Perguntas frequentes sobre o Amazon GuardDuty

Visão geral do serviço

O GuardDuty é um serviço inteligente de detecção de ameaças que monitora continuamente suas contas, workloads, atividades de runtime e dados da AWS em busca de atividades mal-intencionadas. Se uma atividade mal-intencionada em potencial for detectada, como comportamentos anômalos, exfiltração de credenciais ou comunicação de infraestrutura de comando e controle (C2), o GuardDuty gera descobertas de segurança detalhadas que podem ser usadas para visibilidade da segurança e assistência na remediação.

O GuardDuty facilita o monitoramento contínuo de suas contas, workloads e atividades de runtime da AWS. O GuardDuty foi projetado para operar de forma totalmente independente dos seus recursos e não ter impacto na performance ou na disponibilidade das suas workloads. O serviço é totalmente gerenciado com inteligência contra ameaças, detecção de anomalias por machine learning (ML) e verificação de malware integradas. O GuardDuty fornece alertas detalhados e acionáveis projetados para serem integrados a sistemas existentes de gerenciamento de eventos e fluxos de trabalho. Não há custos iniciais, e você paga apenas pelos eventos analisados, sem necessidade de implantar outro software ou assinar os feeds de inteligência.

O GuardDuty é um serviço pago conforme o uso, e você paga apenas pelo uso incorrido. Os preços do GuardDuty são baseados no volume de logs de serviços analisados, nas CPUs virtuais (vCPUs) ou nas unidades de capacidade da instância Aurora (ACUs) no Aurora Serverless v2 para análise de eventos do Amazon RDS, o número e o tamanho de workloads do Amazon Elastic Kubernetes Service (Amazon EKS) ou do Amazon Elastic Container Service (Amazon ECS) monitoradas no runtime, e no volume de dados verificados na busca de malware.

Os logs de serviço analisados são filtrados para otimização de custos e integrados diretamente ao GuardDuty, o que significa que você não precisa ativá-los ou pagar por eles separadamente. Se o EKS Runtime Monitoring no GuardDuty estiver habilitado para a sua conta, não haverá cobranças pela análise dos logs de fluxo da VPC de instâncias em que o agente do GuardDuty estiver implantado e ativo. O agente de segurança em runtime nos fornece dados de telemetria de rede semelhantes (e mais contextuais). Portanto, para evitar a cobrança dupla dos clientes, não cobraremos pelos logs de fluxo da VPC das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em que o atendente está instalado.

Consulte o preço do Amazon GuardDuty para obter mais detalhes e exemplos de preços.

O custo estimado representa o custo da conta pagadora individual, e você verá o uso faturado e o custo médio diário de cada conta membro na conta de administrador do GuardDuty. Você deve acessar a conta individual se quiser ver as informações detalhadas de uso.

Sim. Toda conta nova do GuardDuty pode testar gratuitamente o serviço por 30 dias. Você tem acesso ao conjunto completo de recursos e detecções durante o teste gratuito. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

Titulares de contas novas e existentes do GuardDuty que ainda não habilitaram um recurso do GuardDuty podem testá-lo por 30 dias sem custos no nível gratuito da AWS (para o recurso Malware Protection, o teste gratuito está disponível para verificações de malware iniciadas pelo GuardDuty somente para volumes de dados do Amazon EBS). Não há um teste gratuito do Malware Protection para Amazon S3). Durante o período de avaliação gratuita e após, você sempre poderá monitorar seus gastos mensais estimados na página de uso do console do GuardDuty, detalhados por fonte de dados.

O GuardDuty oferece amplo monitoramento de segurança para as contas, workloads e dados da AWS com a finalidade de ajudar a identificar ameaças, como o reconhecimento de invasores, o comprometimento de instâncias, contas, buckets ou clusters do Amazon EKS, e os malwares. O Macie é um serviço de descoberta de dados confidenciais totalmente gerenciado que usa ML e correspondência de padrões para descobrir os seus dados confidenciais no Amazon Simple Storage Service (Amazon S3).

O GuardDuty é um serviço regional. Mesmo quando várias contas estão habilitadas e várias regiões da AWS são usadas, as descobertas de segurança do GuardDuty permanecem nas mesmas regiões em que os dados subjacentes foram gerados. Isso garante que todos os dados analisados ​​tenham base regional e não ultrapassem os limites regionais da AWS. No entanto, é possível optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões ao usar o Amazon EventBridge ou ao enviar descobertas por push para seu datastore (como o Amazon S3) e, em seguida, agregar as descobertas como preferir. Também é possível enviar as descobertas do GuardDuty para o AWS Security Hub e usar a funcionalidade de agregação entre regiões.

A disponibilidade regional do GuardDuty pode ser encontrada na Lista de serviços regionais da AWS. Para obter uma lista completa das regiões em que os recursos do GuardDuty estão disponíveis, acesse Disponibilidade de recursos específicos da região.

Muitos parceiros de tecnologia integraram e criaram o GuardDuty. Também há consultores, integradores de sistemas e prestadores de serviços gerenciados de segurança especializados no GuardDuty. Para obter detalhes, consulte a página Parceiros do Amazon GuardDuty.

A Foregenix publicou um whitepaper que fornece uma avaliação detalhada da eficácia do GuardDuty para auxiliar no atendimento de requisitos, como o requisito 11.4 do PCI DSS, que requer técnicas de detecção de intrusões em pontos críticos da rede.

Como habilitar o GuardDuty

Você pode configurar e implantar o GuardDuty em algumas etapas no Console de Gerenciamento da AWS. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço, e sua manutenção e atualização são contínuas.

