Panoramica

Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio continuo per individuare attività maligne e comportamenti anomali al fine di proteggere i tuoi account e i tuoi carichi di lavoro AWS, nonché i tuoi dati archiviati in Amazon Simple Storage Service (Amazon S3). GuardDuty utilizza diverse tecniche per identificare indicatori di compromissione come machine learning (ML), rilevamento anomalie e intelligence sulle minacce integrata per identificare e stabilire la priorità di potenziali minacce. GuardDuty è in grado di analizzare decine di miliardi di eventi in varie origini dati AWS, tra cui i registri di eventi di AWS CloudTrail, i flussi di log di Amazon Virtual Private Cloud (VPC) e i registri delle query DNS. 

Amazon GuardDuty identifica l'attività insolita all'interno del tuo account, analizza la rilevanza in termini di sicurezza dell'attività e fornisce il contesto in cui è stata richiamata. Ciò consente a un risponditore di determinare se impiegare del tempo per indagare più a fondo. Alle informazioni raccolte da GuardDuty vengono assegnati dei valori di gravità, e le azioni possono essere automatizzate interagendo con AWS Security Hub, Amazon EventBridge, AWS Lambda, e AWS Step Functions. Amazon Detective è anche strettamente integrato con GuardDuty; l'indagine approfondita forense e delle cause principali non è mai stata così facile.

Rilevamento di minacce affidabile a livello di account

Amazon GuardDuty offre un servizio di rilevamento di minacce preciso e permette di individuare gli account compromessi, obiettivo solitamente molto difficile da raggiungere in modo rapido senza un monitoraggio estremamente accurato in tempo reale. GuardDuty può rilevare diversi indizi della compromissione di un account, ad esempio l'accesso a risorse AWS da posizioni geografiche o ad orari inconsueti. Per gli account AWS programmatici, GuardDuty verifica la presenza di chiamate di interfaccia del programma dell'applicazione (API) inusuali, ad esempio tentativi di nascondere le attività di un account disabilitando la registrazione di log di CloudTrail o la raccolta di snapshot di database da un indirizzo IP malevolo.

Monitoraggio continuo su più account AWS senza costi o complessità aggiuntivi

Amazon GuardDuty monitora e analizza in modo continuo i dati di evento di carichi di lavoro e account AWS e raccolti da AWS CloudTrail, dalla funzione Flow Logs di VPC e dai log DNS. Non è prevista l'implementazione o la manutenzione di altri prodotti software o infrastrutture. Associando diversi account AWS è anche possibile aggregare i risultati del rilevamento delle minacce senza dover controllare singolarmente i risultati di ciascun account. Inoltre, non è necessario raccogliere, analizzare e mettere in correlazione grandi volumi di dati da diversi account AWS. È così possibile concentrarsi su come rispondere a questi eventi in modo rapido, come mantenere la propria azienda protetta e continuare a dimensionare e innovare in AWS.

Rilevamento di minacce sviluppato e ottimizzato per il cloud

Amazon GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. AWS Security mantiene continuativamente questi algoritmi di rilevamento migliorandoli. Le categorie principali di analisi sono le seguenti:

Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, attività di scansione di porte in VPC, pattern inusuali di tentativi di accesso non riusciti o probing di porte non bloccate da IP pericolosi noti.

Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, attività di controllo e comando backdoor (C&C), malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno ed esfiltrazioni di dati tramite DNS.

Compromissione di account: schemi che spesso indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disattivazione dei registri AWS CloudTrail, modifiche che possono indebolire la policy della password dell’account, avvio di istanze o infrastrutture inusuali, distribuzioni di infrastrutture in regioni solitamente non utilizzate e chiamate API da IP pericolosi noti.

Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API Amazon S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o richiamata da una posizione insolita. Amazon GuardDuty monitora e analizza in modo continuo gli eventi sui dati S3 di AWS CloudTrail (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.

Clicca qui per un elenco completo dei tipi di risultato di GuardDuty.

