Perguntas frequentes sobre o Amazon GuardDuty

P: O que é o Amazon GuardDuty?

O GuardDuty é um serviço inteligente de detecção de ameaças que monitora continuamente as atividades mal-intencionadas para as contas da AWS, as instâncias do Amazon Elastic Compute Cloud (Amazon EC2), as funções do AWS Lambda, os clusters do Amazon Elastic Kubernetes Service (Amazon EKS), a atividade de login do Amazon Aurora e os dados armazenados no Amazon Simple Storage Service (Amazon S3). Se uma atividade mal-intencionada em potencial for detectada, como comportamentos anômalos, exfiltração de credenciais ou comunicação de infraestrutura de comando e controle (C2), o GuardDuty gera descobertas de segurança detalhadas que podem ser usadas para visibilidade da segurança e assistência na remediação. Além disso, o uso do recurso de Proteção contra Malware do Amazon GuardDuty ajuda a detectar arquivos mal-intencionados em volumes do Amazon Elastic Block Store (Amazon EBS) anexados à instância e às workloads de contêiner do Amazon EC2.

P: Quais são os principais benefícios do GuardDuty?

O GuardDuty facilita o monitoramento contínuo das contas, workloads e dados da AWS armazenados no Amazon S3. O nível básico do GuardDuty foi projetado para operar de forma totalmente independente dos recursos e não impactar a performance ou a disponibilidade das workloads. O serviço é totalmente gerenciado com inteligência contra ameaças, detecção de anomalias por machine learning (ML) e verificação de malware integradas. O GuardDuty fornece alertas detalhados e acionáveis projetados para serem integrados a sistemas existentes de gerenciamento de eventos e fluxos de trabalho. Não há custos iniciais, e você paga apenas pelos eventos analisados, sem necessidade de implantar outro software ou assinar os feeds de inteligência.

P: Quanto custa o GuardDuty?

Os preços do GuardDuty são baseados no volume de logs de serviços analisados, nas CPUs virtuais (vCPUs) ou nas unidades de capacidade da instância Aurora (ACUs) no Aurora Serverless v2 para análise de eventos do Amazon RDS, o número e o tamanho de workloads do Amazon EKS monitoradas no runtime, e no volume de dados verificados na busca de malware. Os logs de serviço analisados são filtrados para a otimização de custos e integrados diretamente ao GuardDuty, o que significa que você não precisa ativá-los ou pagar por eles separadamente. 

Consulte o preço do Amazon GuardDuty para obter mais detalhes e exemplos de preços.

P: O custo estimado na conta pagante do GuardDuty mostra os custos totais agregados para contas vinculadas ou somente para a conta pagante individual?

O custo estimado representa o custo da conta pagadora individual, e você verá o uso faturado e o custo médio diário de cada conta membro na conta de administrador do GuardDuty. Você deve acessar a conta individual se quiser ver as informações detalhadas de uso.

P: Há uma avaliação gratuita do GuardDuty?

Sim. Toda conta nova do GuardDuty pode testar gratuitamente o serviço por 30 dias. Você tem acesso ao conjunto completo de recursos e detecções durante o teste gratuito. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Quais são as diferenças entre o GuardDuty e o Amazon Macie?

O GuardDuty oferece amplo monitoramento de segurança para as contas, workloads e dados da AWS com a finalidade de ajudar a identificar ameaças, como o reconhecimento de invasores, o comprometimento de instâncias, contas, buckets ou clusters do Amazon EKS, e os malwares. O Macie é um serviço de descoberta de dados confidenciais totalmente gerenciado que usa ML e correspondência de padrões para descobrir os seus dados confidenciais no Amazon S3.

P: O GuardDuty é um serviço regional ou global?

O GuardDuty é um serviço regional. Mesmo quando várias contas são habilitadas e várias regiões são usadas, as descobertas de segurança do GuardDuty permanecem nas mesmas regiões em que os dados subjacentes foram gerados. Isso garante que todos os dados analisados ​​tenham base regional e não ultrapassem os limites regionais da AWS. No entanto, é possível optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões ao usar o Amazon EventBridge ou ao enviar descobertas por push para seu datastore (como o Amazon S3) e, em seguida, agregar as descobertas como preferir. Também é possível enviar as descobertas do GuardDuty para o AWS Security Hub e usar a funcionalidade de agregação entre regiões.

P: Quais regiões são compatíveis com o GuardDuty?

A disponibilidade regional do GuardDuty pode ser encontrada na Lista de serviços regionais da AWS.

P: Quais parceiros trabalham com o GuardDuty?

Muitos parceiros de tecnologia integraram e criaram o GuardDuty. Também há consultores, integradores de sistemas e prestadores de serviços gerenciados de segurança especializados no GuardDuty. Para obter detalhes, consulte a página Parceiros do Amazon GuardDuty.

P: O GuardDuty ajuda a resolver os requisitos do Payment Card Industry Data Security Standard (PCI DSS – Padrão de segurança de dados do setor de cartões de pagamento)?

A Foregenix publicou um whitepaper que fornece uma avaliação detalhada da eficácia do GuardDuty para auxiliar no atendimento de requisitos, como o requisito 11.4 do PCI DSS, que requer técnicas de detecção de intrusões em pontos críticos da rede.

P: Como habilito o GuardDuty?

O GuardDuty pode ser configurado e implantado com alguns cliques no Console de Gerenciamento da AWS. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço, e sua manutenção e atualização são contínuas.

P: Posso gerenciar várias contas com o GuardDuty?

