Visão geral

O Amazon GuardDuty é um serviço inteligente de detecção de ameaças que oferece uma forma precisa e fácil de monitorar e proteger continuamente contas e cargas de trabalho da AWS. O GuardDuty analisa bilhões de eventos em todas as suas contas da AWS gerados pelo AWS CloudTrail (atividade de usuários e APIs da AWS em suas contas), pelo Amazon VPC Flow Logs (dados de tráfego de rede) e pelo DNS Logs (padrões de consulta de nomes).

A detecção de ameaças do Amazon GuardDuty identifica atividades que podem ser associadas a comprometimento de contas ou instâncias e reconhecimento mal-intencionado. Por exemplo, o GuardDuty detecta chamadas de API incomuns, comunicações de saída suspeitas com endereços IP mal-intencionados conhecidos ou possível roubo de dados usando consultas de DNS como mecanismo de transporte. O GuardDuty entrega descobertas mais precisas usando Machine Learning aperfeiçoado por inteligência de ameaças, como listas de IPs e domínios mal-intencionados.

Com apenas alguns cliques no Console de Gerenciamento da AWS, o Amazon GuardDuty pode ser habilitado e os clientes podem ter uma opção mais inteligente e econômica para detecção de ameaças na Nuvem AWS.

Detecção de ameaças precisa para as contas

O Amazon GuardDuty detecta com precisão o comprometimento de contas, que pode ser particularmente difícil de detectar rapidamente na ausência de um monitoramento contínuo de fatores praticamente em tempo real. O GuardDuty pode detectar sinais de comprometimento de conta como acesso a recursos da AWS de localizações geográficas incomuns em um momento não usual do dia. Para contas da AWS programáticas, o GuardDuty verifica chamadas de API incomuns, como tentativas de disfarçar a atividade da conta com a desabilitação do registro em log do CloudTrail ou a realização de snapshots de um banco de dados de um endereço IP mal-intencionado.

Monitoramento contínuo entre contas da AWS sem aumentar custos ou complexidade

O Amazon GuardDuty monitora e analisa continuamente os dados de eventos de contas e cargas de trabalho da AWS encontrados no AWS CloudTrail, no VPC Flow Logs e no DNS Logs. Não há necessidade de implantar e manter software ou infraestrutura de segurança adicional. A associação de contas da AWS em conjunto permite agregar a detecção de ameaças em vez de trabalhar com base em contas individuais. Além disso, você não precisa coletar, analisar e correlacionar grandes volumes dados da AWS de várias contas. Dessa forma, você pode se concentrar em como responder rapidamente, como manter a organização segura e continuar a escalar e inovar na Nuvem AWS.

Detecções de ameaças desenvolvidas e otimizadas para a nuvem

O Amazon GuardDuty oferece acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. Os algoritmos de detecção são mantidos e continuamente aprimorados pela segurança da AWS. As principais categorias de detecção incluem:

Reconhecimento – Atividade que sugere reconhecimento de invasores, como atividades incomuns de API, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.

Comprometimento de instância – Atividade que sugere um comprometimento da instância, como mineração de criptomoedas, atividade de comando e controle (C&C) de backdoor, malware usando Algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP sabidamente mal-intencionado, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.

Comprometimento de conta – – Padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro em log do AWS CloudTrail, alterações que enfraquecem a política de senha da conta, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum e chamadas de API de um endereço IP mal-intencionado conhecido.

Clique para uma lista completa de tipos de descobertas do GuardDuty.

O GuardDuty oferece essas detecções avançadas usando machine learning e detecção de anomalias para identificar ameaças difíceis de detectar anteriormente, como padrões de chamadas de API incomuns ou comportamento mal-intencionado de usuários do IAM. Além disso, o GuardDuty tem inteligência de ameaças integrada, que inclui listas de domínios ou endereços IP maliciosos da segurança da AWS e de parceiros de segurança externos líderes do setor, como Proofpoint e CrowdStrike.

O GuardDuty oferece uma alternativa à criação de soluções internas, à manutenção de regras personalizadas complexas ou ao desenvolvimento de sua própria inteligência de ameaças de endereços IP mal-intencionados. O GuardDuty elimina o trabalho pesado genérico e a complexidade desnecessária do desenvolvimento e da proteção de recursos e contas de trabalho da AWS.

Níveis de severidade de ameaça para priorização eficiente

O Amazon GuardDuty oferece três níveis de severidade (baixo, médio e alto) para ajudar os clientes a priorizar a resposta a possíveis ameaças. Um nível de severidade “baixo” indica atividade suspeita ou mal-intencionada bloqueada antes de comprometer um recurso. Um nível de severidade “médio” indica uma atividade suspeita. Por exemplo, uma grande quantidade de tráfego retornada a um host remoto oculto atrás da rede Tor ou uma atividade diferente do comportamento normalmente observado. Um nível de severidade “alto” indica que o recurso (por exemplo, uma instância EC2 ou um conjunto de credenciais de usuários do IAM) está comprometido e é usado ativamente para fins não autorizados.

Automatize a resposta e a remediação de ameaças

O Amazon GuardDuty oferece APIs HTTPS, ferramentas de ILC e o AWS CloudWatch Events para oferecer suporte para respostas de segurança automatizadas a descobertas de segurança. Por exemplo, você pode automatizar o fluxo de resposta usando o CloudWatch Events como origem de eventos para disparar uma função do AWS Lambda.

Detecção de ameaças altamente disponível

O Amazon GuardDuty foi criado para gerenciar automaticamente a utilização de recursos com base nos níveis gerais de atividade em contas e cargas de trabalho da AWS. O GuardDuty adiciona recursos de detecção somente quando necessário e reduz a utilização quando o recurso não é mais necessário. Você tem uma arquitetura econômica que garante que você tenha a capacidade de processamento necessária e, ao mesmo tempo, reduzir os custos. Você paga apenas pela capacidade de detecção utilizada, quando utilizada. O GuardDuty oferece segurança em grande escala, independentemente do porte da empresa.

Implantação com um clique sem implantação e gerenciamento de software ou infraestrutura adicional

Com um único clique no Console de Gerenciamento da AWS ou uma única chamada de API, você pode habilitar o Amazon GuardDuty em uma única conta. Mais alguns cliques no console e você pode habilitar o GuardDuty em várias contas. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço e é continuamente atualizada e mantida.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e os detalhes da avaliação gratuita

Saiba mais 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Cadastre-se para obter uma avaliação gratuita

Obtenha acesso à avaliação gratuita do Amazon GuardDuty. 

Iniciar teste gratuito 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comece a criar no console

Comece a usar o Amazon GuardDuty no Console AWS.

Faça login