Обзор сервиса

Вопрос. Что такое Amazon GuardDuty?

Сервис Amazon GuardDuty предоставляет средства обнаружения угроз, с помощью которых можно непрерывно отслеживать и защищать аккаунты AWS, рабочие нагрузки и данные, хранящиеся в Amazon S3. GuardDuty анализирует непрерывные потоки метаданных, создаваемых в результате действий в аккаунте и сети и хранящихся в сервисах AWS CloudTrail Events, Amazon VPC Flow Logs и DNS Logs. Чтобы точнее определять угрозы, в сервисе используются встроенные источники информации об угрозах (например, об известных вредоносных IP-адресах), а также средства машинного обучения и обнаружения аномалий.

Вопрос. Каковы главные преимущества Amazon GuardDuty?

Amazon GuardDuty упрощает непрерывное отслеживание аккаунтов AWS, рабочих нагрузок и данных, хранящихся в Amazon S3. Он работает абсолютно независимо от используемых вами ресурсов, поэтому не влияет на производительность или доступность рабочих нагрузок. Это полностью управляемый сервис, использующий обобщенную информацию об угрозах, обнаружение аномалий и машинное обучение. Amazon GuardDuty предоставляет подробные предупреждения с возможностью реагирования, которые легко интегрировать с существующими системами управления событиями и рабочими процессами. Авансовые платежи отсутствуют, вы платите только за проанализированные события. При этом не требуется развертывать дополнительное программное обеспечение или подписываться на каналы информации об угрозах.

Вопрос. Сколько стоит использование сервиса Amazon GuardDuty?

Цена на использование Amazon GuardDuty зависит от количества проанализированных событий в сервисе AWS CloudTrail Events, а также от объема проанализированных данных в сервисах Amazon VPC Flow Logs и DNS Logs. За использование этих источников журналов для анализа в сервисе GuardDuty дополнительная плата не взимается.

  • Анализ событий управления AWS CloudTrail. Сервис GuardDuty непрерывно анализирует события управления CloudTrail и отслеживает доступ к вашим аккаунтам и инфраструктуре AWS, а также действия в них. Плата за анализ событий управления CloudTrail начисляется за каждые 1 000 000 событий в месяц на пропорциональной основе.
  • Анализ событий, связанных с данными S3, в AWS CloudTrail. Сервис GuardDuty непрерывно анализирует события, связанные с данными S3, в CloudTrail и отслеживает доступ ко всем вашим корзинам Amazon S3 и действия в них. Плата за анализ событий, связанных с данными S3, в CloudTrail начисляется за каждые 1 000 000 событий в месяц на пропорциональной основе.
  • Анализ журналов в сервисах VPC Flow Logs и DNS Logs. Amazon GuardDuty непрерывно анализирует журналы в сервисе VPC Flow Logs, а также запросы и ответы DNS для выявления вредоносных, несанкционированных или неожиданных действий в ваших аккаунтах и рабочих нагрузках AWS. Плата за анализ журналов Flow и DNS взимается согласно количеству гигабайтов данных, проанализированных за месяц. На анализ журнала VPC Flow и журнала DNS предоставляются многоуровневые скидки в зависимости от объема.

Авансовые платежи отсутствуют, оплате подлежат только проанализированные данные.

Подробные сведения и примеры расчета цен приведены на странице цен на Amazon GuardDuty.

Вопрос. Показана ли в расчетной стоимости для аккаунта плательщика Amazon GuardDuty сумма расходов для всех связанных аккаунтов? Или она показана только для аккаунта плательщика?

Расчетная стоимость относится только к затратам отдельного аккаунта плательщика. При использовании основного аккаунта отображается только расчетная стоимость для основного аккаунта.

Вопрос. Существует ли бесплатный ознакомительный период?

Да. Любой аккаунт, который прежде не использовал сервис, может в течение 30 дней бесплатно попробовать работу с Amazon GuardDuty. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей по обнаружению вторжения. GuardDuty отображает объем обработанных данных и расчетные среднесуточные расходы на использование сервиса для аккаунта клиента. Это упрощает работу с Amazon GuardDuty во время бесплатного ознакомительного периода и позволяет прогнозировать стоимость сервиса после окончания этого периода.

Вопрос. В чем разница между Amazon GuardDuty и Amazon Macie?

