Visão geral do serviço

P: O que é o Amazon GuardDuty?

O Amazon GuardDuty oferece detecção de ameaças que permite monitorar e proteger continuamente as contas e cargas de trabalho da AWS. O GuardDuty analisa streams contínuos de metadados gerados pela sua conta e as atividades de rede encontradas no AWS CloudTrail Events, no Amazon VPC Flow e no DNS Logs. Além disso, o serviço utiliza inteligência de ameaças como endereços IP mal-intencionados conhecidos, detecção de anomalias e aprendizado de máquina para identificar ameaças com maior precisão.

P: Quais são os principais benefícios do Amazon GuardDuty?

O Amazon GuardDuty facilita a habilitação do monitoramento contínuo de contas e cargas de trabalho da AWS. O serviço opera de forma independente dos recursos para evitar o risco de afetar a performance ou a disponibilidade das cargas de trabalho. Além disso, o Amazon GuardDuty é totalmente gerenciado e oferece inteligência de ameaças, detecção de anomalias e aprendizado de máquina integrados. O Amazon GuardDuty fornece alertas detalhados e acionáveis que podem ser integrados facilmente a sistemas existentes de gerenciamento de eventos e fluxos de trabalho. Não há custos iniciais e você paga apenas pelos eventos analisados, sem necessidade de implantar software adicional ou assinar os feeds de inteligência necessários.

P: Quanto custa o Amazon GuardDuty?

A definição de preço do Amazon GuardDuty tem duas dimensões. As dimensões são baseadas na quantidade de eventos do AWS CloudTrail analisados (por 1.000.000 de eventos) e no volume de Amazon VPC Flow Logs e DNS Logs analisados (por GB).

  • Análise de eventos do AWS CloudTrail – O GuardDuty analisa continuamente eventos de gerenciamento do AWS CloudTrail, monitorando todos os acessos e comportamentos das contas e da infraestrutura da AWS. A análise de eventos do CloudTrail é cobrada a cada 1.000.000 de eventos por mês de forma pró rata.
  • Análise do VPC Flow Logs e do DNS Logs – O GuardDuty analisa continuamente o VPC Flow Logs e as solicitações de DNS e responde para identificar comportamentos mal-intencionados, não autorizados ou inesperados em instâncias do Amazon EC2. A análise do Flow Logs e do DNS Logs é cobrada por gigabyte (GB) por mês. A análise do Flow Logs e do DNS Logs é oferecida com descontos por volume em camadas.

Não há cobranças iniciais e você paga apenas pelos dados analisados.

Consulte a definição de preço do Amazon GuardDuty para obter detalhes e exemplos de definição de preço.

P: Há um teste gratuito?

Sim. Toda conta nova do Amazon GuardDuty pode experimentar gratuitamente o serviço por 30 dias. Você terá acesso ao conjunto completo de recursos e detecções durante o teste gratuito. O GuardDuty exibirá o volume de dados processados e as cobranças diárias médias estimadas da conta. Dessa forma, é fácil experimentar gratuitamente o Amazon GuardDuty e prever o custo do serviço além do teste gratuito.

P: Qual é a diferença entre o Amazon GuardDuty e o Amazon Macie?

O Amazon GuardDuty oferece ampla proteção para contas, cargas de trabalho e dados da AWS ajudando a identificar ameaças como reconhecimento de invasores, comprometimento de instâncias e comprometimento de contas. O Amazon Macie permite proteger dados no Amazon S3 ajudando a classificar os dados que você tem, o valor desses dados para a empresa e o comportamento associado ao acesso a esses dados. Os dois serviços incorporam análise de comportamento de usuários, aprendizado de máquina e detecção de anomalias para detectar ameaças em suas respectivas categorias.

P: O Amazon GuardDuty é um serviço regional ou global?

O Amazon GuardDuty é um serviço regional. Mesmo quando várias contas são habilitadas e várias regiões são usadas, as descobertas de segurança do Amazon GuardDuty permanecem nas mesmas regiões em que os dados subjacentes foram gerados. Isso garante que todos os dados analisados sejam baseados em regiões e não cruzem os limites regionais da AWS. Os clientes podem optar por agregar descobertas de segurança geradas pelo Amazon GuardDuty entre regiões usando o AWS CloudWatch Events, enviando as descobertas para um datastore sob controle do usuário, como o Amazon S3, e agregando as descobertas da maneira mais adequada.

P: A quais regiões o Amazon GuardDuty oferece suporte?

Veja a disponibilidade regional do Amazon GuardDuty na tabela de regiões da AWS

P: Quais parceiros trabalham com o Amazon GuardDuty?

