Обзор сервиса

Вопрос: Что такое Amazon GuardDuty?

Amazon GuardDuty выполняет обнаружение угроз и позволяет непрерывно контролировать и защищать аккаунты AWS и рабочие нагрузки. GuardDuty анализирует непрерывные потоки метаданных, создаваемых действиями аккаунта и сетевой активностью, которые регистрирует сервис AWS CloudTrail Events, а также Amazon VPC Flow Logs и журналы DNS. Для более точного определения угроз сервис также использует обобщенную информацию об угрозах (например, известные вредоносные IP-адреса), обнаружение аномалий и машинное обучение.

Вопрос: Каковы главные преимущества Amazon GuardDuty?

Amazon GuardDuty упрощает осуществление непрерывного мониторинга аккаунтов AWS и рабочих нагрузок. Он работает абсолютно независимо от используемых клиентом ресурсов, поэтому не может влиять на производительность или доступность рабочих нагрузок клиента. Это полностью управляемый сервис, использующий обобщенную информацию об угрозах, обнаружение аномалий и машинное обучение. Amazon GuardDuty предоставляет подробные предупреждения с возможностью реагирования, которые легко интегрировать с существующими системами управления событиями и рабочими процессами. Авансовые платежи отсутствуют, оплачиваются только проанализированные события. При этом не требуется развертывать дополнительное программное обеспечение или подписываться на источники информации об угрозах.

Вопрос: Сколько стоит использование Amazon GuardDuty?

Плата за Amazon GuardDuty начисляется в зависимости от двух параметров. Это количество проанализированных событий AWS CloudTrail Events (за 1 000 000 событий) и объем проанализированных данных Amazon VPC Flow Logs и журналов DNS (за гигабайт).

  • Анализ событий AWS CloudTrail Events. GuardDuty непрерывно анализирует события управления AWS CloudTrail, отслеживая доступ к аккаунтам AWS и инфраструктуре клиента, а также схемы их работы. Плата за анализ событий CloudTrail начисляется за каждые 1 000 000 событий в месяц на пропорциональной основе.
  • Анализ VPC Flow Logs и журналов DNS. GuardDuty непрерывно анализирует журналы VPC Flow Logs, а также запросы и ответы DNS для определения вредоносных, несанкционированных или неожиданных схем работы инстансов Amazon EC2. Плата за анализ VPC Flow Logs и журналов DNS рассчитывается по количеству гигабайтов данных, проанализированных за месяц. На анализ VPC Flow Logs и журналов DNS предоставляются многоуровневые скидки в зависимости от объема.

Авансовые платежи отсутствуют, оплате подлежат только проанализированные данные.

Подробности и примеры расчета стоимости см. на странице цен на Amazon GuardDuty.

Вопрос: Существует ли бесплатная пробная версия?

Да. Пользователь с только что созданным аккаунтом в Amazon GuardDuty может бесплатно использовать сервис в течение 30 дней. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей по обнаружению вторжения. GuardDuty отображает объем обработанных данных и расчетные среднесуточные расходы на использование сервиса для аккаунта клиента. Это упрощает работу с Amazon GuardDuty во время бесплатного пробного периода и позволяет прогнозировать стоимость сервиса после окончания этого периода.

Вопрос: В чем разница между Amazon GuardDuty и Amazon Macie?

Amazon GuardDuty обеспечивает общую защиту аккаунтов AWS, рабочих нагрузок и данных, помогая обнаруживать такие угрозы, как исследование системы злоумышленниками или компрометация на уровне инстанса или всего аккаунта. Amazon Macie защищает данные в Amazon S3, помогая классифицировать имеющиеся данные, значение данных для бизнеса и поведение, связанное с доступом к этим данным. В обоих сервисах используется анализ поведения пользователей, машинное обучение и обнаружение аномалий для выявления угроз в соответствующих сферах.

Вопрос: Amazon GuardDuty – это региональный или глобальный сервис?

Amazon GuardDuty – региональный сервис. Даже когда сервис используется для нескольких аккаунтов и работает в нескольких регионах, отчеты по безопасности, созданные Amazon GuardDuty, остаются в тех же регионах, где получены исходные данные. Такой подход гарантирует, что анализ всех данных выполняется в пределах региона и что данные не покидают соответствующих регионов AWS. Клиенты могут объединять отчеты о безопасности, созданные Amazon GuardDuty в разных регионах, с помощью AWS CloudWatch Events, передавая отчеты в хранилище данных, находящееся под контролем клиента (например, в Amazon S3), а затем комбинируя данные по своему усмотрению.

Вопрос: В каких регионах поддерживается Amazon GuardDuty?

Список регионов, в которых доступен Amazon GuardDuty, представлен в таблице регионов AWS

Вопрос: Кто из партнеров работает с Amazon GuardDuty?