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. Quando esse recurso é usado, todas as descobertas de segurança são agregadas à conta de administrador para revisão e remediação. Os eventos do EventBridge também são agregados à conta de administrador do Amazon GuardDuty ao usar essa configuração. Além disso, o GuardDuty está integrado ao AWS Organizations, o que permite delegar uma conta de administrador do GuardDuty para sua organização. Essa conta de delegated administrator (DA – administrador delegado) é centralizada e consolida todas as descobertas, além de poder configurar todas as contas de membros.

As fontes de dados básicas que o GuardDuty analisa incluem: logs de eventos de gerenciamento do AWS CloudTrail, eventos de gerenciamento do CloudTrail e logs de fluxo da VPC do Amazon EC2 e logs de consulta ao DNS. Os planos de proteção opcionais do GuardDuty monitoram outros tipos de recursos, incluindo eventos de dados do S3 com o CloudTrail (Proteção para S3), logs de auditoria do Amazon EKS e atividades de runtime para o Amazon EKS (Proteção para EKS), atividade de runtime para o Amazon ECS (Monitoramento de runtime do ECS), atividade de runtime do Amazon EC2 (Monitoramento de runtime do EC2), dados do volume do Amazon EBS (Proteção contra malware ), eventos de login do Amazon Aurora (Proteção RDS) e logs de atividades da rede (Proteção para Lambda). O serviço é otimizado para consumir grandes volumes de dados para processamento de detecções de segurança praticamente em tempo real. O GuardDuty oferece acesso a técnicas de detecção incorporadas desenvolvidas e otimizadas para a nuvem, que são mantidas e aprimoradas continuamente pela engenharia do GuardDuty.

Após a habilitação, o GuardDuty começa imediatamente a procurar atividades mal-intencionadas ou não autorizadas. O período para começar a receber descobertas depende do nível de atividade da conta. O GuardDuty não examina todos os dados históricos, mas somente as atividades iniciadas após sua habilitação. Se o GuardDuty identificar qualquer ameaça possível, você receberá uma descoberta no console do GuardDuty.

Não. O GuardDuty extrai fluxos de dados independentes diretamente do CloudTrail, dos logs de fluxo da VPC, dos logs de consulta ao DNS e do Amazon EKS. Você não precisa gerenciar as políticas de bucket do Amazon S3 ou modificar a maneira como coleta e armazena os logs. As permissões do GuardDuty são gerenciadas como perfis vinculados ao serviço. Você pode desativar o GuardDuty a qualquer momento, o que removerá todas as permissões dele. Isso facilita a habilitação do serviço, pois evita configurações complexas. Os perfis vinculados ao serviço também eliminam a chance de que uma configuração incorreta de permissão do AWS Identity and Access Management (IAM) ou uma alteração na política de bucket do Amazon S3 afetem a operação do serviço. Por fim, os perfis vinculados ao serviço tornam o GuardDuty extremamente eficiente no consumo de grandes volumes de dados praticamente em tempo real, com impacto mínimo ou nulo na performance e na disponibilidade da conta ou das workloads.

Quando você ativa o GuardDuty pela primeira vez, ele opera de forma totalmente independente dos seus recursos da AWS. Se você configurar o Monitoramento de runtime do GuardDuty para implantar automaticamente o atendente de segurança do GuardDuty, isso poderá resultar na utilização adicional de recursos e também criará endpoints de VPC em VPCs usadas para executar as workloads monitoradas.

Não, o GuardDuty não gerencia ou retém seus logs. Todos os dados consumidos pelo GuardDuty são analisados quase em tempo real e descartados em seguida. Isso permite que o GuardDuty seja altamente eficiente e econômico, além de reduzir o risco de remanescência de dados. Para a entrega e retenção de logs, você deve usar diretamente os serviços de registro e monitoramento da AWS, que oferecem opções avançadas de entrega e retenção.

Você pode impedir que o GuardDuty analise fontes dos dados a qualquer momento nas configurações gerais suspendendo o serviço. A suspensão impedirá imediatamente que o serviço analise dados, mas não excluirá as descobertas ou configurações existentes. Além disso, você pode desabilitar o serviço nas configurações gerais. Todos os dados restantes serão excluídos, inclusive as descobertas e as configurações existentes, antes de liberar as permissões e redefinir o serviço. Você também pode desativar seletivamente recursos como Proteção do GuardDuty para S3 ou Proteção do GuardDuty para EKS por meio do Console de Gerenciamento ou da AWS CLI.

Ativar o GuardDuty

O GuardDuty proporciona acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e aprimorados continuamente por engenheiros do GuardDuty. As principais categorias de detecção incluem as seguintes:

  • Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, verificação de portas na VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
  • Comprometimento de instância: atividade que indica um comprometimento de instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínios (DGAs), atividade de negação de serviço de saída, um volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de uma instância de saída com um IP mal-intencionado conhecido, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.
  • Comprometimento de conta: padrões comuns indicativos de comprometimento de conta, incluindo chamadas de API de uma geolocalização incomum ou de um proxy anônimo, tentativas de desativar o registro em log do CloudTrail, execuções incomuns de instância ou infraestrutura, implantações de infraestrutura em uma região incomum, exfiltração de credenciais, atividade de login suspeita no banco de dados e chamadas de API de endereços IP mal-intencionados conhecidos.
  • Comprometimento de bucket: atividade que indica um comprometimento de bucket, como padrões suspeitos de acesso a dados que indicam o uso indevido de credenciais, atividade incomum da API do Amazon S3 de um host remoto, acesso não autorizado do Amazon S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperação de dados em buckets do Amazon S3 de um usuário que não tinha histórico anterior de acesso ao bucket ou que foram invocadas de um local incomum. O GuardDuty monitora e analisa continuamente os eventos de dados do S3 com o CloudTrail (por exemplo, o GetObject, o ListObjects e o DeleteObject) para detectar atividades suspeitas em todos os seus buckets do Amazon S3.
  • Malware: o GuardDuty pode detectar a presença de malware, como trojans, worms, mineradores de criptomoedas, rootkits ou bots, que podem ser usados para comprometer suas workloads de contêineres ou instâncias do Amazon EC2 ou que são carregados nos seus buckets do Amazon S3.
  • Compromisso de contêiner: a atividade que identifica possível comportamento mal-intencionado ou suspeito em workloads de contêiner é detectada pelo monitoramento e criação de perfil contínuos dos clusters do Amazon EKS, que analisam os logs de auditoria do Amazon EKS e a atividade de runtime do contêiner no Amazon EKS ou Amazon ECS