Amazon GuardDuty обеспечивает общую защиту ваших аккаунтов AWS, рабочих нагрузок и данных, помогая обнаруживать ряд угроз, например исследование системы злоумышленниками либо компрометацию на уровне инстанса, аккаунта или корзины. Сервис Amazon Macie позволяет обнаруживать и защищать конфиденциальные данные в Amazon S3. Для этого он помогает классифицировать имеющиеся у вас данные, а также средства обеспечения безопасности и доступа, связанные с этими данными.

Вопрос. Amazon GuardDuty – это региональный или глобальный сервис?

Amazon GuardDuty – региональный сервис. Даже когда сервис используется для нескольких аккаунтов и работает в нескольких регионах, отчеты о безопасности, созданные Amazon GuardDuty, остаются в тех же регионах, где получены исходные данные. Такой подход гарантирует, что анализ всех данных будет выполняться в пределах региона и что данные не покинут соответствующие регионы AWS. Клиенты могут объединять отчеты безопасности, созданные сервисом Amazon GuardDuty в разных регионах, с помощью сервиса Amazon CloudWatch Events, передавая отчеты в хранилище данных, находящееся под контролем клиента (например, в Amazon S3), а затем агрегируя данные по своему усмотрению.

Вопрос. В каких регионах работает сервис Amazon GuardDuty?

Список регионов, в которых доступен сервис Amazon GuardDuty, представлен в таблице регионов AWS

Вопрос. Какие партнеры работают с Amazon GuardDuty?

Существует большое количество партнеров по технологиям, решения которых построены на основе сервиса Amazon GuardDuty или интегрированы с ним. Многие консалтинговые компании, системные интеграторы и поставщики управляемых сервисов безопасности имеют опыт работы с Amazon GuardDuty. См. список партнеров Amazon GuardDuty.

Вопрос. Помогает ли сервис Amazon GuardDuty выполнять требования стандарта безопасности данных в индустрии платежных карт (PCI DSS)?

Ответ. Сервис GuardDuty анализирует события в нескольких источниках данных AWS, например события AWS CloudTrail, журналы Amazon VPC Flow Logs и DNS Logs, и обнаруживает подозрительные действия на основании сведений, получаемых из каналов информации об угрозах, которые поступают из AWS и других сервисов, например CrowdStrike. Компания Foregenix опубликовала документ, в котором представлена подробная оценка эффективности сервиса Amazon GuardDuty в части соответствия требованиям, например требованию 11.4 стандарта безопасности данных (DSS) в индустрии платежных карт (PCI), согласно которому необходимо использовать методы обнаружения вторжений в критически важных точках сети.

Включение GuardDuty

Вопрос. Как включить Amazon GuardDuty?

Amazon GuardDuty можно включить несколькими щелчками мышью в Консоли управления AWS. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.  

Вопрос. Можно ли использовать сервис Amazon GuardDuty для нескольких аккаунтов?

Да. В Amazon GuardDuty предусмотрена возможность работы с несколькими аккаунтами, что позволяет связывать несколько аккаунтов AWS и управлять ими из одного основного аккаунта. При использовании этой возможности все отчеты о безопасности будут агрегированы в аккаунте администратора или основном аккаунте Amazon GuardDuty, в котором можно просмотреть эти отчеты и принять корректирующие меры. В случае применения данной конфигурации события Amazon CloudWatch Events также будут агрегированы в основном аккаунте Amazon GuardDuty.

Вопрос. Данные из каких источников анализирует сервис Amazon GuardDuty?

Amazon GuardDuty анализирует AWS CloudTrail, журналы VPC Flow и журналы DNS AWS. Сервис оптимизирован для обработки больших объемов данных, что позволяет обнаруживать угрозы безопасности в режиме, близком к режиму реального времени. GuardDuty предоставляет доступ к встроенным методам обнаружения, разработанным и оптимизированным для облака. Их обслуживание и непрерывное совершенствование обеспечивает служба AWS Security.  

Вопрос. Насколько быстро начинает работать сервис GuardDuty?

Amazon GuardDuty начинает анализировать данные на наличие вредоносной или несанкционированной активности сразу же после включения. Время получения первых отчетов о безопасности зависит от уровня активности в аккаунте. GuardDuty не анализирует данные за прошедший период – только действия, которые происходят после его включения. Если GuardDuty обнаруживает какие-либо потенциальные угрозы, результаты обнаружения отображаются в консоли GuardDuty.

Вопрос. Нужно ли для работы Amazon GuardDuty включать сервисы AWS CloudTrail, VPC Flow Logs и DNS Logs?

