Visão geral do serviço

P: O que é o Amazon GuardDuty?

O Amazon GuardDuty oferece detecção de ameaças que permite monitorar e proteger continuamente as contas AWS, workloads e dados armazenados no Amazon Simple Storage Service (Amazon S3). O GuardDuty analisa fluxos contínuos de metadados gerados por sua conta e as atividades de rede encontradas em eventos do AWS CloudTrail, em logs de fluxo da Amazon Virtual Private Cloud (VPC) e em logs da Sistema de Nomes de Domínio (DNS). Além disso, o GuardDuty utiliza inteligência de ameaças como endereços IP mal-intencionados conhecidos, detecção de anomalias e machine learning (ML) para identificar ameaças com maior precisão.

P: Quais são os principais benefícios do Amazon GuardDuty?

O Amazon GuardDuty facilita o monitoramento contínuo de suas contas, workloads e dados da AWS armazenados no Amazon S3. O GuardDuty opera de forma independente dos recursos para evitar o risco de afetar a performance ou a disponibilidade das workloads. O serviço é totalmente gerenciado e oferece inteligência de ameaças, detecção de anomalias e ML integrados. O Amazon GuardDuty fornece alertas detalhados e acionáveis que podem ser integrados facilmente a sistemas existentes de gerenciamento de eventos e fluxos de trabalho. Não há custos iniciais, e você paga apenas pelos eventos analisados, sem necessidade de implantar outro software ou assinar os feeds de inteligência.

P: Quanto custa o Amazon GuardDuty?

O preço do Amazon GuardDuty é calculado com base na quantidade de eventos do AWS CloudTrail analisados e no volume de dados do Amazon VPC Flow Logs e DNS Logs analisados. Não há cobrança adicional para ativar essas origens de logs para a análise do GuardDuty.

  • Análise de eventos de gerenciamento do AWS CloudTrail: o GuardDuty analisa continuamente eventos de gerenciamento do CloudTrail, monitorando todos os acessos e comportamentos das contas e da infraestrutura da AWS. A análise de eventos de gerenciamento do CloudTrail é cobrada a cada um milhão de eventos por mês e proporcionalmente.
  • Análise de eventos de dados do S3 do AWS CloudTrail: o GuardDuty analisa continuamente eventos de dados do S3 do CloudTrail, monitorando os acessos e as atividades de todos os buckets do Amazon S3. A análise de eventos de dados do S3 do CloudTrail é cobrada a cada um milhão de eventos por mês e é pro rata.
  • Análise de logs de fluxos da VPC Flow e logs do DNS : o GuardDuty analisa continuamente os logs de fluxo da VPC e as solicitações de DNS e responde para identificar comportamentos mal-intencionados, não autorizados ou inesperados em contas e workloads da AWS. A análise de log de fluxo e de log do DNS é cobrada por gigabyte (GB) por mês. A análise do Flow Logs e do DNS Logs é oferecida com descontos por volume em camadas.

Não há cobranças iniciais e você paga apenas pelos dados analisados.

Consulte a definição de preço do Amazon GuardDuty para obter detalhes e exemplos de definição de preço.

P: O custo estimado na conta do pagante do Amazon GuardDuty mostra os custos totais agregados para contas vinculadas ou apenas os custos dessa conta individual do pagante?

O custo estimado representa apenas o custo da conta individual do pagante. No caso da conta de administrador, você verá apenas o custo estimado da conta de administrador.

P: Há um teste gratuito?

Sim. Toda conta nova do Amazon GuardDuty pode experimentar gratuitamente o serviço por 30 dias. Você tem acesso ao conjunto completo de recursos e detecções durante o teste gratuito. O GuardDuty exibirá o volume de dados processados e as cobranças diárias médias estimadas da conta. Dessa forma, é fácil experimentar o Amazon GuardDuty sem custos e prever o custo do serviço além do teste gratuito.

P: Quais são as diferenças entre o Amazon GuardDuty e o Amazon Macie?

O Amazon GuardDuty oferece ampla proteção de suas contas, workloads e dados da AWS, ajudando a identificar ameaças como reconhecimento de invasor, comprometimento de instâncias, comprometimento de contas e comprometimento de buckets. O Amazon Macie ajuda você a descobrir e proteger seus dados sigilosos no Amazon S3, classificando quais dados você possui e a segurando, bem como os controles de acesso associados a esses dados.

