Panoramica del servizio

D: Cos'è Amazon GuardDuty?

Amazon GuardDuty offre la possibilità di rilevare le minacce, includendo il monitoraggio e la protezione continui di account AWS, carichi di lavoro e dati archiviati su Amazon Simple Storage Service (Amazon S3). GuardDuty analizza i flussi continui di metadati generati dalle attività dell'account e di rete rilevate in eventi di AWS CloudTrail, flussi di log di Amazon Virtual Private Cloud (VPC) e registri di Domain Name System (DNS). GuardDuty inoltre si avvale di intelligence sulle minacce integrata, ad esempio indirizzi IP malevoli, rilevamento di anomalie e machine learning (ML), per identificare le minacce in modo più preciso.

D: Quali sono i vantaggi chiave dell'utilizzo di Amazon GuardDuty?

Amazon GuardDuty semplifica il monitoraggio continuo di account AWS, carichi di lavoro e dati archiviati su Amazon S3. Il funzionamento di GuardDuty è completamente indipendente dalle risorse utilizzate, perciò non avrà alcun impatto sulle prestazioni o sulla disponibilità dei carichi di lavoro. Si tratta di una soluzione completamente gestita che integra intelligence sulle minacce, rilevamento di anomalie e ML. Amazon GuardDuty produce avvisi dettagliati che permettono di avviare operazioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover implementare ulteriori software o sottoscrizioni a feed di intelligence sulle minacce.

D: Quanto costa Amazon GuardDuty?

Il prezzo di Amazon GuardDuty si basa sul numero di eventi di AWS CloudTrail analizzati e sul volume di log di flusso di Amazon VPC e log di DNS analizzati. Non vi è alcun addebito aggiuntivo per abilitare le fonti di registri per le analisi GuardDuty.

  • Analisi degli eventi di gestione di AWS CloudTrail: GuardDuty analizza in modo continuo gli eventi di gestione di CloudTrail, monitorando tutti gli accessi e il comportamento di infrastruttura e account AWS. Le tariffe dell'analisi degli eventi di gestione di CloudTrail sono calcolate per milione di eventi al mese e sono ripartite proporzionalmente.
  • Analisi degli eventi di dati di AWS CloudTrail S3: GuardDuty analizza in modo continuo gli eventi di dati di CloudTrail S3, monitorando accessi e attività dei bucket Amazon S3. Le tariffe dell'analisi degli eventi di dati di CloudTrail S3 sono calcolate per milione di eventi al mese e sono ripartite proporzionalmente.
  • Analisi dei flussi di log di VPC e dei registri di DNS: GuardDuty analizza in modo continuo i flussi di log di VPC e domande e risposte DNS per identificare comportamenti malevoli, non autorizzati o inattesi negli account AWS e nei carichi di lavoro. Le tariffe dei flussi di log e DNS sono calcolate per gigabyte (GB) al mese. L'analisi di log di flusso e log di DNS prevede sconti per volumi elevati.

Non sono previsti costi anticipati e vengono addebitati solo i costi per i dati analizzati.

Consulta la pagina dei prezzi di Amazon GuardDuty per ulteriori dettagli ed esempi di prezzo.

D: La stima dei costi nell'account dell'entità pagante di Amazon GuardDuty mostra il totale dei costi per tutti gli account collegati o solo per il singolo account dell'entità pagante?

La stima dei costi rappresenta solo i costi relativi all'account dell'entità pagante. Se si tratta dell'account dell’amministratore, saranno visualizzati solo i costi stimati dell'account dell’amministratore.

D: È disponibile una prova gratuita?

Sì, tutti i nuovi account di Amazon GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante questo periodo saranno disponibili tutte le caratteristiche di rilevamento del servizio. GuardDuty mostrerà il volume di dati elaborati e fornirà una stima giornaliera delle spese dell'account. Ciò semplifica l'esperienza gratuita di Amazon GuardDuty e la previsione dei costi del servizio oltre la prova gratuita.

