événements, par mois et au prorata.
  • Analyse des journaux de flux VPC et des journaux DNS – GuardDuty analyse en continu les journaux de flux et les requêtes et réponses DNS pour identifier tout comportement malveillant, non autorisé ou inattendu dans vos instances Amazon EC2. L'analyse des journaux de flux et des journaux DNS est facturée par gigaoctet (Go) et par mois. Cette analyse est offerte dans le cadre des remises progressives en fonction du volume.

Le service ne s'accompagne d'aucuns frais initiaux. Vous ne payez que pour les données analysées.

Pour des informations et des exemples de tarification, consultez la page relative à la tarification Amazon GuardDuty.

Q : Est-il possible d'essayer gratuitement le service ?

Oui, tout nouveau compte Amazon GuardDuty bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble des fonctionnalités et aux détections pendant l'essai gratuit. GuardDuty affiche le volume de données traitées et l'estimation des frais de service quotidiens moyens pour votre compte. Vous pouvez ainsi découvrir facilement Amazon GuardDuty sans frais supplémentaires et prévoir le coût du service après la période d'essai gratuite.

Q : Quelle est la différence entre Amazon GuardDuty et Amazon Macie ?

Amazon GuardDuty élargit la protection de vos comptes, charges de travail et données AWS en contribuant à l'identification des menaces telles que les activités de reconnaissance menées par des pirates, ainsi que les instances et comptes compromis. Amazon Macie vous permet de protéger vos données dans Amazon S3 en vous aidant à les classer en fonction de leur type, de la valeur qu'elles représentent pour l'entreprise et du comportement d'accès associé. Les deux services offrent une analyse du comportement des utilisateurs, utilisent l'apprentissage automatique et assurent la détection des anomalies pour identifier les menaces dans leurs catégories respectives.

Q : Le service Amazon GuardDuty a-t-il une portée régionale ou mondiale ?

Amazon GuardDuty est un service régional. Même lorsque plusieurs comptes sont activés et plusieurs régions utilisées, les résultats de sécurité d'Amazon GuardDuty restent dans les mêmes régions que celles où les données sous-jacentes ont été générées. Cela permet de s'assurer que toutes les données analysées restent dans la même région et ne dépassent pas les limites régionales d'AWS. Les clients peuvent choisir de regrouper les résultats de sécurité générés par Amazon GuardDuty dans différentes régions à l'aide d'AWS CloudWatch Events, de transférer les résultats vers un magasin de données placé sous leur contrôle, tel qu'Amazon S3, puis de regrouper les résultats selon leurs besoins.

Q : Quelles régions sont prises en charge par Amazon GuardDuty ?

Pour connaître la disponibilité régionale d'Amazon GuardDuty, consultez le tableau des régions AWS

Q : Quels partenaires utilisent Amazon GuardDuty ?

De nombreux partenaires technologiques ont intégré Amazon GuardDuty et s'appuient sur le service. Des consultants, intégrateurs systèmes et fournisseurs de services de sécurité gérés sont également spécialisés dans le service. Consultez la page relative aux partenaires Amazon GuardDuty.

Activation de GuardDuty

Q : Comment activer Amazon GuardDuty ?

Amazon GuardDuty peut être activé en quelques clics dans AWS Management Console. Une fois activé, le service commence immédiatement à analyser des flux continus d'activité de compte et de réseau en temps quasi réel et à grande échelle. Vous n'avez pas besoin de déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Le service préintègre des renseignements sur les menaces qui sont gérés et mis à jour en continu.  

Q : Est-il possible de gérer plusieurs comptes avec Amazon GuardDuty ?

Oui, Amazon GuardDuty possède une fonction multicompte qui permet d'associer et de gérer plusieurs comptes AWS depuis un seul compte principal. Lorsque cette fonction est utilisée, tous les résultats de sécurité sont regroupés dans le compte administrateur ou le compte principal Amazon GuardDuty à des fins d'examen et de résolution. Les événements AWS CloudWatch sont également regroupés dans le compte principal Amazon GuardDuty lors de l'utilisation de cette configuration.

Q : Quelles sources de données sont analysées par Amazon GuardDuty ?

Amazon GuardDuty analyse les événements AWS CloudTrail, les journaux de flux VPC et les journaux DNS AWS. Le service est optimisé pour utiliser d'importants volumes de données afin d'assurer un traitement en temps quasi réel des détections de sécurité. GuardDuty vous donne accès à des techniques de détection intégrées, qui sont développées et optimisées pour le cloud, et gérées et constamment mises à jour par l'équipe de sécurité d'AWS.  

Q : Sous quel délai le service GuardDuty commence-t-il à fonctionner ?

