Panoramica del servizio

D: Cos'è Amazon GuardDuty?

GuardDuty è un servizio intelligente di rilevamento delle minacce che monitora costantemente i tuoi account AWS, le istanze Amazon Elastic Compute Cloud (EC2), i cluster Amazon Elastic Kubernetes Service (EKS) e i dati archiviati su Amazon Simple Storage Service (S3) per individuare attività dannose senza dover ricorrere a software o agenti di sicurezza. Nel caso in cui venga rilevata una potenziale attività dannosa, come un comportamento anomalo, l'esfiltrazione di credenziali, o la comunicazione di infrastruttura di comando e controllo (C2), GuardDuty genera risultati dettagliati che possono essere utilizzati per la visibilità della sicurezza e per la risoluzione dei problemi. Inoltre, la funzione per la protezione Malware di Amazon GuardDuty ti aiuta a identificare file pericolosi sui volumi Amazon Elastic Block Store (EBS) allegati all'istanza EC2 e ai carichi di lavoro dei container.

D: Quali sono i vantaggi principali di GuardDuty?

GuardDuty semplifica il monitoraggio continuo di account AWS, carichi di lavoro e dati archiviati su Amazon S3. Il funzionamento di GuardDuty è completamente indipendente dalle risorse utilizzate, perciò non avrà alcun impatto sulle prestazioni o sulla disponibilità dei carichi di lavoro. Si tratta di una soluzione completamente gestita che integra intelligence sulle minacce, machine learning (ML), rilevamento di anomalie e scansione di malware. GuardDuty produce avvisi dettagliati che permettono di avviare operazioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover implementare ulteriori software o sottoscrizioni a feed di intelligence sulle minacce.

D: Quanto costa GuardDuty?

Il prezzo di GuardDuty si basa sul volume di log di servizio analizzati e di dati scansionati per malware. I log di servizio analizzati sono filtrati per l’ottimizzazione dei costi e direttamente integrati a GuardDuty, il che significa che non dovrai abilitarli o pagarli separatamente.

Consulta la pagina dei prezzi di Amazon GuardDuty per ulteriori dettagli ed esempi di prezzo.

D: La stima dei costi nell'account dell'entità pagante di GuardDuty mostra il totale dei costi per tutti gli account collegati o solo per il singolo account dell'entità pagante?

Il costo stimato si riferisce al costo per la sola entità pagante. Nell'account amministratore GuardDuty vedrai l'utilizzo fatturato e il costo giornaliero medio per ogni account dei membri. Per visualizzare le informazioni dettagliate relative all'utilizzo, devi consultare l'account individuale.

 

D: Esiste un periodo di prova gratuita per GuardDuty?

Sì, tutti i nuovi account di GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante questo periodo saranno disponibili tutte le funzioni e i rilevamenti del servizio. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

D: Quale è la differenza tra GuardDuty e Amazon Macie?

GuardDuty offre una protezione completa per la sicurezza di account AWS, carichi di lavoro e dati aiutando a identificare minacce, quali riconoscimento di utenti malintenzionati, istanze, account, bucket o cluster EKS compromessi e malware. Macie è un servizio interamente gestito di rilevamento dei dati sensibili che utilizza il ML e la corrispondenza dei modelli per rilevare i dati sensibili in S3.

D: GuardDuty è un servizio regionale o globale?

GuardDuty è un servizio regionale. Anche quando sono stati abilitati più account e sono interessate più regioni, i risultati della sicurezza di GuardDuty rimangono nella regione in cui sono stati generati i dati. In questo modo tutti i dati analizzati sono localizzati a livello regionale e non possono superare i confini di nessuna regione AWS. Tuttavia, puoi scegliere di aggregare i risultati sulla sicurezza di GuardDuty in più regioni utilizzando gli eventi Amazon CloudWatch, o inoltrandoli al tuo datastore (ad es. S3) e quindi aggregandoli secondo le tue esigenze. Puoi inviare anche i risultati di GuardDuty alla centrale di sicurezza AWS e utilizzare la funzionalità di aggregazione tra regioni.

D: Quali regioni supporta GuardDuty?

La disponibilità regionale di GuardDuty è indicata nell'elenco dei servizi delle regioni AWS.

D: Quali partner collaborano con GuardDuty?

