Visão geral

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos anômalos para proteger suas contas da AWS, workloads e dados armazenados no Amazon Simple Storage Service (Amazon S3). O GuardDuty usa várias técnicas para identificar indicadores de comprometimento, como machine learning (ML), detecção de anomalias e inteligência de ameaças integrada para identificar e priorizar potenciais ameaças. O GuardDuty é capaz de analisar dezenas de bilhões de eventos em várias fontes de dados da AWS, como logs de eventos do AWS CloudTrail, logs de fluxo da Amazon Virtual Private Cloud (VPC) e logs de consulta de DNS. 

O Amazon GuardDuty identifica atividades incomuns em suas contas, analisa a relevância de segurança da atividade e informa o contexto em que foi invocada. Isso permite que um respondente determine se deverá fazer mais investigações. As descobertas do GuardDuty recebem um nível de gravidade, e as ações podem ser automatizadas por meio da integração com os serviços AWS Security Hub, Amazon EventBridge, AWS Lambda e AWS Step Functions. O Amazon Detective também está totalmente integrado ao GuardDuty, e por isso nunca foi tão fácil fazer uma investigação forense profunda e da causa raiz.

Detecção de ameaças precisa para as contas

O Amazon GuardDuty detecta com precisão o comprometimento de contas, que pode ser difícil de detectar rapidamente na ausência de um monitoramento contínuo de fatores quase em tempo real. O GuardDuty pode detectar sinais de comprometimento de conta como acesso a recursos da AWS de localizações geográficas incomuns em um horário atípico. Para contas da AWS programáticas, o GuardDuty verifica chamadas de Interface do Programa da Aplicação (API) incomuns, como tentativas de disfarçar a atividade da conta com a desabilitação do registro do CloudTrail ou a obtenção de snapshots de um banco de dados de um endereço IP mal-intencionado.

Monitoramento contínuo entre contas da AWS sem aumentar custos ou complexidade

O Amazon GuardDuty monitora e analisa continuamente os dados de eventos de contas e cargas de trabalho da AWS encontrados no AWS CloudTrail, no VPC Flow Logs e no DNS Logs. Não há necessidade de implantar e fazer manutenção de outro software ou infraestrutura de segurança. A associação de contas da AWS em conjunto permite agregar a detecção de ameaças em vez de trabalhar conta por conta. Além disso, você não precisa coletar, analisar e correlacionar grandes volumes dados da AWS de várias contas. Concentre-se em como responder rapidamente, como manter a organização segura e continuar a escalar e inovar na AWS.

Detecções de ameaças desenvolvidas e otimizadas para a nuvem

O Amazon GuardDuty proporciona acesso a técnicas de detecção desenvolvidas e otimizadas para a nuvem. A AWS Security faz manutenção e melhora continuamente esses algoritmos de detecção. As principais categorias de detecção incluem:

Reconhecimento: atividade que sugere reconhecimento de invasores, como atividades incomuns de API, varredura de portas dentro da VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta não bloqueada por um IP mal-intencionado conhecido.

Comprometimento de instância: atividade que sugere um comprometimento da instância, como mineração de criptomoedas, atividade de comando e controle (C&C) de backdoor, malware usando algoritmos de geração de domínios (DGA), atividade de negação de serviço de saída, volume excepcionalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de saída de uma instância com um IP sabidamente mal-intencionado, credenciais temporárias do Amazon EC2 usadas por um endereço IP externo e exfiltração de dados usando DNS.

Comprometimento de conta: padrões comuns indicativos de comprometimento de conta incluem chamadas de API de um local geográfico incomum ou de um proxy de anonimização, tentativas de desabilitar o registro em log do AWS CloudTrail, alterações que enfraquecem a política de senha da conta, execuções incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum e chamadas de API de um endereço IP mal-intencionado conhecido.

Comprometimento de bucket: atividade indicando um comprometimento de bucket, como padrões de acesso a dados suspeitos que indicam uso indevido de credenciais, atividade incomum da API do Amazon S3 de um host remoto, acesso não autorizado ao S3 de endereços IP mal-intencionados conhecidos e chamadas de API para recuperar dados em buckets do S3 de usuários sem histórico anterior de acessar o bucket ou invocados a partir de um local incomum. O Amazon GuardDuty monitora e analisa continuamente eventos de dados do AWS CloudTrail S3 (por exemplo, GetObject, ListObjects, DeleteObject) para detectar atividades suspeitas em todos os buckets do Amazon S3.