Une fois activé, Amazon GuardDuty procède immédiatement à une analyse pour détecter toute activité malveillante ou non autorisée. Le délai d'attente des résultats dépend du niveau d'activité de votre compte. GuardDuty n'examine pas les données historiques, mais uniquement toute activité ultérieure à l'activation du service. Si GuardDuty identifie des menaces potentielles, un résultat s'affiche sur la console GuardDuty.

Q : Dois-je activer les événements AWS CloudTrail, les journaux de flux VPC et les journaux DNS pour qu'Amazon GuardDuty fonctionne ?

Non. Amazon GuardDuty extrait des flux de données indépendants directement à partir des événements AWS CloudTrail, des journaux de flux VPC et des journaux DNS AWS. Vous n'avez pas besoin de gérer les stratégies de compartiment Amazon S3 ni de modifier le mode de collecte et de stockage de vos journaux. Les autorisations GuardDuty sont gérées en tant que rôles liés à un service. Vous pouvez donc les révoquer à tout moment en désactivant GuardDuty. Cela permet d'activer facilement le service sans configuration complexe et évite qu'une modification des autorisations AWS IAM ou qu'un changement de la stratégie de compartiment S3 ne nuise au fonctionnement du service. Cela confère également à GuardDuty une très grande efficacité en ce qui concerne l'utilisation d'importants volumes de données en temps quasi réel, sans nuire aux performances ni à la disponibilité de votre compte ou de vos charges de travail.

Q : L'activation d'Amazon GuardDuty a-t-elle un impact sur les performances ou la disponibilité de mon compte ?

Non. Amazon GuardDuty fonctionne indépendamment de vos ressources AWS et ne risque en aucun cas d'affecter votre compte ou vos charges de travail. Le service peut ainsi être activé facilement sur de nombreux comptes d'une organisation, sans nuire aux opérations en cours.

Q : Le service Amazon GuardDuty gère-t-il ou conserve-t-il mes journaux ?

Non. Amazon GuardDuty ne gère ni ne conserve vos journaux. Toutes les données utilisées par GuardDuty sont analysées en temps quasi réel, puis supprimées. Cela permet à GuardDuty d'être extrêmement efficace et rentable, tout en diminuant le risque de rémanence des données. Concernant la livraison et la conservation des journaux, vous devez directement utiliser les services de journalisation et de surveillance d'AWS pour profiter d'options de livraison et de conservation complètes.

Q : Comment empêcher Amazon GuardDuty d'examiner mes journaux et sources de données ?

Vous pouvez empêcher Amazon GuardDuty d'analyser vos sources de données à tout moment en choisissant de suspendre le service dans les paramètres généraux. Le service cessera immédiatement d'analyser vos données, mais ne supprimera pas les configurations ou résultats existants. Vous pouvez également choisir de désactiver le service dans les paramètres généraux. Toutes les données restantes seront ainsi supprimées, y compris les résultats et configurations. Puis, les autorisations du service seront révoquées et le service réinitialisé.

Résultats générés par GuardDuty

Q : Que peut détecter le service Amazon GuardDuty ?

Amazon GuardDuty vous donne accès à des techniques de détection intégrées, qui sont développées et optimisées pour le cloud. Les algorithmes de détection sont gérés par l'équipe de sécurité d'AWS qui les améliore constamment. Les principales catégories de détection sont les suivantes :

  • Reconnaissance – Activité suggérant une reconnaissance par un pirate, telle que l'activité inhabituelle d'une API, un balayage de ports intra VPC, des demandes de connexion infructueuses inhabituelles ou l'exploitation de ports non bloqués depuis une adresse IP malveillante connue.
  • Instance compromise – Activité indiquant l'existence d'une instance compromise, telle que le mining de crypto-monnaie, l'utilisation par un logiciel malveillant d'algorithmes de génération de domaine (DGA), une activité sortante de déni de service, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante d'une instance avec une adresse IP malveillante connue, l'utilisation d'informations d'identification Amazon EC2 temporaires par une adresse IP externe, et l'exfiltration de données à l'aide d'un DNS.
  • Compte compromis – Les cas courants de compromission de compte comprennent les appels d'API depuis une géolocalisation inhabituelle ou un proxy anonymiseur, les tentatives de désactivation de la journalisation AWS CloudTrail, les lancements d'instance ou d'infrastructure inhabituels, les déploiements d'infrastructure dans une région inhabituelle et les appels d'API depuis des adresses IP malveillantes connues.

Q : Que sont les renseignements sur les menaces d'Amazon GuardDuty ?

