Visão geral do serviço

P: O que é o Amazon GuardDuty?

O GuardDuty é um serviço inteligente de detecção de ameaças que monitora continuamente suas contas da AWS, instâncias do Amazon Elastic Compute Cloud (EC2), clusters do Amazon Elastic Kubernetes Service (EKS) e dados armazenados no Amazon Simple Storage Service (S3) em relação a atividades mal-intencionadas sem o uso de software ou agentes de segurança. Se for detectada uma possível atividade mal-intencionada, como comportamento anômalo, exfiltração de credenciais ou comunicação de infraestrutura de comando e controle (C2), o GuardDuty gera descobertas de segurança detalhadas que podem ser usadas para visibilidade de segurança e assistência na correção. Além disso, o uso do recurso Amazon GuardDuty Malware Protection ajuda a detectar arquivos mal-intencionados em volumes do Amazon Elastic Block Store (EBS) anexados a workloads de instância e contêiner do EC2.

P: Quais são os principais benefícios do GuardDuty?

O GuardDuty facilita o monitoramento contínuo de suas contas da AWS, workloads e dados armazenados no Amazon S3. O GuardDuty opera de forma independente dos recursos para que a performance ou a disponibilidade das workloads sejam afetadas. O serviço é totalmente gerenciado e oferece inteligência contra ameaças, machine learning (ML), detecção de anomalias e verificação de malware integrados. O GuardDuty fornece alertas detalhados e acionáveis projetados para serem integrados a sistemas existentes de gerenciamento de eventos e fluxos de trabalho. Não há custos iniciais, e você paga apenas pelos eventos analisados, sem necessidade de implantar outro software ou assinar os feeds de inteligência.

P: Quanto custa o GuardDuty?

Os preços do GuardDuty são baseados no volume de logs de serviço analisados e no volume de dados verificados em busca de malware. Os logs de serviço analisados são filtrados para otimização de custos e integrados diretamente ao GuardDuty, o que significa que você não precisa habilitá-los ou pagá-los separadamente.

Consulte a definição de preço do Amazon GuardDuty para obter mais detalhes e exemplos de definição de preço.

P: O custo estimado na conta do pagante do GuardDuty mostra os custos totais agregados para contas vinculadas ou apenas os custos dessa conta individual do pagante?

O custo estimado representa o custo da conta pagadora individual, e você verá o uso faturado e o custo médio diário de cada conta membro na conta de administrador do GuardDuty. Você deve acessar a conta individual se quiser ver as informações detalhadas de uso.

 

P: Há uma avaliação gratuita do GuardDuty?

Sim. Toda conta nova do GuardDuty pode testar gratuitamente o serviço por 30 dias. Você tem acesso ao conjunto completo de recursos e detecções durante o teste gratuito. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Quais são as diferenças entre o GuardDuty e o Amazon Macie?

O GuardDuty oferece amplo monitoramento de segurança de suas contas da AWS, workloads e dados para ajudar a identificar ameaças, como reconhecimento de invasores; comprometimentos de instâncias, contas, buckets ou clusters do EKS; e malware. O Macie é um serviço de descoberta de dados confidenciais totalmente gerenciado que usa ML e correspondência de padrões para descobrir seus dados confidenciais no S3.

P: O GuardDuty é um serviço regional ou global?

O GuardDuty é um serviço regional. Mesmo quando várias contas são habilitadas e várias regiões são usadas, as descobertas de segurança do GuardDuty permanecem nas mesmas regiões em que os dados subjacentes foram gerados. Isso garante que todos os dados analisados sejam baseados em regiões e não cruzem os limites regionais da AWS. No entanto, você pode optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões usando o Amazon CloudWatch Events ou enviar descobertas para seu armazenamento de dados (como S3) e agregar as descobertas conforme achar melhor. Você também pode enviar as descobertas do GuardDuty ao AWS Security Hub e usar a funcionalidade de agregação entre regiões.

P: Quais regiões são compatíveis com o GuardDuty?

A disponibilidade regional do GuardDuty pode ser encontrada na Lista de serviços regionais da AWS.

P: Quais parceiros trabalham com o GuardDuty?

Muitos parceiros de tecnologia integraram e criaram o GuardDuty. Também há consultores, integradores de sistemas e prestadores de serviços gerenciados de segurança especializados no GuardDuty. Para obter detalhes, consulte a página Parceiros do Amazon GuardDuty.