Diversi partner tecnologici hanno già integrato GuardDuty, basando le proprie soluzioni su di esso. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Per maggiori informazioni, consulta la pagina dei partner di Amazon GuardDuty.

D: Amazon GuardDuty aiuta a soddisfare i requisiti nello standard PCI DSS (Payment Card Industry Data Security Standard)?

Foregenix ha pubblicato un white paper che fornisce valutazioni dettagliate sull'efficacia di GuardDuty nel soddisfare i requisiti di conformità, come i requisiti 11.4 relativi a PCI DSS (Payment Card Industry Data Security Standard), che necessitano di tecniche di rilevamento delle intrusioni nei punti critici della rete.

Attivazione di GuardDuty

D: In che modo è possibile attivare GuardDuty?

Per configurare e implementare GuardDuty, sono sufficienti pochi clic nella Console di gestione AWS. Una volta abilitato, GuardDuty inizia immediatamente ad analizzare i flussi continui di attività di account e di rete quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

D: È possibile gestire più account con GuardDuty?

Sì, GuardDuty offre una funzione di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. Quando viene attivata, tutti i problemi identificati vengono aggregati all'account dell'amministratore per essere consultati e attivare l'eventuale processo di risoluzione. In questa configurazione, anche gli eventi Amazon CloudWatch vengono aggregati sull'account dell'amministratore di GuardDuty. Inoltre, GuardDuty integra AWS Organizations, che consente di delegare un account amministratore di GuardDuty per la propria organizzazione. Questo account amministratore delegato è un account centralizzato che consolida tutti i risultati e può configurare tutti gli account dei membri.

D: Quali origini dei dati è in grado di analizzare GuardDuty?

GuardDuty analizza i registri degli eventi di gestione di CloudTrail, i registri degli eventi dei dati di CloudTrail S3, i registri di flusso VPC, i registri delle query DNS e i registri delle revisioni EKS. Quando la protezione malware di GuardDuty è attiva, GuardDuty può analizzare anche i volumi di dati EBS per identificare possibili malware e comportamenti sospetti o relativi a software sospetti nelle istanze EC2 o nei carichi di lavoro dei container. Il servizio è ottimizzato per consumare grandi volumi di dati per l'elaborazione quasi in tempo reale dei rilevamenti di sicurezza. GuardDuty offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e aggiornate e migliorate continuamente dagli ingegneri di GuardDuty.

D: Quanto tempo impiega GuardDuty per entrare in funzione?

Una volta attivato, GuardDuty avvia l'analisi delle attività dannose o non autorizzate. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dei dati, ma rivolgerà la propria analisi solo alle attività che hanno luogo dopo l'attivazione. Nel momento in cui GuardDuty individua una potenziale minaccia, inoltrerà una notifica alla console di GuardDuty.

D: È necessario abilitare CloudTrail, i registri dei flussi di VPC e i registri delle query DNS o i registri delle revisioni EKS perché GuardDuty funzioni correttamente?

No. GuardDuty estrae i flussi dei dati indipendenti direttamente da CloudTrail, dai registri dei flussi di VPC, dai registri delle query DNS e EKS. Non è quindi necessario gestire policy di bucket S3 o modificare le modalità di raccolta e archiviazione dei registri. Le autorizzazioni di GuardDuty sono gestite come ruoli collegati a servizi. Puoi disabilitare GuardDuty in qualunque momento. In questo modo, tutte le autorizzazioni verranno rimosse. Ciò semplifica l'attivazione del servizio, evitando configurazioni complesse. I ruoli collegati ai servizi eliminano anche il rischio di configurazioni errate delle autorizzazioni ad AWS Identity and Access Management (IAM) o di modifiche alle policy dei bucket S3 che possano avere un impatto sul funzionamento del servizio. Infine, i ruoli collegati ai servizi rendono GuardDuty estremamente efficiente poiché analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

D: L'utilizzo di GuardDuty influenza in qualche modo le prestazioni o la disponibilità dell'account?

GuardDuty agisce in modo completamente indipendente rispetto alle risorse AWS. Di conseguenza, non ha alcun impatto sulle prestazioni o sulla disponibilità dei tuoi account o carichi di lavoro.

D: GuardDuty gestisce o conserva i registri?

No, GuardDuty non gestisce né mantiene i registri esaminati. Tutti i dati elaborati da GuardDuty vengono analizzati quasi in tempo reale e poi rimossi. Il servizio GuardDuty è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la consegna e la conservazione dei registri, si consiglia di utilizzare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono opzioni complete di consegna e conservazione.