Les renseignements sur les menaces d'Amazon GuardDuty comprennent des adresses IP et des domaines connus pour être utilisés par les pirates. Ils sont fournis par l'équipe de sécurité d'AWS et des fournisseurs tiers tels que Proofpoint et CrowdStrike. Ces flux de renseignements sont préintégrés et constamment mis à jour dans GuardDuty, sans frais supplémentaires.

Q : Puis-je fournir mes propres renseignements sur les menaces ?

Oui. Amazon GuardDuty facilite le chargement de vos propres renseignements sur les menaces ou de votre propre liste d'adresses IP sûres. Lorsque cette fonction est utilisée, ces listes ne sont appliquées qu'à votre compte et ne sont pas partagées avec les autres clients.

Q : Comment les détections par apprentissage automatique et les détections d'anomalies de comportement fonctionnent-elles ?

Il faut 7 à 14 jours aux détections par apprentissage automatique et aux détections de comportement les plus avancées pour définir un comportement de base pour votre compte. À l'issue de ce processus, les détections d'anomalies quittent le mode apprentissage pour passer en mode actif. Les résultats générés par les détections ne sont alors affichés que si le service identifie un comportement pouvant représenter une menace.

Q : Comment les résultats de sécurité sont-ils transmis ?

Quand une menace est détectée, Amazon GuardDuty envoie un résultat de sécurité détaillé à la console  GuardDuty et à AWS CloudWatch Events. Ainsi, les alertes sont exploitables et faciles à intégrer aux systèmes existants de flux de travail ou de gestion des événements. Les résultats comprennent la catégorie, la ressource touchée et les métadonnées associées à cette dernière, telles que le niveau de gravité.

Q : Sous quel format sont présentés les résultats d'Amazon GuardDuty ?

Les résultats d'Amazon GuardDuty sont présentés dans un format JSON courant, format également utilisé par Amazon Macie et Amazon Inspector. Les clients et les partenaires peuvent ainsi facilement utiliser les résultats de sécurité des trois services et les incorporer dans des solutions de gestion des événements, de flux de travail ou de sécurité plus vastes.

Q : Pendant combien de temps les résultats de sécurité sont-ils disponibles dans Amazon GuardDuty ?

Les résultats de sécurité sont conservés et accessibles via la console Amazon GuardDuty et les API pendant 90 jours. Passé ce délai, ils sont supprimés. Pour conserver les résultats plus longtemps, vous pouvez activer AWS CloudWatch Events afin de transférer les résultats vers un compartiment Amazon S3 de votre compte ou vers tout autre magasin de données pour profiter d'une conservation à long terme.

Q : Est-il possible d'exécuter des mesures préventives automatisées à l'aide d'Amazon GuardDuty ?

Avec Amazon GuardDuty, AWS CloudWatch Events et AWS Lambda, vous avez la possibilité de définir des mesures préventives automatisées en fonction d'un résultat de sécurité. Par exemple, vous pouvez créer une fonction Lambda pour modifier les règles de vos groupes de sécurité AWS en fonction de résultats de sécurité. Si un résultat généré par Amazon GuardDuty indique que l'une de vos instances Amazon EC2 est interrogée par une adresse IP malveillante connue, vous pouvez corriger le problème grâce à une règle CloudWatch Events qui déclenche une fonction Lambda pour modifier automatiquement les règles de vos groupes de sécurité et limiter l'accès à ce port.

Q : Comment les détections Amazon GuardDuty sont-elles développées et gérées ?

Amazon GuardDuty possède une équipe qui se consacre au développement, à la gestion et à l'itération des détections. De nouvelles détections sont ainsi régulièrement produites pour le service et les détections existantes font l'objet d'une itération continue. Plusieurs mécanismes de retour d'informations sont intégrés au service, par exemple, des pouces vers le haut et vers le bas sont associés à chaque résultat de sécurité disponible dans l'interface utilisateur GuardDuty. Cela permet aux clients de donner leur avis, lequel est ensuite incorporé aux futures itérations des détections GuardDuty.

Q : Est-il possible d'écrire des détections personnalisées dans Amazon GuardDuty ?

Non. Amazon GuardDuty évite d'avoir à développer et à gérer ses propres ensembles de règles personnalisés, un processus complexe et fastidieux. De nouvelles détections sont constamment ajoutées en fonction des retours des clients et des recherches effectuées par l'équipe de sécurité d'AWS et l'équipe dédiée à GuardDuty. Les personnalisations configurables par les clients comprennent l'ajout de listes personnelles de menaces et d'adresses IP sûres.

En savoir plus sur la tarification d'Amazon GuardDuty

Visiter la page de tarification
Prêt à vous lancer ?
Ouvrir une session
D'autres questions ?
Contactez-nous