Aqui está uma lista completa dos tipos de descobertas do GuardDuty.

A inteligência de ameaças do GuardDuty é composta por endereços IP e domínios indicados como utilizados por invasores. A inteligência de ameaças do GuardDuty é fornecida pela segurança da AWS e por provedores de terceiros, como Proofpoint e CrowdStrike. Esses feeds de inteligência de ameaças são pré-integrados e atualizados continuamente no GuardDuty, sem custo adicional.

Sim, o GuardDuty permite que você carregue sua própria inteligência de ameaças ou lista de endereços IP confiáveis. Quando esse recurso é usado, essas listas somente são aplicadas à sua conta e não são compartilhadas com outros clientes.

Quando uma possível ameaça é detectada, o GuardDuty entrega uma descoberta de segurança detalhada ao console do GuardDuty e ao EventBridge. Dessa forma, os alertas ficam mais acionáveis e mais facilmente integrados a sistemas existentes de gerenciamento de eventos ou fluxos de trabalho. As descobertas incluem a categoria, os recursos afetados e os metadados associados ao recurso, como nível de gravidade.

As descobertas do GuardDuty são disponibilizadas em um formato JSON comum que também é usado pelo Macie e pelo Amazon Inspector. Assim fica mais fácil para os clientes e parceiros consumirem descobertas de segurança em todos os três serviços e os incorporarem em soluções mais amplas de gerenciamento de eventos, fluxos de trabalho ou segurança.

As descobertas de segurança são retidas e disponibilizadas por meio do console do GuardDuty e das APIs por 90 dias. Após 90 dias, as descobertas são descartadas. Para reter as descobertas por mais de 90 dias, é possível habilitar que o EventBridge as envie por push automaticamente para um bucket do Amazon S3 em sua conta ou outro datastore para retenção de longo prazo.

Sim, é possível optar por agregar as descobertas de segurança produzidas pelo GuardDuty entre regiões ao usar o EventBridge ou ao enviar descobertas por push para seu datastore (como o Amazon S3) e, em seguida, agregar as descobertas como preferir. Também é possível enviar as descobertas do GuardDuty para o Security Hub e usar a funcionalidade de agregação entre regiões.

Com os serviços GuardDuty, EventBridge e AWS Lambda, você tem a flexibilidade de definir ações corretivas automatizadas com base em uma descoberta de segurança. Por exemplo, você pode criar uma função do Lambda para modificar as regras do grupo de segurança da AWS com base nas descobertas de segurança. Se você receber uma descoberta do GuardDuty indicando que uma de suas instâncias do Amazon EC2 está sendo sondada por um IP mal-intencionado conhecido, poderá resolvê-la ao usar uma regra do EventBridge, que inicia uma função do Lambda para modificar automaticamente as regras do grupo de segurança e restringir o acesso nessa porta.

O GuardDuty conta com uma equipe dedicada à engenharia, ao gerenciamento e a iteração de detecções. Os resultados são uma cadência uniforme de novas detecções no serviço, bem como uma iteração contínua em detecções existentes. Vários mecanismos de feedback são incorporados ao serviço, como o curtir e descurtir em cada descoberta de segurança encontrada na interface de usuário (IU) do GuardDuty. Isso permite você forneça feedback que pode ser incorporado nas próximas iterações das detecções do GuardDuty.

Não, o GuardDuty remove o trabalho pesado e a complexidade do desenvolvimento e da manutenção dos seus próprios conjuntos de regras personalizadas. Novas detecções são adicionadas continuamente de acordo com o feedback dos clientes e das pesquisas feitas pelos engenheiros de segurança da AWS e pela equipe de engenharia do GuardDuty. No entanto, as personalizações configuradas pelo cliente incluem a adição de suas próprias listas de ameças e lista de endereços IP confiáveis.

Proteção do GuardDuty S3

Para contas atuais do GuardDuty, o S3 Protection pode ser ativado no console na página de proteção do S3 ou por meio da API. Isso iniciará um teste gratuito de 30 dias do recurso GuardDuty S3 Protection.

Sim, existe um teste gratuito de 30 dias. Cada conta em cada região recebe um teste gratuito de 30 dias do GuardDuty que inclui o recurso S3 Protection. As contas que já têm o GuardDuty habilitado também receberão um teste gratuito de 30 dias do recurso S3 Protection ao ativá-lo pela primeira vez.

Sim. Por padrão, todas as novas contas que habilitam o GuardDuty por meio do console ou da API também terão a Proteção para S3 ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para S3 ativada, a menos que a opção de habilitação automática para o S3 esteja ativada.