P: O GuardDuty ajuda a resolver os requisitos do Payment Card Industry Data Security Standard (PCI DSS – Padrão de segurança de dados do setor de cartões de pagamento)?

A Foregenix publicou um whitepaper que fornece uma avaliação detalhada da eficácia do GuardDuty para auxiliar no atendimento de requisitos, como o requisito 11.4 do PCI DSS, que requer técnicas de detecção de intrusões em pontos críticos da rede.

Como habilitar o GuardDuty

P: Como habilito o GuardDuty?

O GuardDuty pode ser configurado e implantado com alguns cliques no Console de Gerenciamento da AWS. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço, e sua manutenção e atualização são contínuas.

P: Posso gerenciar várias contas com o GuardDuty?

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. Quando esse recurso é usado, todas as descobertas de segurança são agregadas à conta de administrador para revisão e remediação. Os CloudWatch Events também são agregados à conta de administrador do GuardDuty ao usar essa configuração. Além disso, o GuardDuty está integrado ao AWS Organizations, o que permite delegar uma conta de administrador do GuardDuty para sua organização. Essa conta de delegated administrator (DA – administrador delegado) é centralizada e consolida todas as descobertas, além de poder configurar todas as contas de membros.

P: Quais fontes de dados o GuardDuty analisa?

O GuardDuty analisa logs de eventos de gerenciamento do CloudTrail, logs de eventos de dados do CloudTrail S3, logs de fluxo da VPC, logs de consulta ao DNS e logs de auditoria do EKS. O GuardDuty também pode verificar dados de volumes do EBS em busca de possível malware quando a GuardDuty Malware Protection está habilitado e identificar comportamentos suspeitos indicativos de software mal-intencionado em workloads de contêiner ou instância do EC2. O serviço é otimizado para consumir grandes volumes de dados para processamento de detecções de segurança praticamente em tempo real. O GuardDuty oferece acesso a técnicas de detecção incorporadas desenvolvidas e otimizadas para a nuvem, que são mantidas e aprimoradas continuamente pela engenharia do GuardDuty.

P: Em quanto tempo o GuardDuty começa a funcionar?

Após a habilitação, o GuardDuty começa imediatamente a procurar atividades mal-intencionadas ou não autorizadas. O período para começar a receber descobertas depende do nível de atividade da conta. O GuardDuty não examina todos os dados históricos, mas somente as atividades iniciadas após sua habilitação. Se o GuardDuty identificar qualquer ameaça possível, você receberá uma descoberta no console do GuardDuty.

P: Preciso habilitar o CloudTrail, os logs de fluxo da VPC, os logs de consulta ao DNS ou os logs de auditoria do EKS para que o GuardDuty funcione?

Não. O GuardDuty obtém fluxos de dados independentes diretamente do CloudTrail, dos logs de fluxo da VPC, dos logs de consulta ao DNS e do EKS. Não é necessário gerenciar políticas de bucket do S3 ou modificar a forma de coletar e armazenar logs. As permissões do GuardDuty são gerenciadas como funções vinculadas ao serviço. Você pode desativar o GuardDuty a qualquer momento, o que removerá todas as permissões dele. Isso facilita a ativação do serviço, pois evita configurações complexas. As funções vinculadas ao serviço também eliminam a chance de que uma configuração incorreta de permissão do AWS Identity and Access Management (IAM) ou uma alteração na política de buckets do S3 afete a operação do serviço. Por fim, as funções vinculadas ao serviço tornam o GuardDuty extremamente eficiente no consumo de grandes volumes de dados quase em tempo real com mínimo ou nenhum impacto na performance e na disponibilidade de sua conta ou workloads.

P: Habilitar o GuardDuty em minha conta afeta a performance ou a disponibilidade de alguma maneira?

O GuardDuty opera de forma totalmente independente de seus recursos da AWS e, portanto, não deve afetar a performance ou a disponibilidade de suas contas ou workloads.

P: O GuardDuty gerencia ou mantém meus logs?

Não, o GuardDuty não gerencia ou retém seus logs. Todos os dados consumidos pelo GuardDuty são analisados quase em tempo real e descartados em seguida. Isso permite que o GuardDuty seja altamente eficiente e econômico, além de reduzir o risco de remanescência de dados. Para a entrega e retenção de logs, você deve usar diretamente os serviços de registro e monitoramento da AWS, que oferecem opções avançadas de entrega e retenção.

P: Como posso impedir que o GuardDuty examine logs e fontes dos dados?