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. Quando esse recurso é usado, todas as descobertas de segurança são agregadas à conta de administrador para revisão e remediação. Os eventos do Amazon EventBridge também são agregados à conta de administrador do Amazon GuardDuty ao usar essa configuração. Além disso, o GuardDuty está integrado ao AWS Organizations, o que permite delegar uma conta de administrador do GuardDuty para sua organização. Essa conta de delegated administrator (DA – administrador delegado) é centralizada e consolida todas as descobertas, além de poder configurar todas as contas de membros.

P: Quais fontes de dados o GuardDuty analisa?

As fontes de dados básicas que o GuardDuty analisa incluem: logs de eventos de gerenciamento do AWS CloudTrail, eventos de gerenciamento do CloudTrail e logs de fluxo da VPC do Amazon EC2 e logs de consulta ao DNS. Os planos de proteção opcionais do GuardDuty monitoram outros tipos de recursos, incluindo eventos de dados do S3 com o CloudTrail (Proteção para S3), logs de auditoria do Amazon EKS e atividades de runtime para o Amazon EKS (Proteção para EKS), dados de volume do Amazon EBS (Protection contra Malware), eventos de login do Amazon Aurora (Proteção para RDS) e logs de atividade de rede (Proteção para Lambda). O serviço é otimizado para consumir grandes volumes de dados para processamento de detecções de segurança praticamente em tempo real. O GuardDuty oferece acesso a técnicas de detecção incorporadas desenvolvidas e otimizadas para a nuvem, que são mantidas e aprimoradas continuamente pela engenharia do GuardDuty.

P: Em quanto tempo o GuardDuty começa a funcionar?

Após a habilitação, o GuardDuty começa imediatamente a procurar atividades mal-intencionadas ou não autorizadas. O período para começar a receber descobertas depende do nível de atividade da conta. O GuardDuty não examina todos os dados históricos, mas somente as atividades iniciadas após sua habilitação. Se o GuardDuty identificar qualquer ameaça possível, você receberá uma descoberta no console do GuardDuty.

P: Preciso habilitar o CloudTrail, os logs de fluxo da VPC, os logs de consulta ao DNS ou os logs de auditoria do Amazon EKS para que o GuardDuty funcione?

Não. O GuardDuty extrai fluxos de dados independentes diretamente do CloudTrail, dos logs de fluxo da VPC, dos logs de consulta ao DNS e do Amazon EKS. Você não precisa gerenciar as políticas de bucket do Amazon S3 ou modificar a maneira como coleta e armazena os logs. As permissões do GuardDuty são gerenciadas como perfis vinculados ao serviço. Você pode desativar o GuardDuty a qualquer momento, o que removerá todas as permissões dele. Isso facilita a habilitação do serviço, pois evita configurações complexas. Os perfis vinculados ao serviço também eliminam a chance de que uma configuração incorreta de permissão do AWS Identity and Access Management (IAM) ou uma alteração na política de bucket do Amazon S3 afetem a operação do serviço. Por fim, os perfis vinculados ao serviço tornam o GuardDuty extremamente eficiente no consumo de grandes volumes de dados praticamente em tempo real, com impacto mínimo ou nulo na performance e na disponibilidade da conta ou das workloads.

P: A ativação do GuardDuty afeta a performance ou a disponibilidade em minha conta ?

Quando você ativa o GuardDuty pela primeira vez, ele opera de forma totalmente independente dos seus recursos da AWS. Se você configurar o Monitoramento de runtime do EKS para implantar automaticamente o agente de segurança do GuardDuty, isso poderá resultar no uso adicional de recursos e também criará endpoints da VPC em VPCs usadas para executar clusters do Amazon EKS.

P: O GuardDuty gerencia ou mantém meus logs?

Não, o GuardDuty não gerencia ou retém seus logs. Todos os dados consumidos pelo GuardDuty são analisados quase em tempo real e descartados em seguida. Isso permite que o GuardDuty seja altamente eficiente e econômico, além de reduzir o risco de remanescência de dados. Para a entrega e retenção de logs, você deve usar diretamente os serviços de registro e monitoramento da AWS, que oferecem opções avançadas de entrega e retenção.

P: Como posso impedir que o GuardDuty examine logs e fontes dos dados?

Você pode impedir que o GuardDuty analise fontes dos dados a qualquer momento nas configurações gerais suspendendo o serviço. A suspensão impedirá imediatamente que o serviço analise dados, mas não excluirá as descobertas ou configurações existentes. Além disso, você pode desabilitar o serviço nas configurações gerais. Todos os dados restantes serão excluídos, inclusive as descobertas e as configurações existentes, antes de liberar as permissões e redefinir o serviço. Você também pode desativar seletivamente recursos como Proteção do GuardDuty para S3 ou Proteção do GuardDuty para EKS por meio do Console de Gerenciamento ou da AWS CLI.

P: O que o GuardDuty pode detectar?

O GuardDuty proporciona acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e aprimorados continuamente por engenheiros do GuardDuty. As principais categorias de detecção incluem as seguintes:

• Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, verificação de portas na VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
• Comprometimento de instância: atividade que indica um comprometimento de instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínios (DGAs), atividade de negação de serviço de saída, um volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de uma instância de saída com um IP mal-intencionado conhecido, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.
• Comprometimento de conta: padrões comuns indicativos de comprometimento de conta, incluindo chamadas de API de uma geolocalização incomum ou de um proxy anônimo, tentativas de desativar o registro em log do CloudTrail, execuções incomuns de instância ou infraestrutura, implantações de infraestrutura em uma região incomum, exfiltração de credenciais, atividade de login suspeita no banco de dados e chamadas de API de endereços IP mal-intencionados conhecidos.
• Comprometimento de bucket: atividade que indica um comprometimento de bucket, como padrões suspeitos de acesso a dados que indicam o uso indevido de credenciais, atividade incomum da API do Amazon S3 de um host remoto, acesso não autorizado do Amazon S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperação de dados em buckets do Amazon S3 de um usuário que não tinha histórico anterior de acesso ao bucket ou que foram invocadas de um local incomum. O GuardDuty monitora e analisa continuamente os eventos de dados do S3 com o CloudTrail (por exemplo, o GetObject, o ListObjects e o DeleteObject) para detectar atividades suspeitas em todos os seus buckets do Amazon S3.
• Detecção de malware: o GuardDuty inicia uma verificação de detecção de malware quando identifica um comportamento suspeito indicativo de software mal-intencionado na instância ou em workloads de contêiner do Amazon EC2. O GuardDuty gera réplicas temporárias de volumes do Amazon EBS anexados a essas instâncias ou workloads de contêiner do Amazon EC2 e verifica as réplicas de volume em busca de trojans, worms, mineradores de criptografia, rootkits, bots e muito mais, que podem ser usados ​​para comprometer as workloads, redirecionar recursos para o uso em ataques mal-intencionados e obter acesso não autorizado aos dados. A Proteção contra Malware do GuardDuty gera descobertas contextualizadas que podem validar a origem do comportamento suspeito. Essas descobertas podem ser direcionadas para os administradores adequados e iniciar a correção automatizada.
• Comprometimento de contêiner: a atividade que identifica possível comportamento mal-intencionado ou suspeito em workloads de contêiner é detectada pelo monitoramento e criação de perfil contínuos dos clusters do Amazon EKS que analisam os logs de auditoria do Amazon EKS e a atividade de runtime do contêiner.

P: O que é a inteligência de ameaças do GuardDuty?

A inteligência de ameaças do GuardDuty é composta por endereços IP e domínios indicados como utilizados por invasores. A inteligência de ameaças do GuardDuty é fornecida pela segurança da AWS e por provedores de terceiros, como Proofpoint e CrowdStrike. Esses feeds de inteligência de ameaças são pré-integrados e atualizados continuamente no GuardDuty, sem custo adicional.

P: Posso disponibilizar minha própria inteligência de ameaças?

Sim, o GuardDuty permite que você carregue sua própria inteligência de ameaças ou lista de endereços IP confiáveis. Quando esse recurso é usado, essas listas somente são aplicadas à sua conta e não são compartilhadas com outros clientes.

P: Como são entregues as descobertas de segurança?

Quando uma possível ameaça é detectada, o GuardDuty entrega uma descoberta de segurança detalhada ao console do GuardDuty e ao EventBridge. Dessa forma, os alertas ficam mais acionáveis e mais facilmente integrados a sistemas existentes de gerenciamento de eventos ou fluxos de trabalho. As descobertas incluem a categoria, os recursos afetados e os metadados associados ao recurso, como nível de gravidade.

P: Qual é o formato das descobertas do GuardDuty?

As descobertas do GuardDuty são disponibilizadas em um formato JavaScript Object Notation (JSON) comum que também é usado pelo Macie e pelo Amazon Inspector. Assim fica mais fácil para os clientes e parceiros consumirem descobertas de segurança em todos os três serviços e os incorporarem em soluções mais amplas de gerenciamento de eventos, fluxos de trabalho ou segurança.

P: Por quanto tempo as descobertas de segurança ficam disponibilizadas no GuardDuty?

As descobertas de segurança são retidas e disponibilizadas por meio do console do GuardDuty e das APIs por 90 dias. Após 90 dias, as descobertas são descartadas. Para reter as descobertas por mais de 90 dias, é possível habilitar que o EventBridge as envie por push automaticamente para um bucket do Amazon S3 em sua conta ou outro datastore para retenção de longo prazo.

P: É possível agregar descobertas do GuardDuty?

Sim, é possível optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões ao usar o EventBridge ou ao enviar descobertas por push para seu datastore (como o Amazon S3) e, em seguida, agregar as descobertas como preferir. Também é possível enviar as descobertas do GuardDuty para o Security Hub e usar a funcionalidade de agregação entre regiões.

P: Posso executar ações preventivas automatizadas usando o GuardDuty?

Com os serviços GuardDuty, EventBridge e AWS Lambda, você tem a flexibilidade de definir ações corretivas automatizadas com base em uma descoberta de segurança. Por exemplo, você pode criar uma função do Lambda para modificar as regras do grupo de segurança da AWS com base nas descobertas de segurança. Se você receber uma descoberta do GuardDuty indicando que uma de suas instâncias do Amazon EC2 está sendo sondada por um IP mal-intencionado conhecido, poderá resolvê-la ao usar uma regra do EventBridge, que inicia uma função do Lambda para modificar automaticamente as regras do grupo de segurança e restringir o acesso nessa porta.

P: Como as detecções do GuardDuty são desenvolvidas e gerenciadas?

O GuardDuty conta com uma equipe dedicada à engenharia, ao gerenciamento e a iteração de detecções. Os resultados são uma cadência uniforme de novas detecções no serviço, bem como uma iteração contínua em detecções existentes. Vários mecanismos de feedback são incorporados ao serviço, como o curtir e descurtir em cada descoberta de segurança encontrada na interface de usuário (IU) do GuardDuty. Isso permite você forneça feedback que pode ser incorporado nas próximas iterações das detecções do GuardDuty.

P: Posso escrever detecções personalizadas no Amazon GuardDuty?

Não, o GuardDuty remove o trabalho pesado e a complexidade do desenvolvimento e da manutenção dos seus próprios conjuntos de regras personalizadas. Novas detecções são adicionadas continuamente de acordo com o feedback dos clientes e das pesquisas feitas pelos engenheiros de segurança da AWS e pela equipe de engenharia do GuardDuty. No entanto, as personalizações configuradas pelo cliente incluem a adição de suas próprias listas de ameças e lista de endereços IP confiáveis.