Não, o serviço GuardDuty deve estar habilitado para usar o S3 Protection. As contas atuais do GuardDuty têm a opção de habilitar a Proteção para S3, e as novas contas do GuardDuty terão o recurso por padrão assim que o serviço do GuardDuty for habilitado.

Sim. Por padrão, a Proteção para S3 monitora todos os buckets do Amazon S3 em seu ambiente.

Não, o GuardDuty tem acesso direto aos logs de eventos de dados do CloudTrail S3. Você não é obrigado a habilitar o registro em log de eventos de dados do S3 no CloudTrail e, portanto, não incorrerá nos custos associados. Observe que o GuardDuty não armazena os logs e os usa somente para análise.

Proteção do GuardDuty EKS

O GuardDuty EKS Protection é um atributo do GuardDuty que monitora a atividade do ambiente de gerenciamento de clusters do Amazon EKS analisando os logs de auditoria do Amazon EKS. O GuardDuty é integrado ao Amazon EKS, oferecendo acesso direto aos logs de auditoria do Amazon EKS sem exigir que você ative ou armazene esses logs. Esses logs de auditoria são registros cronológicos relevantes para a segurança que documentam a sequência de ações executadas no ambiente de gerenciamento do Amazon EKS. Esses logs de auditoria do Amazon EKS dão ao GuardDuty a visibilidade necessária para realizar o monitoramento contínuo da atividade da API do Amazon EKS e aplicar inteligência de ameaças comprovada e detecção de anomalias para identificar atividades maliciosas ou alterações de configuração que possam expor seu cluster do Amazon EKS a acesso não autorizado. Quando as ameaças são identificadas, o GuardDuty gera descobertas de segurança que incluem o tipo de ameaça, um nível de gravidade e detalhes no nível do contêiner (como ID do pod, ID da imagem do contêiner e etiquetas associadas).

O GuardDuty EKS Protection pode detectar ameaças relacionadas à atividade de usuários e aplicações capturadas nos logs de auditoria do Amazon EKS. As detecções de ameaças do Amazon EKS incluem clusters do Amazon EKS que são acessados por agentes mal-intencionados conhecidos ou a partir de nós do Tor, operações de API executadas por usuários anônimos que podem indicar uma configuração incorreta e configurações incorretas que podem resultar em acesso não autorizado a clusters do Amazon EKS. Além disso, ao usar modelos de ML, o GuardDuty pode identificar padrões consistentes com técnicas de escalonamento de privilégios, como uma execução suspeita de um contêiner com acesso de nível raiz ao host do Amazon EC2 subjacente. Consulte Amazon GuardDuty Finding types (Tipos de descobertas do Amazon GuardDuty) para obter uma lista completa de todas as novas detecções.

Não, o GuardDuty tem acesso direto aos logs de auditoria do Amazon EKS. Observe que o GuardDuty usa apenas esses logs para análise. Ele não os armazena, nem você precisa habilitar ou pagar para que esses logs de auditoria do Amazon EKS sejam compartilhados com o GuardDuty. Para otimizar os custos, o GuardDuty aplica filtros inteligentes para consumir apenas um subconjunto dos logs de auditoria relevantes para a detecção de ameaças à segurança.

Sim, existe um teste gratuito de 30 dias. Cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso GuardDuty EKS Protection. As contas existentes do GuardDuty recebem uma avaliação de 30 dias do GuardDuty EKS Protection sem custo adicional. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

A proteção EKS do GuardDuty deve ser ativada para cada conta individual. Você pode ativar o recurso para suas contas com uma única ação no console do GuardDuty na página do console Proteção EKS do GuardDuty. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá ativar a Proteção EKS do GuardDuty em toda a sua organização na página Proteção EKS do GuardDuty da conta de administrador. Isso ativará o monitoramento contínuo do Amazon EKS em todas as contas-membro individuais. Para contas do GuardDuty criadas usando o recurso de ativação automática do AWS Organizations, você precisará ligar explicitamente a ativação automática para o Amazon EKS. Com esse recurso ativado para uma conta, todos os clusters do Amazon EKS existentes e futuros na conta serão monitorados para ameaças, sem qualquer configuração nos clusters do Amazon EKS.

Sim. Por padrão, qualquer nova conta que ativar o GuardDuty por meio do console ou da API também terá a Proteção do GuardDuty para EKS ativada. Para novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa habilitar explicitamente a opção de habilitação automática para a Proteção para EKS. 

Você pode desabilitar o recurso no console ou usando a API. No console do GuardDuty, você pode desabilitar o GuardDuty EKS Protection para suas contas na página do console do GuardDuty EKS Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar esse recurso para suas contas de membros.

Se você desativou anteriormente o GuardDuty EKS Protection, poderá reativar o recurso no console ou usando a API. No console do GuardDuty, você pode habilitar o GuardDuty EKS Protection para suas contas na página do console do GuardDuty EKS Protection.

A proteção do GuardDuty EKS deve ser habilitada para cada conta individual. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar a detecção de ameaças do Amazon EKS em toda a sua organização com um único clique na página do console do GuardDuty EKS Protection da conta de administrador do GuardDuty. Isso habilitará a detecção de ameaças do Amazon EKS em todas as contas-membro individuais. Com esse recurso habilitado para uma conta, todos os clusters do Amazon EKS existentes e futuros na conta serão monitorados quanto a ameaças, e nenhuma configuração manual será necessária em seus clusters do Amazon EKS.

Você não incorrerá em cobranças do GuardDuty EKS Protection se não estiver usando o Amazon EKS e tiver o GuardDuty EKS Protection ativado. No entanto, quando você começar a usar o Amazon EKS, o GuardDuty monitorará automaticamente seus clusters e gerará descobertas para problemas identificados, e você será cobrado por esse monitoramento.