Существует большое количество партнеров-технологов, решения которых построены на основе Amazon GuardDuty или интегрированы с ним. Многие консалтинговые компании, системные интеграторы и поставщики управляемых сервисов безопасности имеют опыт работы с Amazon GuardDuty. См. список партнеров по Amazon GuardDuty.

Включение GuardDuty

Вопрос: Как включить Amazon GuardDuty?

Amazon GuardDuty можно включить за несколько щелчков мышью в Консоли управления AWS. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.  

Вопрос: Можно ли использовать Amazon GuardDuty для нескольких аккаунтов?

Да. В Amazon GuardDuty предусмотрена возможность работы с несколькими аккаунтами, что позволяет связывать несколько аккаунтов AWS и управлять ими из одного основного аккаунта. При использовании этой возможности все отчеты о безопасности объединяются в аккаунте администратора или основном аккаунте Amazon GuardDuty, в котором можно просмотреть эти отчеты и принять корректирующие меры. В случае применения данной конфигурации события AWS CloudWatch Events также объединяются в основном аккаунте Amazon GuardDuty.

Вопрос: Какие источники данных анализирует Amazon GuardDuty?

Amazon GuardDuty анализирует AWS CloudTrail, VPC Flow Logs и журналы DNS AWS. Сервис оптимизирован для обработки больших объемов данных, что позволяет обнаруживать угрозы безопасности в режиме, близком к реальному времени. GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Их обслуживание и непрерывное совершенствование обеспечивает служба AWS Security.  

Вопрос: Насколько быстро начинает работать GuardDuty?

Amazon GuardDuty начинает анализировать данные на наличие вредоносной или несанкционированной активности сразу же после включения. Время получения первых отчетов о безопасности зависит от уровня активности аккаунта. GuardDuty не анализирует данные за прошедший период – только действия, которые происходят после его включения. Если GuardDuty идентифицирует какие-либо потенциальные угрозы, результаты обнаружения отображаются в консоли GuardDuty.

Вопрос: Нужно ли для работы Amazon GuardDuty включать AWS CloudTrail, VPC Flow Logs и журналы DNS?

Нет. Amazon GuardDuty извлекает независимые потоки данных непосредственно из AWS CloudTrail, VPC Flow Logs и журналов DNS AWS. Управлять политиками корзины Amazon S3 или изменять способ сбора и хранения журналов не требуется. Разрешения GuardDuty управляются как связанные с сервисом роли. Их можно отозвать в любое время, отключив GuardDuty. Такой подход упрощает включение сервиса, которое не требует сложной настройки. При этом устраняется риск того, что изменение разрешений AWS IAM или политик корзины S3 повлияет на работу сервиса. Это также позволяет GuardDuty чрезвычайно эффективно обрабатывать большие объемы данных в режиме, близком к реальному времени, не влияя на производительность или доступность аккаунта или рабочих нагрузок.

Вопрос: Оказывает ли включение Amazon GuardDuty в аккаунте влияние на производительность или доступность?

Нет. Amazon GuardDuty работает совершенно независимо от используемых ресурсов AWS, поэтому никак не влияет на аккаунты или рабочие нагрузки клиента. Это позволяет использовать GuardDuty для множества аккаунтов в организации без какого-либо ущерба существующим операциям.

Вопрос: Осуществляет ли Amazon GuardDuty управление моими журналами или их хранение?

Нет. Amazon GuardDuty не управляет журналами и не сохраняет их. Все данные, обработанные GuardDuty, анализируются в режиме, близком к реальному времени, а затем удаляются. Такой подход обеспечивает высокую эффективность и экономичность сервиса GuardDuty, а также снижает риск появления остаточных данных. Для доставки и хранения журналов нужно непосредственно использовать сервисы AWS для мониторинга и ведения журналов, где предусмотрены полнофункциональные варианты доставки и хранения.

Вопрос: Как остановить просмотр журналов и источников данных сервисом Amazon GuardDuty?

Прекратить анализ источников данных сервисом Amazon GuardDuty можно в любое время, включив приостановку сервиса в общих настройках. При этом анализ данных сервисом немедленно прекратится, но существующие отчеты и конфигурации не будут удалены. В общих настройках также есть вариант полного отключения сервиса. В этом случае перед удалением разрешений сервиса и его сбросом будут удалены все имеющиеся данные, включая отчеты о безопасности и конфигурации.

Отчеты GuardDuty

Вопрос: Что может обнаружить Amazon GuardDuty?

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются службой AWS Security. Сервис обнаруживает следующие основные категории вторжений.

  • Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
  • Компрометация инстанса. Активность, указывающая на компрометацию инстанса, например майнинг криптовалюты, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
  • Компрометация аккаунта. Распространенные схемы, указывающие на компрометацию аккаунта, например вызовы API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе и вызовы API с известных вредоносных IP-адресов.