P: Como posso começar a usar o S3 Protection se estiver usando o GuardDuty no momento?

Para contas atuais do GuardDuty, o S3 Protection pode ser ativado no console na página de proteção do S3 ou por meio da API. Isso iniciará um teste gratuito de 30 dias do recurso GuardDuty S3 Protection.

P: Existe um teste gratuito do GuardDuty S3 Protection?

Sim, existe um teste gratuito de 30 dias. Cada conta em cada região recebe um teste gratuito de 30 dias do GuardDuty que inclui o recurso S3 Protection. As contas que já têm o GuardDuty habilitado também receberão um teste gratuito de 30 dias do recurso S3 Protection ao ativá-lo pela primeira vez.

P: Sou um novo usuário do GuardDuty, o S3 Protection está habilitado por padrão nas minhas contas?

Sim. Por padrão, todas as novas contas que habilitam o GuardDuty por meio do console ou da API também terão a Proteção para S3 ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para S3 ativada, a menos que a opção de habilitação automática para o S3 esteja ativada.

P: É possível usar a Proteção do GuardDuty para S3 sem habilitar o serviço completo do GuardDuty (incluindo a análise de logs de fluxo da VPC, os logs de consultas ao DNS e os eventos de gerenciamento do CloudTrail)?

Não, o serviço GuardDuty deve estar habilitado para usar o S3 Protection. As contas atuais do GuardDuty têm a opção de habilitar a Proteção para S3, e as novas contas do GuardDuty terão o recurso por padrão assim que o serviço do GuardDuty for habilitado.

P: O GuardDuty monitora todos os buckets em minha conta para ajudar a proteger minha implantação do Amazon S3?

Sim. Por padrão, a Proteção para S3 monitora todos os buckets do Amazon S3 em seu ambiente.

P: É necessário ativar o registro em log de eventos de dados do S3 com o CloudTrail para a Proteção para S3?

Não, o GuardDuty tem acesso direto aos logs de eventos de dados do CloudTrail S3. Você não é obrigado a habilitar o registro em log de eventos de dados do S3 no CloudTrail e, portanto, não incorrerá nos custos associados. Observe que o GuardDuty não armazena os logs e os usa somente para análise.

P: Como funciona o GuardDuty EKS Protection?

O GuardDuty EKS Protection é um recurso do GuardDuty que monitora a atividade do ambiente de gerenciamento de clusters do Amazon EKS analisando os logs de auditoria do Amazon EKS. O GuardDuty é integrado ao Amazon EKS, oferecendo acesso direto aos logs de auditoria do Amazon EKS sem exigir que você ative ou armazene esses logs. Esses logs de auditoria são registros cronológicos relevantes para a segurança que documentam a sequência de ações executadas no ambiente de gerenciamento do Amazon EKS. Esses logs de auditoria do Amazon EKS dão ao GuardDuty a visibilidade necessária para realizar o monitoramento contínuo da atividade da API do Amazon EKS e aplicar inteligência de ameaças comprovada e detecção de anomalias para identificar atividades maliciosas ou alterações de configuração que possam expor seu cluster do Amazon EKS a acesso não autorizado. Quando as ameaças são identificadas, o GuardDuty gera descobertas de segurança que incluem o tipo de ameaça, um nível de gravidade e detalhes no nível do contêiner (como ID do pod, ID da imagem do contêiner e etiquetas associadas).

P: Que tipos de ameaças o GuardDuty EKS Protection pode detectar em minhas workloads do Amazon EKS?

O GuardDuty EKS Protection pode detectar ameaças relacionadas à atividade de usuários e aplicações capturadas nos logs de auditoria do Amazon EKS. As detecções de ameaças do Amazon EKS incluem clusters do Amazon EKS que são acessados ​​por agentes mal-intencionados conhecidos ou a partir de nós do Tor, operações de API executadas por usuários anônimos que podem indicar uma configuração incorreta e configurações incorretas que podem resultar em acesso não autorizado a clusters do Amazon EKS. Além disso, ao usar modelos de ML, o GuardDuty pode identificar padrões consistentes com técnicas de escalonamento de privilégios, como uma execução suspeita de um contêiner com acesso de nível raiz ao host do Amazon EC2 subjacente. Consulte Amazon GuardDuty Finding types (Tipos de descobertas do Amazon GuardDuty) para obter uma lista completa de todas as novas detecções.

P: Preciso ativar os logs de auditoria do Amazon EKS?

Não, o GuardDuty tem acesso direto aos logs de auditoria do Amazon EKS. Observe que o GuardDuty usa apenas esses logs para análise. Ele não os armazena, nem você precisa habilitar ou pagar para que esses logs de auditoria do Amazon EKS sejam compartilhados com o GuardDuty. Para otimizar os custos, o GuardDuty aplica filtros inteligentes para consumir apenas um subconjunto dos logs de auditoria relevantes para a detecção de ameaças à segurança.

P: Existe uma avaliação gratuita do GuardDuty for EKS Protection?

Sim, existe um teste gratuito de 30 dias. Cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso GuardDuty EKS Protection. As contas existentes do GuardDuty recebem uma avaliação de 30 dias do GuardDuty EKS Protection sem custo adicional. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Como posso começar a usar a Proteção EKS do GuardDuty se estiver usando o GuardDuty no momento?