Não, o serviço GuardDuty deve ser habilitado para que o GuardDuty EKS Protection esteja disponível.

Sim, a Proteção do GuardDuty para EKS monitora logs de auditoria do Amazon EKS de clusters do Amazon EKS implantados em instâncias do Amazon EC2 e clusters do Amazon EKS implantados no Fargate.

Atualmente, essa funcionalidade oferece suporte somente para implantações do Amazon EKS em execução em instâncias do Amazon EC2 em sua conta ou no Fargate.

Não. O GuardDuty EKS Protection foi concebido para não ter nenhuma implicação de performance, disponibilidade ou custo em implantações de workloads do Amazon EKS.

Sim, o GuardDuty é um serviço regional e, portanto, a Proteção EKS do GuardDuty deve ser ativada em cada região da AWS separadamente.

Monitoramento de runtime do GuardDuty

O Monitoramento de runtime do GuardDuty usa um agente de segurança leve e totalmente gerenciado que adiciona visibilidade às atividades de runtime, como acesso a arquivos, execução de processos e conexões de rede no nível do pod ou da instância para seus recursos cobertos. O agente de segurança é implantado automaticamente como um conjunto de Daemon que coleta eventos de runtime e os entrega ao GuardDuty para processamento de análises de segurança. Isso permite que o GuardDuty identifique instâncias ou contêineres específicos no seu ambiente da AWS que estejam potencialmente comprometidos e detecte tentativas de escalar privilégios para o ambiente mais amplo da AWS. Quando o GuardDuty detecta uma ameaça em potencial, é gerada uma descoberta de segurança que inclui o contexto de metadados, entre eles detalhes da instância, do contêiner, do pod e do processo. 

O Monitoramento de runtime está disponível para recursos do Amazon EKS executados no Amazon EC2, clusters do Amazon ECS executados no Amazon EC2 ou AWS Fargate e instâncias do Amazon EC2

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty, na página Monitoramento de runtime, ou por meio da API. Saiba mais sobre o Monitoramento de runtime do GuardDuty.

Não. O Monitoramento de runtime do GuardDuty é o único plano de proteção que não está habilitado por padrão quando você ativa o GuardDuty pela primeira vez. O recurso pode ser ativado no console do GuardDuty, na página Monitoramento de runtime, ou por meio da API. Novas contas do GuardDuty criadas usando o recurso de ativação automática do AWS Organizations não terão o Monitoramento de runtime ativado, a menos que a opção de habilitação automática para Monitoramento de runtime esteja ativada.

Quando você habilita o Monitoramento de runtime do Amazon ECS, o GuardDuty fica pronto para consumir os eventos de runtime de uma tarefa. Essas tarefas são executadas nos clusters do Amazon ECS, que, por sua vez, são executados em instâncias do AWS Fargate. Para que o GuardDuty receba esses eventos de runtime, você deve usar a Configuração automatizada do agente.

Ao habilitar o Monitoramento de runtime para o Amazon EC2 ou o Amazon EKS, você tem a opção de implantar o agente de segurança do GuardDuty manualmente ou de permitir que o GuardDuty o gerencie em seu nome com a Configuração automatizada do agente.

Acesse Conceitos-chave - Abordagens para gerenciar o agente de segurança do GuardDuty, no Guia do usuário do GuardDuty, para obter mais detalhes.
 

Não, o serviço GuardDuty deve estar habilitado para usar o Monitoramento de runtime do GuardDuty.

Para obter uma lista completa das regiões em que o Monitoramento de runtime está disponível, acesse Disponibilidade de recursos específicos da região.

O Monitoramento de runtime do GuardDuty deve ser habilitado para cada conta individual. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá ativá-la em toda a organização em uma única etapa na página do console do Monitoramento de runtime do GuardDuty da conta de administrador do GuardDuty. Isso ativará o Monitoramento de runtime das workloads desejadas em todas as contas-membro individuais. Depois de ativadas para uma conta, todas as workloads selecionadas existentes e futuras na conta serão monitoradas quanto a ameaças de runtime, e nenhuma configuração manual será necessária.

O Monitoramento de runtime do GuardDuty permite que você configure seletivamente quais clusters do Amazon EKS ou clusters do Amazon ECS devem ser monitorados para detecção de ameaças. Com a capacidade de configuração em nível de cluster, você pode monitorar seletivamente clusters específicos para detecção de ameaças ou continuar usando a capacidade de configuração em nível de conta para monitorar todos os clusters do EKS ou ECS, respectivamente, em uma determinada conta e região.

Como todos os casos de segurança, observabilidade e outros casos de uso que exigem um agente no host, o agente de segurança GuardDuty introduz uma sobrecarga de utilização de recursos. O agente de segurança do GuardDuty foi projetado para ser leve e é cuidadosamente monitorado pelo GuardDuty para minimizar a utilização e o impacto nos custos das workloads cobertas. As métricas exatas de utilização de recursos serão disponibilizadas para as equipes de aplicações e segurança monitorarem no Amazon CloudWatch.

Se você configurar o Monitoramento de runtime do GuardDuty para implantar automaticamente o agente de segurança do GuardDuty, isso poderá resultar na utilização adicional de recursos e também criará endpoints de VPC em VPCs usadas para executar workloads da AWS. 

Você não receberá cobranças do Monitoramento de runtime do GuardDuty se o tiver habilitado para uma workload que não esteja em execução. No entanto, quando você começar a usar o Amazon EKS, o Amazon ECS ou o Amazon EC2 e o Monitoramento de runtime do GuardDuty estiver habilitado para essa workload, você receberá cobranças quando o GuardDuty monitorar automaticamente seus clusters, tarefas e instâncias e gerar descobertas para problemas identificados. 

