Questions fréquentes (FAQ) sur Amazon GuardDuty

Présentation du service

GuardDuty est un service intelligent de détection des menaces qui surveille en permanence vos comptes AWS, les instances Amazon Elastic Compute Cloud (Amazon EC2), la fonction AWS Lambda, les clusters Amazon Elastic Kubernetes Service (Amazon EKS), l'activité de connexion Amazon Aurora et les données stockées dans Amazon Simple Storage Service (Amazon S3) à la recherche d'activités malveillantes. Si une activité malveillante potentielle, telle qu'un comportement anormal, l'exfiltration d'informations d'identification ou la communication d'une infrastructure de commandement et de contrôle (C2), est détectée, GuardDuty génère des résultats de sécurité détaillés qui peuvent être utilisés pour la visibilité de la sécurité et l'aide à la résolution. En outre, l'utilisation de la fonction de protection contre les logiciels malveillants Amazon GuardDuty permet de détecter les fichiers malveillants sur les volumes Amazon Elastic Block Store (Amazon EBS) attachés à l'instance Amazon EC2 et aux charges de travail des conteneurs.

GuardDuty simplifie la surveillance continue de vos comptes et charges de travail AWS, ainsi que de vos données stockées dans Amazon S3. Le niveau de base de GuardDuty est conçu pour fonctionner de manière totalement indépendante de vos ressources et n'avoir aucun impact sur les performances ou la disponibilité de vos charges de travail. Le service est entièrement géré avec l'intégration des renseignements sur les menaces, la détection des anomalies par le machine learning (ML) et l'analyse des logiciels malveillants. GuardDuty émet des alertes détaillées et exploitables qui peuvent être intégrées aux systèmes existants de gestion des événements et de flux de travail. Aucuns frais initiaux ne sont facturés et vous ne payez que les événements analysés, sans logiciel supplémentaire à déployer ni abonnement à un flux de renseignement sur les menaces.

Les prix de GuardDuty sont basés sur le volume de journaux de service analysés, deprocesseurs (vCPU) ou d'unités de capacité Aurora (ACU) de l'instance Aurora sans serveur v2 pour l'analyse des événements Amazon RDS, du nombre et de la taille des charges de travail Amazon EKS surveillées lors de l'exécution et du volume de données analysées pour détecter les logiciels malveillants. Les journaux de service analysés sont filtrés pour optimiser les coûts et directement intégrés à GuardDuty, ce qui signifie que vous n'avez pas à les activer ou à les payer séparément. 

Pour des informations et des exemples de tarification, reportez-vous à la Tarification d'Amazon GuardDuty.

Le coût estimé représente le coût pour le compte payeur individuel. Vous verrez l'utilisation facturée et le coût quotidien moyen de chaque compte membre dans le compte de l'administrateur GuardDuty. Vous devez accéder au compte individuel si vous voulez consulter les informations détaillées d'utilisation.

Oui, tout nouveau compte Amazon GuardDuty bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble de la fonction et aux détections pendant l'essai gratuit. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

GuardDuty assure une surveillance étendue de la sécurité de vos comptes, charges de travail et données AWS, afin d'identifier les menaces, telles que la reconnaissance des attaquants, les compromissions d'instances, de comptes, de compartiments ou de clusters Amazon EKS et les logiciels malveillants. Macie est un service entièrement géré de découverte de données sensibles, qui utilise le ML et la correspondance de modèles pour découvrir vos données sensibles dans S3.

GuardDuty est un service régional. Même lorsque plusieurs comptes sont activés et que plusieurs régions sont utilisées, les résultats de sécurité de GuardDuty restent dans les régions où les données sous-jacentes ont été générées. Ainsi, toutes les données analysées sont basées sur la région et ne traversent pas les frontières régionales d'AWS. Cependant, vous pouvez agréger les résultats de sécurité produits par GuardDuty dans les régions en utilisant Amazon EventBridge ou en envoyant les résultats à votre magasin de données (tel que S3), puis agréger les résultats comme vous le souhaitez. Vous pouvez également envoyer les résultats de GuardDuty à AWS Security Hub et utiliser sa fonctionnalité d'agrégation interrégionale.

La disponibilité régionale de GuardDuty est indiquée dans la liste des services régionaux AWS.

De nombreux partenaires technologiques ont intégré Amazon GuardDuty et s'appuient sur le service. En outre, des consultants, des intégrateurs de systèmes et des fournisseurs de services de sécurité gérés possèdent une expertise GuardDuty. Pour plus de détails, reportez-vous à la page des partenaires Amazon GuardDuty.