D: Quale è la differenza tra Amazon GuardDuty e Amazon Macie?

Amazon GuardDuty offre una protezione completa per account AWS, carichi di lavoro e dati aiutando a identificare minacce, quali riconoscimento di utenti malintenzionati, istanze, account e bucket compromessi. Amazon Macie ti aiuta a rilevare e proteggere i dati sensibili in Amazon S3, classificando i dati con i relativi controlli di accesso e sicurezza associati.

D: Amazon GuardDuty è un servizio regionale o globale?

Amazon GuardDuty è un servizio regionale. Anche quando sono stati abilitati diversi account e sono interessate diverse regioni, i risultati del funzionamento del servizio rimangono nella regione in cui sono stati generati i dati. In questo modo tutti i dati analizzati non possono superare i confini di nessuna regione AWS. I clienti potranno scegliere di aggregare i risultati di Amazon GuardDuty in più regioni utilizzando Amazon CloudWatch Events, inoltrandoli in un datastore sotto il proprio controllo (ad es. Amazon S3) e quindi utilizzandoli secondo le proprie esigenze.

D: Quali regioni supporta Amazon GuardDuty?

Per informazioni sulla disponibilità di Amazon GuardDuty, consulta la tabella delle regioni di AWS

D: Quali partner lavorano con Amazon GuardDuty?

Sono già presenti diversi partner tecnologici che integrano e basano le proprie soluzioni su Amazon GuardDuty. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Consulta la pagina relativa ai partner di Amazon GuardDuty.

D: Amazon GuardDuty aiuta a soddisfare alcuni dei requisiti nello standard PCI DSS (Payment Card Industry Data Security Standard)?

R: GuardDuty analizza eventi da varie origini dati AWS, tra cui eventi di AWS CloudTrail, flussi di log di Amazon VPC, e registri DNS. Il servizio rileva anche attività sospette in base ai feed di intelligence sulle minacce ricevuti da AWS e altri servizi come CrowdStrike. Foregenix ha pubblicato un white paper che fornisce valutazioni dettagliate sull'efficacia di Amazon GuardDuty nel soddisfare i requisiti di conformità, come i requisiti 11.4 relativi a PCI DSS (Payment Card Industry Data Security Standard), che necessitano di tecniche di rilevamento delle intrusioni nei punti critici della rete.

Attivazione di GuardDuty

D: In che modo è possibile attivare Amazon GuardDuty?

Per configurare e implementare Amazon GuardDuty sono sufficienti pochi clic nella Console di gestione AWS. Una volta attivato, GuardDuty inizia immediatamente ad analizzare i flussi di attività di account e di rete quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

D: È possibile gestire più account con Amazon GuardDuty?

Sì, Amazon GuardDuty offre una caratteristica multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. Quando viene utilizzata questa opzione, tutti i problemi di sicurezza identificati vengono aggregati all'account dell'amministratore o a quello dell'amministratore di Amazon GuardDuty per essere consultati e risolti. In questa configurazione, anche i Amazon CloudWatch Events vengono aggregati sull'account principale di Amazon GuardDuty.

D: Quali origini dati è in grado di analizzare Amazon GuardDuty?

Amazon GuardDuty permette l'analisi di AWS CloudTrail, flussi di log di VPC e registri di AWS DNS. Il servizio è ottimizzato per il consumo di grandi volumi di dati quasi in tempo reale. Inoltre, GuardDuty offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e aggiornate continuamente da AWS Security.

D: Quanto tempo impiega GuardDuty per entrare in funzione?

Amazon GuardDuty avvia l'analisi delle attività dal primo momento in cui viene attivato. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dati, ma analizza soltanto le attività che hanno luogo dopo l'attivazione. Nel momento in cui il servizio individua una potenziale minaccia, inoltrerà una notifica alla console di GuardDuty.

D: È necessario abilitare AWS CloudTrail, i flussi di log di VPC e i registri DNS perché Amazon GuardDuty funzioni correttamente?