O Monitoramento de runtime do GuardDuty pode ser desabilitado para uma conta ou organização da AWS na página Monitoramento de runtime do console do GuardDuty. Se o agente de segurança foi implantado automaticamente pelo GuardDuty, este também o removerá quando o atributo for desabilitado.

Se você optou por implantar o agente do GuardDuty manualmente (aplicável somente ao Monitoramento de runtime do EKS e ao Monitoramento de runtime do EC2), precisará removê-lo manualmente, e todos os endpoints de VPC criados deverão ser excluídos manualmente. As etapas para remoção manual do Monitoramento de runtime do EKS e do Monitoramento de runtime do EC2 estão detalhadas no Guia do usuário do GuardDuty. 

Proteção contra Malware do GuardDuty

Volumes de dados do Amazon EBS: se você tiver essa fonte de dados habilitada para o Malware Protection, o GuardDuty iniciará uma verificação de detecção de malware quando identificar um comportamento suspeito indicativo de software mal-intencionado em workloads de contêineres ou instâncias do Amazon EC2. Ele verifica uma réplica de volume do Amazon EBS que o GuardDuty gera com base no snapshot do seu volume do Amazon EBS em busca de trojans, worms, mineradores de criptografia, rootkits, bots e muito mais. A Proteção contra Malware do GuardDuty gera descobertas contextualizadas que podem ajudar a validar a origem do comportamento suspeito. Essas descobertas também podem ser roteadas para os administradores adequados e podem iniciar a remediação automatizada.

Verificação de objetos do S3: quando um bucket é configurado para proteção contra malware, o GuardDuty verifica automaticamente os arquivos recém-carregados e, se malware for detectado, gera uma notificação do Amazon EventBridge com detalhes sobre o malware, permitindo a integração com sistemas existentes de gerenciamento de eventos de segurança ou fluxo de trabalho. Você pode configurar a quarentena automática do malware movendo o objeto para um bucket isolado na sua conta ou usar etiquetas de objeto para adicionar a disposição do resultado da verificação, permitindo identificar e categorizar melhor os objetos verificados com base nas etiquetas.

As descobertas do GuardDuty para o Amazon EC2 que iniciarão uma verificação de malware podem ser encontradas no Guia do usuário do GuardDuty.

A Proteção contra Malware oferece suporte à detecção de arquivos mal-intencionados por meio da verificação do Amazon EBS anexado a instâncias do Amazon EC2. Os tipos de sistemas de arquivos compatíveis podem ser encontrados no Guia do usuário do GuardDuty.

O Malware Protection para S3 pode verificar arquivos pertencentes à maioria das classes de armazenamento síncronas do S3, como S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA e Amazon S3 Glacier Instant Retrieval, com o mecanismo de verificação de malware do GuardDuty.  Ele examinará os formatos de arquivo conhecidos por serem usados para espalhar ou conter malware, incluindo executáveis, arquivos .pdf, arquivamentos, binários, arquivos compactados, scripts, instaladores, bancos de dados de e-mail, e-mails simples, imagens e objetos codificados.

O Malware Protection verifica ameaças como trojans, worms, mineradores de criptografia, rootkits e bots, que podem ser usados para comprometer workloads, redirecionar recursos para uso mal-intencionado e obter acesso não autorizado a dados.

Consulte o Guia do usuário do GuardDuty para obter uma lista abrangente dos tipos de descoberta.

O registro em log do serviço não precisa ser habilitado para que o GuardDuty ou o recurso Malware Protection funcionem. O recurso Malware Protection faz parte do GuardDuty, que é um serviço da AWS que usa inteligência de fontes internas e externas integradas.

Em vez de usar agentes de segurança, a Proteção contra Malware do GuardDuty criará e verificará uma réplica com base no snapshot dos volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida em sua conta. As permissões que você concedeu ao GuardDuty por meio de um perfil vinculado ao serviço permitem que o serviço crie uma réplica de volume criptografada na conta de serviço do GuardDuty a partir desse snapshot que permanece na sua conta. O GuardDuty Malware Protection verificará a réplica do volume em busca de malware.

Para objetos no Amazon S3, o GuardDuty começa a ler, descriptografar e verificar objetos carregados em buckets que você configurou para o GuardDuty Malware Protection. Você pode limitar o escopo dos objetos a serem verificados em um bucket, definindo que somente objetos com determinados prefixos sejam verificados. O GuardDuty verificará objetos carregados que correspondam a esses prefixos definidos e gerará uma descoberta de segurança e uma notificação do Amazon EventBridge com um resultado detalhado da verificação: infectado, limpo, ignorado ou com falha. A notificação também incluirá métricas de verificação relacionadas ao número de objetos e aos bytes verificados. Você também pode definir ações pós-verificação, que o GuardDuty executará no objeto com base no resultado da verificação, como quarentena automática ou marcação de objetos.

Sim, cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso Malware Protection (disponível somente para verificações de volumes de dados do EBS iniciadas pelo GuardDuty; não há um teste gratuito do GuardDuty Malware Protection para Amazon S3). As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode visualizar a estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

Você pode habilitar o Malware Protection no console do GuardDuty acessando a página do Malware Protection ou usando a API. Se você estiver operando em uma configuração de várias contas do GuardDuty, poderá habilitar o recurso em toda a organização na página do console do Malware Protection da conta do administrador do GuardDuty. Isso permitirá o monitoramento de malware em todas as contas de membros individuais. Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para o Malware Protection.

