Panoramica del servizio

D: Cos'è Amazon GuardDuty?

Amazon GuardDuty offre rilevamento di minacce che permette monitoraggio e protezione continui di carichi di lavoro, account AWS e dati archiviati in Amazon S3. Questo servizio analizza i flussi continui di metadati generati dalle attività dell'account e di rete in eventi di AWS CloudTrail, log di flusso di Amazon VPC e log di DNS. Inoltre si avvale di intelligence integrata, ad esempio indirizzi IP malevoli, rilevamento di anomalie e apprendimento automatico, per identificare le minacce in modo più preciso.

D: Quali sono i vantaggi principali dell'utilizzo di Amazon GuardDuty?

Amazon GuardDuty semplifica il monitoraggio continuo di carichi di lavoro, account AWS e dati archiviati in Amazon S3. Il suo funzionamento è completamente indipendente dalle risorse utilizzate, perciò non avrà alcun impatto sulle prestazioni o sulla disponibilità dei carichi che protegge. Si tratta di una soluzione completamente gestita che integra intelligence di minacce, rilevamento di anomalie e apprendimento automatico. Amazon GuardDuty produce avvisi dettagliati che permettono di avviare azioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover distribuire altro software o implementare sottoscrizioni a feed di intelligence.

D: Quanto costa Amazon GuardDuty?

Il prezzo di Amazon GuardDuty si basa sul numero di eventi di AWS CloudTrail analizzati e sul volume di log di flusso di Amazon VPC e log di DNS analizzati. Non vi è alcun ulteriore addebito per abilitare le sorgenti di log per le analisi GuardDuty.

  • Analisi degli eventi di gestione di AWS CloudTrail: GuardDuty analizza in modo continuo gli eventi di gestione di AWS CloudTrail, monitorando tutti gli accessi e il comportamento di infrastruttura e account AWS. Le tariffe dell'analisi degli eventi di gestione di CloudTrail sono calcolate per milione di eventi al mese e sono ripartite proporzionalmente.
  • Analisi degli eventi di dati di AWS CloudTrail S3: GuardDuty analizza in modo continuo gli eventi di dati di CloudTrail S3, monitorando tutti gli accessi e i l'attività dei bucket Amazon S3. Le tariffe dell'analisi degli eventi di dati di CloudTrail S3 sono calcolate per milione di eventi al mese e sono ripartite proporzionalmente.
  • Analisi dei log di flusso di VPC e dei log di DNS: GuardDuty analizza in modo continuo i log di flusso di VPC e richieste e risposte DNS per identificare comportamenti malevoli, non autorizzati o inattesi negli account AWS presi in esame. Le tariffe per l'analisi dei log di flusso e DNS sono calcolate in base ai GB analizzati al mese. L'analisi di log di flusso e log di DNS prevede sconti per volumi elevati.

Non sono previsti costi anticipati e vengono addebitati solo i costi per i dati analizzati.

Consulta la pagina dei prezzi di Amazon GuardDuty per ulteriori dettagli ed esempi di prezzo.

D: La stima dei costi nell'account di pagamento di Amazon GuardDuty mostra il totale dei costi per tutti gli account collegati o solo per il singolo account di pagamento?

La stima dei costi rappresenta solo i costi relativi all'account di pagamento. Se si tratta dell'account master, saranno visualizzati solo i costi stimati dell'account master.

D: È disponibile una prova gratuita?

Sì; tutti i nuovi account di Amazon GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante tale periodo, saranno disponibili tutte le caratteristiche di rilevamento del servizio. GuardDuty mostrerà il volume di dati elaborati e fornirà una stima giornaliera delle spese dell'account. In questo sarà possibile provare la soluzione osservandone i costi effettivi senza alcun addebito.

D: Qual è la differenza tra Amazon GuardDuty e Amazon Macie?

Amazon GuardDuty offre una protezione completa per account AWS, carichi di lavoro e dati aiutando a identificare minacce quali riconoscimento di utenti malintenzionati, istanze, account e bucket compromessi. Amazon Macie ti aiuta a rilevare e proteggere i dati sensibili in Amazon S3, permettendo di classificare i dati con i relativi controlli di accesso e sicurezza associati.

D: Amazon GuardDuty è un servizio regionale o globale?