Você pode impedir que o GuardDuty analise fontes dos dados a qualquer momento nas configurações gerais suspendendo o serviço. A suspensão impedirá imediatamente que o serviço analise dados, mas não excluirá as descobertas ou configurações existentes. Além disso, você pode desabilitar o serviço nas configurações gerais. Todos os dados restantes serão excluídos, inclusive as descobertas e as configurações existentes, antes de liberar as permissões e redefinir o serviço. Você também pode desativar seletivamente recursos como o GuardDuty S3 Protection ou o GuardDuty Kubernetes Protection por meio do Console de Gerenciamento ou da AWS CLI.

Descobertas do GuardDuty

P: O que o GuardDuty pode detectar?

O GuardDuty proporciona acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e aprimorados continuamente por engenheiros do GuardDuty. As principais categorias de detecção incluem as seguintes:

  • Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
  • Comprometimento de instância: atividade que sugere um comprometimento da instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, um volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP sabidamente mal-intencionado, credenciais temporárias do EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.
  • Comprometimento de conta: padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desativar o registro em log do CloudTrail, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum, exfiltração de credenciais e chamadas de API de endereços IP mal-intencionados conhecidos.
  • Comprometimento de bucket: atividade que indica um comprometimento de bucket, como padrões de acesso a dados suspeitos que indicam uso indevido de credenciais, atividade incomum da API do S3 a partir de um host remoto, acesso não autorizado ao S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperar dados em buckets do S3 de usuários que não tinham histórico anterior de acesso ao bucket ou invocados a partir de um local incomum. O GuardDuty monitora e analisa continuamente eventos de dados do CloudTrail S3 (por exemplo, GetObject, ListObjects, DeleteObject) para detectar atividades suspeitas em todos os buckets do S3.
  • Detecção de malware: o GuardDuty inicia uma verificação de detecção de malware quando identifica um comportamento suspeito indicativo de software mal-intencionado em workloads de contêiner ou instância do EC2. O GuardDuty gera réplicas temporárias dos volumes do EBS anexados a workloads de contêiner ou instância do EC2 e verifica as réplicas de volume em busca de trojans, worms, mineradores de criptografia, rootkits, bots e muito mais, que podem ser usados para comprometer as workloads, redirecionar recursos para uso mal-intencionado, e obter acesso não autorizado aos dados. O GuardDuty Malware Protection gera descobertas contextualizadas que podem validar a origem do comportamento suspeito. Essas descobertas podem ser direcionadas para os administradores adequados e iniciar a correção automatizada.
  • Comprometimento do contêiner: a atividade que identifica possível comportamento mal-intencionado ou suspeito em workloads de contêiner é detectada pelo monitoramento e criação de perfil contínuos de clusters do EKS analisando seus logs de auditoria do EKS.

P: O que é a inteligência de ameaças do GuardDuty?

A inteligência de ameaças do GuardDuty é composta por endereços IP e domínios indicados como utilizados por invasores. A inteligência de ameaças do GuardDuty é fornecida pela segurança da AWS e por provedores de terceiros, como Proofpoint e CrowdStrike. Esses feeds de inteligência de ameaças são pré-integrados e atualizados continuamente no GuardDuty, sem custo adicional.

P: Posso disponibilizar minha própria inteligência de ameaças?

Sim, o GuardDuty permite que você carregue sua própria inteligência de ameaças ou lista de endereços IP confiáveis. Quando esse recurso é usado, essas listas somente são aplicadas à sua conta e não são compartilhadas com outros clientes.

P: Como são entregues as descobertas de segurança?

Quando uma possível ameaça é detectada, o GuardDuty entrega uma descoberta de segurança detalhada ao console do GuardDuty e ao CloudWatch Events. Dessa forma, os alertas ficam mais acionáveis e mais facilmente integrados a sistemas existentes de gerenciamento de eventos ou fluxos de trabalho. As descobertas incluem a categoria, os recursos afetados e os metadados associados ao recurso, como nível de gravidade.

P: Qual é o formato das descobertas do GuardDuty?

As descobertas do GuardDuty são disponibilizadas em um formato JavaScript Object Notation (JSON) comum que também é usado pelo Macie e pelo Amazon Inspector. Assim fica mais fácil para os clientes e parceiros consumirem descobertas de segurança em todos os três serviços e os incorporarem em soluções mais amplas de gerenciamento de eventos, fluxos de trabalho ou segurança.