No. Amazon GuardDuty estrae i flussi dei dati indipendenti direttamente da AWS CloudTrail, flussi di log di VPC e registri DNS. Non è quindi necessario gestire policy di bucket Amazon S3 o modificare le modalità di raccolta e archiviazione dei registri. Le autorizzazioni di GuardDuty sono gestite da ruoli collegati a servizi, che possono essere revocati in qualsiasi momento disabilitando il servizio. In questo modo è più semplice abilitare GuardDuty senza complesse procedure di configurazione ed eliminando il rischio che eventuali modifiche delle autorizzazioni di AWS Identity and Access Management (IAM) o delle policy di bucket S3 danneggino il funzionamento del servizio. GuardDuty risulta così estremamente efficiente: analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

D: L'utilizzo di Amazon GuardDuty influenza in qualche modo le prestazioni o la disponibilità dell'account?

No. Amazon GuardDuty opera in modo completamente indipendente dalle risorse AWS dell'account e non c'è alcun rischio che possa influenzare account o carichi di lavoro. In questo modo è più semplice attivare GuardDuty su più account di una organizzazione senza doversi preoccupare delle prestazioni.

D: Amazon GuardDuty gestisce o conserva i registri?

No. Amazon GuardDuty né gestisce né conserva i registri. Tutti i dati consumati da GuardDuty vengono analizzati quasi in tempo reale e poi rimossi. Il servizio GuardDuty è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la distribuzione e la conservazione dei registri, si consiglia di usare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono un'ampia gamma di opzioni.

D: In che modo è possibile interrompere l'analisi di Amazon GuardDuty su registri e origini dati?

L'analisi delle origini dati da parte di Amazon GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato dalle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato.

Risultati di GuardDuty

D: Quali elementi può rilevare Amazon GuardDuty?

Amazon GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono ottimizzati e migliorati continuamente da AWS Security. Le categorie principali di rilevamento sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, attività di scansione di porte in VPC, pattern inconsueti di tentativi di login non riusciti o probing di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno e data exfiltration tramite DNS.
  • Compromissione di account: modelli comuni che indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disabilitare i registri di AWS CloudTrail, avvio di istanze o infrastrutture inusuali, implementazioni di infrastrutture in regioni solitamente non utilizzate e chiamate API da IP pericolosi noti.
  • Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o invocata da una posizione insolita. Amazon GuardDuty monitora e analizza in modo continuo gli eventi dei dati di AWS CloudTrail S3 (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.

D: In cosa consiste l'intelligence sulle minacce di Amazon GuardDuty?

L'intelligence sulle minacce di Amazon GuardDuty si basa indirizzi IP e domini noti per essere utilizzati dai malintenzionati. Le informazioni di intelligence sulle minacce rilevate da GaurdDuty sono fornite da AWS Security e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed sono preintegrati e aggiornati continuamente in Amazon GuardDuty senza alcun costo aggiuntivo.

D: È possibile caricare informazioni di intelligence già presenti in azienda?

Sì. Con Amazon GuardDuty è semplice caricare le proprie informazioni di intelligence sulle minacce ed eventuali elenchi di IP sicuri. Gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

D: In che modo vengono comunicate le minacce rilevate?

Quando viene rilevata una minaccia, il servizio fornisce un avviso di sicurezza dettagliato alla console di Amazon GuardDuty e ad Amazon CloudWatch Events. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli in sistemi di gestione di eventi o flussi di lavoro esistenti. I risultati includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

D: In quale formato vengono comunicate le minacce rilevate da Amazon GuardDuty?

Le minacce rilevate da Amazon GuardDuty sono in formato JSON, lo stesso utilizzato da Amazon Macie e Amazon Inspector. In questo modo è più semplice per clienti e partner avvalersi dei risultati dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

D: Per quanto tempo i risultati delle analisi sono disponibili in Amazon GuardDuty?