Вопрос: Что представляет собой информация об угрозах в Amazon GuardDuty?

Информация об угрозах в Amazon GuardDuty объединяет списки известных IP-адресов и доменов, которые используются злоумышленниками. Информация об угрозах GuardDuty предоставляется службой AWS Security и сторонними поставщиками, например Proofpoint и CrowdStrike. Эти источники информации об угрозах встроены в GuardDuty и постоянно обновляются без дополнительной платы.

Вопрос: Можно ли использовать собственную информацию об угрозах?

Да. Amazon GuardDuty позволяет легко загрузить собственную информацию об угрозах или список безопасных IP-адресов. При использовании такой возможности созданные списки применяются только к конкретному аккаунту и не используются для других клиентов.

Вопрос: Как работает машинное обучение и обнаружение аномальных схем?

Расширенные методы обнаружения вторжения на основе аномальных схем и машинного обучения позволяют в течение первых 7–14 дней определить эталонное поведение аккаунта. По истечении этого времени обнаружение аномалий переходит из режима обучения в активный режим. Если после перехода в активный режим сервис фиксирует схемы работы, предполагающие вторжение, он представляет отчеты об обнаруженных угрозах.

Вопрос: Как доставляются отчеты о безопасности?

При обнаружении угрозы Amazon GuardDuty доставляет подробный отчет о безопасности в консоль GuardDuty и сервис AWS CloudWatch Events. Это позволяет реагировать на такие предупреждения и легко интегрировать их в существующие системы управления событиями и рабочими процессами. Отчеты включают категорию угрозы, затронутый ресурс и метаданные, связанные с ресурсом, такие как уровень серьезности угрозы.

Вопрос: Какой формат имеют отчеты о безопасности Amazon GuardDuty?

Отчеты о безопасности Amazon GuardDuty имеют стандартный формат JSON, который также используется в сервисах Amazon Macie и Amazon Inspector. Это упрощает получение клиентами и партнерами отчетов о безопасности из всех трех сервисов и включение таких отчетов в более общие решения для управления событиями, рабочими процессами или безопасностью.

Вопрос: Как долго отчеты о безопасности доступны в Amazon GuardDuty?

Отчеты о безопасности сохраняются в течение 90 дней и доступны для просмотра в консоли Amazon GuardDuty и через API. По истечении 90 дней отчеты удаляются. Чтобы увеличить срок хранения отчетов (более 90 дней), в сервисе AWS CloudWatch Events можно настроить автоматическую передачу отчетов для долгосрочного хранения в корзину Amazon S3 того же аккаунта или в другое хранилище данных.

Вопрос: Можно ли использовать Amazon GuardDuty для автоматического принятия превентивных мер?

С помощью Amazon GuardDuty, AWS CloudWatch Events и AWS Lambda можно настраивать автоматические превентивные действия на основании отчетов о безопасности. Например, можно создать функцию Lambda, которая на основании отчета о безопасности будет изменять правила группы безопасности AWS. Если отчет о безопасности GuardDuty указывает, что один из инстансов Amazon EC2 был исследован известным вредоносным IP-адресом, проблему можно устранить с помощью правила CloudWatch Events, которое запустит функцию Lambda для автоматического изменения правил группы безопасности и ограничения доступа к указанному порту.

Вопрос: Как выполняется разработка системы обнаружения вторжения Amazon GuardDuty и управление ею?

Над сервисом Amazon GuardDuty работает группа специалистов, ориентированная на разработку и отработку методов обнаружения вторжения, а также управление ими. Такой подход обеспечивает постоянное внедрение в сервис новых методов обнаружения вторжения и непрерывное улучшение существующих методов. В сервис встроено несколько механизмов получения обратной связи, например выражение согласия или несогласия с каждым отчетом о безопасности в пользовательском интерфейсе GuardDuty. С помощью такого механизма клиенты могут предоставлять обратную связь, которая отражается в будущих версиях системы обнаружения вторжения GuardDuty.

Вопрос: Можно ли создавать собственные методы обнаружения вторжения в Amazon GuardDuty?

Нет. Amazon GuardDuty исключает тяжелую рутинную работу и сложности, связанные с разработкой и поддержанием собственных наборов правил. В сервис постоянно добавляются новые методы обнаружения вторжения, созданные на основе обратной связи от клиентов и исследований, выполненных службой AWS Security и группой разработки GuardDuty. Индивидуальные настройки, доступные клиентам, включают добавление собственных списков угроз и списков безопасных IP-адресов.

Подробнее о ценах на Amazon GuardDuty

Перейти на страницу цен
Готовы начать работу?
Войти
Есть вопросы?
Свяжитесь с нами