P: O Amazon GuardDuty é um serviço regional ou global?

O Amazon GuardDuty é um serviço regional. Mesmo quando várias contas são habilitadas e várias regiões são usadas, as descobertas de segurança do Amazon GuardDuty permanecem nas mesmas regiões em que os dados subjacentes foram gerados. Isso garante que todos os dados analisados sejam baseados em regiões e não cruzem os limites regionais da AWS. Os clientes podem optar por agregar resultados de segurança produzidos pelo Amazon GuardDuty em todas as regiões, utilizando o Amazon CloudWatch Events, enviando as descobertas a um data store sob controle do cliente, como o Amazon S3, e, em seguida, agregando as descobertas como bem entenderem.

P: A quais regiões o Amazon GuardDuty oferece suporte?

Veja a disponibilidade regional do Amazon GuardDuty na tabela de regiões da AWS

P: Quais parceiros trabalham com o Amazon GuardDuty?

Há vários parceiros de tecnologia que integraram o Amazon GuardDuty e o usaram como base. Também existem serviços de consultoria, integradores de sistemas e provedores de serviços gerenciados de segurança especializados no GuardDuty. Consulte os parceiros do Amazon GuardDuty.

P: O Amazon GuardDuty ajuda a resolver alguns dos requisitos do Payment Card Industry Data Security Standard (PCI DSS)?

R: O GuardDuty analisa eventos em várias fontes dos dados da AWS, como eventos do AWS CloudTrail, logs de fluxo da Amazon VPC e logs de DNS. O serviço também detecta atividades suspeitas com base em feeds de inteligência de ameaças recebidos da AWS e outros serviços, como CrowdStrike. A Foregenix publicou um whitepaper que fornece uma avaliação detalhada da eficácia do Amazon GuardDuty para atender aos requisitos de conformidade, como o requisito 11.4 do Payment Card Industry Data Security Standard (PCI DSS), que requer técnicas de detecção de intrusões em pontos críticos da rede.

Como habilitar o GuardDuty

P: Como posso habilitar o Amazon GuardDuty?

O Amazon GuardDuty pode ser configurado e implantado com alguns cliques no Console de Gerenciamento da AWS. Após a habilitação, o GuardDuty começa imediatamente a analisar fluxos contínuos de atividades da conta e da rede praticamente em tempo real e em escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço, e sua manutenção e atualização são contínuas.

P: Posso gerenciar várias contas com o Amazon GuardDuty?

Sim. O Amazon GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. Quando esse recurso é usado, todas as descobertas de segurança são agregadas ao administrador ou à conta de administrador do Amazon GuardDuty para revisão e correção. Os Amazon CloudWatch Events também são agregados à conta de administrador do Amazon GuardDuty ao usar essa configuração.

P: Quais fontes de dados o Amazon GuardDuty analisa?

O Amazon GuardDuty analisa o AWS CloudTrail, os logs de fluxo da VPC e logs do AWS DNS. O serviço é otimizado para consumir grandes volumes de dados para processamento de detecções de segurança praticamente em tempo real. O GuardDuty oferece acesso a técnicas de detecção incorporadas desenvolvidas e otimizadas para a nuvem, que são mantidas e aprimoradas continuamente pela segurança da AWS.

P: Em quanto tempo o GuardDuty começa a trabalhar?

Após a habilitação, o Amazon GuardDuty começa imediatamente a procurar atividades maliciosas ou não autorizadas. O período para começar a receber descobertas depende do nível de atividade da conta. O GuardDuty não examina todos os dados históricos, somente as atividades iniciadas após habilitado. Se o GuardDuty identificar qualquer ameaça possível, você receberá uma descoberta no console do GuardDuty.

P: Preciso habilitar o AWS CloudTrail, os logs de fluxo da VPC e os logs do DNS para que o Amazon GuardDuty funcione?