Amazon GuardDuty è un servizio regionale. Anche quando sono stati abilitati diversi account e sono interessate diverse regioni, i risultati del funzionamento del servizio rimangono nella regione in cui sono stati generati i dati. In questo modo tutti i dati analizzati non possono superare i confini di nessuna regione AWS. I clienti potranno scegliere di aggregare i risultati di Amazon GuardDuty in più regioni utilizzando Amazon CloudWatch Events, inoltrandoli in un datastore sotto il proprio controllo (ad es. Amazon S3) e quindi utilizzandoli secondo le proprie esigenze.

D: Quali regioni supporta Amazon GuardDuty?

Per informazioni sulla disponibilità di Amazon GuardDuty, consulta la tabella delle regioni di AWS

D: Quali partner lavorano con Amazon GuardDuty?

Sono già presenti diversi partner tecnologici che integrano e basano le proprie soluzioni su Amazon GuardDuty. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Per ulteriori informazioni, consulta la pagina relativa ai partner di Amazon GuardDuty.

D: Amazon GuardDuty aiuta a soddisfare alcuni dei requisiti nello standard PCI DSS (Payment Card Industry Data Security Standard)?

R: GuardDuty analizza gli eventi da più origini dati AWS, come gli eventi di AWS CloudTrail i log di flusso di Amazon VPC e i log DNS, rilevando le attività sospette sulla base dei feed di intelligence delle minacce ricevute da AWS e altri servizi come CrowdStrike. Foregenix ha pubblicato un white paper che fornisce valutazioni dettagliate dell'efficacia di Amazon GuardDuty nel soddisfare i requisiti di conformità, come i requisiti 11.4 relativi a PCI DSS (Payment Card Industry Data Security Standard), che necessitano di tecniche di rilevamento delle intrusioni nei punti critici della rete.

Attivazione di GuardDuty

D: In che modo è possibile attivare Amazon GuardDuty?

Per attivare Amazon GuardDuty sono sufficienti pochi clic nella Console di gestione AWS. Una volta attivato, il servizio inizia immediatamente ad analizzare i flussi di attività di rete e dell'account quasi in tempo reale e su vasta scala. Non è necessario distribuire o gestire altri prodotti software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e aggiornata in modo continuo.  

D: È possibile gestire più account con Amazon GuardDuty?

Sì; Amazon GuardDuty offre una caratteristica specifica che permette di associare e gestire più account AWS da un singolo account principale. Quando viene applicata questa opzione, tutti i problemi identificati vengono aggregati e inoltrati all'account dell'amministratore o principale di Amazon GuardDuty per essere consultati e attivare l'eventuale processo di risoluzione. In questa configurazione, anche gli eventi di Amazon CloudWatch vengono aggregati sull'account principale di Amazon GuardDuty.

D: Quali origini dati è in grado di analizzare Amazon GuardDuty?

Amazon GuardDuty permette l'analisi di eventi di AWS CloudTrail, flussi di log di VPC e log di DNS. Il servizio è ottimizzato per il consumo di grandi volumi di dati quasi in tempo reale. Inoltre offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e migliorate continuamente da AWS Security.  

D: Quanto tempo impiega GuardDuty per entrare in funzione?

Amazon GuardDuty avvia l'analisi delle attività dal primo momento in cui viene attivato. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dei dati, ma rivolgerà la propria analisi solo alle attività che hanno luogo dopo l'attivazione. Nel momento in cui il servizio individua una potenziale minaccia, inoltrerà una notifica alla console di GuardDuty.

D: È necessario attivare AWS CloudTrail, la funzione log di flusso di VPC e i log DNS perché Amazon GuardDuty funzioni correttamente?

No. Amazon GuardDuty estrae flussi di dati indipendenti direttamente da AWS CloudTrail, flussi di log di VPC e log DNS. Non è quindi necessario gestire policy di bucket Amazon S3 o modificare le modalità di raccolta e memorizzazione dei log. Le autorizzazioni di GuardDuty sono gestite da ruoli collegati a servizi, che possono essere revocati in qualsiasi momento disabilitando il servizio. In questo modo è più semplice attivare GuardDuty senza complesse procedure di configurazione ed eliminando il rischio che eventuali modifiche delle autorizzazioni di AWS IAM o delle policy di bucket S3 danneggino il funzionamento del servizio. GuardDuty risulta così estremamente efficiente: analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

D: L'utilizzo di Amazon GuardDuty influenza in qualche modo le prestazioni o la disponibilità dell'account?

No. Amazon GuardDuty opera in modo completamente indipendente dalle risorse AWS dell'account e non c'è alcun rischio che possa influenzare account o carichi di lavoro. In questo modo è più semplice attivare il servizio su più account di un'azienda senza doversi preoccupare delle prestazioni.