P: Por quanto tempo as descobertas de segurança ficam disponibilizadas no GuardDuty?

As descobertas de segurança são retidas e disponibilizadas por meio do console do GuardDuty e das APIs por 90 dias. Após 90 dias, as descobertas são descartadas. Para reter as descobertas por mais de 90 dias, você pode habilitar o CloudWatch Events para enviar automaticamente as descobertas a um bucket do S3 na conta ou em outro datastore para retenção de longo prazo.

P: Posso agregar descobertas do GuardDuty?

Sim, você pode optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões usando o CloudWatch Events ou enviando descobertas para seu armazenamento de dados (como o S3) e agregando as descobertas conforme achar melhor. Você também pode enviar as descobertas do GuardDuty para o Security Hub e usar a funcionalidade de agregação entre regiões.

P: Posso executar ações preventivas automatizadas usando o GuardDuty?

Com os serviços GuardDuty, CloudWatch Events e AWS Lambda, você tem a flexibilidade de definir ações corretivas automatizadas com base em uma descoberta de segurança. Por exemplo, você pode criar uma função do Lambda para modificar as regras do grupo de segurança da AWS de acordo com as descobertas de segurança. Se receber uma descoberta do GuardDuty indicando que instâncias do EC2 estão sendo sondadas por um IP mal-intencionado conhecido, você poderá responder com uma regra do CloudWatch Events que inicia uma função do Lambda para modificar automaticamente as regras do grupo de segurança e restringir o acesso a essa porta.

P: Como as detecções do GuardDuty são desenvolvidas e gerenciadas?

O GuardDuty conta com uma equipe dedicada à engenharia, ao gerenciamento e a iteração de detecções. Os resultados são uma cadência uniforme de novas detecções no serviço, bem como uma iteração contínua em detecções existentes. Vários mecanismos de feedback são incorporados ao serviço, como o curtir e descurtir em cada descoberta de segurança encontrada na interface de usuário (IU) do GuardDuty. Isso permite você forneça feedback que pode ser incorporado nas próximas iterações das detecções do GuardDuty.

P: Posso escrever detecções personalizadas no Amazon GuardDuty?

Não, o GuardDuty remove o trabalho pesado e a complexidade do desenvolvimento e da manutenção dos seus próprios conjuntos de regras personalizadas. Novas detecções são adicionadas continuamente de acordo com o feedback dos clientes e das pesquisas feitas pelos engenheiros de segurança da AWS e pela equipe de engenharia do GuardDuty. No entanto, as personalizações configuradas pelo cliente incluem a adição de suas próprias listas de ameças e lista de endereços IP confiáveis.

GuardDuty S3 Protection

P: Como posso começar a usar o S3 Protection se estiver usando o GuardDuty no momento?

Para contas atuais do GuardDuty, o S3 Protection pode ser habilitado no console ou por meio da API. No console do GuardDuty, você pode acessar a página do console do S3 Protection e habilitar esse recurso em suas contas. Isso iniciará um teste gratuito de 30 dias do recurso GuardDuty S3 Protection.

P: Existe um teste gratuito do GuardDuty S3 Protection?

Sim, existe um teste gratuito de 30 dias. Cada conta em cada região recebe um teste gratuito de 30 dias do GuardDuty que inclui o recurso S3 Protection. As contas que já têm o GuardDuty habilitado também receberão um teste gratuito de 30 dias do recurso S3 Protection ao ativá-lo pela primeira vez.

P: Sou um novo usuário do GuardDuty, o S3 Protection está habilitado por padrão nas minhas contas?

Sim. Quaisquer novas contas que habilitem o GuardDuty por meio do console ou da API também terão o S3 Protection ativado por padrão. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão o S3 Protection habilitado por padrão, a menos que a opção de habilitação automática para o S3 esteja ativada.

P: Posso usar o GuardDuty S3 Protection sem habilitar o serviço GuardDuty completo (incluindo a análise de logs de fluxo de VPC, logs de consultas ao DNS e eventos de gerenciamento do CloudTrail)?

Não, o serviço GuardDuty deve estar habilitado para usar o S3 Protection. As contas atuais do GuardDuty têm a opção de habilitar o S3 Protection, e as novas contas do GuardDuty terão o recurso por padrão assim que o serviço GuardDuty for habilitado.

P: O GuardDuty monitora todos os buckets em minha conta para ajudar a proteger minha implantação do S3?