Não. O Amazon GuardDuty obtém fluxos de dados independentes diretamente do AWS CloudTrail, dos logs de fluxo da VPC e de logs do AWS DNS. Não é necessário gerenciar políticas de bucket do Amazon S3 ou modificar a forma de coletar e armazenar logs. As permissões do GuardDuty são gerenciadas como funções vinculadas a serviços; você pode desabilitar o GuardDuty para revogá-las a qualquer momento. Isso facilita a habilitação do serviço sem configurações complexas e elimina o risco de que uma modificação de permissão do AWS Identity and Access Management (IAM) ou de uma política de bucket do S3 afete a operação do serviço. Além disso, isso aumenta consideravelmente a eficiência do GuardDuty no consumo de grandes volumes de dados praticamente em tempo real sem afetar a performance ou a disponibilidade da conta ou das workloads.

P: Habilitar o Amazon GuardDuty em uma conta afeta de qualquer forma a performance ou a disponibilidade?

Não. O Amazon GuardDuty opera de forma completamente independente dos recursos da AWS e não há risco de afetar contas ou workloads. Isso facilita o trabalho do GuardDuty em diversas contas em uma organização sem afetar as operações existentes.

P: O Amazon GuardDuty gerencia ou mantém logs?

Não. O Amazon GuardDuty não gerencia ou retém logs. Todos os dados consumidos pelo GuardDuty são analisados quase em tempo real e descartados. Isso permite que o GuardDuty seja altamente eficiente e econômico, além de reduzir o risco de retentividade de dados. Para a entrega e retenção de logs, você deve usar diretamente os serviços de registro e monitoramento da AWS, que oferecem opções avançadas de entrega e retenção.

P: Como impedir que o Amazon GuardDuty examine logs e fontes dos dados?

Você pode impedir que o Amazon GuardDuty analise fontes dos dados a qualquer momento nas configurações gerais suspendendo o serviço. A suspensão impedirá imediatamente que o serviço analise dados, mas não excluirá as descobertas ou configurações existentes. Além disso, você pode desabilitar o serviço nas configurações gerais. Todos os dados restantes serão excluídos, inclusive as descobertas e as configurações, antes de liberar as permissões e redefinir o serviço.

Descobertas do GuardDuty

P: O que o Amazon GuardDuty pode detectar?

O Amazon GuardDuty proporciona acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e aprimorados continuamente pela segurança da AWS. As principais categorias de detecção incluem:

  • Reconhecimento atividade que sugere reconhecimento de invasores, como atividades incomuns de API, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
  • Comprometimento de instância: atividade que sugere um comprometimento da instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP sabidamente mal-intencionado, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.
  • Comprometimento de contapadrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro do AWS CloudTrail, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura de uma região incomum e chamadas de API de um endereço IP mal-intencionado conhecido.
  • Comprometimento de bucketatividade indicando um comprometimento de bucket, como padrões de acesso a dados suspeitos que indicam uso indevido de credenciais, atividade incomum da API do S3 a partir de um host remoto, acesso não autorizado ao S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperar dados em buckets do S3 de usuários que não tinham histórico anterior de acessar o bucket ou invocados a partir de um local atípico. O Amazon GuardDuty monitora e analisa continuamente eventos de dados do AWS CloudTrail S3 (por exemplo, GetObject, ListObjects, DeleteObject) para detectar atividades suspeitas em todos os buckets do Amazon S3.

P: O que é a inteligência de ameaças do Amazon GuardDuty?

A inteligência de ameaças do Amazon GuardDuty é composta por endereços IP e domínios sabidamente utilizados por invasores. A inteligência de ameaças do GuardDuty é fornecida pela segurança da AWS e por provedores de terceiros, como Proofpoint e CrowdStrike. Esses feeds de inteligência de ameaças são pré-integrados e atualizados continuamente no GuardDuty, sem custo adicional.

P: Posso disponibilizar minha própria inteligência de ameaças?

Sim. O Amazon GuardDuty facilita o upload de sua própria inteligência de ameaças ou lista de IPs seguros. Quando esse recurso é usado, essas listas somente são aplicadas à sua conta e não são compartilhadas com outros clientes.

P: Como são entregues as descobertas de segurança?

Quando uma ameaça é detectada, o Amazon GuardDuty fornece uma descoberta de segurança detalhada ao console do GuardDuty e ao Amazon CloudWatch Events. Dessa forma, os alertas ficam acionáveis e fáceis de integrar a sistemas existentes de gerenciamento de eventos ou fluxos de trabalho. As descobertas incluem a categoria, os recursos afetados e os metadados associados ao recurso, como nível de gravidade.