Нет. Amazon GuardDuty извлекает независимые потоки данных непосредственно из AWS CloudTrail, журналов VPC Flow и журналов DNS AWS. Управлять политиками корзины Amazon S3 или изменять способ сбора и хранения журналов не требуется. Разрешения GuardDuty управляются как связанные с сервисом роли. Их можно отозвать в любое время, отключив GuardDuty. Такой подход упрощает включение сервиса, которое не требует сложной настройки. При этом устраняется риск того, что изменение разрешений AWS IAM или политик корзины S3 повлияет на работу сервиса. Это также позволяет сервису GuardDuty чрезвычайно эффективно обрабатывать большие объемы данных в режиме, близком к режиму реального времени, не влияя на производительность или доступность аккаунта или рабочих нагрузок.

Вопрос. Оказывает ли включение сервиса Amazon GuardDuty в моем аккаунте влияние на производительность или доступность?

Amazon GuardDuty работает совершенно независимо от используемых ресурсов AWS, поэтому никак не влияет на аккаунты или рабочие нагрузки клиента. Это упрощает использование GuardDuty для множества аккаунтов в организации без какого-либо ущерба для существующих операций.

Вопрос. Осуществляет ли сервис Amazon GuardDuty управление моими журналами или их хранение?

Amazon GuardDuty не управляет журналами и не сохраняет их. Все данные, обработанные GuardDuty, анализируются в режиме, близком к режиму реального времени, а затем удаляются. Такой подход обеспечивает высокую эффективность и экономичность сервиса GuardDuty, а также снижает риск появления остаточных данных. Для доставки и хранения журналов следует использовать сервисы AWS для мониторинга и ведения журналов, в которых предусмотрены полнофункциональные варианты доставки и хранения.

Вопрос. Как прекратить просмотр журналов и источников данных сервисом Amazon GuardDuty?

Прекратить анализ источников данных сервисом Amazon GuardDuty можно в любое время, приостановив сервис в общих настройках. При этом анализ данных сервисом немедленно прекратится, но существующие отчеты и конфигурации не будут удалены. В общих настройках также есть вариант полного отключения сервиса. В этом случае перед удалением разрешений сервиса и его сбросом будут удалены все имеющиеся данные, включая отчеты о безопасности и конфигурации.

Отчеты GuardDuty

Вопрос. Что может обнаружить Amazon GuardDuty?

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются службой AWS Security. Сервис обнаруживает вторжения указанных ниже основных категорий.

  • Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
  • Компрометация инстанса. Активность, указывающая на компрометацию инстанса, например майнинг криптовалюты, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
  • Компрометация аккаунта. Перечень распространенных схем, указывающих на компрометацию аккаунта, включает вызовы API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе и вызовы API с известных вредоносных IP-адресов.
  • Несанкционированный доступ к корзине. Действия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к данным, указывающие на неправомерное использование данных для доступа, необычные действия в интерфейсе API S3 из удаленного узла, несанкционированный доступ к сервису S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис Amazon GuardDuty непрерывно отслеживает и анализирует события, связанные с данными AWS CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.

Вопрос. Что представляет собой информация об угрозах в сервисе Amazon GuardDuty?

Информация об угрозах в Amazon GuardDuty объединяет списки известных IP-адресов и доменов, которые используются злоумышленниками. Информация об угрозах GuardDuty предоставляется службой AWS Security и сторонними поставщиками, например Proofpoint и CrowdStrike. Эти источники информации об угрозах встроены в сервис GuardDuty и сведения в них постоянно обновляются без дополнительной платы.

Вопрос. Можно ли использовать собственную информацию об угрозах?

Да. Amazon GuardDuty позволяет легко загрузить собственную информацию об угрозах или список безопасных IP-адресов. При использовании такой возможности эти списки применяются только к вашему аккаунту и не используются для других клиентов.

Вопрос. Как доставляются отчеты о безопасности?

При обнаружении угрозы сервис Amazon GuardDuty доставляет подробный отчет о безопасности в консоль GuardDuty и в сервис Amazon CloudWatch Events. Это позволяет реагировать на такие предупреждения и легко интегрировать их в существующие системы управления событиями и рабочими процессами. Отчеты включают сведения о категории угрозы и затронутом ресурсе, а также метаданные, связанные с ресурсом, например об уровне серьезности угрозы.

Вопрос. Какой формат имеют отчеты о безопасности Amazon GuardDuty?