D: In che modo è possibile interrompere l'analisi di GuardDuty su registri e origini dei dati?

L'analisi delle origini dei dati da parte di GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato nelle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato. Puoi anche selezionare le funzioni da disabilitare, come ad esempio la protezione GuardDuty di S3 o la protezione GuardDuty di Kubernetes, attraverso la console di gestione o l'interfaccia della linea di comando AWS.

Risultati di GuardDuty

D: Quali elementi può rilevare GuardDuty?

GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono mantenuti e migliorati continuamente dagli ingegneri di GuardDuty. Le categorie principali di rilevamento sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API insolite, attività di scansione di porte in VPC, modelli insoliti di tentativi di login non riusciti o probing di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di EC2 utilizzate da un indirizzo IP esterno e esfiltrazione di dati tramite DNS.
  • Compromissione di account: modelli comuni che indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici insoliti o resi anonimi tramite proxy, tentativi di disabilitare i registri di CloudTrail, avvio di istanze o infrastrutture inusuali, implementazioni di infrastrutture in regioni solitamente non utilizzate, esfiltrazione di credenziali e chiamate API da IP pericolosi noti.
  • Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o invocata da una posizione insolita. GuardDuty monitora e analizza in modo continuo gli eventi dei dati di CloudTrail S3 (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket S3.
  • Rilevamento malware: GuardDuty avvia la scansione dei malware non appena identifica un comportamento sospetto che indichi un software dannoso in un'istanza EC2 o nei carichi di lavoro dei container. GuardDuty genera repliche temporanee dei volumi EBS allegati all'istanza EC2 o ai carichi di lavoro dei container e scansiona le repliche dei volumi alla ricerca di trojan, worm, crypto miner, rootkit, bot e altro che possono essere utilizzati per compromettere i carichi di lavoro, riutilizzare le risorse per usi dannosi e accedere in maniera non autorizzata ai dati. La protezione malware di GuardDuty genera risultati contestualizzati in grado di confermare l'origine del comportamento sospetto. Questi risultati possono essere indirizzati agli amministratori competenti per avviare il processo di risoluzione.
  • Compromissione dei container:attività che identificano possibili comportamenti dannosi o sospetti nei carichi di lavoro dei container sono rilevate tramite il monitoraggio e la profilazione continua dei cluster EKS tramite l'analisi dei registri di revisione EKS.

D: In cosa consiste l'intelligence sulle minacce di GuardDuty?

L'intelligence sulle minacce di GuardDuty si basa su indirizzi IP e domini noti per essere utilizzati dai malintenzionati. Le informazioni di intelligence sulle minacce rilevate da GaurdDuty sono fornite da AWS e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed di intelligence delle minacce sono preintegrati e aggiornati continuamente in GuardDuty senza alcun costo aggiuntivo.

D: È possibile caricare informazioni di intelligence già in mio possesso?

Sì, GuardDuty ti permette di caricare le tue informazioni di intelligence o il tuo elenco di indirizzi IP sicuri. Quando si utilizza questa funzione, gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

D: In che modo vengono comunicate le minacce rilevate?

Quando viene rilevata una potenziale minaccia, GuardDuty invia un avviso di sicurezza dettagliato alla console GuardDuty e agli eventi CloudWatch. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli più facilmente in sistemi di gestione di eventi o flussi di lavoro esistenti. I risultati includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

D: Qual è il formato dei risultati di GuardDuty?

Le minacce rilevate da GuardDuty sono in formato JSON, lo stesso utilizzato da Macie e Amazon Inspector. In questo modo è più semplice per clienti e partner avvalersi dei risultati dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

D: Per quanto tempo i risultati delle analisi sono disponibili in GuardDuty?

I risultati delle analisi sono mantenuti nella console di GuardDuty e nelle API per 90 giorni. Dopo novanta giorni vengono rimossi. Per mantenerli per periodi superiori ai 90 giorni, è possibile configurare gli eventi CloudWatch in modo che vengano inoltrati automaticamente a un bucket S3 nello stesso account o in un altro datastore per la conservazione a lungo termine.

D: Posso aggregare i risultati di GuardDuty?