Sim. Por padrão, o S3 Protection monitora todos os buckets do S3 no seu ambiente.

P: Preciso ativar o registro em log de eventos de dados do CloudTrail S3 para o S3 Protection?

Não, o GuardDuty tem acesso direto aos logs de eventos de dados do CloudTrail S3. Você não é obrigado a habilitar o registro em log de eventos de dados do S3 no CloudTrail e, portanto, não incorrerá nos custos associados. Observe que o GuardDuty não armazena os logs e os usa somente para análise.

GuardDuty Kubernetes Protection

P: Como funciona o GuardDuty Kubernetes Protection?

O GuardDuty Kubernetes Protection é um recurso do GuardDuty que monitora a atividade do ambiente de gerenciamento de clusters do EKS analisando os logs de auditoria do EKS. O GuardDuty é integrado ao EKS, oferecendo acesso direto aos logs de auditoria do EKS sem exigir que você ative ou armazene esses logs. Esses logs de auditoria são registros cronológicos relevantes para a segurança que documentam a sequência de ações executadas no ambiente de gerenciamento do EKS. Esses logs de auditoria do EKS dão ao GuardDuty a visibilidade necessária para realizar o monitoramento contínuo da atividade da API do EKS e aplicar inteligência de ameaças comprovada e detecção de anomalias para identificar atividades mal-intencionadas ou alterações de configuração que possam expor seu cluster do EKS a acesso não autorizado. Quando as ameaças são identificadas, o GuardDuty gera descobertas de segurança que incluem o tipo de ameaça, um nível de gravidade e detalhes no nível do contêiner (como ID do pod, ID da imagem do contêiner e etiquetas associadas).

P: Que tipos de ameaças o GuardDuty Kubernetes Protection pode detectar em minhas workloads do EKS?

O GuardDuty Kubernetes Protection pode detectar ameaças relacionadas à atividade de usuários e aplicações capturadas nos logs de auditoria do EKS. As detecções de ameaças do EKS incluem clusters do EKS que são acessados por agentes mal-intencionados conhecidos ou de nós Tor, operações de API executadas por usuários anônimos que podem indicar uma configuração incorreta e configurações incorretas que podem resultar em acesso não autorizado a clusters do EKS. Além disso, usando modelos de ML, o GuardDuty pode identificar padrões consistentes com técnicas de escalonamento de privilégios, como uma inicialização suspeita de um contêiner com acesso de nível raiz ao host subjacente do EC2. Consulte Amazon GuardDuty Finding types (Tipos de descobertas do Amazon GuardDuty) para obter uma lista completa de todas as novas detecções.

P: Preciso ativar os logs de auditoria do EKS?

Não, o GuardDuty tem acesso direto aos logs de auditoria do EKS. Observe que o GuardDuty usa apenas esses logs para análise. Ele não os armazena, nem você precisa habilitar ou pagar para que esses logs de auditoria do EKS sejam compartilhados com o GuardDuty. Para otimizar os custos, o GuardDuty aplica filtros inteligentes para consumir apenas um subconjunto dos logs de auditoria relevantes para a detecção de ameaças à segurança.

P: Existe uma avaliação gratuita do GuardDuty Kubernetes Protection?

Sim, existe um teste gratuito de 30 dias. Cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso GuardDuty Kubernetes Protection. As contas existentes do GuardDuty recebem uma avaliação de 30 dias do GuardDuty Kubernetes Protection sem custo adicional. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Como posso começar a usar o GuardDuty Kubernetes Protection se estiver usando o GuardDuty no momento?

A proteção do GuardDuty Kubernetes deve ser habilitada para cada conta individual. Você pode habilitar o recurso para suas contas com um único clique no console do GuardDuty na página do console do GuardDuty Kubernetes Protection. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar o GuardDuty Kubernetes Protection em toda a sua organização na página Proteção do Kubernetes da conta de administrador do GuardDuty. Isso permitirá o monitoramento contínuo do EKS em todas as contas-membro individuais. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a habilitação automática para EKS. Com esse recurso habilitado para uma conta, todos os clusters do EKS existentes e futuros na conta serão monitorados quanto a ameaças sem qualquer configuração em seus clusters do EKS.

P: O GuardDuty Kubernetes Protection estará habilitado por padrão para minhas contas se eu for um novo usuário do GuardDuty?