I risultati delle analisi sono disponibili nella console di Amazon GuardDuty e nelle API per 90 giorni. Dopo questo periodo vengono rimossi. Per conservarli per periodi più lunghi di 90 giorni, è possibile abilitare Amazon CloudWatch Events in modo che li inoltri automaticamente in un bucket Amazon S3 nello stesso account o in un altro datastore.

D: È possibile intraprendere operazioni preventive con Amazon GuardDuty?

Amazon GuardDuty, Amazon CloudWatch Events e AWS Lambda offrono la massima flessibilità per poter configurare operazioni preventive automatizzate basate sulle potenziali minacce rilevate dal servizio. Ad esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza AWS in seguito ad un avviso. Se GuardDuty rileva che una delle istanze Amazon EC2 è stata sottoposta a probing da un IP malevolo noto, una regola di CloudWatch Events può attivare una funzione Lambda che modifichi automaticamente le regole del gruppo di sicurezza e limiti l'accesso a quella porta.

D: In che modo vengono sviluppate e gestite le operazioni di rilevamento di Amazon GuardDuty?

Amazon GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni con cadenza regolare e un'iterazione continua sui rilevamenti esistenti. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente di GuardDuty. Il cliente può così fornire un'indicazione sull'affidabilità delle analisi, indicazione che influirà sulle iterazioni future dei rilevamenti di GuardDuty.

D: È possibile scrivere operazioni di rilevamento personalizzate in Amazon GuardDuty?

No. Amazon GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche di AWS Security e del team di GuardDuty. I clienti potranno personalizzare il servizio aggiungendo elenchi di minacce note e di IP sicuri.

D: Sto attualmente utilizzando Amazon GuardDuty, come posso iniziare a utilizzare GuardDuty per la protezione di S3?

Per gli account esistenti, GuardDuty per la protezione di Amazon S3 può essere abilitato nella console o la API. Nella console di GuardDuty, puoi visitare la pagina relativa alla protezione di S3 e abilitare GuardDuty per la protezione di S3 di tutti gli account. Questa operazione avvierà la prova gratuita di 30 giorni del servizio.

D: Esiste un periodo di prova gratuita per la protezione di S3 di GuardDuty?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già abilitato GuardDuty possono avvalersi di un periodo di prova gratuita della durata di 30 giorni per la funzionalità di protezione di S3.

D: Sono un nuovo utente di Amazon GuardDuty, il servizio per la protezione di S3 viene abilitato automaticamente sui miei account?

Sì. Tutti i nuovi account che abilitano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di Amazon S3 attivato per default. I nuovi account GuardDuty creati utilizzando la funzionalità di "abilitazione automatica" di AWS Organizations non avranno il servizio di protezione S3 di GuardDuty attivato per impostazione predefinita, a meno che l'opzione "abilitazione automatica per S3" non sia attivata.

D: Posso abilitare GuardDuty soltanto per la protezione di S3 senza abilitare il servizio GuardDuty completo (flussi di log di VPC, registri di query DNS e eventi di gestione di CloudTrail)?

Il servizio Amazon GuardDuty deve essere abilitato perché la protezione di Amazon S3 sia disponibile. Gli account GuardDuty già attivi presentano la possibilità di attivare la protezione di S3. Gli account GuardDuty nuovi otterranno la protezione di S3 per modalità predefinita non appena il servizio GuardDuty sarà attivo.

D: GuardDuty monitora tutti i bucket nel mio account per la protezione di S3?

Sì. GuardDuty per la protezione di Amazon S3 monitora per impostazione predefinita tutti i bucket S3 nel tuo ambiente.

D: È necessario attivare i registri degli eventi di dati S3 di AWS CloudTrail per la protezione di GuardDuty su S3?

No. GuardDuty ha accesso diretto ai registri degli eventi di dati S3 di AWS CloudTrail e non è necessario abilitare la creazione di registri degli eventi di dati di Amazon S3 in CloudTrail con i relativi costi. Ricorda che GuardDuty non archivia i registri e li utilizza solamente per l'analisi.

D: Posso aggregare i risultati di GuardDuty?