Foregenix a publié un livre blanc qui fournit une évaluation détaillée de l'efficacité de GuardDuty pour répondre aux exigences, telle que l'exigence 11.4 PCI DSS qui requiert des techniques de détection des intrusions sur les points critiques du réseau.

Activation de GuardDuty

Vous pouvez configurer et déployer GuardDuty en quelques clics dans la console de gestion AWS. Une fois GuardDuty activé, il analyse immédiatement les flux continus d'activité des comptes et des réseaux en quasi temps réel et à grande échelle. Vous n'avez pas à déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Les renseignements sur les menaces sont pré-intégrés dans le service et sont mis à jour et gérés en continu.

Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. Lorsque vous utilisez la fonction, tous les résultats de sécurité sont regroupés dans le compte d'administrateur pour les examiner et procéder à des corrections. Les événements Amazon EventBridge sont également agrégés dans le compte d'administrateur GuardDuty lorsque cette configuration est utilisée. En outre, GuardDuty est intégré à AWS Organizations, afin de pouvoir déléguer un compte d'administrateur GuardDuty pour votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.

Les sources de données fondamentales analysées par GuardDuty incluent : les journaux d'événements de gestion AWS CloudTrail, les événements de gestion CloudTrail, les journaux de flux Amazon EC2 VPC et les journaux de requêtes DNS. Les plans de protection GuardDuty surveillent d'autres types de ressources, notamment les événements de données CloudTrail S3 (protection S3), les journaux d'audit Amazon EKS et l'activité d'exécution pour Amazon EKS (protection EKS), l'activité d'exécution Amazon ECS (surveillance d'exécution ECS), l'activité d'exécution Amazon EC2 (surveillance d'exécution EC2), les données de volume Amazon EBS (protection contre les logiciels malveillants), les événements de connexion Amazon Aurora (protection RDS) et les journaux d'activité réseau (protection Lambda). Le service est optimisé pour consommer de grands volumes de données pour le traitement en temps quasi réel des détections de sécurité. GuardDuty vous donne accès à des techniques de détection intégrées, développées et optimisées pour le cloud, et gérées et constamment améliorées par l'équipe technique GuardDuty.

Une fois activé, GuardDuty commence à analyser les activités malveillantes ou non autorisées. Le délai pour commencer à recevoir des résultats dépend du niveau d'activité de votre compte. GuardDuty n'examine pas les données historiques. Il analyse uniquement l'activité qui existe après son activation. Si GuardDuty identifie des menaces potentielles, un résultat s'affiche sur la console GuardDuty.

Non. GuardDuty extrait des flux de données indépendants directement de CloudTrail, des journaux de flux VPC, des journaux de requêtes DNS et d'Amazon EKS. Vous n'avez pas besoin de gérer les stratégies de compartiment Amazon S3 ni de modifier le mode de collecte et de stockage de vos journaux. Les autorisations GuardDuty sont gérées comme des rôles liés à un service. Vous pouvez désactiver GuardDuty à tout moment. Dans ce cas, toutes les autorisations GuardDuty sont supprimées. Ainsi, vous pouvez activer plus facilement le service, car cela évite d'exécuter des opérations de configuration complexes. Les rôles liés à un service éliminent également le risque d'affecter le fonctionnement du service en configurant incorrectement les autorisations AWS Identity and Access Management (IAM) ou en modifiant les politiques de compartiment S3. Enfin, les rôles lié à un services rendent GuardDuty extrêmement efficace pour consommer de grands volumes de données en temps quasi réel avec un impact minime voire nul sur les performances et la disponibilité de votre compte ou de vos charges de travail.

Lorsque vous activez GuardDuty pour la première fois, il fonctionne de manière totalement indépendante de vos ressources AWS. Si vous configurez GuardDuty EKS Runtime Monitoring pour déployer automatiquement l'agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison VPC dans les VPC utilisés pour exécuter des clusters Amazon EKS.

Non. GuardDuty ne gère ni ne conserve vos journaux. Toutes les données que consomme GuardDuty sont analysées en temps quasi réel, puis supprimées, afin que GuardDuty oit extrêmement efficace et rentable et de réduire le risque de rémanence de données. En ce qui concerne la distribution et la conservation des journaux, vous devez utiliser directement les services de journalisation et de surveillance AWS qui offrent des options complètes de distribution et de conservation.

Vous pouvez empêcher GuardDuty d'analyser vos sources de données à tout moment dans les paramètres généraux en suspendant le service. Ainsi, le service cessera immédiatement d'analyser les données. Toutefois, vos résultats ou configuration existants ne seront pas supprimés. Vous pouvez également choisir de désactiver le service dans les paramètres généraux. Dans ce cas, toutes les données restantes seront supprimées, notamment vos résultats et configurations existants, avant de supprimer les autorisations du service et de le réinitialiser. Vous pouvez également désactiver de manière sélective des fonctionnalités telles que GuardDuty S3 Protection ou GuardDuty EKS Protection via la console de gestion ou via les CLI AWS.

