Ativei o GuardDuty em meu ambiente, mas ele não gerou nenhum tipo de descoberta

Última atualização: 05/08/2022

Ativei uma conta do Amazon GuardDuty, mas não recebi nenhum tipo de descoberta. Como posso solucionar esse problema?

Breve descrição

Ao ativar o GuardDuty ele começa imediatamente a monitorar as ameaças de segurança. Se o GuardDuty descobrir um problema de segurança, um tipo de descoberta será gerado. Se o GuardDuty não detectar ameaças de segurança, tipos de descobertas não serão gerados.

Resolução

Para solucionar o motivo pelo qual o GuardDuty não gerou nenhum tipo de descoberta, verifique as seguintes configurações:

Fontes de dados

O GuardDuty utiliza suas fontes de dados para detectar atividades não autorizadas e inesperadas utilizando tipos de recursos para alguns produtos da AWS. As fontes de dados incluem:

  • Logs de eventos de gerenciamento do AWS CloudTrail.
  • Logs de fluxo da Virtual Private Cloud (Amazon VPC).
  • Logs de DNS.
  • Eventos de dados do CloudTrail para o Amazon Simple Storage Service (Amazon S3).
  • Logs de auditoria do Kubernetes.
  • Um volume do Amazon Elastic Block Store (Amazon EBS).

É uma prática recomendada ativar o GuardDuty Kubernetes Protection a proteção do Amazon S3 e o Malware Protection, que não são ativados por padrão.

Observação: o GuardDuty só processa logs de DNS se você usar o resolvedor de DNS padrão da VPC. Todos os outros tipos de resolvedores de DNS não gerarão descobertas baseadas em DNS.

Status do GuardDuty

O GuardDuty deve ser ativado para encontrar tipos a serem gerados. Se o GuardDuty estiver suspenso ou desabilitado, nenhum tipo de descoberta será gerado. É uma prática recomendada ativar o GuardDuty em todas as regiões da AWS com suporte. Isso permite que o GuardDuty gere tipos de descobertas para atividades não autorizadas ou incomuns, mesmo em regiões que você não esteja utilizando ativamente.

Listas de IPs confiáveis

Você pode adicionar endereços IPs nos quais confia para se comunicar em seu ambiente da AWS com listas de IPs confiáveis. As listas de IPs confiáveis impedem que o GuardDuty gere tipos de descobertas para eventos que ocorreram de endereços IPs confiáveis.

É uma prática recomendada usar uma regra de supressão em vez de uma lista de IPs confiáveis para reconhecimento de problemas detectados em seu ambiente. A regra de supressão reduz as notificações dos tipos de descobertas. Uma regra de supressão arquiva automaticamente novas descobertas, geradas pelo GuardDuty, que correspondem a critérios específicos. Você pode revisar as descobertas suprimidas no console do GuardDuty alterando o menu suspenso da visualização das Findings (Descobertas) de Current (Atuais) para Archived (Arquivadas).

Para criar descobertas do GuardDuty para testes, execute uma das seguintes ações:

Para obter mais informações, consulte How do I set up a trusted IP address list for GuardDuty? (Como configurar uma lista de endereços IPs confiáveis para o GuardDuty?)


Getting started with GuardDuty (Conceitos básicos sobre o GuardDuty)

Why did GuardDuty send me alert findings for a trusted IP list address? (Por que o GuardDuty enviou descobertas de alerta para um endereço da lista de IPs confiáveis?)

Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?