Para Malware Protection para o S3, você pode integrar verificações de malware em suas aplicações seguindo duas etapas. Primeiro, como proprietário da aplicação, você precisa definir a configuração de proteção de bucket nos buckets que deseja monitorar. É possível configurar isso no console do GuardDuty programaticamente para um bucket existente ou ao criar um novo bucket. O GuardDuty enviará métricas de verificação aos seus eventos do EventBridge para cada bucket do S3 protegido, permitindo que você configure alarmes e defina ações pós-verificação, como marcar o objeto ou copiar o objeto mal-intencionado para um bucket de quarentena que o GuardDuty executará com base no resultado da verificação. Se o GuardDuty estiver habilitado para sua conta, uma descoberta de segurança também será gerada no GuardDuty.

Sim, qualquer nova conta que habilite o GuardDuty usando o console ou a API também terá o GuardDuty Malware Protection habilitado por padrão (para verificações de volumes do EBS). Para contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations, você precisa ativar explicitamente a opção de habilitação automática para Malware Protection. 

Você pode desabilitar o recurso no console ou usando a API. Você verá uma opção para desabilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection. Se você tiver uma conta de administrador do GuardDuty, também poderá desativar o GuardDuty Malware Protection para suas contas de membros.

Se o Malware Protection foi desativado, você pode ativar o recurso no console ou usando a API. Você pode habilitar o Malware Protection para suas contas no console do GuardDuty, na página do console do Malware Protection.

Não, não haverá cobrança pelo Malware Protection se não houver verificações de malware durante um período de faturamento. Você pode visualizar os custos desse recurso no Console de Faturamento da AWS.

Sim. O GuardDuty tem um recurso de várias contas que permite associar e gerenciar várias contas da AWS a partir de uma única conta de administrador. O GuardDuty tem gerenciamento de várias contas por meio da integração do AWS Organizations. Essa integração ajuda as equipes de segurança e conformidade a garantir a cobertura total do GuardDuty, incluindo o Malware Protection, em todas as contas de uma organização.

Não. Assim que o recurso for habilitado, a Proteção contra Malware do GuardDuty iniciará uma verificação de malware em resposta às descobertas relevantes do Amazon EC2. Não é necessário implantar nenhum agente, não há fontes de log a serem habilitadas e não há outras alterações de configuração a serem feitas.

A Proteção contra Malware do GuardDuty foi projetada para não afetar a performance das workloads. Por exemplo, os snapshots de volumes do Amazon EBS criados para análise de malware podem ser gerados somente uma vez em um período de 24 horas, e a Proteção contra Malware do GuardDuty retém as réplicas e os snapshots criptografados por alguns minutos após a conclusão da verificação. Além disso, a Proteção contra Malware do GuardDuty usa recursos computacionais do GuardDuty para verificação de malware em vez de recursos computacionais do cliente.

Sim, o Amazon GuardDuty é um serviço regional e o Malware Protection deve ser habilitado em cada região da AWS separadamente.

A Proteção contra Malware do GuardDuty verifica uma réplica com base no snapshot dos volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida em sua conta. Se os volumes do Amazon EBS forem criptografados com uma chave gerenciada pelo cliente, você terá a opção de compartilhar a chave do AWS Key Management Service (KMS) com o GuardDuty e o serviço usará a mesma chave para criptografar a réplica de volume do Amazon EBS. Para volumes do Amazon EBS não criptografados, o GuardDuty usa a própria chave para criptografar a réplica de volume do Amazon EBS.

Sim, todos os dados da réplica de volume do Amazon EBS (e o snapshot no qual a réplica de volume se baseia) permanecem na mesma região que o volume do Amazon EBS original.

Cada nova conta do GuardDuty em cada região recebe um teste gratuito de 30 dias do GuardDuty, incluindo o recurso Malware Protection (somente para verificações de volumes de dados do EBS iniciadas pelo GuardDuty; não há um teste gratuito do Malware Protection para Amazon S3). As contas existentes do GuardDuty recebem um teste de 30 dias do Malware Protection sem custo adicional na primeira vez que são habilitadas em uma conta. Durante o período de avaliação, você pode fazer uma estimativa de custos pós-avaliação na página de uso do console do GuardDuty. Se você for um administrador do GuardDuty, verá os custos estimados para suas contas de membro. Após 30 dias, você poderá visualizar os custos reais desse recurso no Console de Faturamento da AWS.

O preço das verificações de malware de volumes do EBS é baseado nos GBs de dados verificados em um volume. É possível aplicar personalizações ao usar opções de verificação do console para marcar algumas instâncias do Amazon EC2 ou usar etiquetas, para serem incluídas ou excluídas da verificação, controlando assim o custo. Além disso, o GuardDuty fará a verificação de uma instância do Amazon EC2 somente uma vez a cada 24 horas. Se o GuardDuty gerar diversas descobertas do Amazon EC2 para uma instância do Amazon EC2 em 24 horas, uma verificação ocorrerá somente para a primeira descoberta relevante do Amazon EC2. Se as descobertas do Amazon EC2 continuarem, para uma instância, 24 horas após a última verificação de malware, uma nova verificação de malware será iniciada para essa instância.

O preço das verificações de malware em objetos de armazenamento nos buckets do S3 é baseado nos GBs de dados verificados, bem como no número de arquivos verificados em um bucket do S3 designado que esteja configurado para verificações de malware. O GuardDuty verificará somente arquivos recém-carregados em buckets configurados e não verificará arquivos existentes ou arquivos em buckets não designados para verificações de malware.

