Recursos do Amazon GuardDuty

O GuardDuty oferece uma detecção precisa de ameaças de contas comprometidas, o que pode ser difícil de detectar rapidamente se você não estiver monitorando continuamente os fatores quase em tempo real. O GuardDuty pode detectar sinais de comprometimento de conta como acesso a recursos da AWS de localizações geográficas incomuns em um horário atípico. Para contas da AWS programáticas, o GuardDuty verifica chamadas de API incomuns, como tentativas de disfarçar a atividade da conta com a desabilitação do registro em log do CloudTrail ou a realização de snapshots de um banco de dados de um endereço IP mal-intencionado.

O GuardDuty monitora e analisa continuamente seus dados de eventos de contas e workloads da AWS encontrados no CloudTrail, no VPC Flow Logs e nos registros do DNS. Não há software ou infraestrutura de segurança adicional para implantar e manter para as proteções fundamentais do GuardDuty. A associação de contas da AWS em conjunto permite agregar a detecção de ameaças em vez de trabalhar conta por conta. Além disso, você não precisa coletar, analisar e correlacionar grandes volumes dados da AWS de várias contas. Concentre-se em como responder rapidamente, como manter a organização segura e continuar a escalar e inovar na AWS.

O GuardDuty ajuda você a acessar técnicas de detecção integradas desenvolvidas e otimizadas para a nuvem. A AWS Security faz manutenção e melhora continuamente esses algoritmos de detecção. As principais categorias de detecção incluem:

• Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, tentativas suspeitas de login no banco de dados, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
• Compromisso de instâncias: atividade que sugere um compromisso de instâncias, como mineração de criptomoedas, atividade de comando e controle (C&C) de backdoor, atividade de runtime para o Amazon EC2, malware usando algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP mal-intencionado conhecido, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e infiltração de dados usando DNS.
• Comprometimento de conta: padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro em log do AWS CloudTrail, alterações que enfraquecem a política de senha da conta, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum, roubo de credenciais, atividades de login suspeitas no banco de dados e chamadas de API de um endereço IP mal-intencionado conhecido.
• Comprometimento de bucket: atividade indicando um comprometimento de um bucket, como padrões de acesso a dados suspeitos que indicam uso indevido de credenciais, atividade incomum da API do Amazon S3 de um host remoto, acesso não autorizado ao S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperar dados em buckets do S3 de usuários sem histórico anterior de acesso ao bucket ou invocados de um local incomum. O Amazon GuardDuty monitora e analisa continuamente eventos de dados do AWS CloudTrail S3 (por exemplo, GetObject, ListObjects, DeleteObject) para detectar atividades suspeitas em todos os buckets do Amazon S3.
• Malware: o GuardDuty pode detectar a presença de malware, como trojans, worms, mineradores de criptomoedas, rootkits ou bots, que podem ser usados para comprometer suas workloads de contêineres ou instâncias do Amazon EC2 ou que são carregados nos seus buckets do Amazon S3.
• Compromisso de contêiner: a atividade que identifica possível comportamento mal-intencionado ou suspeito em workloads de contêiner é detectada pelo monitoramento e criação de perfil contínuos dos clusters do Amazon EKS, que analisam os logs de auditoria do EKS e a atividade de runtime do contêiner no Amazon EKS ou Amazon ECS.

Aqui está uma lista completa dos tipos de descobertas do GuardDuty.

O GuardDuty oferece quatro níveis de gravidade (baixo, médio, alto e crítico) para ajudar os clientes a priorizar a resposta a possíveis ameaças. Um nível de severidade baixo indica atividade suspeita ou mal-intencionada bloqueada antes de comprometer um recurso. Um nível de gravidade médio indica atividade suspeita que requer uma investigação mais aprofundada. Um exemplo seria uma grande quantidade de tráfego retornada a um host remoto oculto atrás da rede Tor ou uma atividade diferente do comportamento observado normalmente. Um nível de severidade alto indica que o recurso (por exemplo, uma instância EC2 ou um conjunto de credenciais de usuários do IAM) está comprometido e é usado ativamente para fins não autorizados. Um nível de gravidade crítico indica uma ameaça de alta confiança que requer atenção imediata. Recomendamos configurar uma notificação para essas descobertas, permitindo uma resposta rápida que reduz o impacto nos negócios.

O GuardDuty oferece APIs HTTPS e ferramentas de interface de linha de comando (CLI), bem como integração com o Amazon EventBridge para dar suporte a respostas de segurança automatizadas às descobertas de segurança. Por exemplo, você pode automatizar o fluxo de trabalho usando o EventBridge como origem de eventos para invocar uma função do Lambda.

O GuardDuty foi criado para gerenciar automaticamente a utilização de recursos com base nos níveis gerais de atividade em contas, workloads e dados da AWS. O GuardDuty adiciona recursos de detecção somente quando necessário e reduz a utilização quando o recurso não é mais necessário. Você tem uma arquitetura econômica que mantém a capacidade de processamento necessária e, ao mesmo tempo, reduz os custos. Você paga somente pela capacidade de detecção utilizada, quando utilizada. O GuardDuty oferece segurança em grande escala, independentemente do porte da empresa.

Com uma única ação no Console de Gerenciamento da AWS ou uma única chamada de API, você pode ativar o GuardDuty em uma única conta. Mais algumas etapas no console, e você pode ativar o GuardDuty em várias contas. O GuardDuty oferece suporte a várias contas por meio da integração do AWS Organizations, bem como nativamente dentro do GuardDuty. Após a ativação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar software de segurança, sensores ou dispositivos de rede adicionais. A inteligência de ameaças é integrada previamente ao serviço, e sua manutenção e atualização são contínuas.

O GuardDuty fornece proteção abrangente para workloads de contêineres em toda a propriedade computacional da AWS, algo que seria difícil e complexo de obter de outra forma. Não importa se você executa workloads com controles em nível de servidor no Amazon EC2 ou workloads de aplicações modernas sem servidor no Amazon ECS com o AWS Fargate, o GuardDuty detecta atividades potencialmente mal-intencionadas e suspeitas, fornece contexto em nível de contêiner com monitoramento de runtime e ajuda você a identificar lacunas de cobertura de segurança em workloads de contêineres do seu ambiente da AWS.

O GuardDuty usa inteligência artificial (IA) e machine learning (ML) para identificar rapidamente sequências de ataques complexas em vários estágios direcionadas às contas, workloads e dados da AWS. As descobertas da sequência de ataques gerada ajudam a reduzir o tempo e o esforço necessários para fazer a triagem dos eventos de segurança. Ao correlacionar automaticamente sinais diferentes e fornecer informações de alta confiança sobre recursos potencialmente comprometidos, as descobertas da sequência de ataques gerada também fornecem mapeamentos do MITRE ATT&CK® e recomendações prescritivas de remediação com base nas práticas recomendadas da AWS. Com esses aprimoramentos, o GuardDuty capacita as equipes de segurança a se concentrarem nas ameaças mais críticas e simplificarem a resposta a eventos ativos.