Sim, qualquer nova conta que habilite o GuardDuty por meio do console ou da API também terá o GuardDuty Kubernetes Protection habilitado por padrão. Observe que as novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão o GuardDuty Kubernetes Protection ativado por padrão, a menos que a opção de habilitação automática para o EKS esteja ativada.

P: Como desabilito o GuardDuty Kubernetes Protection?

Você pode desabilitar o recurso no console ou usando a API. No console do GuardDuty, você pode desabilitar o GuardDuty Kubernetes Protection para suas contas na página do console do GuardDuty Kubernetes Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar esse recurso para suas contas de membros.

P: Se eu desabilitar o GuardDuty Kubernetes Protection, como o habilito novamente?

Se você desativou anteriormente o GuardDuty Kubernetes Protection, poderá reativar o recurso no console ou usando a API. No console do GuardDuty, você pode habilitar o GuardDuty Kubernetes Protection para suas contas na página do console do GuardDuty Kubernetes Protection.

P: Preciso habilitar o GuardDuty Kubernetes Protection em cada conta da AWS e cluster do EKS individualmente?

A proteção do GuardDuty Kubernetes deve ser habilitada para cada conta individual. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar a detecção de ameaças do EKS em toda a sua organização com um único clique na página do console do GuardDuty Kubernetes Protection da conta de administrador do GuardDuty. Isso habilitará a detecção de ameaças do EKS em todas as contas-membro individuais. Com esse recurso habilitado para uma conta, todos os clusters do EKS existentes e futuros na conta serão monitorados quanto a ameaças, e nenhuma configuração manual será necessária em seus clusters do EKS.

P: Serei cobrado se não usar o EKS e habilitar o GuardDuty Kubernetes Protection no GuardDuty?

Você não incorrerá em cobranças do GuardDuty Kubernetes Protection se não estiver usando o EKS e tiver o GuardDuty Kubernetes Protection ativado. No entanto, quando você começar a usar o EKS, o GuardDuty monitorará automaticamente seus clusters e gerará descobertas para problemas identificados, e você será cobrado por esse monitoramento.

P: Posso habilitar somente o GuardDuty Kubernetes Protection, sem habilitar o serviço GuardDuty completo (logs de fluxo de VPC, logs de consultas ao DNS e análise de eventos de gerenciamento do CloudTrail)?

Não, o serviço GuardDuty deve ser habilitado para que o GuardDuty Kubernetes Protection esteja disponível.

P: O GuardDuty Kubernetes Protection monitora os logs de auditoria do EKS para implantações do AWS no AWS Fargate?

Sim, o GuardDuty Kubernetes Protection monitora logs de auditoria do EKS tanto de clusters do EKS implantados em instâncias do EC2 e de clusters do EKS implantados no Fargate.

P: O GuardDuty monitora EKS não gerenciado no EC2 ou no Amazon EKS Anywhere?

Atualmente, esse recurso só oferece suporte a implantações do EKS executadas em instâncias do EC2 em sua conta ou no Fargate.

P: O uso do GuardDuty Kubernetes Protection afetará a performance ou o custo da execução de contêineres no Amazon EKS?

Não. O GuardDuty Kubernetes Protection foi concebido para não ter nenhuma implicação de performance, disponibilidade ou custo em implantações de workloads do EKS.

P: Preciso habilitar o GuardDuty Kubernetes Protection em cada região da AWS individualmente?

Sim, o GuardDuty é um serviço regional e, portanto, a proteção do GuardDuty Kubernetes deve ser habilitada em cada região da AWS separadamente.

GuardDuty Malware Protection

P: Como o Amazon GuardDuty Malware Protection funciona?

O GuardDuty inicia uma verificação de detecção de malware quando identifica um comportamento suspeito indicativo de software mal-intencionado em workloads de contêiner ou instância do EC2. Ele verifica uma réplica do volume do EBS que o GuardDuty gera com base no snapshot do seu volume do EBS em busca de trojans, worms, mineradores de criptografia, rootkits, bots e muito mais. O GuardDuty Malware Protection gera descobertas contextualizadas que podem ajudar a validar a origem do comportamento suspeito. Essas descobertas também podem ser roteadas para os administradores adequados e podem iniciar a correção automatizada.

P: Quais tipos de descoberta do GuardDuty EC2 iniciarão uma verificação de malware?

As descobertas do GuardDuty EC2 que iniciarão uma verificação de malware são listadas aqui.

P: Quais recursos e tipos de arquivo podem ser verificados pelo GuardDuty Malware Protection?

