Présentation du service

Q : Qu'est-ce qu'Amazon GuardDuty ?

Amazon GuardDuty est un service de détection des menaces qui vous permet de surveiller et protéger en permanence vos comptes et charges de travail AWS ainsi que vos données stockées dans Amazon S3. GuardDuty analyse les flux continus de métadonnées générés depuis votre compte et l'activité réseau associée aux événements AWS CloudTrail, aux journaux de flux Amazon VPC et aux journaux DNS. Le service utilise également des renseignements sur les menaces tels que les adresses IP malveillantes connues, la détection d'anomalies et le machine learning pour identifier les menaces avec plus de précision.

Q : Quels sont les principaux avantages d'Amazon GuardDuty ?

Amazon GuardDuty simplifie la surveillance continue de vos comptes et charges de travail AWS ainsi que vos données stockées dans Amazon S3. Le service fonctionne indépendamment de vos ressources pour ne pas risquer d'affecter les performances ou la disponibilité de vos charges de travail. Entièrement géré, il intègre des renseignements sur les menaces, assure une détection des anomalies et utilise l'apprentissage automatique. Amazon GuardDuty émet des alertes détaillées et exploitables, faciles à intégrer aux systèmes existants de flux de travail et de gestion des événements. Le service ne s'accompagne d'aucun coût initial. Vous ne payez que pour les événements analysés et il n'est pas nécessaire d'installer un logiciel supplémentaire ni de s'abonner à des flux de renseignements sur les menaces.

Q : Combien coûte Amazon GuardDuty ?

Le prix d'Amazon GuardDuty est calculé en fonction de la quantité d'événements AWS CloudTrail analysés et du volume de données des journaux de flux Amazon VPC et des journaux DNS analysées. Aucuns frais supplémentaires ne sont appliqués à l'activation de ces sources de journaux pour les analyses GuardDuty.

  • Analyse des événements AWS CloudTrail Management – GuardDuty analyse en continu les événements de gestion CloudTrail, notamment en surveillant tous les accès et comportements de vos comptes AWS et de l'infrastructure. L'analyse des événements CloudTrail Management est facturée par million d'événements, par mois et au prorata.
  • Analyse des événements de données AWS CloudTrail S3 – GuardDuty analyse en permanence les événements de données de CloudTrail S3, en particulier en surveillant l'accès et l'activité de tous vos compartiments Amazon S3. L'analyse des événements de données CloudTrail S3 est facturée par million d'événements, par mois et au prorata.
  • Analyse des journaux de flux VPC et des journaux DNS – GuardDuty analyse en continu les journaux de flux et les requêtes et réponses DNS pour identifier tout comportement malveillant, non autorisé ou inattendu dans vos comptes et charges de travail AWS. L'analyse des journaux de flux et des journaux DNS est facturée par gigaoctet (Go) et par mois. Cette facturation fait l'objet de remises progressives en fonction du volume.

Le service ne s'accompagne d'aucuns frais initiaux. Vous ne payez que pour les données analysées.

Pour des informations et des exemples de tarification, consultez la page relative à la tarification Amazon GuardDuty.

Q : Le coût estimé du compte souscripteur d'Amazon GuardDuty correspond-il aux coûts totaux regroupés des comptes associés ou à ceux du compte souscripteur uniquement ?

Le coût estimé correspond au coût du compte souscripteur uniquement. S'il s'agit du compte principal, vous ne verrez que le coût estimé de celui-ci.

Q : Est-il possible d'essayer gratuitement le service ?

Oui, tout nouveau compte Amazon GuardDuty bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble des fonctionnalités et aux détections pendant l'essai gratuit. GuardDuty affiche le volume de données traitées et l'estimation des frais de service quotidiens moyens pour votre compte. Vous pouvez ainsi découvrir facilement Amazon GuardDuty sans frais supplémentaires et prévoir le coût du service après la période d'essai gratuite.

Q : Quelle est la différence entre Amazon GuardDuty et Amazon Macie ?

Amazon GuardDuty élargit la protection de vos comptes, charges de travail et données AWS en contribuant à l'identification des menaces telles que les activités de reconnaissance menées par des pirates, ainsi que les instances, comptes et compartiments compromis. Amazon Macie vous permet de découvrir et protéger vos données sensibles dans Amazon S3 en vous aidant à les classer en fonction de leur type et des contrôles de sécurité et d'accès associés à ces données.

Q : Le service Amazon GuardDuty a-t-il une portée régionale ou mondiale ?