Il servizio GuardDuty offre questo rilevamento avanzato grazie alla tecnologia machine learning e al rilevamento di anomalie, per identificare minacce difficili da rilevare, ad esempio con chiamate API inusuali e comportamenti sospetti da parte di utenti AWS Identity and Access Management (IAM). Inoltre, GuardDuty integra intelligence sulle minacce, sotto forma di elenchi di domini e indirizzi IP malevoli comunicati da AWS Security e da partner di sicurezza di terze parti leader di settore, tra cui Proofpoint e CrowdStrike.

GuardDuty offre un'alternativa alle soluzioni aziendali, mantenendo regole complesse personalizzate e sviluppando un'intelligence di minacce personalizzata basata su elenchi interni di indirizzi IP malevoli. GuardDuty si prende carico delle onerose attività generiche correlate a monitoraggio e protezione di carichi di lavoro e account AWS.

Minacce con diversi livelli di gravità per assegnare sempre le giuste priorità

Amazon GuardDuty è provvisto di tre livelli di gravità degli elementi rilevati, Low, Medium e High, per aiutare a stabilire sempre la giusta priorità delle potenziali minacce. Il livello "Low" indica attività sospette o malevoli bloccate prima che potessero compromettere le risorse. Il livello "Medium" indica attività sospette. Ad esempio, può indicare un livello elevato di traffico restituito da un host remoto nascosto nella rete Tor o un'attività che devia dal comportamento consueto. Il livello "High" indica che una risorsa (ad es. un'istanza Amazon EC2 o un set di credenziali utente IAM) è compromessa e che è attivamente utilizzata per scopi non autorizzati.

Automazione di risposta alle minacce e correzione

Per facilitare l'automazione della risposta alle minacce rilevate, Amazon GuardDuty offre API HTTPS, strumenti per interfaccia a riga di comando (CLI) e Amazon CloudWatch Events. Ad esempio, è possibile automatizzare un flusso di lavoro di risposta utilizzando CloudWatch Events come origine di evento per attivare una funzione AWS Lambda.

Rilevamento di minacce a disponibilità elevata

Amazon GuardDuty è stato progettato per gestire automaticamente l'utilizzo delle risorse in base al livello generale di attività nei carichi di lavoro, negli account AWS e nei dati archiviati in Amazon S3. GuardDuty aumenta le proprie risorse solo se necessario, riducendole quando la capacità supplementare non è più richiesta. Sarà così possibile disporre di un'infrastruttura di protezione dai costi ottimizzati che mantiene sempre una capacità perfettamente in linea con le esigenze di elaborazione. Verranno addebitati esclusivamente i costi per la capacità di rilevamento utilizzata. GuardDuty offre sicurezza scalabile, indipendentemente dalle dimensioni dell'azienda.

Distribuzione semplificata senza software o infrastrutture aggiuntive

È sufficiente un clic nella Console di gestione AWS o una singola chiamata API per abilitare Amazon GuardDuty in un account. Con pochi altri comandi, la protezione GuardDuty viene estesa su più account. Amazon GuardDuty supporta più account tramite l'integrazione con AWS Organizations e in modo nativo nell'ambito dello stesso servizio. Una volta attivato, GuardDuty inizia immediatamente ad analizzare i flussi di attività di rete e dell'account quasi in tempo reale e su vasta scala. Non è necessario distribuire o gestire altri prodotti software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e aggiornata in modo continuo.

Standard Product Icons (Features) Squid Ink
Ulteriori informazioni sui prezzi dei prodotti

Guarda dettagli su esempi di prezzo e sulla prova gratuita

Ulteriori informazioni 
Sign up for a free account
Registrati per una prova gratuita

Ottieni l’accesso alla prova gratuita di Amazon GuardDuty. 

Richiedi la prova gratuita 
Standard Product Icons (Start Building) Squid Ink
Inizia subito nella console

Nozioni di base su Amazon GuardDuty nella console AWS.

Accedi