Activation de GuardDuty

GuardDuty vous donne accès à des techniques de détection intégrées développées et optimisées pour le cloud. Les algorithmes de détection sont gérés et améliorés constamment par l'équipe technique GuardDuty. Les principales catégories de détection sont les suivantes :

  • Reconnaissance :activité qui suggère une reconnaissance par un attaquant, telle qu'une activité API inhabituelle, une analyse de port intra-VPC, des modèles inhabituels de demandes de connexion ayant échoué ou une exploration de port non bloqué à partir d'une adresse IP incorrecte connue.
  • Instance compromise : Activité indiquant l'existence d'une instance compromise, telle que le mining de crypto-monnaie, l'utilisation par un logiciel malveillant d'algorithmes de génération de domaine (DGA), une activité sortante de déni de service, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante d'une instance avec une adresse IP malveillante connue, l'utilisation d'informations d'identification Amazon EC2 temporaires par une adresse IP externe, et l'exfiltration de données à l'aide d'un DNS.
  • Compte compromis : les cas courants qui indiquent la compromission d'un compte, notamment les appels d'API provenant d'une géolocalisation inhabituelle ou d'un proxy d'anonymisation, les tentatives de désactivation de la journalisation CloudTrail, les lancements inhabituels d'instance ou d'infrastructure, les déploiements d'infrastructures dans une région inhabituelle, l'exfiltration d'informations d'identification et les appels d'API provenant d'adresses IP malveillantes connues.
  • Compromission de compartiment : activité qui indique l'existence d'un compartiment compromis, telle que des modèles d'accès aux données suspects indiquant une utilisation abusive des informations d'identification, l'activité inhabituelle d'une API S3 depuis un hôte distant, les accès S3 non autorisés depuis des adresses IP malveillantes connues et les appels d'API pour récupérer les données stockées dans les compartiments S3, effectués par un utilisateur qu n'a aucun historique d'accès au compartiment ou les API invoquées à partir d'un emplacement inhabituel. GuardDuty surveille et analyse en permanence les événements de données S3 CloudTrail (tels que GetObject, ListObjects et DeleteObject) pour détecter toute activité suspecte dans tous vos compartiments S3.
  • Détection des logiciels malveillants : GuardDuty lance une analyse de détection des logiciels malveillants lorsqu'il identifie un comportement suspect indiquant la présence d'un logiciel malveillant dans les instances Amazon EC2 ou les charges de travail des conteneurs. GuardDuty génère des répliques temporaires des volumes Amazon EBS attachés à ces instances Amazon EC2 ou à ces charges de travail de conteneur et analyse les répliques de volume à la recherche de chevaux de Troie, de vers, de mineurs de crypto-monnaie, de rootkits, de bots, etc. qui pourraient être utilisés pour compromettre les charges de travail, réaffecter les ressources à des fins malveillantes et obtenir un accès non autorisé aux données. GuardDuty Malware Protection génère des résultats contextualisés qui permettent de valider la source du comportement suspect. Ces résultats peuvent être transmis aux administrateurs concernés et lancer des mesures correctives automatiques.
  • Compromission de conteneur : activité qui identifie un comportement malveillant potentiel ou suspect dans les charges de travail des conteneurs, en surveillant et en profilant en permanence les clusters Amazon EKS en analysant ses journaux d'audit EKS et l'exécution de l'activité du conteneur.

Les renseignements sur les menaces de GuardDuty comprennent les adresses IP et les domaines connus pour être utilisés par les pirates. Les renseignements sur les menaces de GuardDuty sont fournis par AWS et des fournisseurs tiers, tels que Proofpoint et CrowdStrike. Ces flux de renseignements sont préintégrés et constamment mis à jour dans GuardDuty, sans frais supplémentaires.

Oui, GuardDuty vous permet de charger vos propres renseignements sur les menaces ou une liste d'adresses IP de confiance. Lorsque cette fonction est utilisée, ces listes ne sont appliquées qu'à votre compte et ne sont pas partagées avec les autres clients.

Quand une menace potentielle est détectée, Amazon GuardDuty envoie un résultat de sécurité détaillé à la console GuardDuty et à EventBridge. Ainsi, les alertes sont exploitables et faciles à intégrer aux systèmes existants de gestion des événements ou de flux. Les résultats comprennent la catégorie, la ressource concernée et ses métadonnées, telles que le niveau de gravité.