Amazon GuardDuty est un service régional. Même lorsque plusieurs comptes sont activés et plusieurs régions utilisées, les résultats de sécurité d'Amazon GuardDuty restent dans les mêmes régions que celles où les données sous-jacentes ont été générées. Ainsi, toutes les données analysées restent dans la même région et ne dépassent pas les limites régionales d'AWS. Les clients peuvent choisir de regrouper les résultats de sécurité générés par Amazon GuardDuty dans différentes régions à l'aide d'Amazon CloudWatch Events, de transférer les résultats vers un magasin de données placé sous leur contrôle, tel qu'Amazon S3, puis de regrouper les résultats selon leurs besoins.

Q : Quelles régions sont prises en charge par Amazon GuardDuty ?

Pour connaître la disponibilité régionale d'Amazon GuardDuty, consultez le tableau des régions AWS.

Q : Quels partenaires utilisent Amazon GuardDuty ?

De nombreux partenaires technologiques ont intégré Amazon GuardDuty et s'appuient sur le service. Des consultants, intégrateurs systèmes et fournisseurs de services de sécurité gérés sont également spécialisés dans le service. Consultez la page relative aux partenaires Amazon GuardDuty.

Q : Le service Amazon GuardDuty permet-il de répondre à certaines des exigences relatives à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ?

R : GuardDuty analyse les événements à partir de plusieurs sources de données AWS, comme les événements AWS CloudTrail, les journaux de flux Amazon VPC et les journaux DNS. De plus, il détecte les activités suspectes en fonction des flux de renseignements sur les menaces provenant d'AWS et d'autres services tels que CrowdStrike. Foregenix a publié un livre blanc qui fournit une évaluation détaillée de l'efficacité d'Amazon GuardDuty à respecter les exigences en matière de conformité, comme la norme PCI DSS (Payment Card Industry Data Security Standard) 11.4, qui exige des techniques de détection d'intrusion aux points critiques du réseau.

Activation de GuardDuty

Q : Comment activer Amazon GuardDuty ?

Amazon GuardDuty peut être activé en quelques clics dans AWS Management Console. Une fois activé, le service commence immédiatement à analyser des flux continus d'activité de compte et de réseau en temps quasi réel et à grande échelle. Vous n'avez pas besoin de déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Le service préintègre des renseignements sur les menaces qui sont gérés et mis à jour en continu.  

Q : Est-il possible de gérer plusieurs comptes avec Amazon GuardDuty ?

Oui, Amazon GuardDuty possède une fonction multi-comptes qui permet d'associer et de gérer plusieurs comptes AWS depuis un seul compte principal. Lorsque cette fonction est utilisée, tous les résultats de sécurité sont regroupés dans le compte administrateur ou le compte principal Amazon GuardDuty à des fins d'examen et de résolution. Les événements Amazon CloudWatch sont également regroupés dans le compte principal Amazon GuardDuty lors de l'utilisation de cette configuration.

Q : Quelles sources de données sont analysées par Amazon GuardDuty ?

Amazon GuardDuty analyse les événements AWS CloudTrail, les journaux de flux VPC et les journaux DNS AWS. Le service est optimisé pour utiliser d'importants volumes de données afin d'assurer un traitement en temps quasi réel des détections de sécurité. GuardDuty vous donne accès à des techniques de détection intégrées, qui sont développées et optimisées pour le cloud, et gérées et constamment mises à jour par l'équipe de sécurité d'AWS.  

Q : Sous quel délai le service GuardDuty commence-t-il à fonctionner ?

Une fois activé, Amazon GuardDuty procède immédiatement à une analyse pour détecter toute activité malveillante ou non autorisée. Le délai d'attente des résultats dépend du niveau d'activité de votre compte. GuardDuty n'examine pas les données historiques, mais uniquement toute activité ultérieure à l'activation du service. Si GuardDuty identifie des menaces potentielles, un résultat s'affiche sur la console GuardDuty.

Q : Dois-je activer les événements AWS CloudTrail, les journaux de flux VPC et les journaux DNS pour qu'Amazon GuardDuty fonctionne ?

Amazon GuardDuty extrait des flux de données indépendants directement à partir des événements AWS CloudTrail, des journaux de flux VPC et des journaux DNS AWS. Vous n'avez pas besoin de gérer les stratégies de compartiment Amazon S3 ni de modifier le mode de collecte et de stockage de vos journaux. Les autorisations GuardDuty sont gérées en tant que rôles liés à un service. Vous pouvez donc les révoquer à tout moment en désactivant GuardDuty. Cela permet d'activer facilement le service sans configuration complexe et évite qu'une modification des autorisations AWS IAM ou qu'un changement de la stratégie de compartiment S3 ne nuise au fonctionnement du service. Cela confère également à GuardDuty une très grande efficacité en ce qui concerne l'utilisation d'importants volumes de données en temps quasi réel, sans nuire aux performances ni à la disponibilité de votre compte ou de vos charges de travail.