Sì, puoi scegliere di aggregare i risultati sulla sicurezza di GuardDuty in più regioni utilizzando gli eventi CloudWatch oppure inoltrandoli nel tuo datastore (ad es. S3) e quindi aggregandoli secondo le tue esigenze. Puoi inviare anche i risultati di GuardDuty alla centrale di sicurezza AWS e utilizzare la funzionalità di aggregazione tra regioni.

D: È possibile intraprendere azioni preventive automatiche utilizzando GuardDuty?

GuardDuty, gli eventi CloudWatch e AWS Lambda offrono la massima flessibilità per poter configurare operazioni correttive automatizzate basate sulle potenziali minacce rilevate dal servizio. Ad esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza AWS in seguito a un avviso. Se GuardDuty rileva che una delle istanze EC2 è stata sottoposta a probing da un IP dannoso noto, è possibile risolvere il problema tramite una regola degli eventi CloudWatch che può attivare una funzione Lambda per modificare automaticamente le regole del gruppo di sicurezza e limitare l'accesso a quella porta.

D: In che modo vengono sviluppate e gestite le operazioni di rilevamento di GuardDuty?

GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni con cadenza regolare e un'iterazione continua sui rilevamenti esistenti. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente di GuardDuty. Potrai così fornire un feedback che verrà integrato alle iterazioni future dei rilevamenti di GuardDuty.

D: È possibile scrivere operazioni di rilevamento personalizzate in Amazon GuardDuty?

No, GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche degli ingegneri di AWS Security e del team di GuardDuty. Tuttavia, i clienti potranno personalizzare il servizio aggiungendo elenchi di minacce e di indirizzi IP sicuri.

GuardDuty per la protezione di S3

D: Sto attualmente utilizzando GuardDuty. Come posso iniziare a utilizzare la protezione di S3?

Per gli account esistenti, GuardDuty per la protezione di S3 può essere abilitato nella console o tramite l'API. Nella console di GuardDuty, puoi visitare la pagina relativa alla console di protezione di S3 e abilitare GuardDuty per la protezione di S3 di tutti gli account. Questa operazione avvierà la prova gratuita di 30 giorni della caratteristica GuardDuty per la protezione di S3.

D: Esiste un periodo di prova gratuita della protezione di GuardDuty per S3?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già attivato GuardDuty dispongono di un periodo di prova gratuito di 30 giorni per la protezione di S3 dal momento della prima attivazione.

D: Sono un nuovo utente di GuardDuty, il servizio per la protezione di S3 viene abilitato per impostazione predefinita sui miei account?

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il servizio di protezione S3 attivato per impostazione predefinita, a meno che l'opzione di abilitazione automatica per S3 non sia attivata.

D: Posso abilitare GuardDuty per la protezione di S3 senza attivare il servizio GuardDuty completo (ad es. analisi dei registri di flussi di VPC, registri di query DNS ed eventi di gestione di CloudTrail)?

No, il servizio GuardDuty deve essere abilitato perché la protezione di S3 sia disponibile. Sugli account GuardDuty attuali è possibile attivare la protezione S3. Nei nuovi account GuardDuty, la protezione sarà attivata per impostazione predefinita non appena si attiva il servizio GuardDuty.

D: GuardDuty monitora tutti i bucket nel mio account per proteggere l'implementazione di S3?

Sì, la protezione di S3 monitora per impostazione predefinita tutti i bucket S3 nel tuo ambiente.

D: È necessario attivare i registri degli eventi di dati S3 di CloudTrail per la protezione di S3?

No, GuardDuty ha accesso diretto ai registri degli eventi di dati di S3 di CloudTrail. Non dovrai abilitare i registri degli eventi di dati di S3 su CloudTrail e, quindi, non ti saranno addebitati i relativi costi. Ricorda che GuardDuty non archivia i registrii e li utilizza solamente per l'analisi.

Protezione di GuardDuty per Kubernetes

D: Come funziona la protezione di GuardDuty per Kubernetes?

