Panoramica del servizio

D: Cos'è Amazon GuardDuty?

Amazon GuardDuty offre rilevamento di minacce che permette monitoraggio e protezione continui di carichi di lavoro e account AWS. Questo servizio analizza i flussi continui di metadati generati dalle attività dell'account e di rete in eventi di AWS CloudTrail, log di flusso di Amazon VPC e log di DNS. Inoltre si avvale di intelligence integrata, ad esempio indirizzi IP malevoli, rilevamento di anomalie e apprendimento automatico, per identificare le minacce in modo più preciso.

D: Quali sono i vantaggi principali dell'utilizzo di Amazon GuardDuty?

Amazon GuardDuty semplifica il monitoraggio continuo di carichi di lavoro e account AWS. Il suo funzionamento è completamente indipendente dalle risorse utilizzate, perciò non avrà alcun impatto sulle prestazioni o sulla disponibilità dei carichi che protegge. Si tratta di una soluzione completamente gestita che integra intelligence di minacce, rilevamento di anomalie e apprendimento automatico. Amazon GuardDuty produce avvisi dettagliati che permettono di avviare azioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover distribuire altro software o implementare sottoscrizioni a feed di intelligence.

D: Quanto costa Amazon GuardDuty?

Le tariffe di Amazon GuardDuty si basano sue due parametri. Il primo parametro è rappresentato dal numero di eventi di AWS CloudTrail analizzati (in milioni di eventi); il secondo dal volume di log di flusso di Amazon VPC e log di DNS (in GB).

  • Analisi degli eventi di AWS CloudTrail: GuardDuty analizza in modo continuo gli eventi di gestione di AWS CloudTrail, monitorando tutti gli accessi e i pattern di comportamento di infrastruttura e account AWS. Le tariffe sono calcolate per milione di eventi al mese e sono ripartite proporzionalmente.
  • Analisi dei log di flusso di VPC e dei log di DNS: GuardDuty analizza in modo continuo i log di flusso di VPC e richieste e risposte DNS per identificare comportamenti malevoli, non autorizzati o inattesi nelle istanze Amazon EC2. Le tariffe sono calcolate in base ai GB analizzati al mese. L'analisi di log di flusso e log di DNS prevede sconti per volumi elevati.

Non sono previsti costi anticipati e vengono addebitati solo i costi per i dati analizzati.

Consulta la pagina dei prezzi di Amazon GuardDuty per ulteriori dettagli ed esempi di prezzo.

D: È disponibile una prova gratuita?

Sì; tutti i nuovi account di Amazon GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante tale periodo, saranno disponibili tutte le caratteristiche di rilevamento del servizio. GuardDuty mostrerà il volume di dati elaborati e fornirà una stima giornaliera delle spese dell'account. In questo sarà possibile provare la soluzione osservandone i costi effettivi senza alcun addebito.

D: Qual è la differenza tra Amazon GuardDuty e Amazon Macie?

Amazon GuardDuty offre una protezione completa per account AWS, carichi di lavoro e dati aiutando a identificare minacce quali riconoscimento di utenti malintenzionati, istanze compromesse e account compromessi. Amazon Macie aiuta a proteggere i dati in Amazon S3 aiutando a classificare i tipi di dati presenti, il loro valore aziendale e il comportamento associato all'accesso a tali dati. Entrambi i servizi integrano analisi del comportamento degli utenti, apprendimento automatico e rilevamento di anomalie per individuare diverse categorie di minacce.

D: Amazon GuardDuty è un servizio regionale o globale?

Amazon GuardDuty è un servizio regionale. Anche quando sono stati abilitati diversi account e sono interessate diverse regioni, i risultati del funzionamento del servizio rimangono nella regione in cui sono stati generati i dati. In questo modo tutti i dati analizzati non possono superare i confini di nessuna regione AWS. I clienti potranno scegliere di aggregare i risultati di Amazon GuardDuty in più regioni utilizzando AWS CloudWatch Events, inoltrandoli in un datastore sotto il proprio controllo (ad es. Amazon S3) e quindi utilizzandoli secondo le proprie esigenze.