Q : L'activation d'Amazon GuardDuty a-t-elle un impact sur les performances ou la disponibilité de mon compte ?

Amazon GuardDuty fonctionne indépendamment de vos ressources AWS et ne risque en aucun cas d'affecter votre compte ou vos charges de travail. Le service peut ainsi être activé facilement sur de nombreux comptes d'une organisation, sans nuire aux opérations en cours.

Q : Le service Amazon GuardDuty gère-t-il ou conserve-t-il mes journaux ?

Amazon GuardDuty ne gère ni ne conserve vos journaux. Toutes les données utilisées par GuardDuty sont analysées en temps quasi réel, puis supprimées. Cela permet à GuardDuty d'être extrêmement efficace et rentable, tout en diminuant le risque de rémanence des données. Concernant la livraison et la conservation des journaux, vous devez directement utiliser les services de journalisation et de surveillance d'AWS pour profiter d'options de livraison et de conservation complètes.

Q : Comment stopper l'examen de mes journaux et sources de données par Amazon GuardDuty ?

Vous pouvez stopper l'analyse de vos sources de données Amazon GuardDuty à tout moment en choisissant de suspendre le service dans les paramètres généraux. Le service cessera immédiatement d'analyser vos données, mais ne supprimera pas les configurations ou résultats existants. Vous pouvez également choisir de désactiver le service dans les paramètres généraux. Toutes les données restantes seront ainsi supprimées, y compris les résultats et configurations. Puis, les autorisations du service seront révoquées et le service réinitialisé.

Résultats générés par GuardDuty

Q : Que peut détecter le service Amazon GuardDuty ?

Amazon GuardDuty vous donne accès à des techniques de détection intégrées, qui sont développées et optimisées pour le cloud. Les algorithmes de détection sont gérés par l'équipe de sécurité d'AWS qui les améliore constamment. Les principales catégories de détection sont les suivantes :

  • Reconnaissance – Activité suggérant une reconnaissance par un pirate, telle que l'activité inhabituelle d'une API, un balayage de ports intra VPC, des demandes de connexion infructueuses inhabituelles ou l'exploitation de ports non bloqués depuis une adresse IP malveillante connue.
  • Instance compromise – Activité indiquant l'existence d'une instance compromise, telle que le mining de crypto-monnaie, l'utilisation par un logiciel malveillant d'algorithmes de génération de domaine (DGA), une activité sortante de déni de service, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante d'une instance avec une adresse IP malveillante connue, l'utilisation d'informations d'identification Amazon EC2 temporaires par une adresse IP externe, et l'exfiltration de données à l'aide d'un DNS.
  • Compte compromis – Les cas courants de compromission de compte comprennent les appels d'API depuis une géolocalisation inhabituelle ou un proxy anonymiseur, les tentatives de désactivation de la journalisation AWS CloudTrail, les lancements d'instance ou d'infrastructure inhabituels, les déploiements d'infrastructure dans une région inhabituelle et les appels d'API depuis des adresses IP malveillantes connues.
  • Compartiment compromis – Activité indiquant l'existence d'un compartiment compromis, telle que des modèles d'accès aux données suspects indiquant une utilisation abusive des données d'identification, l'activité inhabituelle d'une API S3 depuis un hôte distant, les accès S3 non autorisés depuis des adresses IP malveillantes connues et les appels d'API pour récupérer les données stockées dans les compartiments S3 effectués par un utilisateur n'a aucun historique d'accès au compartiment ou les API invoquées depuis un emplacement inhabituel. Amazon GuardDuty surveille et analyse en permanence les événements de données AWS CloudTrail S3 (par ex., GetObject, ListObjects, DeleteObject) pour détecter les activités suspectes dans tous vos compartiments Amazon S3.

Q : Que sont les renseignements sur les menaces d'Amazon GuardDuty ?

Les renseignements sur les menaces d'Amazon GuardDuty comprennent des adresses IP et des domaines connus pour être utilisés par les pirates. Ils sont fournis par l'équipe de sécurité d'AWS et des fournisseurs tiers tels que Proofpoint et CrowdStrike. Ces flux de renseignements sont préintégrés et constamment mis à jour dans GuardDuty, sans frais supplémentaires.

Q : Puis-je fournir mes propres renseignements sur les menaces ?