P: Qual é o formato das descobertas do Amazon GuardDuty?

As descobertas do Amazon GuardDuty são disponibilizadas em um formato JavaScript Object Notation (JSON) comum que também é usado pelo Amazon Macie e pelo Amazon Inspector. Isso facilita que os clientes e parceiros consumam descobertas de segurança em todos os três serviços e os incorporem em soluções mais amplas de gerenciamento de eventos, fluxos de trabalho ou segurança.

P: Por quanto tempo as descobertas de segurança ficam disponibilizadas no Amazon GuardDuty?

As descobertas de segurança são retidas e disponibilizadas por meio do console do Amazon GuardDuty e das APIs por 90 dias. Após 90 dias, as descobertas são descartadas. Para reter as descobertas por mais de 90 dias, você pode habilitar o Amazon CloudWatch Events para enviar automaticamente as descobertas para um bucket do Amazon S3 em sua conta ou outro armazenamento de dados para retenção em longo prazo.

P: Posso executar ações preventivas automatizadas usando o Amazon GuardDuty?

Com o Amazon GuardDuty, o Amazon CloudWatch Events e o AWS Lambda, você tem a flexibilidade de configurar ações preventivas automatizadas com base em uma descoberta de segurança. Por exemplo, você pode criar uma função do Lambda para modificar as regras do grupo de segurança da AWS de acordo com as descobertas de segurança. Se receber uma descoberta do GuardDuty indicando que instâncias do Amazon EC2 estão sendo sondadas por um IP mal-intencionado conhecido, você poderá responder com uma regra do CloudWatch Events que dispara uma função do Lambda para modificar automaticamente as regras do grupo de segurança e restringir o acesso a essa porta.

P: Como as detecções do Amazon GuardDuty são desenvolvidas e gerenciadas?

O Amazon GuardDuty conta com uma equipe dedicada ao desenvolvimento, ao gerenciamento e a iteração de detecções. Os resultados são uma cadência uniforme de novas detecções no serviço, bem como uma iteração contínua em detecções existentes. Vários mecanismos de feedback são incorporados ao serviço, como o curtir e descurtir em cada descoberta de segurança encontrada na interface de usuário (IU) do GuardDuty. Isso permite que os clientes forneçam feedback para incorporação nas próximas iterações das detecções do GuardDuty.

P: Posso escrever detecções personalizadas no Amazon GuardDuty?

Não. O Amazon GuardDuty elimina o trabalho pesado e a complexidade do desenvolvimento e da manutenção de seus próprios conjuntos de regras personalizadas. Novas detecções são adicionadas continuamente de acordo com o feedback dos clientes e das pesquisas feitas pela segurança da AWS e pela equipe do GuardDuty. As personalizações configuradas pelo cliente incluem a adição de suas próprias listas de ameaças e listas de IPs seguros.

P: Estou usando o Amazon GuardDuty. Como posso começar a usar a proteção do GuardDuty para o S3?

Para contas atuais, a proteção do GuardDuty para o Amazon S3 pode ser habilitada no console ou na API. No console do GuardDuty, você pode ir para a página de proteção do S3 e habilitar a proteção do GuardDuty para o S3 em suas contas. Isso iniciará um teste gratuito de 30 dias da proteção do GuardDuty para o S3.

P: Existe uma avaliação gratuita da proteção do GuardDuty para o S3?

Sim, existe uma avaliação gratuita de 30 dias. Cada conta, em cada região, recebe uma avaliação gratuita de 30 dias da proteção do GuardDuty para o S3. As contas que já têm o GuardDuty habilitado também receberão 30 dias gratuitamente do recurso de proteção do GuardDuty para o S3.

P: Sou um novo usuário do Amazon GuardDuty, a proteção do GuardDuty para o S3 está habilitada por padrão nas minhas contas?

Sim. Quaisquer novas contas que habilitem o GuardDuty por meio do console ou da API também terão a proteção do GuardDuty para o Amazon S3 habilitada por padrão. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a proteção do GuardDuty para o S3 habilitada por padrão, a menos que a habilitação automática para o S3 esteja ativada.