O Malware Protection oferece suporte à detecção de arquivos mal-intencionados verificando o EBS anexado a instâncias do EC2. Ele pode verificar qualquer arquivo presente no volume e os tipos de sistema de arquivos compatíveis podem ser encontrados aqui.

P: Que tipos de ameaças o GuardDuty Malware Protection pode detectar?

O Malware Protection verifica ameaças como trojans, worms, mineradores de criptografia, rootkits e bots, que podem ser usados para comprometer workloads, redirecionar recursos para uso mal-intencionado e obter acesso não autorizado a dados.

P: Preciso ativar o registro para que o GuardDuty Malware Protection funcione?

O registro em log do serviço não precisa ser habilitado para que o GuardDuty ou o recurso Malware Protection funcionem. O recurso Malware Protection faz parte do GuardDuty, que é um serviço da AWS que usa inteligência de fontes internas e externas integradas.

P: Como o GuardDuty Malware Protection realiza a verificação sem agentes?

Em vez de usar agentes de segurança, o GuardDuty Malware Protection criará e verificará uma réplica com base no snapshot de volumes do EBS anexados à workload de contêiner ou instância do EC2 potencialmente infectada em sua conta. As permissões que você concedeu ao GuardDuty por meio de uma função vinculada ao serviço permitem que o serviço crie uma réplica de volume criptografada na conta de serviço do GuardDuty a partir desse snapshot que permanece em sua conta. O GuardDuty Malware Protection verificará a réplica do volume em busca de malware.

P: Existe um teste gratuito do GuardDuty Malware Protection?

Sim, cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o GuardDuty Malware Protection. As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Como posso começar a usar o GuardDuty Malware Protection se estou usando o GuardDuty atualmente?

Você pode habilitar o Malware Protection no console do GuardDuty acessando a página do Malware Protection ou usando a API. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar o recurso em toda a organização na página do console do Malware Protection da conta do administrador do GuardDuty. Isso permitirá o monitoramento de malware em todas as contas de membros individuais. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para o Malware Protection.

P: Se eu for um novo usuário do GuardDuty, o Malware Protection está habilitado por padrão para minhas contas?

Sim, qualquer nova conta que habilite o GuardDuty usando o console ou a API também terá o GuardDuty Malware Protection habilitado por padrão. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para Malware Protection. 

P: Como desabilito o GuardDuty Malware Protection?

Você pode desabilitar o recurso no console ou usando a API. Você verá uma opção para desabilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar o GuardDuty Malware Protection para suas contas de membros.

P: Se eu desabilitar o GuardDuty Malware Protection, como o habilito novamente?

Se o Malware Protection foi desativado, você pode ativar o recurso no console ou usando a API. Você pode habilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection.

P: Se nenhuma verificação de malware do GuardDuty for realizada durante um período de faturamento, haverá cobranças?

Não, não haverá cobrança pelo Malware Protection se não houver verificações de malware durante um período de faturamento. Você pode visualizar os custos desse recurso no Console de Faturamento da AWS.

P: O GuardDuty Malware Protection oferece suporte ao gerenciamento de várias contas?

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. O GuardDuty tem gerenciamento de várias contas por meio da integração do AWS Organizations. Essa integração ajuda as equipes de segurança e conformidade a garantir a cobertura total do GuardDuty, incluindo o Malware Protection, em todas as contas de uma organização.

P: Preciso fazer alterações de configuração, implantar qualquer software ou modificar minhas implantações da AWS?

Não. Assim que o recurso estiver ativado, o GuardDuty Malware Protection iniciará uma verificação de malware em resposta a descobertas relevantes do EC2. Você não precisa implantar nenhum agente, não há fontes de logs para habilitar e não há outras alterações de configuração a serem feitas.

P: O uso do GuardDuty Malware Protection afetará a performance da execução de minhas workloads?

O GuardDuty Malware Protection foi projetado para não afetar a performance de suas workloads. Por exemplo, os snapshots de volume do EBS criados para análise de malware só podem ser gerados uma vez em um período de 24 horas, e o GuardDuty Malware Protection retém as réplicas e os snapshots criptografados por alguns minutos após concluir uma verificação. Além disso, o GuardDuty Malware Protection usa recursos de computação do GuardDuty para verificação de malware em vez de recursos de computação do cliente.

P: Preciso habilitar o GuardDuty Malware Protection em cada região da AWS individualmente?