D: Quali regioni supporta Amazon GuardDuty?

Per informazioni sulla disponibilità di Amazon GuardDuty, consulta la tabella delle regioni di AWS.

D: Quali partner lavorano con Amazon GuardDuty?

Sono già presenti diversi partner tecnologici che integrano e basano le proprie soluzioni su Amazon GuardDuty. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Per ulteriori informazioni, consulta la pagina relativa ai partner di Amazon GuardDuty.

Funzionamento di GuardDuty

D: In che modo è possibile attivare Amazon GuardDuty?

Per attivare Amazon GuardDuty sono sufficienti pochi passaggi nella Console di gestione AWS. Una volta attivato, il servizio inizia immediatamente ad analizzare i flussi di attività di rete e dell'account quasi in tempo reale e su vasta scala. Non è necessario distribuire o gestire altri prodotti software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e aggiornata in modo continuo.  

D: È possibile gestire più account con Amazon GuardDuty?

Sì; Amazon GuardDuty offre una caratteristica specifica che permette di associare e gestire più account AWS da un singolo account principale. Quando viene applicata questa opzione, tutti i problemi identificati vengono aggregati e inoltrati all'account dell'amministratore o master per essere consultati e attivare l'eventuale processo di risoluzione. In questa configurazione, anche gli eventi di AWS CloudWatch vengono aggregati sull'account principale del servizio.

D: Quali origini dati è in grado di analizzare Amazon GuardDuty?

Amazon GuardDuty permette l'analisi di eventi di AWS CloudTrail, flussi di log di VPC e log di DNS. Il servizio è ottimizzato per il consumo di grandi volumi di dati quasi in tempo reale. Inoltre offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e migliorate continuamente da AWS Security.  

D: Quanto tempo impiega GuardDuty per entrare in funzione?

Amazon GuardDuty avvia l'analisi delle attività dal primo momento in cui viene attivato. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dei dati, ma rivolgerà la propria analisi solo alle attività che hanno luogo dopo l'attivazione. Nel momento in cui il servizio individua una potenziale minaccia, inoltrerà una notifica alla console di GuardDuty.

D: È necessario attivare AWS CloudTrail, la funzione Flow Logs di VPC e i log DNS perché Amazon GuardDuty funzioni correttamente?

No. Amazon GuardDuty estrae flussi di dati indipendenti direttamente da AWS CloudTrail, flussi di log di VPC e log DNS. Non è quindi necessario gestire policy di bucket Amazon S3 o modificare le modalità di raccolta e memorizzazione dei log. Le autorizzazioni di GuardDuty sono gestite da ruoli collegati a servizi, che possono essere revocati in qualsiasi momento disabilitando il servizio. In questo modo è più semplice attivare GuardDuty senza complesse procedure di configurazione ed eliminando il rischio che eventuali modifiche delle autorizzazioni di AWS IAM o delle policy di bucket S3 danneggino il funzionamento del servizio. GuardDuty risulta così estremamente efficiente: analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

D: L'utilizzo di Amazon GuardDuty influenza in qualche modo le prestazioni o la disponibilità dell'account?

No. Amazon GuardDuty opera in modo completamente indipendente dalle risorse AWS dell'account e non c'è alcun rischio che possa influenzare account o carichi di lavoro. In questo modo è più semplice attivare il servizio su più account di un'azienda senza doversi preoccupare delle prestazioni.

D: Amazon GuardDuty gestisce o conserva i log?

No. Amazon GuardDuty non gestisce né conserva i log esaminati. Tutti i dati consumati dal servizio vengono analizzati in tempo reale e quindi rimossi. Il servizio è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la distribuzione e la retention dei log, si consiglia di usare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono un'ampia gamma di opzioni.

D: In che modo è possibile interrompere l'analisi di Amazon GuardDuty su log e origini dati?

L'analisi delle origini dati da parte di Amazon GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i propri processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato dalle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato.

Risultati di GuardDuty

D: Quali elementi è in grado di rilevare Amazon GuardDuty?