Sì. Puoi aggregare i risultati di GuardDuty di diversi account e regioni tramite le funzionalità di aggregazione di più regioni disponibili in AWS Security Hub.

GuardDuty per la protezione di S3

D: Sto attualmente utilizzando Amazon GuardDuty. Come posso iniziare ad utilizzare GuardDuty per la protezione di Amazon S3?

Per gli account esistenti, GuardDuty per la protezione di Amazon S3 può essere abilitato nella console o la API. Nella console di GuardDuty, puoi visitare la pagina relativa alla protezione di S3 e abilitare GuardDuty per la protezione di S3 di tutti gli account. Questa operazione avvierà la prova gratuita di 30 giorni del servizio GuardDuty per Amazon S3.

D: Esiste un periodo di prova gratuita per la protezione di S3 di GuardDuty?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già abilitato GuardDuty possono avvalersi di un periodo di prova gratuita della durata di 30 giorni per la funzionalità di protezione di S3.

D: Sono un nuovo utente di Amazon GuardDuty. GuardDuty per la protezione di S3 viene abilitato di default sui miei account?

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di "abilitazione automatica" di AWS Organizations non avranno il servizio di protezione S3 di GuardDuty attivano per modalità predefinita a meno che l'opzione "abilitazione automatica per S3" non sia attivata.

D: Posso abilitare GuardDuty solamente per la protezione di S3 senza abilitare il servizio GuardDuty completo (log di flusso di VPC, log di query DNS e eventi di gestione di CloudTrail)?

Il servizio Amazon GuardDuty deve essere abilitato perché la protezione di S3 sia disponibile. Gli account GuardDuty già attivi hanno la possibilità di attivare la protezione di S3. Gli account GuardDuty nuovi otterranno la protezione di S3 per modalità predefinita non appena il servizio GuardDuty sarà attivo.

D: GuardDuty monitora tutti i bucket nel mio account per la protezione di S3?

Sì. GuardDuty per la protezione di S3 monitora per modalità predefinita tutti i bucket S3 nel tuo ambiente.

D: È necessario attivare i registri degli eventi di dati S3 di AWS CloudTrail per la protezione di GuardDuty su S3?

No. GuardDuty ha accesso diretto ai registri degli eventi di dati S3 di AWS CloudTrail e non è necessario abilitare la creazione di registri degli eventi di dati S3 in CloudTrail con i relativi costi. Ricorda che GuardDuty non archivia i registri e li utilizza solamente per l'analisi.

GuardDuty per la protezione di EKS

D: Come funziona Amazon GuardDuty per la protezione di EKS?

Amazon GuardDuty per la protezione di EKS è una funzionalità di GuardDuty che, analizzando i registri di controllo Kubernetes, monitora l’attività del piano di controllo (control-plane) dei cluster Amazon Elastic Kubernetes Service (Amazon EKS). GuardDuty è integrato in Amazon EKS e dispone quindi di un accesso diretto ai registri di controllo Kubernetes, senza che sia necessario attivare o archiviare gli stessi. Questi registri di controllo sono log cronologici rilevanti ai fini della sicurezza che documentano le varie azioni intraprese sul piano di controllo di Amazon EKS. I registri di controllo Kubernetes conferiscono a GuardDuty la visibilità necessaria per condurre un monitoraggio continuo dell’attività API di Amazon EKS e applicare un’intelligence sulle minacce e un rilevamento di anomalie comprovati per identificare comportamenti dannosi o modifiche alla configurazione, suscettibili di esporre il tuo cluster di Amazon EKS ad accessi non autorizzati. Quando sono identificati pericoli, GuardDuty genera risultati dell’analisi che includono il tipo di minaccia, la sua gravità e dettagli a livello del container come ID pod, ID immagine del container e tag associati.

D: Quali minacce può rilevare Amazon GuardDuty sui miei carichi di lavoro di Amazon EKS?