La protezione di GuardDuty per Kubernetes è una funzione GuardDuty che monitora l'attività del piano di controllo (control plane) dei cluster EKS analizzando i registri di revisione EKS. GuardDuty è integrato in EKS e dispone quindi di un accesso diretto ai registri di revisione EKS, senza che sia necessario attivare o archiviare gli stessi. Questi registri di revisione sono cronologici e rilevanti ai fini della sicurezza per la documentazione delle varie azioni intraprese sul piano di controllo (control-plane) EKS. I registri di revisione EKS conferiscono a GuardDuty la visibilità necessaria per condurre un monitoraggio continuo dell’attività API di EKS e applicare un’intelligence sulle minacce e un rilevamento di anomalie comprovati per identificare comportamenti dannosi o modifiche alla configurazione che possono esporre il cluster EKS ad accessi non autorizzati. Quando sono identificati delle minacce, GuardDuty genera risultati dell’analisi che includono il tipo di minaccia, il livello di gravità e dettagli a livello del container come ID pod, ID immagine del container e tag associati.

D: Quali minacce può rilevare la protezione di GuardDuty per Kubernetes sui miei carichi di lavoro EKS?

La protezione di GuardDuty per Kubernetes può rilevare minacce associate all’attività di utenti e applicazioni contenute nei registri di revisione EKS. I rilevamenti delle minacce EKS includono i cluster EKS oggetto di accesso da parte di noti utenti malintenzionati o tramite nodi Tor, operazioni API svolte da utenti anonimi che potrebbero indicare una configurazione errata, oltre a configurazioni errate che possono causare accessi non autorizzati ai cluster EKS. Inoltre, GuardDuty può identificare, tramite modelli di machine learning (ML), modelli riconducibili a tecniche di privilege-escalation, ad esempio il lancio sospetto di un container con accesso root a un host EC2 sottostante. Consulta la pagina relativa ai tipi di risultati di Amazon GuardDuty per un elenco esaustivo di tutti i nuovi rilevamenti.

D: Devo attivare i registri di revisione EKS?

No, GuardDuty ha accesso diretto ai registri di revisione EKS. Ricorda che GuardDuty utilizza questi registri solamente per l'analisi, senza archiviarli. Inoltre, non devi abilitarli né pagare alcun importo per la condivisione di questi registri di revisione di EKS con GuardDuty. Al fine di ottimizzare i costi, GuardDuty applica filtri intelligenti per utilizzare soltanto il sottoinsieme dei registri di revisione utili per il rilevamento delle minacce alla sicurezza.

D: Esiste un periodo di prova gratuita della protezione di GuardDuty per Kubernetes?

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni nuovo account GuardDuty ha diritto ad una prova gratuita di 30 giorni in tutte le regioni, compreso GuardDuty per la protezione di Kubernetes. Gli account GuardDuty esistenti hanno diritto a una prova di 30 giorni di GuardDuty per la protezione di Kubernetes senza costi aggiuntivi. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

D: Sto attualmente utilizzando GuardDuty. Come posso iniziare a utilizzare la protezione di Kubernetes?

È necessario abilitare GuardDuty per la protezione di Kubernetes per ogni singolo account. Con un solo click, potrai abilitare questa funzione sui tuoi account dalla console GuardDuty dalla console della pagina relativa alla protezione per Kubernetes. Se hai optato per una configurazione multi-account di GuardDuty, puoi abilitare la protezione per tutta l'organizzazione dalla pagina relativa alla protezione di Kubernetes del tuo account amministratore GuardDuty. In questo modo, sarà abilitato il monitoraggio continuo di EKS su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per EKS. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di EKS senza alcuna configurazione manuale degli stessi.

D: Se sono un nuovo utente di GuardDuty, il servizio per la protezione di Kubernetes viene abilitato per impostazione predefinita sui miei account?

Sì, GuardDuty per la protezione di Kubernetes sarà abilitato per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l'API. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il servizio di protezione di GuardDuty per Kubernetes attivato per impostazione predefinita, a meno che l'opzione di abilitazione automatica per EKS non sia attivata.

D: Come disabilito GuardDuty per la protezione di Kubernetes?

Puoi disabilitare la funzione dalla console o tramite l'API. Nella console di GuardDuty, accedi alla pagina relativa alla protezione di Kubernetes, dove puoi disabilitare GuardDuty per la protezione di Kubernetes sui tuoi account. Se sei un amministratore di GuardDuty, puoi disabilitare questa funzione anche sugli account dei tuoi membri.

D: Se disabilito GuardDuty per la protezione di Kubernetes, come posso riattivarlo?

Se hai disabilitato GuardDuty per la protezione di Kubernetes, puoi abilitarlo nuovamente dalla console o tramite l'API. Nella console di GuardDuty, accedi alla pagina relativa alla protezione di Kubernetes, dove puoi abilitare GuardDuty per la protezione di Kubernetes sui tuoi account.