A proteção EKS do GuardDuty deve ser ativada para cada conta individual. Você pode ativar o recurso para suas contas com uma única ação no console do GuardDuty na página do console Proteção EKS do GuardDuty. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá ativar a Proteção EKS do GuardDuty em toda a sua organização na página Proteção EKS do GuardDuty da conta de administrador. Isso ativará o monitoramento contínuo do Amazon EKS em todas as contas-membro individuais. Para contas do GuardDuty criadas usando o recurso de ativação automática do AWS Organizations, você precisará ligar explicitamente a ativação automática para o Amazon EKS. Com esse recurso ativado para uma conta, todos os clusters do Amazon EKS existentes e futuros na conta serão monitorados para ameaças, sem qualquer configuração nos clusters do Amazon EKS.

P: A Proteção EKS do GuardDuty estará ativada por padrão para minhas contas se eu for um novo usuário do GuardDuty?

Sim. Por padrão, qualquer nova conta que ativar o GuardDuty por meio do console ou da API também terá a Proteção do GuardDuty para EKS ativada. Para novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa habilitar explicitamente a opção de habilitação automática para a Proteção para EKS. 

P: Como faço para desabilitar a Proteção do GuardDuty para EKS?

Você pode desabilitar o recurso no console ou usando a API. No console do GuardDuty, você pode desabilitar o GuardDuty EKS Protection para suas contas na página do console do GuardDuty EKS Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar esse recurso para suas contas de membros.

P: Se eu desabilitar o GuardDuty EKS Protection, como o habilito novamente?

Se você desativou anteriormente o GuardDuty EKS Protection, poderá reativar o recurso no console ou usando a API. No console do GuardDuty, você pode habilitar o GuardDuty EKS Protection para suas contas na página do console do GuardDuty EKS Protection.

P: Preciso habilitar o GuardDuty EKS Protection em cada conta da AWS e cluster do Amazon EKS individualmente?

A proteção do GuardDuty EKS deve ser habilitada para cada conta individual. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar a detecção de ameaças do Amazon EKS em toda a sua organização com um único clique na página do console do GuardDuty EKS Protection da conta de administrador do GuardDuty. Isso habilitará a detecção de ameaças do Amazon EKS em todas as contas-membro individuais. Com esse recurso habilitado para uma conta, todos os clusters do Amazon EKS existentes e futuros na conta serão monitorados quanto a ameaças, e nenhuma configuração manual será necessária em seus clusters do Amazon EKS.

P: Serei cobrado se não usar o Amazon EKS e habilitar o GuardDuty EKS Protection no GuardDuty?

Você não incorrerá em cobranças do GuardDuty EKS Protection se não estiver usando o Amazon EKS e tiver o GuardDuty EKS Protection ativado. No entanto, quando você começar a usar o Amazon EKS, o GuardDuty monitorará automaticamente seus clusters e gerará descobertas para problemas identificados, e você será cobrado por esse monitoramento.

P: Posso habilitar somente o GuardDuty EKS Protection, sem habilitar o serviço GuardDuty completo (logs de fluxo de VPC, logs de consultas ao DNS e análise de eventos de gerenciamento do CloudTrail)?

Não, o serviço GuardDuty deve ser habilitado para que o GuardDuty EKS Protection esteja disponível.

P: A Proteção do GuardDuty para EKS monitora logs de auditoria do Amazon EKS para implantações do Amazon EKS no AWS Fargate?

Sim, a Proteção do GuardDuty para EKS monitora logs de auditoria do Amazon EKS de clusters do Amazon EKS implantados em instâncias do Amazon EC2 e clusters do Amazon EKS implantados no Fargate.

P: O GuardDuty monitora implantações do Amazon EKS não gerenciadas no Amazon EC2 ou no Amazon EKS Anywhere?

Atualmente, essa funcionalidade oferece suporte somente para implantações do Amazon EKS em execução em instâncias do Amazon EC2 em sua conta ou no Fargate.

P: O uso da Proteção do GuardDuty para EKS afetará a performance ou o custo da execução de contêineres no Amazon EKS?

Não. O GuardDuty EKS Protection foi concebido para não ter nenhuma implicação de performance, disponibilidade ou custo em implantações de workloads do Amazon EKS.

P: Preciso habilitar o GuardDuty EKS Protection em cada região da AWS individualmente?

Sim, o GuardDuty é um serviço regional e, portanto, a Proteção EKS do GuardDuty deve ser ativada em cada região da AWS separadamente.

P: Como funciona o monitoramento de runtime do EKS no GuardDuty?

O Monitoramento de runtime do GuardDuty EKS usa um complemento totalmente gerenciado do Amazon EKS que adiciona visibilidade à atividade de runtime de contêineres Kubernetes individuais executados no Amazon EKS, como acesso a arquivos, execução de processos e conexões de rede. O complemento pode ser ativado automaticamente, diretamente do GuardDuty, para todos os clusters existentes e novos do Amazon EKS em uma conta, ou manualmente do Amazon EKS para um cluster individual. O complemento implanta automaticamente um agente de segurança GuardDuty como um conjunto de Daemon que coleta eventos de runtime de todos os pods em execução em nó e os entrega ao GuardDuty para processamento da análise de segurança. Isso permite que o GuardDuty identifique contêineres específicos dentro dos clusters do Amazon EKS que estão potencialmente comprometidos e detecte tentativas de escalar privilégios de um contêiner individual para o host subjacente do Amazon EC2 e para o ambiente mais amplo da AWS. Quando o GuardDuty detecta uma ameaça em potencial, é gerada uma descoberta de segurança que inclui o contexto de metadados que inclui o contêiner, o pod do Kubernetes e os detalhes do processo.

P: Como posso começar a usar o Monitoramento de runtime do EKS se atualmente estou usando o GuardDuty?

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty na página Monitoramento de runtime do EKS ou por meio da API. Saiba mais sobre o Monitoramento de runtime do GuardDuty EKS.