Les résultats de GuardDuty sont présentés dans un format JavaScript Object Notation (JSON) courant, qui est également utilisé par Macie et Amazon Inspector. Il est ainsi plus facile pour les clients et les partenaires d'utiliser les résultats de sécurité des trois services et de les intégrer dans des solutions plus larges de gestion des événements, de flux ou de sécurité.

Les résultats de sécurité sont conservés et accessibles via la console GuardDuty et les API pendant 90 jours. Les résultats seront supprimés après 90 jours. Pour conserver les résultats plus longtemps que 90 jours, vous pouvez activer EventBridge pour envoyer les résultats vers un compartiment S3 de votre compte ou vers tout autre magasin de données pour la conservation longue durée.

Oui, vous pouvez agréger les résultats de sécurité produits par GuardDuty entre les régions en utilisant EventBridge ou les envoyer vers votre magasin de données (comme S3), puis en agrégeant les résultats comme vous le souhaitez. Vous pouvez également envoyer les résultats de GuardDuty à Security Hub et utiliser sa fonctionnalité d'agrégation interrégionale.

Grâce à Amazon GuardDuty, EventBridge et AWS Lambda, vous avez la possibilité de définir des actions préventives automatisées en fonction d'un résultat de sécurité. Par exemple, vous pouvez créer une fonction Lambda pour modifier les règles de vos groupes de sécurité AWS en fonction de résultats de sécurité. Si vous recevez un résultat GuardDuty qui indique qu'une de vos instances EC2 est sondée par une IP malveillante connue, vous pouvez y remédier avec une règle EventBridge, en lançant une fonction Lambda pour modifier automatiquement vos règles de groupe de sécurité et restreindre l'accès sur ce port.

L'équipe GuardDuty se consacre au développement, à la gestion et à l'itération des détections. De nouvelles détections sont ainsi régulièrement produites pour le service et les détections existantes font l'objet d'une itération continue. Plusieurs mécanismes de retour d'informations sont intégrés au service, par exemple, indications positives ou négatives sont associés à chaque résultat de sécurité disponible dans l'interface utilisateur GuardDuty. Ainsi, vous pouvez fournir un retour d'information qui pourrait être intégré dans les itérations futures des détections de GuardDuty.

Non. GuardDuty élimine la lourdeur et la complexité du développement et de la maintenance de vos propres ensembles de règles personnalisées. De nouvelles détections sont constamment ajoutées en fonction des commentaires des clients, ainsi que des recherches des ingénieurs en sécurité d'AWS et de l'équipe technique de GuardDuty. Cependant, les personnalisations configurables par les clients comprennent l'ajout de listes personnelles de menaces et d'adresses IP sûres.

GuardDuty pour S3 Protection

Pour les comptes GuardDuty actuels, la protection S3 peut être activée dans la console, sur la page S3 Protection, ou via l'API. Vous démarrez ainsi un essai gratuit de 30 jours de la fonctionnalité GuardDuty S3 Protection.

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque compte de chaque région bénéficie d'un essai gratuit de 30 jours de GuardDuty qui inclut la fonction S3 Protection. Les comptes dans lesquels GuardDuty est déjà activé bénéficient également d'un essai gratuit de 30 jours de la fonction S3 Protection lors de sa première activation.

Oui. Les nouveaux comptes qui active GuardDuty dans la console ou par le biais de l'API active également par défaut S3 Protection. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.

Non. Le service GuardDuty doit être activé pour pouvoir utiliser la S3 Protection. Les comptes GuardDuty actuels peuvent activer la S3 Protection. La fonction est activée par défaut pour les nouveaux comptes GuardDuty une fois le service GuardDuty activé.

Par défaut,S3 Protection surveille tous les compartiments S3 de votre environnement.

Non. GuardDuty a un accès direct aux journaux des événements des données CloudTrail S3. Vous n'avez pas besoin d'activer la journalisation des événements de données S3 dans CloudTrail, et les coûts associés ne vous sont donc pas facturés. Notez que GuardDuty ne stocke pas les journaux et qu'il les utilise uniquement pour ses analyses.

GuardDuty pour EKS Protection

GuardDuty pour EKS Protection est une fonctionnalité de GuardDuty qui surveille l'activité du plan de contrôle du cluster Amazon EKS en analysant les journaux d'audit Amazon EKS. GuardDuty est intégré à Amazon EKS, ce qui lui permet d'accéder directement aux journaux d'audit Amazon EKS sans que vous ayez à activer ou à stocker ces journaux. Ces journaux d'audit sont des enregistrements chronologiques pertinents pour la sécurité qui documentent la séquence des actions effectuées sur le plan de contrôle d'Amazon EKS. Ces journaux d'audit Amazon EKS donnent à GuardDuty la visibilité nécessaire pour effectuer une surveillance continue de l'activité de l'API Amazon EKS et appliquer une veille des menaces et une détection des anomalies éprouvées pour identifier les activités malveillantes ou les changements de configuration susceptibles d'exposer votre cluster Amazon EKS à un accès non autorisé. Lorsque des menaces sont identifiées, GuardDuty génère des résultats de sécurité qui comprennent le type de menace, le niveau de gravité et des détails au niveau du conteneur (tels que l'ID du pod, l'ID de l'image du conteneur et les identifications associées).