Sim, o Amazon GuardDuty é um serviço regional e o Malware Protection deve ser habilitado em cada região da AWS separadamente.

P: Como o GuardDuty Malware Protection usa criptografia?

O GuardDuty Malware Protection verifica uma réplica com base no snapshot de volumes do EBS anexados à workload de contêiner ou instância do EC2 potencialmente infectada em sua conta. Se seus volumes do EBS forem criptografados com uma chave gerenciada pelo cliente, você terá a opção de compartilhar sua chave do AWS Key Management Service (KMS) com o GuardDuty e o serviço usará a mesma chave para criptografar o volume de réplica do EBS. Para volumes do EBS não criptografados, o GuardDuty usa sua própria chave para criptografar a réplica de volume do EBS.

P: A réplica de volume do EBS será analisada na mesma região que o volume original?

Sim, todos os dados de volume do EBS de réplica (e o snapshot no qual o volume de réplica se baseia) permanecem na mesma região que o volume do EBS original.

P: Como posso estimar e controlar os gastos com o GuardDuty Malware Protection?

Sim, cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso Malware Protection. As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode fazer uma estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

O preço desse recurso é baseado nos GB de dados verificados em um volume. Você pode aplicar personalizações usando opções de verificação do console para marcar algumas instâncias do EC2, usando etiquetas, para serem incluídas ou excluídas da digitalização, controlando assim o custo. Além disso, o GuardDuty verificará apenas uma instância do EC2 uma vez a cada 24 horas. Se o GuardDuty gerar várias descobertas do EC2 para uma instância do EC2 em 24 horas, uma verificação ocorrerá apenas para a primeira descoberta relevante do EC2. Se as descobertas do EC2 continuarem, para uma instância, 24 horas após a última verificação de malware, uma nova verificação de malware será iniciada para essa instância.

P: Posso manter os snapshots tirados pelo GuardDuty Malware Protection?

Sim, há uma configuração em que você pode habilitar a retenção de snapshots quando a verificação do Malware Protection detecta malware. Você pode habilitar essa configuração no console do GuardDuty, na página Configurações. Por padrão, os snapshots são excluídos alguns minutos após a conclusão de uma verificação e após 24 horas se a verificação não for concluída.

P: Por padrão, qual é o tempo máximo de retenção de uma réplica de volume do EBS?

O GuardDuty Malware Protection reterá cada réplica de volume do EBS que ele gerar e verificar por até 24 horas. Por padrão, as réplicas de volumes do EBS são excluídas alguns minutos após o GuardDuty Malware Protection concluir uma verificação. Em alguns casos, no entanto, o GuardDuty Malware Protection pode precisar reter uma réplica de volume do EBS por mais de 24 horas se uma interrupção de serviço ou problema de conexão interferir na verificação de malware. Quando isso ocorrer, o GuardDuty Malware Protection reterá a réplica de volume do EBS por até sete dias para dar ao serviço tempo de avaliar e resolver a interrupção ou o problema de conexão. O GuardDuty Malware Protection excluirá a réplica de volume do EBS após a interrupção ou falha ser resolvida ou após o término do período de retenção estendido.

P: Várias descobertas do GuardDuty para uma única workload de contêiner ou instância do EC2 que indicam um possível malware iniciarão várias verificações de malware?

Não, o GuardDuty verifica apenas uma réplica com base no snapshot de volumes do EBS anexados à workload de contêiner ou instância do EC2 potencialmente infectada uma vez a cada 24 horas. Mesmo que o GuardDuty gere várias descobertas que se qualifiquem para iniciar uma verificação de malware, ele não iniciará verificações adicionais se houver menos de 24 horas desde uma verificação anterior. Se o GuardDuty gerar uma descoberta qualificada após 24 horas da última verificação de malware, o GuardDuty Malware Protection iniciará uma nova verificação de malware para essa workload.

P: Se eu desabilitar o GuardDuty, também preciso desabilitar o recurso Malware Protection?

Não, desabilitar o serviço GuardDuty também desabilita o recurso Malware Protection.

Saiba mais sobre a definição de preços de produtos

Veja exemplos de definição de preço e os detalhes da avaliação gratuita

Saiba mais 
Cadastre-se para obter uma avaliação gratuita

Obtenha acesso à avaliação gratuita do Amazon GuardDuty. 

Iniciar avaliação gratuita 
Comece a criar no console

Comece a usar o Amazon GuardDuty no Console AWS.

Faça login