P: Se eu for um novo usuário do GuardDuty, o Monitoramento de runtime do EKS estará ativado por padrão em minhas contas?

Não. O Monitoramento de runtime do GuardDuty EKS é o único plano de proteção que não é ativado por padrão quando você ativa o GuardDuty pela primeira vez. O recurso pode ser ativado no console do GuardDuty na página de monitoramento de runtime do EKS ou por meio da API. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão o monitoramento de runtime do EKS ativado, a menos que a opção de habilitação automática para o Amazon EKS esteja ativada.

P: É possível usar o monitoramento de runtime do EKS no GuardDuty sem ativar o serviço completo do GuardDuty?

Não, o serviço GuardDuty deve estar ativado para usar o Monitoramento de runtime do GuardDuty EKS.

P: O Monitoramento de runtime do GuardDuty EKS está disponível em todas as regiões em que o GuardDuty está disponível atualmente?

Para obter uma lista completa das regiões em que o Monitoramento de runtime do EKS está disponível, acesse Disponibilidade de recursos específicos da região.

P: Preciso ativar o Monitoramento de runtime do GuardDuty EKS em cada conta da AWS e cluster do Amazon EKS individualmente?

O Monitoramento de runtime do GuardDuty EKS deve estar ativado para cada conta individual. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá ativar a detecção de ameaças do Amazon EKS em toda a sua organização com um único clique na conta de administrador do GuardDuty, na página do console do Monitoramento de runtime do GuardDuty EKS. Isso ativará o monitoramento de runtime para o Amazon EKS em todas as contas-membro individuais. Com esse recurso ativado para uma conta, todos os clusters do Amazon EKS existentes e futuros na conta serão monitorados quanto a ameaças ao runtime, e nenhuma configuração manual será necessária nos clusters do Amazon EKS.

P: Serei cobrado se eu não usar o Amazon EKS e ativar o Monitoramento de runtime do GuardDuty EKS no GuardDuty?

Não haverá nenhuma cobrança do Monitoramento de runtime do GuardDuty EKS se você não estiver usando o Amazon EKS e o Monitoramento de runtime do GuardDuty EKS estiver ativado. No entanto, quando você começar a usar o Amazon EKS, o GuardDuty monitorará automaticamente seus clusters e gerará descobertas para problemas identificados. Você será cobrado por esse monitoramento.

P: O uso do monitoramento de runtime do EKS no GuardDuty afetará a performance ou o custo da execução de contêineres no Amazon EKS?

Se você configurar o monitoramento de runtime do EKS no GuardDuty para implantar automaticamente o agente de segurança do GuardDuty, isso poderá resultar na utilização de recursos adicionais e também criará endpoints da VPC em VPCs usadas ​​para executar clusters do Amazon EKS. Saiba mais sobre os complementos do EKS.

P: Como funciona a Proteção contra Malware do Amazon GuardDuty?

O GuardDuty inicia uma verificação de detecção de malware quando identifica um comportamento suspeito indicativo de software mal-intencionado na instância ou em workloads de contêiner do Amazon EC2. Ele verifica uma réplica de volume do Amazon EBS que o GuardDuty gera com base no snapshot do seu volume do Amazon EBS em busca de trojans, worms, mineradores de criptografia, rootkits, bots e muito mais. A Proteção contra Malware do GuardDuty gera descobertas contextualizadas que podem ajudar a validar a origem do comportamento suspeito. Essas descobertas também podem ser roteadas para os administradores adequados e podem iniciar a remediação automatizada.

P: Quais tipos de descoberta do GuardDuty para o Amazon EC2 iniciarão uma verificação de malware?

As descobertas do GuardDuty para o Amazon EC2 que iniciarão uma verificação de malware estão listadas aqui.

P: Quais recursos e tipos de arquivo podem ser verificados pela Proteção contra Malware do GuardDuty?

A Proteção contra Malware oferece suporte à detecção de arquivos mal-intencionados por meio da verificação do Amazon EBS anexado a instâncias do Amazon EC2. Ela pode verificar qualquer arquivo presente no volume e os tipos de sistema de arquivos suportados podem ser encontrados aqui.

P: Que tipos de ameaças o GuardDuty Malware Protection pode detectar?

O Malware Protection verifica ameaças como trojans, worms, mineradores de criptografia, rootkits e bots, que podem ser usados para comprometer workloads, redirecionar recursos para uso mal-intencionado e obter acesso não autorizado a dados.

P: Preciso ativar o registro para que o GuardDuty Malware Protection funcione?

O registro em log do serviço não precisa ser habilitado para que o GuardDuty ou o recurso Malware Protection funcionem. O recurso Malware Protection faz parte do GuardDuty, que é um serviço da AWS que usa inteligência de fontes internas e externas integradas.

P: Como a Proteção contra Malware do GuardDuty realiza a verificação sem a necessidade de agentes?

Em vez de usar agentes de segurança, a Proteção contra Malware do GuardDuty criará e verificará uma réplica com base no snapshot dos volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida em sua conta. As permissões que você concedeu ao GuardDuty por meio de um perfil vinculado ao serviço permitem que o serviço crie uma réplica de volume criptografada na conta de serviço do GuardDuty a partir desse snapshot que permanece em sua conta. O GuardDuty Malware Protection verificará a réplica do volume em busca de malware.

P: Existe um teste gratuito do GuardDuty Malware Protection?

Sim, cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o GuardDuty Malware Protection. As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

P: Como posso começar a usar o GuardDuty Malware Protection se estou usando o GuardDuty atualmente?

Você pode habilitar o Malware Protection no console do GuardDuty acessando a página do Malware Protection ou usando a API. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar o recurso em toda a organização na página do console do Malware Protection da conta do administrador do GuardDuty. Isso permitirá o monitoramento de malware em todas as contas de membros individuais. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para o Malware Protection.