D: Devo abilitare separatamente GuardDuty per la protezione di Kubernetes su ogni account AWS e cluster di EKS?

È necessario abilitare GuardDuty per la protezione di Kubernetes per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, dalla pagina relativa alla protezione di Kubernetes del tuo account di amministratore puoi abilitare, con un solo clic e in tutta l'organizzazione, il rilevamento delle minacce per EKS. In questo modo, sarà abilitato il rilevamento delle minacce per EKS su tutti i singoli account dei membri. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di EKS in quell’account e non è richiesta alcuna configurazione manuale degli stessi.

D: Mi saranno addebitati dei costi se non utilizzo EKS e abilito GuardDuty per la protezione di Kubernetes in GuardDuty?

Se non utilizzi EKS e hai abilitato la protezione di GuardDuty per Kubernetes, non ti verranno addebitati costi per questa protezione. Tuttavia, quando inizi a utilizzare EKS; GuardDuty monitorerà automaticamente i tuoi cluster e genererà risultati relativi ai problemi riscontrati. Di conseguenza, riceverai un addebito per il monitoraggio.

D: Posso abilitare soltanto GuardDuty per la protezione di Kubernetes senza attivare il servizio GuardDuty completo (ad es. analisi dei registri di flussi di VPC, registri di query DNS ed eventi di gestione di CloudTrail)?

No, il servizio GuardDuty deve essere abilitato affinché sia disponibile la protezione di Kubernetes.

D: GuardDuty per la protezione di Kubernetes monitora i registri di revisione di EKS per le implementazioni di EKS su AWS Fargate?

Sì, GuardDuty per la protezione di Kubernetes monitora i registri di revisione dei cluster di EKS implementati sia sulle istanze EC2 sia su AWS Fargate.

D: GuardDuty monitora EKS non gestiti su EC2 o Amazon EKS Anywhere?

Al momento, questa funzionalità supporta solo le implementazioni di EKS eseguite sulle istanze EC2 nel tuo account o su Fargate.

D: L’utilizzo di GuardDuty per la protezione di Kubernetes influisce sulle prestazioni o i costi associati all’esecuzione di container su Amazon EKS?

No, GuardDuty per la protezione di Kubernetes non incide in alcun modo sulle prestazioni, la disponibilità o i costi associati alle implementazioni di carichi di lavoro di EKS.

D: Devo abilitare GuardDuty per la protezione di Kubernetes per ogni regione AWS?

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la protezione per Kubernetes in ogni regione AWS.

Protezione malware di GuardDuty

D: Come funziona la protezione malware di Amazon GuardDuty?

GuardDuty avvia la scansione dei malware non appena identifica un comportamento sospetto che indichi un software dannoso in un'istanza EC2 o nei carichi di lavoro dei container. Scansiona la replica di un volume EBS generato da GuardDuty sulla base degli snapshot del tuo volume EBS per trojan, worm,crypto miner, rootkit, bot e altro. La protezione malware di GuardDuty genera risultati contestualizzati in grado di confermare l'origine del comportamento sospetto. Questi risultati possono essere indirizzati agli amministratori competenti per avviare il processo di risoluzione.

D: Sulla base di quale tipo di rilevamento relativo a EC2 GuardDuty avvia la scansione dei malware?

I risultati di GuardDuty relativi a EC2 in base ai quali viene avviata la scansione sono elencati qui.

D: Quali risorse e tipi di file vengono scansionati dalla protezione malware di GuardDuty?

La protezione malware supporta il rilevamento di file dannosi tramite la scansione degli EBS collegati alle istanze EC2. È in grado di scansionare qualsiasi file presente nel volume. I file supportati sono elencati qui.

D: Quali minacce è in grado di rilevare la protezione malware di GuardDuty?

La protezione malware effettua una scansione per individuare minacce quali trojan, worm, crypto miner, rootkit e bot che possono essere utilizzati per compromettere i carichi di lavoro, riutilizzare le risorse per scopi dannosi e ottenere accesso non autorizzato ai dati.

D: Devo attivare i registri per far funzionare la protezione malware di GuardDuty?

Non è necessario che i registri del servizio siano attivati per far funzionare GuardDuty o la protezione malware. La protezione malware fa parte di GuardDuty, un servizio AWS che utilizza l'intelligenza di origini interne ed esterne integrate.

