Recursos do Amazon GuardDuty

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas contas da AWS, workloads do Amazon Elastic Compute Cloud (EC2), aplicações de contêiner, bancos de dados Amazon Aurora e dados armazenados no Amazon Simple Storage Service (S3). O GuardDuty combina machine learning, detecção de anomalias, monitoramento de rede e detecção de arquivos maliciosos usando fontes desenvolvidas pela AWS e outros fornecedores líderes de mercado para ajudar a proteger as workloads e os dados na AWS. O GuardDuty é capaz de analisar dezenas de bilhões de eventos em várias fontes de dados da AWS, como logs de eventos do AWS CloudTrail, logs de fluxo da nuvem privada virtual da Amazon (VPC), logs de auditoria e de sistemas do Amazon Elastic Kubernetes Service (EKS) e logs de consulta ao DNS.

O Amazon GuardDuty identifica atividades incomuns em suas contas, analisa a relevância de segurança da atividade e informa o contexto em que foi invocada. Isso permite que um respondente determine se deverá fazer mais investigações. As descobertas do GuardDuty recebem um nível de gravidade, e as ações podem ser automatizadas por meio da integração com os serviços AWS Security Hub, Amazon EventBridge, AWS Lambda e AWS Step Functions. O Amazon Detective também está totalmente integrado ao GuardDuty, assim você pode executar uma investigação pericial profunda e da causa raiz.

O Amazon GuardDuty detecta com precisão o comprometimento de contas, que pode ser difícil de detectar rapidamente na ausência de um monitoramento contínuo de fatores quase em tempo real. O GuardDuty pode detectar sinais de comprometimento de conta como acesso a recursos da AWS de localizações geográficas incomuns em um horário atípico. Para contas da AWS programáticas, o GuardDuty verifica chamadas de Interface do Programa da Aplicação (API) incomuns, como tentativas de disfarçar a atividade da conta com a desabilitação do registro do CloudTrail ou a obtenção de snapshots de um banco de dados de um endereço IP mal-intencionado.

O Amazon GuardDuty monitora e analisa continuamente os dados de eventos de contas e cargas de trabalho da AWS encontrados no AWS CloudTrail, no VPC Flow Logs e no DNS Logs. Não há necessidade de implantar e fazer manutenção de outro software ou infraestrutura de segurança. A associação de contas da AWS em conjunto permite agregar a detecção de ameaças em vez de trabalhar conta por conta. Além disso, você não precisa coletar, analisar e correlacionar grandes volumes dados da AWS de várias contas. Concentre-se em como responder rapidamente, como manter a organização segura e continuar a escalar e inovar na AWS.

O Amazon GuardDuty ajuda você a acessar técnicas de detecção integradas desenvolvidas e otimizadas para a nuvem. A AWS Security faz manutenção e melhora continuamente esses algoritmos de detecção. As principais categorias de detecção incluem:

• Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, tentativas suspeitas de login no banco de dados, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.
• Comprometimento de instância: atividade que sugere um comprometimento da instância, como mineração de criptomoedas, atividade de comando e controle (C&C) de backdoor, malware usando algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP mal-intencionado conhecido, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e infiltração de dados usando DNS.
• Comprometimento de conta: padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro em log do AWS CloudTrail, alterações que enfraquecem a política de senha da conta, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum, roubo de credenciais, atividades de login suspeitas no banco de dados e chamadas de API de um endereço IP mal-intencionado conhecido.
• Comprometimento de bucket: atividade indicando um comprometimento de um bucket, como padrões de acesso a dados suspeitos que indicam uso indevido de credenciais, atividade incomum da API do Amazon S3 de um host remoto, acesso não autorizado ao S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperar dados em buckets do S3 de usuários sem histórico anterior de acesso ao bucket ou invocados de um local incomum. O Amazon GuardDuty monitora e analisa continuamente eventos de dados do AWS CloudTrail S3 (por exemplo, GetObject, ListObjects, DeleteObject) para detectar atividades suspeitas em todos os buckets do Amazon S3.

Aqui está uma lista completa dos tipos de busca do GuardDuty.

O GuardDuty oferece essas detecções avançadas usando machine learning e detecção de anomalias para identificar ameaças difíceis de detectar anteriormente, como padrões de chamadas de API incomuns ou comportamento mal-intencionado de usuários do AWS Identity and Access Management (IAM). Além disso, o GuardDuty conta com inteligência de ameaças integrada, que inclui listas de domínios ou endereços IP maliciosos da segurança da AWS e de parceiros de segurança terceirizados líderes do setor, como Proofpoint e CrowdStrike.

O GuardDuty oferece uma alternativa à criação de soluções internas, à manutenção de regras personalizadas complexas e ao desenvolvimento de sua própria inteligência de ameaças de endereços IP mal-intencionados. O GuardDuty elimina o trabalho pesado genérico e a complexidade desnecessária do desenvolvimento e da proteção de recursos e contas de trabalho da AWS.

O Amazon GuardDuty oferece três níveis de severidade (baixo, médio e alto) para ajudar os clientes a priorizar a resposta a possíveis ameaças. Um nível de severidade “baixo” indica atividade suspeita ou mal-intencionada bloqueada antes de comprometer um recurso. Um nível de gravidade “médio” indica atividade suspeita. Por exemplo, uma grande quantidade de tráfego retornada a um host remoto oculto atrás da rede Tor ou uma atividade diferente do comportamento observado normalmente. Um nível de gravidade “alto” indica que o recurso (por exemplo, uma instância do Amazon EC2 ou um conjunto de credenciais de usuários do IAM) está comprometido e está sendo usado ativamente para fins não autorizados.

O Amazon GuardDuty oferece APIs HTTPS, ferramentas de interface de linha de comando (CLI) e o Amazon CloudWatch Events para oferecer suporte para respostas de segurança automatizadas a descobertas de segurança. Por exemplo, você pode automatizar o fluxo de trabalho usando o CloudWatch Events como origem de eventos para invocar uma função do AWS Lambda.

O Amazon GuardDuty foi projetado para gerenciar automaticamente a utilização de recursos com base nos níveis globais de atividade dentro de suas contas, workloads e dados AWS armazenados no Amazon S3. O GuardDuty adiciona recursos de detecção somente quando necessário e reduz a utilização quando o recurso não é mais necessário. Você tem uma arquitetura econômica que mantém a capacidade de processamento necessária e, ao mesmo tempo, reduz os custos. Você paga somente pela capacidade de detecção utilizada, quando utilizada. O GuardDuty oferece segurança em grande escala, independentemente do porte da empresa.

Com uma única ação no Console de Gerenciamento da AWS ou uma única chamada de API, você pode ativar o Amazon GuardDuty em uma única conta. Mais algumas etapas no console, e você pode ativar o GuardDuty em várias contas. O Amazon GuardDuty oferece suporte a várias contas por meio da integração do AWS Organizations, bem como nativamente dentro do GuardDuty. Após a ativação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar outros softwares de segurança, sensores ou dispositivos de rede. A inteligência de ameaças é integrada previamente ao serviço e é continuamente atualizada e mantida.