P: Se eu for um novo usuário do GuardDuty, o Malware Protection está habilitado por padrão para minhas contas?

Sim, qualquer nova conta que habilite o GuardDuty usando o console ou a API também terá o GuardDuty Malware Protection habilitado por padrão. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para Malware Protection. 

P: Como desabilito o GuardDuty Malware Protection?

Você pode desabilitar o recurso no console ou usando a API. Você verá uma opção para desabilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar o GuardDuty Malware Protection para suas contas de membros.

P: Se eu desabilitar o GuardDuty Malware Protection, como o habilito novamente?

Se o Malware Protection foi desativado, você pode ativar o recurso no console ou usando a API. Você pode habilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection.

P: Se nenhuma verificação de malware do GuardDuty for realizada durante um período de faturamento, haverá cobranças?

Não, não haverá cobrança pelo Malware Protection se não houver verificações de malware durante um período de faturamento. Você pode visualizar os custos desse recurso no Console de Faturamento da AWS.

P: O GuardDuty Malware Protection oferece suporte ao gerenciamento de várias contas?

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. O GuardDuty tem gerenciamento de várias contas por meio da integração do AWS Organizations. Essa integração ajuda as equipes de segurança e conformidade a garantir a cobertura total do GuardDuty, incluindo o Malware Protection, em todas as contas de uma organização.

P: É necessário realizar alterações na configuração, implantar softwares ou modificar minhas implantações da AWS?

Não. Assim que o recurso for habilitado, a Proteção contra Malware do GuardDuty iniciará uma verificação de malware em resposta às descobertas relevantes do Amazon EC2. Não é necessário implantar nenhum agente, não há fontes de log a serem habilitadas e não há outras alterações de configuração a serem feitas.

P: O uso do GuardDuty Malware Protection afetará a performance da execução de minhas workloads?

A Proteção contra Malware do GuardDuty foi projetada para não afetar a performance das workloads. Por exemplo, os snapshots de volumes do Amazon EBS criados para análise de malware podem ser gerados somente uma vez em um período de 24 horas, e a Proteção contra Malware do GuardDuty retém as réplicas e os snapshots criptografados por alguns minutos após a conclusão da verificação. Além disso, a Proteção contra Malware do GuardDuty usa recursos computacionais do GuardDuty para verificação de malware em vez de recursos computacionais do cliente.

P: Preciso habilitar o GuardDuty Malware Protection em cada região da AWS individualmente?

Sim, o Amazon GuardDuty é um serviço regional e o Malware Protection deve ser habilitado em cada região da AWS separadamente.

P: Como a Proteção contra Malware do GuardDuty usa criptografia?

A Proteção contra Malware do GuardDuty verifica uma réplica com base no snapshot dos volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida em sua conta. Se os volumes do Amazon EBS forem criptografados com uma chave gerenciada pelo cliente, você terá a opção de compartilhar a chave do AWS Key Management Service (KMS) com o GuardDuty e o serviço usará a mesma chave para criptografar a réplica de volume do Amazon EBS. Para volumes do Amazon EBS não criptografados, o GuardDuty usa a própria chave para criptografar a réplica de volume do Amazon EBS.

P: A réplica de volume do Amazon EBS será analisada na mesma região que o volume original?

Sim, todos os dados da réplica de volume do Amazon EBS (e o snapshot no qual a réplica de volume se baseia) permanecem na mesma região que o volume do Amazon EBS original.

P: Como faço para estimar e controlar os gastos com a Proteção contra Malware do GuardDuty?

Sim, cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso Malware Protection. As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode fazer uma estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

A precificação desse recurso é baseada nos GB de dados verificados em um volume. É possível aplicar personalizações ao usar opções de verificação do console para marcar algumas instâncias do Amazon EC2 ou usar etiquetas, para serem incluídas ou excluídas da verificação, controlando assim o custo. Além disso, o GuardDuty fará a verificação de uma instância do Amazon EC2 somente uma vez a cada 24 horas. Se o GuardDuty gerar diversas descobertas do Amazon EC2 para uma instância do Amazon EC2 em 24 horas, uma verificação ocorrerá somente para a primeira descoberta relevante do Amazon EC2. Se as descobertas do Amazon EC2 continuarem, para uma instância, 24 horas após a última verificação de malware, uma nova verificação de malware será iniciada para essa instância.

P: É possível manter os snapshots obtidos pela Proteção contra Malware do GuardDuty?

Sim, há uma configuração em que você pode habilitar a retenção de snapshots quando a verificação do Malware Protection detecta malware. Você pode habilitar essa configuração no console do GuardDuty, na página Configurações. Por padrão, os snapshots são excluídos alguns minutos após a conclusão da verificação e após 24 horas se a verificação não for concluída.

P: Por padrão, qual é o período máximo de retenção de uma réplica de volume do Amazon EBS?

A Proteção contra Malware do GuardDuty reterá cada réplica de volume do Amazon EBS gerada e verificada por até 24 horas. Por padrão, as réplicas de volumes do Amazon EBS são excluídas alguns minutos depois que a Proteção contra Malware do GuardDuty conclui uma verificação. Em alguns casos, no entanto, a Proteção contra Malware do GuardDuty pode precisar reter uma réplica de volume do Amazon EBS por mais de 24 horas se uma interrupção do serviço ou problema de conexão interferir em sua verificação de malware. Quando isso ocorre, a Proteção contra Malware do GuardDuty retém a réplica de volume do Amazon EBS por até sete dias para oferecer ao serviço tempo de triagem e resolver a interrupção ou o problema de conexão. A Proteção contra Malware do GuardDuty excluirá a réplica de volume do Amazon EBS depois que a interrupção ou falha for resolvida ou assim que o período de retenção estendido expirar.