P: Posso habilitar somente a proteção do GuardDuty para S3, sem habilitar o serviço GuardDuty completo (logs de fluxo de VPC, logs de consultas DNS e eventos de gerenciamento do CloudTrail)?

O serviço Amazon GuardDuty deve estar habilitado para usar a proteção do GuardDuty para proteger o Amazon S3. As contas atuais do GuardDuty têm a opção de habilitar a proteção do GuardDuty para o S3. As novas contas do GuardDuty terão a proteção do GuardDuty para o S3 por padrão assim que o serviço GuardDuty estiver habilitado.

P: O GuardDuty monitora todos os buckets na minha conta para proteção do S3?

Sim. Por padrão, o GuardDuty para proteção do Amazon S3 monitora todos os buckets do S3 em seu ambiente.

P: Preciso ativar o registro de eventos de dados do AWS CloudTrail S3 para a proteção do GuardDuty para o S3?

Não. O GuardDuty tem acesso direto aos logs de eventos de dados do AWS CloudTrail S3, e você não precisa habilitar o registro de eventos de dados do Amazon S3 no CloudTrail e contrair os custos associados. Observe que o GuardDuty não armazena os logs e os usa somente para análise.
 

Proteção do GuardDuty para o S3

P: Atualmente uso o Amazon GuardDuty. Como começo a usar o GuardDuty para proteção do Amazon S3?

Para contas atuais, a proteção do GuardDuty para o Amazon S3 pode ser habilitada no console ou na API. No console do GuardDuty, você pode ir para a página de proteção do S3 e habilitar a proteção do GuardDuty para o S3 em suas contas. Isso iniciará um teste gratuito de 30 dias do GuardDuty para proteção do S3.

P: Existe uma avaliação gratuita da proteção do GuardDuty para o S3?

Sim, existe uma avaliação gratuita de 30 dias. Cada conta, em cada região, recebe uma avaliação gratuita de 30 dias da proteção do GuardDuty para o S3. As contas que já têm o GuardDuty habilitado também receberão 30 dias gratuitamente do recurso de proteção do GuardDuty para o S3.

P: Sou novo usuário do Amazon GuardDuty. A proteção do GuardDuty para o S3 está habilitada por padrão em minhas contas?

Sim. Quaisquer novas contas que habilitem o GuardDuty por meio do console ou da API também terão a proteção do GuardDuty para o S3 habilitada por padrão. As novas contas do GuardDuty criadas usando o recurso “habilitação automática” do AWS Organizations não terão a proteção do GuardDuty para o S3 habilitada por padrão, a menos que “habilitação automática para o S3" esteja ativada.

P: Posso habilitar somente a proteção do GuardDuty para S3, sem habilitar o serviço GuardDuty completo (Logs de fluxo de VPC, logs de consultas DNS e eventos de gerenciamento do CloudTrail)?

O serviço Amazon GuardDuty deve estar habilitado para que a proteção do GuardDuty para o S3 também esteja disponível. As contas atuais do GuardDuty têm a opção de habilitar a proteção do GuardDuty para o S3. As novas contas do GuardDuty terão a proteção do GuardDuty para o S3 por padrão assim que o serviço GuardDuty estiver habilitado.

P: O GuardDuty monitora todos os buckets na minha conta para proteção do S3?

Sim. Por padrão, o GuardDuty para proteção S3 monitora todos os buckets do S3 no seu ambiente.

P: Preciso ativar o registro de eventos de dados do AWS CloudTrail S3 para a proteção do GuardDuty para o S3?

Não. O GuardDuty tem acesso direto aos logs de eventos de dados do AWS CloudTrail S3, e você não precisa habilitar o registro de eventos de dados do S3 no CloudTrail e contrair os custos associados. Observe que o GuardDuty não armazena os logs e os usa somente para análise.

Standard Product Icons (Features) Squid Ink
Saiba mais sobre preços de produtos

Veja exemplos de definição de preço e os detalhes da avaliação gratuita

Saiba mais 
Sign up for a free account
Cadastre-se para obter uma avaliação gratuita

Obtenha acesso à avaliação gratuita do Amazon GuardDuty. 

Iniciar avaliação gratuita 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a usar o Amazon GuardDuty no Console AWS.

Faça login