D: Amazon GuardDuty gestisce o conserva i log?

No. Amazon GuardDuty non gestisce né conserva i log esaminati. Tutti i dati consumati dal servizio vengono analizzati in tempo reale e quindi rimossi. Il servizio è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la distribuzione e la conservazione dei log, si consiglia di usare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono un'ampia gamma di opzioni.

D: In che modo è possibile interrompere l'analisi di Amazon GuardDuty su log e origini dati?

L'analisi delle origini dati da parte di Amazon GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i propri processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato dalle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato.

Risultati di GuardDuty

D: Quali elementi è in grado di rilevare Amazon GuardDuty?

Amazon GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono ottimizzati e migliorati continuamente da AWS Security. Le categorie principali di analisi sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, attività di scansione di porte in VPC, pattern inusuali di tentativi di accesso non riusciti o probing di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno e data exfiltration tramite DNS.
  • Compromissione di account: schemi che spesso indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disattivazione di AWS CloudTrail, avvio di istanze o infrastrutture inusuali, distribuzioni di infrastrutture in regioni solitamente non utilizzate e chiamate API da IP pericolosi noti.
  • Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o invocata da una posizione insolita. Amazon GuardDuty monitora e analizza in modo continuo gli eventi sui dati S3 di AWS CloudTrail (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.

D: In cosa consiste l'intelligence sulle minacce di Amazon GuardDuty?

L'intelligence sulle minacce di Amazon GuardDuty si basa indirizzi IP e domini noti per essere base per attacchi. Le informazioni di intelligence sono fornite da AWS Security e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed sono preintegrati e aggiornati continuamente in Amazon GuardDuty senza alcun costo aggiuntivo.

D: È possibile caricare informazioni di intelligence già presenti in azienda?

Sì. Con Amazon GuardDuty è semplice caricare le proprie informazioni di intelligence sulle minacce ed eventuali elenchi di IP sicuri. Gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

D: In che modo vengono comunicate le minacce rilevate?

Quando viene rilevata una minaccia, il servizio fornisce un avviso di sicurezza dettagliato alla console di Amazon GuardDuty e ad Amazon CloudWatch Events. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli in sistemi di gestione di eventi o flussi di lavoro esistenti. I risultati includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

D: In quale formato vengono comunicate le minacce rilevate da Amazon GuardDuty?

Le minacce rilevate da Amazon GuardDuty sono in formato JSON, lo stesso utilizzato da Amazon Macie e Amazon Inspector. In questo modo è più semplice per clienti e partner avvalersi dei risultati dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

D: Per quanto tempo i risultati delle analisi sono disponibili in Amazon GuardDuty?

I risultati delle analisi sono disponibili nella console di Amazon GuardDuty e nelle API per 90 giorni. Dopo questo periodo vengono rimossi. Per conservarli per periodi più lunghi di 90 giorni, è possibile configurare Amazon CloudWatch Events in modo che li inoltri in un bucket Amazon S3 nello stesso account o in un altro datastore.

D: È possibile intraprendere azioni preventive con Amazon GuardDuty?

Amazon GuardDuty, Amazon CloudWatch Events e AWS Lambda offrono la massima flessibilità per poter configurare operazioni preventive automatizzate basate sulle potenziali minacce rilevate dal servizio. Per esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza AWS in seguito ad un avviso. Se GuardDuty rileva che una delle istanze Amazon EC2 è stata sottoposta a probing da un IP malevolo noto, una regola di CloudWatch Events può attivare una funzione Lambda che modifichi automaticamente le regole del gruppo di sicurezza e restringa l'accesso a quella porta.

D: In che modo vengono sviluppate e gestite le operazioni di rilevamento di Amazon GuardDuty?

Amazon GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni e con cadenza regolare e nuove iterazioni su operazioni già previste. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente. Il cliente può così fornire un'indicazione sull'affidabilità delle analisi, indicazione che influirà sulle iterazioni future.

D: È possibile scrivere operazioni di rilevamento personalizzate in Amazon GuardDuty?

No. Amazon GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche di AWS Security e del team di GuardDuty. I clienti potranno personalizzare il servizio aggiungendo elenchi di minacce note e di IP sicuri.

D: Sto attualmente utilizzando Amazon GuardDuty, come posso iniziare a utilizzare GuardDuty per la protezione di S3?