Oui. Amazon GuardDuty facilite le chargement de vos propres renseignements sur les menaces ou de votre propre liste d'adresses IP sûres. Lorsque cette fonction est utilisée, ces listes ne sont appliquées qu'à votre compte et ne sont pas partagées avec les autres clients.

Q : Comment les résultats de sécurité sont-ils transmis ?

Quand une menace est détectée, Amazon GuardDuty envoie un résultat de sécurité détaillé à la console GuardDuty et à Amazon CloudWatch Events. Ainsi, les alertes sont exploitables et faciles à intégrer aux systèmes existants de flux de travail ou de gestion des événements. Les résultats comprennent la catégorie, la ressource touchée et les métadonnées associées à cette dernière, telles que le niveau de gravité.

Q : Sous quel format sont présentés les résultats d'Amazon GuardDuty ?

Les résultats d'Amazon GuardDuty sont présentés dans un format JSON courant, format également utilisé par Amazon Macie et Amazon Inspector. Les clients et les partenaires peuvent ainsi facilement utiliser les résultats de sécurité des trois services et les incorporer dans des solutions de gestion des événements, de flux de travail ou de sécurité plus vastes.

Q : Pendant combien de temps les résultats de sécurité sont-ils disponibles dans Amazon GuardDuty ?

Les résultats de sécurité sont conservés et accessibles via la console Amazon GuardDuty et les API pendant 90 jours. Passé ce délai, ils sont supprimés. Pour conserver les résultats plus longtemps, vous pouvez activer Amazon CloudWatch Events afin de transférer les résultats vers un compartiment Amazon S3 de votre compte ou vers tout autre magasin de données pour profiter d'une conservation à long terme.

Q : Est-il possible d'exécuter des mesures préventives automatisées à l'aide d'Amazon GuardDuty ?

Avec Amazon GuardDuty, Amazon CloudWatch Events et AWS Lambda, vous avez la possibilité de définir des mesures préventives automatisées en fonction d'un résultat de sécurité. Par exemple, vous pouvez créer une fonction Lambda pour modifier les règles de vos groupes de sécurité AWS en fonction de résultats de sécurité. Si un résultat généré par Amazon GuardDuty indique que l'une de vos instances Amazon EC2 est interrogée par une adresse IP malveillante connue, vous pouvez corriger le problème grâce à une règle CloudWatch Events qui déclenche une fonction Lambda pour modifier automatiquement les règles de vos groupes de sécurité et limiter l'accès à ce port.

Q : Comment les détections Amazon GuardDuty sont-elles développées et gérées ?

Amazon GuardDuty possède une équipe qui se consacre au développement, à la gestion et à l'itération des détections. De nouvelles détections sont ainsi régulièrement produites pour le service et les détections existantes font l'objet d'une itération continue. Plusieurs mécanismes de retour d'informations sont intégrés au service, par exemple, des pouces vers le haut et vers le bas sont associés à chaque résultat de sécurité disponible dans l'interface utilisateur GuardDuty. Cela permet aux clients de donner leur avis, lequel est ensuite incorporé aux futures itérations des détections GuardDuty.

Q : Est-il possible d'écrire des détections personnalisées dans Amazon GuardDuty ?

Non. Amazon GuardDuty évite d'avoir à développer et à gérer ses propres ensembles de règles personnalisés, un processus complexe et fastidieux. De nouvelles détections sont constamment ajoutées en fonction des retours des clients et des recherches effectuées par l'équipe de sécurité d'AWS et l'équipe dédiée à GuardDuty. Les personnalisations configurables par les clients comprennent l'ajout de listes personnelles de menaces et d'adresses IP sûres.

Q : J'utilise actuellement Amazon GuardDuty. Comment puis-je commencer à utiliser GuardDuty pour la protection S3 ?

Pour les comptes actuels, GuardDuty peut être activé dans la console ou l'API pour la protection S3. Dans la console GuardDuty, vous pouvez accéder à la page de protection des compartiments S3 et activer GuardDuty pour la protection S3 de vos comptes. Cela démarre un essai gratuit de 30 jours de GuardDuty pour la protection S3.

Q : Est-il possible d'essayer gratuitement GuardDuty pour la protection S3 ?

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque compte de chaque région bénéficie d'un essai gratuit de 30 jours de GuardDuty pour la protection S3. Les comptes pour lesquels GuardDuty est déjà activé bénéficient également d'un essai gratuit de 30 jours des fonctionnalités de GuardDuty pour la protection S3.

Q : Je suis un nouvel utilisateur d'Amazon GuardDuty. GuardDuty pour la protection S3 est-il activé par défaut pour mes comptes ?