D: Come può la protezione malware di GuardDuty effettuare la scansione senza agenti?

Invece di utilizzare agenti di sicurezza, la protezione malware di GuardDuty crea e scansiona una replica sulla base degli snapshot dei volumi EBS collegati alle istanze EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Le autorizzazioni concesse a GuardDuty tramite il ruolo collegato al servizio consentono a quest'ultimo di creare la replica crittografata di un volume sull'account di servizio GuardDuty a partire da uno snapshot sul tuo account. Successivamente, la protezione malware di GuardDuty scansiona la replica del volume alla ricerca di malware.

D: Esiste un periodo di prova gratuita di GuardDuty per la protezione dei malware?

Sì, ogni nuovo account GuardDuty ha diritto ad una prova gratuita di 30 giorni in tutte le regioni, compreso GuardDuty per la protezione di malware. Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la protezione malware la prima volta che questa funzione viene abilitata sull'account. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

D: Sto attualmente utilizzando GuardDuty, come posso iniziare a utilizzare la protezione malware di GuardDuty?

Puoi abilitare la protezione malware dalla console di GuardDuty dalla pagine relativa alla protezione malware o tramite l'API. Se hai optato per una configurazione multi-account di GuardDuty, puoi abilitare la funzione per tutta l'organizzazione dalla console della pagina relativa alla protezione malware del tuo account amministratore. In questo modo, sarà abilitato il monitoraggio di malware su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per la protezione malware.

D: Sono un nuovo utente di GuardDuty, il servizio per la protezione malware viene abilitato per impostazione predefinita sui miei account?

Sì, GuardDuty per la protezione malware sarà abilitato per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l'API. Per i nuovi account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per la protezione malware. 

D: Come disabilito GuardDuty per la protezione malware?

Puoi disabilitare la funzione dalla console o tramite l'API. Vedrai l'opzione per disabilitare la protezione malware per i tuoi account nella console di GuardDuty o nella pagina della console relativa alla protezione malware. Se sei un amministratore di GuardDuty, puoi anche disabilitare GuardDuty per la protezione malware sugli account dei tuoi membri.

D: Se disabilito GuardDuty per la protezione malware, come posso riattivarlo?

Se hai disabilitato la protezione malware, puoi riabilitarla dalla console o tramite l'API. Puoi disabilitare la protezione malware per i tuoi account nella console di GuardDuty o nella pagina relativa alla protezione malware.

D: Se GuardDuty non effettua scansioni di malware durante il periodo di fatturazione, mi verranno addebitati dei costi?

No, non riceverai addebiti per la protezione malware se non sono state effettuate scansioni durante il periodo di fatturazione. È possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

D: GuardDuty per la protezione malware supporta la gestione di più account?

Sì, GuardDuty offre una funzione di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. L’integrazione di AWS Organizations consente a GuardDuty di gestire più account. Questa integrazione aiuta i team di sicurezza e conformità a garantire la copertura totale di GuardDuty, inclusa la protezione malware, per tutti gli account di un’organizzazione.

D: Devo cambiare la configurazione, implementare software o modificare le implementazioni di AWS?

No. Una volta che la funzione è abilitata, la protezione malware di GuardDuty avvia la scansione dei malware in risposta ai risultati EC2 pertinenti. Non dovrai implementare alcun agente, attivare origini dei registri o apportare modifiche alla configurazione.

D: L'utilizzo della protezione malware di GuardDuty avrà un impatto sulle prestazioni dei miei carichi di lavoro in esecuzione?

La protezione malware di GuardDuty è progettata per non influire sulle prestazioni dei carichi di lavoro. Ad esempio, gli snapshot dei volumi EBS creati per l'analisi dei malware possono essere generati soltanto una volta ogni 24 ore, e la protezione malware di GuardDuty mantiene le repliche crittografate e gli snapshot soltanto per pochi minuti dopo il completamento della scansione. Inoltre, la protezione malware di GuardDuty utilizza le risorse di calcolo di GuardDuty per la scansione dei malware invece delle risorse di calcolo del cliente.

D: Devo abilitare GuardDuty per la protezione malware per ogni regione AWS?

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la scansione malware in ogni regione AWS.

D: In che modo la protezione malware di GuardDuty utilizza la crittografia?