GuardDuty EKS Protection peut détecter les menaces liées à l'activité des utilisateurs et des applications capturée dans les journaux d'audit Amazon EKS. Les détections de menaces Amazon EKS incluent les clusters Amazon EKS auxquels accèdent des acteurs malveillants connus ou à partir de nœuds Tor, les opérations d'API effectuées par des utilisateurs anonymes qui pourraient indiquer une mauvaise configuration et les mauvaises configurations qui peuvent entraîner un accès non autorisé aux clusters Amazon EKS. En outre, à l'aide de modèles ML, GuardDuty peut identifier des modèles cohérents avec les techniques d'escalade de privilèges, comme le lancement suspect d'un conteneur avec un accès de niveau racine à l'hôte EC2 sous-jacent. Pour obtenir la liste complète des nouvelles détection, reportez-vous à Types de résultats d'Amazon GuardDuty.

Non, GuardDuty a un accès direct à ces journaux. Notez que GuardDuty utilise ces journaux uniquement à des fins d’analyse ; il ne les stocke pas et vous n'avez pas besoin d'activer ou de payer pour que ces journaux d'audit Amazon EKS soient partagés avec GuardDuty. Pour optimiser les coûts, GuardDuty applique des filtres intelligents pour ne consommer qu'un sous-ensemble des journaux d'audit liés à la détection des menaces de sécurité.

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque nouveau compte GuardDuty dans chaque région reçoit un essai gratuit de 30 jours de GuardDuty, qui inclut la fonction GuardDuty EKS Protection. Les comptes GuardDuty existants bénéficient d'un essai de 30 jours de GuardDuty EKS Protection sans frais supplémentaires. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

GuardDuty EKS Protection doit être activé pour chaque compte individuel. Vous pouvez activer la fonctionnalité pour vos comptes d'un simple clic dans la console GuardDuty à partir de la page de la console GuardDuty EKS Protection. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer GuardDuty EKS Protection dans toute votre organisation à partir de la page GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la surveillance continue pour Amazon EKS dans tous les comptes individuels des membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique AWS Organizations, vous devez explicitement activer l'activation automatique pour Amazon EKS. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, sans aucune configuration sur vos clusters Amazon EKS.

 Oui. Tout nouveau compte qui active GuardDuty dans la console ou par le biais de l'API active également par défaut GuardDuty EKS Protection. Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Protection contre les logiciels malveillants. 

Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez désactiver GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la fonction pour vos comptes membres.

Si vous avez désactivé la fonction GuardDuty EKS Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez activer GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection.

GuardDuty EKS Protection doit être activé pour chaque compte individuel. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer la détection des menaces pour Amazon EKS dans toute votre organisation d'un simple clic sur la page de la console GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la détection des menaces pour Amazon EKS dans tous les comptes individuels des membres. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, et aucune configuration manuelle n'est requise sur vos clusters Amazon EKS.

Vous ne serez pas facturé si vous n'utilisez pas Amazon EKS et que vous avez activé GuardDuty EKS Protection. Toutefois, lorsque vous commencerez à utiliser Amazon EKS, GuardDuty surveillera automatiquement vos clusters et générera des résultats pour les problèmes identifiés, et cette surveillance vous sera facturée.

Non. Le service GuardDuty doit être activé pour que GuardDuty EKS Protection soit disponible.

Oui, GuardDuty EKS Protection surveille les journaux d'audit Amazon EKS à la fois des clusters Amazon EKS déployés sur des instances EC2 et des clusters Amazon EKS déployés sur Fargate.

Actuellement, cette fonctionnalité ne prend en charge que les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte ou sur Fargate.

Non. GuardDuty EKS Protection n'a aucune incidence sur les performances, la disponibilité ou le coût des déploiements de charges de travail Amazon EKS.

Oui, GuardDuty est un service régional, et donc GuardDuty EKS Protection doit être activé dans chaque région AWS séparément.