Oui. Tout nouveau compte qui active GuardDuty via la console ou l'API active également par défaut GuardDuty pour la protection S3. Les nouveaux comptes GuardDuty créés en utilisant la fonctionnalité d'activation automatique d'AWS Organizations n'activent pas par défaut GuardDuty pour la protection S3 sauf si l'activation automatique pour S3 est activée.

Q : Puis-je activer uniquement GuardDuty pour la protection S3 sans activer tout le service GuardDuty (journaux de flux VPC, journaux de requêtes DNS et événements de gestion CloudTrail) ?

Le service Amazon GuardDuty doit être activé pour que GuardDuty pour la protection S3 soit également disponible. Les comptes GuardDuty actuels ont la possibilité d'activer GuardDuty pour la protection S3. Les nouveaux comptes GuardDuty bénéficient par défaut de GuardDuty pour la protection S3 dès que le service GuardDuty est activé.

Q : Le service GuardDuty surveille-t-il tous les compartiments de mon compte pour la protection S3 ?

Oui. Par défaut, GuardDuty pour la protection S3 surveille tous les compartiments S3 de votre environnement.

Q : Dois-je activer la journalisation des événements de données AWS CloudTrail S3 afin d'utiliser GuardDuty pour la protection S3 ?

Non. GuardDuty accède directement aux journaux des événements de données AWS CloudTrail S3. Vous n'avez pas besoin d'activer la journalisation des événements de données S3 dans CloudTrail et n'encourez pas de coûts associés. Notez que le service GuardDuty ne stocke pas les journaux et les utilise uniquement à des fins d'analyse.
 

GuardDuty pour la protection S3

Q : J'utilise actuellement Amazon GuardDuty. Comment puis-je commencer à utiliser GuardDuty pour la protection S3 ?

Pour les comptes actuels, GuardDuty peut être activé dans la console ou l'API pour la protection S3. Dans la console GuardDuty, vous pouvez accéder à la page de protection des compartiments S3 et activer GuardDuty pour la protection S3 de vos comptes. Cela démarre un essai gratuit de 30 jours de GuardDuty pour la protection S3.

Q : Est-il possible d'essayer gratuitement GuardDuty pour la protection S3 ?

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque compte de chaque région bénéficie d'un essai gratuit de 30 jours de GuardDuty pour la protection S3. Les comptes pour lesquels GuardDuty est déjà activé bénéficient également d'un essai gratuit de 30 jours des fonctionnalités de GuardDuty pour la protection S3.

Q : Je suis un nouvel utilisateur d'Amazon GuardDuty. GuardDuty pour la protection S3 est-il activé par défaut pour mes comptes ?

Oui. Tout nouveau compte qui active GuardDuty via la console ou l'API active également par défaut GuardDuty pour la protection S3. Les nouveaux comptes GuardDuty créés en utilisant la fonctionnalité d'activation automatique d'AWS Organizations n'activent pas par défaut GuardDuty pour la protection S3 sauf si l'activation automatique pour S3 est activée.

Q : Puis-je activer uniquement GuardDuty pour la protection S3 sans activer tout le service GuardDuty (journaux de flux VPC, journaux de requêtes DNS et événements de gestion CloudTrail) ?

Le service Amazon GuardDuty doit être activé pour que GuardDuty pour la protection S3 soit également disponible. Les comptes GuardDuty actuels ont la possibilité d'activer GuardDuty pour la protection S3. Les nouveaux comptes GuardDuty bénéficient par défaut de GuardDuty pour la protection S3 dès que le service GuardDuty est activé.

Q : Le service GuardDuty surveille-t-il tous les compartiments de mon compte pour la protection S3 ?

Oui. Par défaut, GuardDuty pour la protection S3 surveille tous les compartiments S3 de votre environnement.

Q : Dois-je activer la journalisation des événements de données AWS CloudTrail S3 afin d'utiliser GuardDuty pour la protection S3 ?

Non. GuardDuty accède directement aux journaux des événements de données AWS CloudTrail S3. Vous n'avez pas besoin d'activer la journalisation des événements de données S3 dans CloudTrail et n'encourez pas de coûts associés. Notez que le service GuardDuty ne stocke pas les journaux et les utilise uniquement à des fins d'analyse.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification du produit

Consultez les exemples de tarification et les modalités de l'essai gratuit.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Inscrivez-vous pour un essai gratuit.

Bénéficiez d'un essai gratuit d'Amazon GuardDuty. 

Démarrez un essai gratuit. 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencez à créer sur la console.

Commencez à créer sur la console AWS avec Amazon GuardDuty.

Se connecter