Há vários parceiros de tecnologia que integraram o Amazon GuardDuty e o usaram como base. Também existem serviços de consultoria, integradores de sistemas e provedores de serviços gerenciados de segurança especializados no GuardDuty. Consulte os parceiros do Amazon GuardDuty.

Como habilitar o GuardDuty

P: Como posso habilitar o Amazon GuardDuty?

O Amazon GuardDuty pode ser habilitado com alguns cliques no Console de Gerenciamento da AWS. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço e é continuamente atualizada e mantida.  

P: Posso gerenciar várias contas com o Amazon GuardDuty?

Sim. O Amazon GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS de uma única conta mestre. Quando esse recurso é usado, todas as descobertas de segurança são agregadas ao administrador ou à conta mestre do Amazon GuardDuty para revisão e remediação. Além disso, os eventos do AWS CloudWatch Events são agregados à conta mestre do Amazon GuardDuty quando essa configuração é usada.

P: Quais fontes de dados o Amazon GuardDuty analisa?

O Amazon GuardDuty analisa o AWS CloudTrail, o VPC Flow Logs e o AWS DNS Logs. O serviço é otimizado para consumir grandes volumes de dados para processamento de detecções de segurança praticamente em tempo real. O GuardDuty oferece acesso a técnicas de detecção incorporadas desenvolvidas e otimizadas para a nuvem e mantidas e aprimoradas continuamente pela segurança da AWS.  

P: Em quanto tempo o GuardDuty começa a trabalhar?

Após a habilitação, o Amazon GuardDuty começa imediatamente a procurar atividades maliciosas ou não autorizadas. O período para começar a receber descobertas depende do nível de atividade da conta. O GuardDuty não examina todos os dados históricos, mas somente as atividades iniciadas após sua habilitação. Se o GuardDuty identificar qualquer possível ameaça, você receberá uma descoberta no console do GuardDuty.

P: Preciso habilitar o AWS CloudTrail, o VPC Flow Logs e o DNS Logs para que o Amazon GuardDuty funcione?

Não. O Amazon GuardDuty obtém streams de dados independentes diretamente do AWS CloudTrail, do VPC Flow Logs e do AWS DNS Logs. Não é necessário gerenciar políticas de bucket do Amazon S3 ou modificar a forma como você coleta e armazena logs. As permissões do GuardDuty são gerenciadas como funções vinculadas a serviços que podem ser revogadas a qualquer momento mediante a desabilitação do GuardDuty. Isso facilita a habilitação do serviço sem configurações complexas e elimina o risco de que uma modificação de permissão do AWS IAM ou de uma política de bucket do S3 afete a operação do serviço. Além disso, isso aumenta consideravelmente a eficiência do GuardDuty no consumo de grandes volumes de dados praticamente em tempo real em afetar a performance ou a disponibilidade da conta ou das cargas de trabalho.

P: A habilitação do Amazon GuardDuty em uma conta afeta de qualquer forma a performance ou a disponibilidade?

Não. O Amazon GuardDuty opera de forma completamente independente dos recursos da AWS e não há risco de afetar contas ou cargas de trabalho. Isso facilita a habilitação do GuardDuty em diversas contas em uma organização sem afetar as operações existentes.

P: O Amazon GuardDuty gerencia ou mantém logs?

Não. O Amazon GuardDuty não gerencia ou retém logs. Todos os dados consumidos pelo GuardDuty são analisados praticamente em tempo real e descartados. Isso permite que o GuardDuty seja altamente eficiente e econômico, além de reduzir o risco de retentividade de dados. Para a entrega e retenção de logs, você deve usar diretamente os serviços de registro em log e monitoramento da AWS, que oferecem opções avançadas de entrega e retenção.

P: Como posso impedir que o Amazon GuardDuty examine logs e fontes de dados?

Você pode impedir que o Amazon GuardDuty analise fontes de dados a qualquer momento suspendendo o serviço nas configurações gerais. A suspensão impedirá imediatamente que o serviço analise dados, mas não excluirá as descobertas ou configurações existentes. Além disso, você pode desabilitar o serviço nas configurações gerais. Todos os dados restantes serão excluídos, incluindo as descobertas e as configurações, antes de liberar as permissões e redefinir o serviço.

descobertas do GuardDuty

P: O que o Amazon GuardDuty pode detectar?

O Amazon GuardDuty oferece acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e continuamente aprimorados pela segurança da AWS. As principais categorias de detecção incluem:

  • Reconhecimento – Atividade que sugere reconhecimento de invasores, como atividades incomuns de API, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
  • Comprometimento de instância – Atividade que sugere um comprometimento da instância, como mineração de criptomoedas, malware usando Domain Generation Algorithms (DGA – Algoritmos de geração de domínios), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP sabidamente mal-intencionado, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.
  • Comprometimento de conta – Padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro em log do AWS CloudTrail, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura de uma região incomum e chamadas de API de um endereço IP mal-intencionado conhecido.