Clique para uma lista completa de tipos de descobertas do GuardDuty.

O GuardDuty oferece essas detecções avançadas usando machine learning e detecção de anomalias para identificar ameaças difíceis de detectar anteriormente, como padrões de chamadas de API incomuns ou comportamento mal-intencionado de usuários do AWS Identity and Access Management (IAM). Além disso, o GuardDuty conta com inteligência de ameaças integrada, que inclui listas de domínios ou endereços IP maliciosos da segurança da AWS e de parceiros de segurança terceirizados líderes do setor, como Proofpoint e CrowdStrike.

O GuardDuty oferece uma alternativa à criação de soluções internas, à manutenção de regras personalizadas complexas e ao desenvolvimento de sua própria inteligência de ameaças de endereços IP mal-intencionados. O GuardDuty elimina o trabalho pesado genérico e a complexidade desnecessária do desenvolvimento e da proteção de recursos e contas de trabalho da AWS.

Níveis de severidade de ameaça para priorização eficiente

O Amazon GuardDuty oferece três níveis de severidade (baixo, médio e alto) para ajudar os clientes a priorizar a resposta a possíveis ameaças. Um nível de severidade “baixo” indica atividade suspeita ou mal-intencionada bloqueada antes de comprometer um recurso. Um nível de gravidade “médio” indica atividade suspeita. Por exemplo, uma grande quantidade de tráfego retornada a um host remoto oculto atrás da rede Tor ou uma atividade diferente do comportamento observado normalmente. Um nível de gravidade “alto” indica que o recurso (por exemplo, uma instância do Amazon EC2 ou um conjunto de credenciais de usuários do IAM) está comprometido e está sendo usado ativamente para fins não autorizados.

Automação de resposta e correção de ameaças

O Amazon GuardDuty oferece APIs HTTPS, ferramentas de interface de linha de comando (CLI) e o Amazon CloudWatch Events para oferecer suporte para respostas de segurança automatizadas a descobertas de segurança. Por exemplo, você pode automatizar o fluxo de trabalho usando o CloudWatch Events como origem de eventos para disparar uma função do AWS Lambda.

Detecção de ameaças altamente disponível

O Amazon GuardDuty foi projetado para gerenciar automaticamente a utilização de recursos com base nos níveis globais de atividade dentro de suas contas, workloads e dados AWS armazenados no Amazon S3. O GuardDuty adiciona recursos de detecção somente quando necessário e reduz a utilização quando o recurso não é mais necessário. Você tem uma arquitetura econômica que mantém a capacidade de processamento necessária e, ao mesmo tempo, reduz os custos. Você paga somente pela capacidade de detecção utilizada, quando utilizada. O GuardDuty oferece segurança em grande escala, independentemente do porte da empresa.

Implantação com um clique sem implantação e gerenciamento de software ou infraestrutura adicional

Com um único clique no Console de Gerenciamento da AWS ou uma única chamada de API, você pode habilitar o Amazon GuardDuty em uma única conta. Mais alguns cliques no console, e você pode habilitar o GuardDuty em várias contas. O Amazon GuardDuty oferece suporte a várias contas por meio da integração do AWS Organizations, bem como nativamente dentro do GuardDuty. Após a habilitação, o GuardDuty começa imediatamente a analisar streams contínuos de atividades da conta e da rede praticamente em tempo real e em grande escala. Não há necessidade de implantar ou gerenciar outros softwares de segurança, sensores ou dispositivos de rede. A inteligência de ameaças é integrada previamente ao serviço e é continuamente atualizada e mantida.

Standard Product Icons (Features) Squid Ink
Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e os detalhes da avaliação gratuita

Saiba mais 
Sign up for a free account
Cadastre-se para obter uma avaliação gratuita

Obtenha acesso à avaliação gratuita do Amazon GuardDuty. 

Iniciar avaliação gratuita 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a usar o Amazon GuardDuty no Console AWS.

Faça login