P: Diversas verificações de malware serão iniciadas se houver diversas descobertas do GuardDuty para uma única instância ou workload de contêiner do Amazon EC2 que indicam um possível malware?

Não, o GuardDuty verifica somente uma réplica a cada 24 horas com base no snapshot de volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida. Mesmo que o GuardDuty gere diversas descobertas que se qualifiquem para iniciar uma verificação de malware, ele não iniciará verificações adicionais se tiverem passado menos de 24 horas desde a verificação anterior. Se o GuardDuty gerar uma descoberta qualificada após 24 horas da última verificação de malware, o GuardDuty Malware Protection iniciará uma nova verificação de malware para essa workload.

P: Se eu desabilitar o GuardDuty, também preciso desabilitar o recurso Malware Protection?

Não, desabilitar o serviço GuardDuty também desabilita o recurso de Proteção contra Malware.

P: Como funciona o a Proteção do GuardDuty para RDS?

A Proteção do GuardDuty para RDS por ser ativada com uma única ação no console do GuardDuty, sem precisar implantar agentes manualmente, ativar fontes de dados ou configurar permissões. Com modelos de ML personalizados, a Proteção do GuardDuty para RDS começa analisando e criando perfis de tentativas de login para bancos de dados existentes e novos do Amazon Aurora. Quando comportamentos suspeitos ou tentativas de agentes mal-intencionados conhecidos são identificados, o GuardDuty emite descobertas de segurança acionáveis ​​para os consoles do GuardDuty e do Amazon Relational Database Service (RDS), para o Security Hub e para o Amazon EventBridge, permitindo a integração com sistemas de fluxo de trabalho ou de gerenciamento de eventos de segurança existentes. Saiba mais sobre como a Proteção do GuardDuty para RDS usa o monitoramento da atividade de login do RDS.

P: Como faço para começar a detecção de ameaças para bancos de dados do Aurora se estiver usando o GuardDuty?

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty na página Proteção do RDS ou por meio da API. Saiba mais sobre a Proteção do GuardDuty para RDS.

P: Se eu for um novo usuário do GuardDuty, a detecção de ameaças para bancos de dados Aurora está habilitada por padrão para minhas contas?

Sim. Por padrão, todas as novas contas que ativarem o GuardDuty por meio do console ou da API também terão a Proteção para RDS ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para RDS ativada, a menos que a opção de habilitação automática para o RDS esteja ativada.

P: Posso usar a Proteção do GuardDuty sem ativar o serviço GuardDuty completo (incluindo a análise de logs de fluxo da Amazon Virtual Private Cloud (VPC), logs de consultas ao DNS e eventos de gerenciamento do AWS CloudTrail)?

Não, o serviço GuardDuty deve estar habilitado para usar a Proteção do GuardDuty para RDS.

P: A Proteção do GuardDuty para RDS está disponível em todas as regiões em que o GuardDuty está disponível atualmente?

Para obter uma lista completa das regiões em que a Proteção do RDS está disponível, acesse Disponibilidade de recursos específicos da região.

P: Quais versões do Amazon Aurora são compatíveis com a proteção do GuardDuty para RDS?

Consulte a lista de versões de banco de dados do Amazon Aurora compatíveis.

P: O uso da Proteção do GuardDuty para RDS afetará a performance ou o custo da execução de bancos de dados Aurora?

Não, a detecção de ameaças do GuardDuty para bancos de dados do Aurora foi projetada para não ter implicações de performance, disponibilidade ou custo para os bancos de dados do Amazon Aurora.
 

P: Como funciona a Proteção do Amazon GuardDuty para Lambda?

A Proteção do GuardDuty para Lambda monitora continuamente a atividade de rede, começando com os logs de fluxo da VPC, a partir de suas workloads com tecnologia sem servidor para detectar ameaças como funções do Lambda mal-intencionadas que foram reaproveitadas para mineração não autorizada de criptomoedas ou funções do Lambda comprometidas que estão se comunicando com servidores de agentes de ameaças conhecidos. A Proteção do GuardDuty para Lambda pode ser habilitada com algumas etapas no console do GuardDuty. Além disso, ao usar o AWS Organizations, ela pode ser habilitada centralmente para todas as contas novas e existentes em uma organização. Uma vez habilitada, ela começa a monitorar automaticamente os dados de atividade de rede de todas as funções do Lambda existentes e novas em uma conta.

P: Como faço para começar a usar a Proteção do GuardDuty para Lambda se estiver usando o GuardDuty?

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty na página da Proteção para Lambda ou por meio da API. Saiba mais sobre a Proteção do GuardDuty para Lambda.

P: Se eu for um novo usuário do GuardDuty, a Proteção do GuardDuty para Lambda está habilitada por padrão para minhas contas?

Sim. Por padrão, todas as novas contas que ativarem o GuardDuty por meio do console ou da API também terão a Proteção para Lambda ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para Lambda ativada, a menos que a opção de habilitação automática para Lambda esteja ativada.

P: A Proteção do GuardDuty para Lambda está disponível em todas as regiões nas quais o GuardDuty está disponível atualmente?

Para obter uma lista completa das regiões nas quais a Proteção para Lambda está disponível, acesse Region-specific feature availability (Disponibilidade de recursos específicos da região).

P: O uso da Proteção do GuardDuty para Lambda afetará a performance ou o custo da execução de workloads do Lambda?

Não, a Proteção do GuardDuty para Lambda foi projetada para não ter implicações de performance, disponibilidade ou custo para as workloads do Lambda.