GuardDuty per la protezione di EKS può rilevare minacce associate all’attività di utenti e applicazioni contenute nei registri di controllo Kubernetes. I rilevamenti delle minacce Kubernetes includono i cluster di Amazon EKS oggetto di accesso da parte di noti utenti malintenzionati o tramite nodi Tor, operazioni API svolte da utenti anonimi che potrebbero indicare una configurazione errata, come pure configurazioni errate suscettibili di causare accessi non autorizzati ai cluster di Amazon EKS. Inoltre, GuardDuty può identificare, tramite modelli di machine learning (ML), pattern riconducibili a tecniche di privilege-escalation, ad esempio il lancio sospetto di un container con accesso root a un host Amazon Elastic Compute Cloud (Amazon EC2) sottostante. Consulta la pagina relativa ai Tipi di risultati di Amazon GuardDuty per un elenco esaustivo e dettagliato di tutti i nuovi rilevamenti.

D: Devo attivare i registri di controllo Kubernetes di Amazon EKS?

No, GuardDuty ha accesso diretto ai registri di controllo Kubernetes di Amazon EKS. Ricorda che GuardDuty utilizza questi registri solamente per l'analisi, senza archiviarli. Inoltre, non devi abilitarli né pagare alcun importo per condividere questi log di audit Amazon EKS con GuardDuty. Al fine di ottimizzare i costi, GuardDuty applica filtri intelligenti per utilizzare soltanto il sottoinsieme dei registri di controllo utile per il rilevamento delle minacce alla sicurezza.

D: Esiste un periodo di prova gratuita di GuardDuty per la protezione di EKS?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni nuovo account Amazon GuardDuty in tutte le regioni riceve una prova gratuita di 30 giorni, compreso GuardDuty per la protezione di EKS. Gli account GuardDuty esistenti ricevono una prova di 30 giorni di GuardDuty per la protezione di EKS senza costi aggiuntivi. Durante tale periodo, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni, è possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

D: Sto attualmente utilizzando Amazon GuardDuty. Come posso iniziare a utilizzare GuardDuty per la protezione di EKS?

È necessario abilitare GuardDuty per la protezione di EKS per ogni singolo account. Puoi abilitare GuardDuty per la protezione EKS con un semplice clic nella console di GuardDuty: basta accedere alla pagina relativa alla protezione di Kubernetes e abilitare GuardDuty per la protezione di EKS sui tuoi account. Se hai optato per una configurazione multi-account di GuardDuty, dalla pagina relativa alla protezione di Kubernetes del tuo account di amministratore puoi abilitare in tutta l'organizzazione il monitoraggio di Amazon EKS. In questo modo, sarà abilitato il monitoraggio continuo di Amazon EKS su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione "auto-abilita" di AWS Organizations, devi attivare nello specifico "auto-abilita per EKS". Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account senza alcuna configurazione manuale di tali cluster.

D: Sono un nuovo utente di Amazon GuardDuty. GuardDuty per la protezione di EKS viene abilitato di default sui miei account?

Sì. GuardDuty per la protezione di EKS sarà abilitato per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l'API. I nuovi account GuardDuty creati utilizzando la funzionalità di "abilitazione automatica" di AWS Organizations non avranno il servizio di protezione di EKS di GuardDuty attivato per impostazione predefinita, a meno che l'opzione "abilitazione automatica per EKS" non sia attivata.

D: Come disabilito GuardDuty per la protezione di EKS?

Puoi disabilitare GuardDuty per la protezione di EKS nella console o tramite l’API. Nella console di GuardDuty, accedi alla pagina relativa alla protezione di Kubernetes, dove puoi disabilitare GuardDuty per la protezione di EKS sui tuoi account. Se sei un amministratore di GuardDuty, puoi anche disabilitare GuardDuty per la protezione di EKS sugli account dei tuoi membri.

D: Se disabilito GuardDuty per la protezione di EKS, come posso riattivarlo?