P: O que é a inteligência de ameaças do Amazon GuardDuty?

A inteligência de ameaças do Amazon GuardDuty é composta por endereços IP e domínios sabidamente utilizados por invasores. A inteligência de ameaças do GuardDuty é fornecida pela segurança da AWS e por provedores externos, como Proofpoint e CrowdStrike. Esses feeds de inteligência de ameaças são pré-integrados e atualizados continuamente no GuardDuty, sem custo adicional.

P: Posso disponibilizar minha própria inteligência de ameaças?

Sim. O Amazon GuardDuty facilita o upload de sua própria inteligência de ameaças ou lista de IPs seguros. Quando esse recurso é usado, essas listas somente são aplicadas à sua conta e não são compartilhadas com outros clientes.

P: Como funcionam o aprendizado de máquina e as detecções de anomalias comportamentais?

As detecções mais avançadas de comportamento e aprendizado de máquina demoram entre 7 a 14 dias para definir uma linha base de comportamento na conta. Depois desse período, as detecções de anomalias mudam do modo de aprendizado para o modo ativo. Uma vez no modo ativo, você verá apenas as descobertas geradas por essas detecções se o serviço observar um comportamento que sugira uma ameaça.

P: Como são entregues as descobertas de segurança?

Quando uma ameaça é detectada, o Amazon GuardDuty entrega uma descoberta de segurança detalhada ao console do GuardDuty e ao AWS CloudWatch Events. Dessa forma, os alertas ficam acionáveis e fáceis de integrar a sistemas existentes de gerenciamento de eventos ou fluxos de trabalho. As descobertas incluem a categoria, os recursos afetados e os metadados associados ao recurso, como nível de severidade.

P: Qual é o formato das descobertas do Amazon GuardDuty?

As descobertas do Amazon GuardDuty são disponibilizadas em um formato JSON comum que também é usado pelo Amazon Macie e pelo Amazon Inspector. Isso facilita que os clientes e parceiros consumam descobertas de segurança em todos os três serviços e os incorporem em soluções mais amplas de gerenciamento de eventos, fluxos de trabalho ou segurança.

P: Por quanto tempo as descobertas de segurança são disponibilizadas no Amazon GuardDuty?

As descobertas de segurança são retidas e disponibilizadas por meio do console do Amazon GuardDuty e das APIs por 90 dias. Após 90 dias, as descobertas são descartadas. Para reter as descobertas por mais de 90 dias, você pode habilitar o AWS CloudWatch Events para enviar automaticamente as descobertas a um bucket do Amazon S3 na conta ou em outro datastore para retenção de longo prazo.

P: Posso executar ações preventivas automatizadas usando o Amazon GuardDuty?

Com os serviços Amazon GuardDuty, AWS CloudWatch Events e AWS Lambda, você tem a flexibilidade de definir ações preventivas automatizadas com base em uma descoberta de segurança. Por exemplo, você pode criar uma função do Lambda para modificar as regras do security group da AWS de acordo com as descobertas de segurança. Se receber uma descoberta do GuardDuty indicando que uma instância do Amazon EC2 está sendo sondada por um IP mal-intencionado conhecido, você poderá responder por meio de uma regra do CloudWatch Events que dispara uma função do Lambda para modificar automaticamente as regras do security group e restringir o acesso a essa porta.

P: Como as detecções do Amazon GuardDuty são desenvolvidas e gerenciadas?

O Amazon GuardDuty conta com uma equipe dedicada ao desenvolvimento, ao gerenciamento e a iteração de detecções. Os resultados são uma cadência uniforme de novas detecções no serviço e uma iteração contínua em detecções existentes. Vários mecanismos de feedback são incorporados ao serviço, como o curtir e descurtir em cada descoberta de segurança encontrada na IU do GuardDuty. Isso permite que os clientes forneçam feedback para incorporação nas próximas iterações das detecções do GuardDuty.

P: Posso escrever detecções personalizadas no Amazon GuardDuty?

Não. O Amazon GuardDuty remove o trabalho pesado e a complexidade do desenvolvimento e da manutenção dos seus próprios conjuntos de regras personalizadas. Novas detecções são adicionadas continuamente de acordo com o feedback dos clientes e das pesquisas realizadas pela segurança da AWS e pela equipe do GuardDuty. As personalizações configuradas pelo cliente incluem a adição de suas próprias listas de ameaças e listas de IPs seguros.

Saiba mais sobre a definição de preço do Amazon GuardDuty

Acesse a página de definição de preço
Pronto para começar?
Fazer login
Mais dúvidas?
Entre em contato conosco