La protezione malware di GuardDuty scansiona una replica sulla base degli snapshot dei volumi EBS collegati alle istanze EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Se i tuoi volumi EBS sono crittografati con una chiave gestita dal cliente, puoi condividere la tua chiave di AWS Key Management Service (KMS) con GuardDuty. Il servizio utilizza la stessa chiave per crittografare la replica del volume EBS. Per i volumi EBS non crittografati, GuardDuty utilizza la sua chiave per la crittografia della replica del volume EBS.

D: La replica del volume EBS sarà analizzata nella stessa regione del volume originale?

Sì, tutti i dati della replica del volume EBS (e gli snapshot su cui si basa la replica del volume) rimangono nella stessa regione del volume EBS originale.

D: Come posso effettuare una stima e monitorare i costi della protezione malware di GuardDuty?

Ogni nuovo account GuardDuty ha diritto a una prova gratuita di 30 giorni in tutte le regioni, compresa la protezione malware. Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la protezione malware la prima volta che questa funzione viene abilitata sull'account. Durante il periodo id prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

I prezzi relativi a questa funzione si basano sui GB dei dati scansionati per volume. È possibile personalizzare le opzioni tramite le opzioni di scansione dalla console per contrassegnare alcune istanze EC2, utilizzando i tag, affinché queste siano incluse o escluse dalla scansione. Di conseguenza, potrai controllare i costi. Inoltre, GuardDuty scansionerà ogni istanza EC2 una sola volta ogni 24 ore. Nel caso in cui GuardDuty generi più risultati EC2 per una sola istanza in 24 ore, verrà effettuata una scansione soltanto per il primo risultato rilevante. Se continuano a essere generati risultati EC2 per un'istanza 24 ore dopo l'ultima scansione malware, verrà avviata una nuova scansione.

D: Posso conservare gli snapshot effettuati dalla protezione malware di GuardDuty?

Sì, esiste un'impostazione tramite cui puoi abilitare la conservazione degli snapshot quando vengono rilevati malware. Puoi abilitare questa funzione dalla console GuardDuty sulla pagina delle impostazioni. Per impostazione predefinita, gli snapshot vengono cancellati pochi minuti dopo il completamento della scansione e dopo 24 ore nel caso in cui la scansione non venga completata.

D: Per impostazione predefinita, qual è il periodo di tempo massimo in cui viene mantenuta una replica del volume EBS?

La protezione malware di GuardDuty mantiene ogni replica del volume EBS che genera e le scansioni fino a 24 ore. Per impostazione predefinita, la replica dei volumi EBS viene cancellata pochi minuti dopo il completamento della scansione malware di GuardDuty. Tuttavia, per alcune istanze, la protezione malware di GuardDuty potrebbe aver bisogno di mantenere la replica dei volumi EBS per più di 24 ore, nel caso in cui un problema di connessione o di funzionamento del servizio interferisca con la scansione. Nel caso in cui ciò si verifichi, la protezione malware manterrà la replica del volume EBS fino a sette giorni per dare al servizio il tempo di individuare e risolvere il problema di funzionamento o connessione. La protezione malware di GuardDuty cancellerà la replica del volume EBS una volta risolto il problema o alla fine del periodo di conservazione prolungato.

D: Più risultati di GuardDuty per una singola istanza EC2 o per il carico di lavoro di un container indicanti un possibile malware avvieranno più scansioni?

No, GuardDuty scansiona una replica sulla base degli snapshot dei volumi EBS collegati alle istanze EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account soltanto una volta ogni 24 ore. Anche nel caso in cui GuardDuty generi più risultati idonei a una scansione, non verranno avviate scansioni aggiuntive se ne è stata effettuata una entro le 24 ore precedenti. Se GuardDuty genera risultati 24 ore dopo l'ultima scansione malware, la protezione avvierà una nuova scansione per il carico di lavoro.

D: Se disabilito GuardDuty, devo disabilitare anche la protezione malware?

No, è sufficiente disabilitare il servizio GuardDuty per disabilitare anche la funzione di protezione malware.

Ulteriori informazioni sui prezzi dei prodotti

Guarda dettagli su esempi di prezzo e sulla prova gratuita

Ulteriori informazioni 
Registrati per una prova gratuita

Ottieni l’accesso alla prova gratuita di Amazon GuardDuty. 

Richiedi la prova gratuita 
Inizia subito nella console

Nozioni di base su Amazon GuardDuty nella console AWS.

Accedi