Se hai disabilitato il servizio, puoi riattivare GuardDuty per la protezione di EKS nella console o tramite l’API. Nella console di GuardDuty, accedi alla pagina relativa alla protezione di Kubernetes, dove puoi abilitare GuardDuty per la protezione di EKS sui tuoi account.

D: Devo abilitare Amazon GuardDuty per la protezione di EKS singolarmente per ogni account AWS e cluster di Amazon EKS?

È necessario abilitare GuardDuty per la protezione di EKS per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, dalla pagina relativa alla protezione di Kubernetes del tuo account di amministratore puoi abilitare, con un solo clic e in tutta la tua organizzazione, il rilevamento delle minacce per Amazon EKS. In questo modo, sarà abilitato il rilevamento delle minacce per Amazon EKS su tutti i singoli account dei membri. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account e non è richiesta alcuna configurazione manuale di tali cluster.

D: Se non utilizzo Amazon EKS e abilito la protezione di EKS in GuardDuty, incorrerò in
costi aggiuntivi?

Se non utilizzi Amazon EKS e hai abilitato la protezione EKS, non ti verranno addebitati costi di GuardDuty per la protezione EKS. Tuttavia, quando inizierai a utilizzare Amazon EKS, GuardDuty monitorerà automaticamente i tuoi cluster e riceverai notifiche sui problemi rilevati.

D: Posso abilitare soltanto GuardDuty per la protezione di EKS senza attivare il servizio GuardDuty completo (ad es. analisi di flussi di log di VPC, registri di query DNS ed eventi di gestione di CloudTrail)?

Il servizio Amazon GuardDuty deve essere abilitato affinché sia disponibile la protezione di EKS.

D: GuardDuty per la protezione di EKS supporta la gestione di più account?

L’integrazione di AWS Organizations consente a GuardDuty di gestire più account. Questa integrazione aiuta i team di sicurezza e conformità a garantire la copertura totale di GuardDuty su tutti i cluster esistenti e futuri di Amazon EKS per la totalità degli account di un’organizzazione.

D: GuardDuty monitora i registri di controllo Kubernetes per le distribuzioni di EKS su AWS Fargate?

Sì. GuardDuty per la protezione di EKS monitora i registri di controllo dei cluster di Amazon EKS distribuiti sia sulle istanze EC2 sia su AWS Fargate.

D: GuardDuty monitora i Kubernetes non gestiti su EC2 o EKS Anywhere?

Al momento, questa funzionalità supporta solo le distribuzioni di Amazon EKS eseguite sulle istanze EC2 nel tuo account o su AWS Fargate.

D: Devo cambiare la configurazione, eseguire software o modificare le distribuzioni di Amazon EKS?

No. Una volta abilitato, GuardDuty inizia a monitorare, alla ricerca di minacce, i registri di controllo Kubernetes da tutti i cluster nuovi ed esistenti di EKS nell’account. Non è necessario eseguire alcun software, abilitare sorgenti di registri o apportare modifiche alla configurazione.

D: L’utilizzo di GuardDuty per la protezione di EKS influisce sulle prestazioni o i costi associati all’esecuzione di container su Amazon EKS?

No. GuardDuty per la protezione di EKS non incide in alcun modo sulle prestazioni, la disponibilità o i costi associati alle distribuzioni di carichi di lavoro di Amazon EKS.

D: Devo abilitare GuardDuty per la protezione di EKS singolarmente in ogni regione AWS?

Sì. Amazon GuardDuty è un servizio regionale ed è necessario abilitare separatamente il rilevamento delle minacce per EKS in ogni regione AWS.

Standard Product Icons (Features) Squid Ink
Ulteriori informazioni sui prezzi dei prodotti

Guarda dettagli su esempi di prezzo e sulla prova gratuita

Ulteriori informazioni 
Sign up for a free account
Registrati per una prova gratuita

Ottieni l’accesso alla prova gratuita di Amazon GuardDuty. 

Richiedi la prova gratuita 
Standard Product Icons (Start Building) Squid Ink
Inizia subito nella console

Nozioni di base su Amazon GuardDuty nella console AWS.

Accedi