GuardDuty EKS Runtime Monitoring

GuardDuty EKS Runtime Monitoring utilise un module complémentaire Amazon EKS entièrement géré qui ajoute de la visibilité sur l'activité d'exécution des conteneurs Kubernetes individuels exécutés sur Amazon EKS, comme l'accès aux fichiers, l'exécution des processus et les connexions réseau. Le module complémentaire peut être activé automatiquement, directement depuis GuardDuty, pour tous les clusters Amazon EKS existants et nouveaux d'un compte, ou manuellement depuis Amazon EKS pour un cluster individuel. Le module complémentaire déploie automatiquement un agent de sécurité GuardDuty sous la forme d'un ensemble de démons qui collecte les événements d'exécution de tous les pods exécutés sur le nœud et les transmet à GuardDuty pour le traitement des analyses de sécurité. Cela permet à GuardDuty d'identifier les conteneurs spécifiques de vos clusters Amazon EKS qui sont potentiellement compromis et de détecter les tentatives d'augmentation des privilèges d'un conteneur individuel vers l'hôte Amazon EC2 sous-jacent et l'environnement AWS au sens large. Lorsque GuardDuty détecte une menace potentielle, un résultat de sécurité est généré qui inclut le contexte des métadonnées, notamment le conteneur, le pod Kubernetes et les détails du processus.

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée à partir de la console GuardDuty sur la page EKS Runtime Monitoring, ou par le biais de l'API. En savoir plus sur GuardDuty EKS Runtime Monitoring.

Non. GuardDuty EKS Runtime Monitoring est le seul plan de protection qui n'est pas activé par défaut lorsque vous activez GuardDuty pour la première fois. La fonctionnalité peut être activée depuis la console GuardDuty sur la page EKS Runtime Monitoring, ou via l'API. Notez que la fonction GuardDuty EKS Protection n'est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations, sauf si l'option d'activation automatique pour Amazon EKS est activée.

Non, le service GuardDuty doit être activé pour pouvoir utiliser GuardDuty EKS Runtime Monitoring.

Pour obtenir la liste complète des régions dans lesquelles EKS Runtime Monitoring est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

GuardDuty EKS Runtime Monitoring doit être activé pour chaque compte individuel. Si vous travaillez dans une configuration multi-comptes GuardDuty, vous pouvez activer la détection des menaces pour Amazon EKS dans l'ensemble de votre organisation en un seul clic sur la page de la console GuardDuty EKS Runtime Monitoring du compte administrateur GuardDuty. Cela activera la surveillance de l'exécution pour Amazon EKS dans tous les comptes individuels des membres. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, et aucune configuration manuelle n'est requise sur vos clusters Amazon EKS.

La surveillance de l'exécution GuardDuty EKS vous permet de configurer de manière sélective les clusters Amazon EKS qui doivent être surveillés pour détecter les menaces. Grâce à la configurabilité au niveau du cluster, vous pouvez surveiller de manière sélective les clusters EKS pour détecter les menaces ou continuer à utiliser la configurabilité au niveau du compte pour surveiller tous les clusters EKS d'un compte et d'une région donnés.

Vous n'aurez pas à payer de frais de GuardDuty EKS Runtime Monitoring si vous n'utilisez pas Amazon EKS et que la surveillance du temps d'exécution GuardDuty EKS est activée. Toutefois, lorsque vous commencerez à utiliser Amazon EKS, GuardDuty surveillera automatiquement vos clusters et générera des résultats pour les problèmes identifiés, et cette surveillance vous sera facturée.

Si vous configurez GuardDuty EKS Runtime Monitoring pour déployer automatiquement l'agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison VPC dans les VPC utilisés pour exécuter des clusters Amazon EKS. En savoir plus sur les modules complémentaires de l'EKS.

Protection contre les logiciels malveillants GuardDuty

GuardDuty lance une recherche de logiciels malveillants lorsqu'il identifie un comportement suspect indiquant un logiciel malveillant dans les charges de travail des instances EC2 ou des conteneurs. Il analyse une réplique du volume Amazon EBS que GuardDuty génère sur la base de l'instantané de votre volume Amazon EBS à la recherche de chevaux de Troie, de vers, de mineurs de crypto-monnaie, de rootkits, de bots, etc. GuardDuty Malware Protection génère des résultats contextualisés qui peuvent aider à valider la source du comportement suspect. Ces résultats peuvent également être transmis aux administrateurs concernés et déclencher des actions correctives automatiques.

Les résultats de GuardDuty EC2 qui déclencheront une recherche de logiciels malveillants sont répertoriés ici.

Malware Protection détecte les fichiers malveillants en analysant l'EBS attaché aux instances EC2. Elle peut analyser tous les fichiers présents sur le volume. Les types de systèmes de fichiers pris en charge sont répertoriés ici.

