Amazon GuardDuty

Rilevamento di minacce intelligente e monitoraggio continuo per la protezione di carichi di lavoro e account AWS

Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti maligni o non autorizzati e aiutarti a proteggere i tuoi carichi di lavoro e account AWS. Monitora ricercando attività quali chiamate API insolite o distribuzioni potenzialmente non autorizzate, indice di una possibile compromissione dell'account. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o attività di ricognizione da parte di malintenzionati.

Attivabile con pochi clic nella Console di gestione AWS, Amazon GuardDuty può iniziare subito ad analizzare miliardi di eventi sui tuoi account AWS, per individuare segni di rischi. GuardDuty individua malintenzionati sospetti attraverso feed integrati di intelligence sulle minacce e utilizza il machine learning per rilevare anomalie nelle attività di account e carichi di lavoro. Quando viene rilevata una potenziale minaccia, il servizio inoltra un avviso di sicurezza dettagliato alla console di GuardDuty e a AWS CloudWatch Events. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli in sistemi di gestione di eventi e flussi di lavoro esistenti.

Amazon GuardDuty è semplice e conveniente. Non richiede la distribuzione e la manutenzione di un'infrastruttura software o di sicurezza, il che significa che può essere attivato rapidamente, senza il rischio di influire negativamente sui carichi di lavoro delle applicazioni esistenti. GuardDuty non prevede costi anticipati o software da distribuire, né richiede feed di intelligence sulle minacce. I clienti pagano solo per gli eventi analizzati da GuardDuty ed è previsto un periodo di prova gratuita di 30 giorni per ogni nuovo account che accede al servizio.

Introduzione ad Amazon GuardDuty

Come funziona

Vantaggi

Rilevamento di minacce intelligente

Amazon GuardDuty ti offre un rilevamento di minacce intelligente raccogliendo, analizzando e correlando miliardi di eventi da AWS CloudTrail, log dei flussi VPC di Amazon e log DNS su tutti i tuoi account AWS associati. I rilevamenti di GuardDuty sono resi ancora più precisi incorporando l'intelligence sulle minacce (come elenchi di indirizzi IP maligni forniti da AWS Security e partner di intelligence sulle minacce di terze parti). Inoltre, GuardDuty utilizza il machine learning per rilevare attività anomale di account e di rete. Ad esempio, GuardDuty ti avvisa in caso di rilevamento di chiamate API remote da un indirizzo IP noto come maligno, indicando credenziali AWS potenzialmente compromesse. Inoltre, GuardDuty rileva le minacce dirette al tuo ambiente AWS, indicando un'istanza compromessa, come un'istanza Amazon EC2 che invia dati codificati all'interno di query DNS.

Centralizzazione del rilevamento delle minacce tra gli account

Molte organizzazioni utilizzano più account AWS per aiutare a fornire allocazione di costi, agilità e sicurezza opportune. Sono sufficienti pochi clic nella Console di gestione AWS per centralizzare il tuo rilevamento delle minacce, attivando Amazon GuardDuty su tutti i tuoi account AWS. Con GuardDuty, non è necessario installare software o infrastruttura di sicurezza aggiuntivi per analizzare i dati delle attività dei tuoi carichi di lavoro e del tuo account. Il team del tuo centro delle operazioni sulla sicurezza può gestire con facilità e smistare le minacce da un'unica visualizzazione della console e automatizzare le risposte di sicurezza utilizzando un solo account di sicurezza.

Sicurezza rafforzata attraverso l'automazione

In aggiunta al rilevamento di minacce, Amazon GuardDuty facilita anche l'automazione del modo in cui puoi rispondere a queste minacce, riducendo i tempi di risanamento e recupero. Puoi configurare i tuoi script di risanamento o le funzioni di AWS Lambda per l'attivazione sulla base dei risultati di GuardDuty. I risultati di sicurezza di GuardDuty includono i dettagli della risorsa colpita, come tag, gruppi di sicurezza o credenziali. Includono inoltre le informazioni del malintenzionato, quali indirizzo IP e geolocalizzazione. Questo rende i risultati di sicurezza di GuardDuty informativi e funzionali. Ad esempio, la compromissione di un account può essere difficile da rilevare in modo rapido se non effettui un monitoraggio continuo delle attività dell'account, praticamente in tempo reale. Con GuardDuty, quando si sospetta il furto di dati da un'istanza, il servizio ti avvisa, permettendoti di creare automaticamente un controllo degli accessi che limiti l'accesso in uscita da quell'istanza.