Per gli account esistenti, GuardDuty per la protezione di S3 può essere abilitato nella console o la API. Nella console di GuardDuty, puoi visitare la pagina relativa alla protezione di S3 e abilitare GuardDuty per la protezione di S3 di tutti gli account. Questa operazione avvierà la prova gratuita di 30 giorni del servizio.

D: Esiste un periodo di prova gratuita per la protezione di S3 di GuardDuty?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già abilitato GuardDuty possono avvalersi di un periodo di prova gratuita della durata di 30 giorni per la funzionalità di protezione di S3.

D: Sono un nuovo utente di Amazon GuardDuty, il servizio per la protezione di S3 viene abilitato automaticamente sui miei account?

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di "abilitazione automatica" di AWS Organizations non avranno il servizio di protezione S3 di GuardDuty attivano per modalità predefinita a meno che l'opzione "abilitazione automatica per S3" non sia attivata.

D: Posso abilitare GuardDuty solamente per la protezione di S3 senza abilitare il servizio GuardDuty completo (log di flusso di VPC, log di query DNS e eventi di gestione di CloudTrail)?

Il servizio Amazon GuardDuty deve essere abilitato perché la protezione di S3 sia disponibile. Gli account GuardDuty già attivi hanno la possibilità di attivare la protezione di S3. Gli account GuardDuty nuovi otterranno la protezione di S3 per modalità predefinita non appena il servizio GuardDuty sarà attivo.

D: GuardDuty monitora tutti i bucket nel mio account per la protezione di S3?

Sì. GuardDuty per la protezione di S3 monitora per modalità predefinita tutti i bucket S3 nel tuo ambiente.

D: È necessario attivare i log degli eventi di dati S3 di AWS CloudTrail per la protezione d S3?

No. GuardDuty ha accesso diretto ai log degli eventi di dati S3 di AWS CloudTrail e non è necessario abilitare la creazione di log degli eventi di dati S3 in CloudTrail con i relativi costi. Ricorda che GuardDuty non archivia i log e li utilizza solamente per l'analisi.
 

GuardDuty per la protezione di S3

D: Sto attualmente utilizzando Amazon GuardDuty, come posso iniziare a utilizzare GuardDuty per la protezione di S3?

Per gli account esistenti, GuardDuty per la protezione di S3 può essere abilitato nella console o la API. Nella console di GuardDuty, puoi visitare la pagina relativa alla protezione di S3 e abilitare GuardDuty per la protezione di S3 di tutti gli account. Questa operazione avvierà la prova gratuita di 30 giorni del servizio.

D: Esiste un periodo di prova gratuita per la protezione di S3 di GuardDuty?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già abilitato GuardDuty possono avvalersi di un periodo di prova gratuita della durata di 30 giorni per la funzionalità di protezione di S3.

D: Sono un nuovo utente di Amazon GuardDuty, il servizio per la protezione di S3 viene abilitato automaticamente sui miei account?

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di "abilitazione automatica" di AWS Organizations non avranno il servizio di protezione S3 di GuardDuty attivano per modalità predefinita a meno che l'opzione "abilitazione automatica per S3" non sia attivata.

D: Posso abilitare GuardDuty solamente per la protezione di S3 senza abilitare il servizio GuardDuty completo (log di flusso di VPC, log di query DNS e eventi di gestione di CloudTrail)?

Il servizio Amazon GuardDuty deve essere abilitato perché la protezione di S3 sia disponibile. Gli account GuardDuty già attivi hanno la possibilità di attivare la protezione di S3. Gli account GuardDuty nuovi otterranno la protezione di S3 per modalità predefinita non appena il servizio GuardDuty sarà attivo.

D: GuardDuty monitora tutti i bucket nel mio account per la protezione di S3?

Sì. GuardDuty per la protezione di S3 monitora per modalità predefinita tutti i bucket S3 nel tuo ambiente.

D: È necessario attivare i log degli eventi di dati S3 di AWS CloudTrail per la protezione d S3?

No. GuardDuty ha accesso diretto ai log degli eventi di dati S3 di AWS CloudTrail e non è necessario abilitare la creazione di log degli eventi di dati S3 in CloudTrail con i relativi costi. Ricorda che GuardDuty non archivia i log e li utilizza solamente per l'analisi.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Ulteriori informazioni sui prezzi dei prodotti

Guarda dettagli su esempi di prezzo e sulla prova gratuita

Ulteriori informazioni 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrati per una prova gratuita

Ottieni l’accesso alla prova gratuita di Amazon GuardDuty. 

Richiedi la prova gratuita 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Inizia subito nella console

Nozioni di base su Amazon GuardDuty nella console AWS.

Accedi