Malware Protection recherche les menaces telles que les chevaux de Troie, les vers, les mineurs de cryptomonnaie, les rootkits et les bots, qui peuvent être utilisés pour compromettre les charges de travail, réaffecter des ressources à des fins malveillantes et obtenir un accès non autorisé aux données.

Il n'est pas nécessaire d'activer la journalisation des services pour que GuardDuty ou la fonction de Malware Protection fonctionne. La fonction Malware Protection fait partie de GuardDuty, un service AWS qui utilise les renseignements provenant de sources internes et externes intégrées.

Au lieu d'utiliser des agents de sécurité, GuardDuty Malware Protection crée et analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Les autorisations que vous avez accordées à GuardDuty par le biais d'un rôle lié à un service permettent au service de créer un réplica de volume chiffré dans le compte de service de GuardDuty à partir de l'instantané qui reste dans votre compte. Ensuite, la fonction GuardDuty Malware Protection analyse le réplica de volume pour rechercher les logiciels malveillants.

Oui. Chaque nouveau compte GuardDuty dans chaque région reçoit un essai gratuit de 30 jours de GuardDuty, qui inclut la fonction Malware Protection. Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

Vous pouvez activer Malware Protection dans la console GuardDuty dans la page Malware Protection ou en utilisant l'API. Si vous opérez dans une configuration multi-compte GuardDuty, vous pouvez activer la fonction dans toute votre organisation, dans la page de la console Malware Protection du compte d'administrateur GuardDuty. Ainsi, vous activez la recherche continue des logiciels malveillants dans tous les comptes membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d'AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option de protection contre les logiciels malveillants.

Oui. La fonction GuardDuty Malware Protection est activée par défaut pour tous les nouveaux comptes qui activent GuardDuty en utilisant la console ou l'API. Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Malware Protection. 

Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Vous verrez une option pour désactiver Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la protection contre les logiciels malveillants sur vos comptes membres.

Si vous avez désactivé la fonction Malware Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Vous pouvez activer la fonction Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty.

Non. Aucun frais Malware Protection n'est facturé si aucune recherche de logiciels malveillants n'est effectuée pendant la période de facturation. Vous pouvez consulter les coûts réels de cette fonction dans la console de facturation AWS.

Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. GuardDuty dispose d'une de gestion multi-compte par l'intégration d'AWS Organizations. Cette intégration permet aux équipes de la sécurité et de la conformité d'assurer la couverture complète par GuardDuty, notamment Malware Protection, de tous les comptes d'une organisation.

Non. Une fois la fonctionnalité activée, la protection contre les logiciels malveillants GuardDuty lance une recherche de logiciels malveillants en réponse aux résultats Amazon EC2 pertinents. Vous n'avez pas à déployer d'agents, ni à activer des sources de journaux, et aucune autre modification de configuration n'est nécessaire.

GuardDuty Malware Protection n'affecte pas les performances de vos charges de travail. Par exemple, les instantanés de volume EBS créés pour la recherche des logiciels malveillants ne peuvent être générés qu'une fois par période de 24 heures. GuardDuty Malware Protection conserve les réplicas et les instantanés chiffrés pendant quelques minutes après avoir terminé une recherche. En outre, GuardDuty Malware Protection utilise les ressources de calcul de GuardDuty pour la recherche de logiciels malveillants et non pas les ressources de calcul du client.

Oui. GuardDuty étant un service régional, la fonction Malware Protection doit être activée dans chaque région AWS séparément.

GuardDuty Malware Protection analyse un réplica basée sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Si vos volumes EBS sont chiffrés avec une clé gérée par le client, vous avez la possibilité de partager votre clé AWS Key Management Service (KMS) avec GuardDuty. Le service utilise la même clé pour chiffrer le réplica du volume Amazon EBS. Pour les volumes EBS non chiffrés, GuardDuty utilise sa propre clé pour chiffrer la réplica du volume EBS.

Oui. Toutes les données du volume EBS de réplica (et l'instantané sur lequel le volume de réplica est basé) restent dans la même région que le volume EBS d'origine.

Chaque nouveau compte GuardDuty, dans chaque région, reçoit un essai gratuit de 30 jours de GuardDuty, notamment de la fonction Malware Protection. Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez vous reporter à la page d'utilisation de la console GuardDuty pour connaître l'estimation des coûts après l'essai. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

La tarification de cette fonction est basée sur le nombre de Go de données analysées dans un volume. Vous pouvez appliquer des personnalisations en utilisant des options d'analyse de la console pour marquer, à l'aide de balises, des instances Amazon EC2 à inclure ou à exclure de l'analyse. Cela permet de contrôler les coûts. En outre, GuardDuty n'analyse une instance EC2 qu'une fois toutes les 24 heures. Si GuardDuty génère plusieurs résultats EC2 pour une instance EC2 dans les 24 heures, une analyse n'est exécutée que pour le premier résultat EC2 pertinent. Si des résultats EC2 continuent d'être produits pour une instance 24 heures après la dernière recherche de logiciels malveillants, une nouvelle recherche est lancée pour cette instance.