Sim, há uma configuração em que você pode habilitar a retenção de snapshots quando a verificação do Malware Protection detecta malware. Você pode habilitar essa configuração no console do GuardDuty, na página Configurações. Por padrão, os snapshots são excluídos alguns minutos após a conclusão da verificação e após 24 horas se a verificação não for concluída.

A Proteção contra Malware do GuardDuty reterá cada réplica de volume do Amazon EBS gerada e verificada por até 24 horas. Por padrão, as réplicas de volumes do Amazon EBS são excluídas alguns minutos depois que a Proteção contra Malware do GuardDuty conclui uma verificação. Em alguns casos, no entanto, a Proteção contra Malware do GuardDuty pode precisar reter uma réplica de volume do Amazon EBS por mais de 24 horas se uma interrupção do serviço ou problema de conexão interferir em sua verificação de malware. Quando isso ocorre, a Proteção contra Malware do GuardDuty retém a réplica de volume do Amazon EBS por até sete dias para oferecer ao serviço tempo de triagem e resolver a interrupção ou o problema de conexão. A Proteção contra Malware do GuardDuty excluirá a réplica de volume do Amazon EBS depois que a interrupção ou falha for resolvida ou assim que o período de retenção estendido expirar.

Não, o GuardDuty verifica somente uma réplica a cada 24 horas com base no snapshot de volumes do Amazon EBS anexados à instância ou à workload de contêiner do Amazon EC2 potencialmente comprometida. Mesmo que o GuardDuty gere diversas descobertas que se qualifiquem para iniciar uma verificação de malware, ele não iniciará verificações adicionais se tiverem passado menos de 24 horas desde a verificação anterior. Se o GuardDuty gerar uma descoberta qualificada após 24 horas da última verificação de malware, o GuardDuty Malware Protection iniciará uma nova verificação de malware para essa workload.

Não, desabilitar o serviço GuardDuty também desabilita o recurso de Proteção contra Malware.

Não, o GuardDuty S3 Malware Protection oferece flexibilidade, permitindo que os proprietários de aplicações configurem a proteção contra malware para seus buckets do S3 mesmo quando o GuardDuty básico não está habilitado para a conta. O GuardDuty básico inclui monitoramento padrão de fontes fundamentais, como eventos de gerenciamento do AWS CloudTrail, logs de fluxo de VPC e logs de consultas de DNS.

Proteção do GuardDuty para RDS

A Proteção do GuardDuty para RDS por ser ativada com uma única ação no console do GuardDuty, sem precisar implantar agentes manualmente, ativar fontes de dados ou configurar permissões. Com modelos de ML personalizados, a Proteção do GuardDuty para RDS começa analisando e criando perfis de tentativas de login para bancos de dados existentes e novos do Amazon Aurora. Quando comportamentos suspeitos ou tentativas de agentes mal-intencionados conhecidos são identificados, o GuardDuty emite descobertas de segurança acionáveis ​​para os consoles do GuardDuty e do Amazon Relational Database Service (RDS), para o Security Hub e para o Amazon EventBridge, permitindo a integração com sistemas de fluxo de trabalho ou de gerenciamento de eventos de segurança existentes. Saiba mais sobre como a Proteção do GuardDuty para RDS usa o monitoramento da atividade de login do RDS.

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty na página Proteção do RDS ou por meio da API. Saiba mais sobre a Proteção do GuardDuty para RDS.

Sim. Por padrão, todas as novas contas que ativarem o GuardDuty por meio do console ou da API também terão a Proteção para RDS ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para RDS ativada, a menos que a opção de habilitação automática para o RDS esteja ativada.

Não, o serviço GuardDuty deve estar habilitado para usar a Proteção do GuardDuty para RDS.

Para obter uma lista completa das regiões em que a Proteção do RDS está disponível, acesse Disponibilidade de recursos específicos da região.

Não, a detecção de ameaças do GuardDuty para bancos de dados do Aurora foi projetada para não ter implicações de performance, disponibilidade ou custo para os bancos de dados do Amazon Aurora.

Proteção do GuardDuty para Lambda

A Proteção do GuardDuty para Lambda monitora continuamente a atividade de rede, começando com os logs de fluxo da VPC, a partir de suas workloads com tecnologia sem servidor para detectar ameaças como funções do Lambda mal-intencionadas que foram reaproveitadas para mineração não autorizada de criptomoedas ou funções do Lambda comprometidas que estão se comunicando com servidores de agentes de ameaças conhecidos. A Proteção do GuardDuty para Lambda pode ser habilitada com algumas etapas no console do GuardDuty. Além disso, ao usar o AWS Organizations, ela pode ser habilitada centralmente para todas as contas novas e existentes em uma organização. Uma vez habilitada, ela começa a monitorar automaticamente os dados de atividade de rede de todas as funções do Lambda existentes e novas em uma conta.

Para contas atuais do GuardDuty, o recurso pode ser ativado no console do GuardDuty na página da Proteção para Lambda ou por meio da API. Saiba mais sobre a Proteção do GuardDuty para Lambda.

Sim. Por padrão, todas as novas contas que ativarem o GuardDuty por meio do console ou da API também terão a Proteção para Lambda ativada. As novas contas do GuardDuty criadas usando o recurso de habilitação automática do AWS Organizations não terão a Proteção para Lambda ativada, a menos que a opção de habilitação automática para Lambda esteja ativada.

Para obter uma lista completa das regiões nas quais a Proteção para Lambda está disponível, acesse Region-specific feature availability (Disponibilidade de atributos específicos da região).

Não, a Proteção do GuardDuty para Lambda foi projetada para não ter implicações de performance, disponibilidade ou custo para as workloads do Lambda.