Amazon GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono ottimizzati e migliorati continuamente da AWS Security. Le categorie principali di analisi sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, attività di scansione di porte in VPC, pattern inusuali di tentativi di accesso non riusciti o probing di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno e data exfiltration tramite DNS.
  • Compromissione di account: schemi che spesso indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disattivazione di AWS CloudTrail, avvio di istanze o infrastrutture inusuali, distribuzioni di infrastrutture in regioni solitamente non utilizzate e chiamate API da IP pericolosi noti.

D: In cosa consiste l'intelligence sulle minacce di Amazon GuardDuty?

L'intelligence sulle minacce di Amazon GuardDuty si basa indirizzi IP e domini noti per essere base per attacchi. Le informazioni di intelligence sono fornite da AWS Security e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed sono preintegrati e aggiornati continuamente in Amazon GuardDuty senza alcun costo aggiuntivo.

D: È possibile caricare informazioni di intelligence già presenti in azienda?

Sì. Con Amazon GuardDuty è semplice caricare le proprie informazioni di intelligence sulle minacce ed eventuali elenchi di IP sicuri. Gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

D: Come funzionano l'apprendimento automatico e il rilevamento di comportamenti anomali?

Con tecniche avanzate di apprendimento automatico e di rilevamento di comportamenti, sono necessari tra i 7 e i 14 giorni per stabilire il pattern di comportamento normale dell'account. Dopo questo intervallo di tempo, il rilevamento di anomalie passa da una modalità di apprendimento a una attiva. Da quel momento saranno evidenziati solo i comportamenti che suggeriscono una minaccia sulla base dei rilevamenti precedenti.

D: In che modo vengono comunicate le minacce rilevate?

Quando viene rilevata una minaccia, il servizio fornisce un avviso di sicurezza dettagliato alla console di GuardDuty e ad Amazon CloudWatch Events. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli in sistemi di gestione di eventi o flussi di lavoro esistenti. I risultati includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

D: In quale formato vengono comunicate le minacce rilevate da Amazon GuardDuty?

Le minacce rilevate da Amazon GuardDuty sono in formato JSON, lo stesso utilizzato da Amazon Macie e Amazon Inspector. In questo modo è più semplice per clienti e partner avvalersi dei risultati dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

D: Per quanto tempo i risultati delle analisi sono disponibili in Amazon GuardDuty?

I risultati delle analisi sono disponibili nella console di Amazon GuardDuty e nelle API per 90 giorni. Dopo questo periodo vengono rimossi. Per conservarli per periodi più lunghi di 90 giorni, è possibile configurare AWS CloudWatch Events in modo che li inoltri in un bucket Amazon S3 nello stesso account o in un altro datastore.

D: È possibile intraprendere azioni preventive con Amazon GuardDuty?

Amazon GuardDuty, AWS CloudWatch Events e AWS Lambda offrono la massima flessibilità per poter configurare operazioni preventive automatizzate basate sulle potenziali minacce rilevate dal servizio. Ad esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza in seguito ad un avviso. Se GuardDuty rileva che una delle istanze Amazon EC2 è stata sottoposta a probing da un IP malevolo noto, una regola di CloudWatch Events può attivare una funzione Lambda che modifichi automaticamente le regole del gruppo di sicurezza e restringa l'accesso a quella porta.

D: In che modo vengono sviluppate e gestite le operazioni di rilevamento di Amazon GuardDuty?

Amazon GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni e con cadenza regolare e nuove iterazioni su operazioni già previste. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente. Il cliente può così fornire un'indicazione sull'affidabilità delle analisi, indicazione che influirà sulle iterazioni future.

D: È possibile scrivere operazioni di rilevamento personalizzate in Amazon GuardDuty?

No. Amazon GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche di AWS Security e del team di GuardDuty. I clienti potranno personalizzare il servizio aggiungendo elenchi di minacce note e di IP sicuri.

Ulteriori informazioni sui prezzi di Amazon GuardDuty

Visita la pagina dei prezzi
Sei pronto per iniziare?
Accedi
Hai domande?
Contattaci