Oui. Il existe un paramètre permettant d'activer la conservation des instantanés lorsque l'analyse de Malware Protection détecte un logiciel malveillant. Vous pouvez activer ce paramètre à partir de la console GuardDuty, sur la page Settings (Paramètres). Par défaut, les instantanés sont supprimés quelques minutes après la fin d'une analyse et après 24 heures si l'analyse n'a pas abouti.

GuardDuty Malware Protection conserve chaque volume EBS de réplica qu'il génère et analyse pendant 24 heures maximum. Par défaut, les volumes EBS de réplica sont supprimés quelques minutes après que GuardDuty Malware Protection a terminé une analyse. Toutefois, dans certains cas, GuardDuty Malware Protection peut devoir conserver un volume EBS de réplica pendant plus de 24 heures si une indisponibilité de service ou un problème de connexion interfère avec sa recherche de logiciels malveillants. Dans ce cas, GuardDuty Malware Protection conserve le volume EBS de réplica pendant sept jours maximum pour donner au service le temps de trier et de résoudre l'indisponibilité ou le problème de connexion. GuardDuty Malware Protection supprime le volume EBS de réplica une fois que l'indisponibilité ou la défaillance est résolue ou que la période de conservation prolongée a expiré.

Non. GuardDuty n'analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée qu'une fois toutes les 24 heures. Même si GuardDuty génère plusieurs résultats permettant de lancer une recherche de logiciels malveillants, il ne lance pas d'analyse supplémentaire si moins de 24 heures se sont écoulées depuis l'analyse précédente. Si GuardDuty génère un résultat qualifié dans les 24 heures consécutives à la dernière recherche de logiciels malveillants, GuardDuty Malware Protection lance une nouvelle recherche de logiciels malveillants pour la charge de travail.

Non. La désactivation du service GuardDuty désactive également la fonction Malware Protection.

Protection GuardDuty RDS

La protection GuardDuty RDS peut être activée en une seule action dans la console GuardDuty, sans aucun agent à déployer manuellement, aucune source de données à activer et aucune autorisation de configuration. Grâce à des modèles ML personnalisés, GuardDuty RDS Protection commence par analyser et profiler les tentatives de connexion aux bases de données Amazon Aurora existantes et nouvelles. Lorsque des comportements ou tentatives suspectes effectuées par des acteurs malveillants connus sont identifiées, GuardDuty envoie les conclusions exploitables en matière de sécurité à GuardDuty et aux consoles de service de bases de données relationnelles Amazon (RDS), AWS Security Hub et Amazon EventBridge, permettant l’intégration avec la gestion des évènements de sécurité existante ou les systèmes de flux de travail. Découvrez comment GuardDuty RDS Protection utilise la surveillance des activités de connexion RDS.

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. Découvrez-en plus sur GuardDuty RDS Protection.

Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. La protection RDS n'est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d’AWS Organizations, sauf si l'option d'activation automatique pour RDS est activée.

Non, le service GuardDuty doit être activé pour pouvoir utiliser GuardDuty RDS Protection.

Pour obtenir la liste complète des régions dans lesquelles RDS Protection est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

Non. La détection des menaces GuardDuty pour bases de données Aurora est conçue pour n’avoir aucun impact sur les performances, la disponibilité ou les coûts de vos bases de données Amazon Aurora.

Protection GuardDuty Lambda

GuardDuty Lambda Protection surveille en permanence l'activité réseau, à commencer par les journaux de flux VPC, de vos charges de travail sans serveur pour détecter les menaces telles que les fonctions Lambda malicieusement réaffectées au minage de crypto-monnaie non autorisé, ou les fonctions Lambda compromises qui communiquent avec des serveurs d'acteurs de menaces connus. Lambda GuardDuty Protection peut être activée en quelques étapes dans la console GuardDuty et, à l'aide d'AWS Organizations, elle peut être activée de manière centralisée pour tous les comptes existants et nouveaux d'une organisation. Une fois activée, elle commence automatiquement à surveiller les données d'activité réseau à partir de toutes les fonctions Lambda existantes et nouvelles d'un compte.

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. En savoir plus sur la protection GuardDuty Lambda.

Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.

Pour obtenir la liste complète des régions dans lesquelles la protection lambda est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

Non, la protection Lambda GuardDuty est conçue pour ne pas affecter les performances, la disponibilité ou les coûts de vos charges de travail Lambda.