Отчеты о безопасности Amazon GuardDuty имеют стандартный формат JSON, который также используется в сервисах Amazon Macie и Amazon Inspector. Благодаря этому клиентам и партнерам проще получать отчеты о безопасности из всех трех сервисов и включать их в более общие решения для управления событиями, рабочими процессами или безопасностью.

Вопрос. Как долго отчеты о безопасности доступны в сервисе Amazon GuardDuty?

Отчеты о безопасности сохраняются в течение 90 дней и доступны для просмотра в консоли Amazon GuardDuty и через API. По истечении 90 дней отчеты удаляются. Чтобы увеличить срок хранения отчетов (более 90 дней), в сервисе Amazon CloudWatch Events можно настроить автоматическую отправку отчетов в корзину Amazon S3 вашего аккаунта или в другое хранилище данных для долгосрочного хранения.

Вопрос. Можно ли использовать сервис Amazon GuardDuty для автоматического принятия превентивных мер?

С помощью сервисов Amazon GuardDuty, Amazon CloudWatch Events и AWS Lambda можно настраивать автоматические превентивные действия на основании отчетов о безопасности. Например, можно создать функцию Lambda, которая на основании отчета о безопасности будет изменять правила группы безопасности AWS. Если в отчете о безопасности GuardDuty указано, что один из инстансов Amazon EC2 был исследован с известного вредоносного IP-адреса, проблему можно устранить с помощью правила CloudWatch Events, которое запустит функцию Lambda для автоматического изменения правил группы безопасности и ограничения доступа к указанному порту.

Вопрос. Как разработать систему обнаружения вторжения Amazon GuardDuty и управлять ею?

Над сервисом Amazon GuardDuty работает группа специалистов, ориентированная на разработку и отработку методов обнаружения вторжения, а также управление ими. Такой подход обеспечивает постоянное внедрение в сервис новых методов обнаружения вторжения и непрерывное улучшение существующих методов. В сервис встроено несколько механизмов получения обратной связи, например выражение согласия или несогласия с каждым отчетом о безопасности в пользовательском интерфейсе GuardDuty. С помощью такого механизма клиенты могут предоставлять отзывы, которые будут учтены в будущих версиях системы обнаружения вторжения GuardDuty.

Вопрос. Можно ли создавать собственные методы обнаружения вторжения в сервисе Amazon GuardDuty?

Нет. Amazon GuardDuty исключает тяжелую рутинную работу и сложности, связанные с разработкой и поддержанием собственных наборов правил. В сервис постоянно добавляются новые методы обнаружения вторжения, созданные на основе обратной связи от клиентов и исследований, выполненных службой AWS Security и группой разработки GuardDuty. Перечень индивидуальных настроек, доступных клиентам, включает возможность добавления собственных списков угроз и списков безопасных IP-адресов.

Вопрос. Я использую сервис Amazon GuardDuty. Как мне начать применять его для защиты S3?

Для существующих аккаунтов защиту GuardDuty для S3 можно включить в консоли или в API. В консоли GuardDuty вы можете перейти на страницу защиты S3 и включить защиту GuardDuty для S3 для ваших аккаунтов. После этого начнется 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3.

Вопрос. Доступен ли бесплатный ознакомительный период использования защиты GuardDuty для S3?

Да, доступен 30‑дневный бесплатный ознакомительный период. Каждый аккаунт в каждом регионе получает 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3. Аккаунты, в которых уже включен сервис GuardDuty, также получают 30 дней бесплатного использования защиты GuardDuty для S3.

Вопрос. Я новый пользователь Amazon GuardDuty. Включена ли по умолчанию защита GuardDuty для S3 для моих аккаунтов?

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита GuardDuty для S3. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, защита GuardDuty для S3 не будет включена по умолчанию за исключением случаев, когда включена функция «автоматическое включение для S3».

Вопрос. Могу ли я включить только защиту GuardDuty для S3, не включая полный сервис GuardDuty (VPC Flow Logs, журналы запросов DNS и CloudTrail Management Events)?

Чтобы использовать защиту GuardDuty для S3, необходимо включить сервис Amazon GuardDuty. В текущих аккаунтах с GuardDuty можно включить защиту GuardDuty для S3. В новых аккаунтах с GuardDuty после включения сервиса GuardDuty защита GuardDuty для S3 включается по умолчанию.

Вопрос. Отслеживает ли сервис GuardDuty все корзины в моем аккаунте для защиты S3?

Да. По умолчанию функция защиты GuardDuty для S3 отслеживает все корзины S3 в вашей среде.

Вопрос. Необходимо ли мне включить ведение журнала событий, связанных с данными S3, в AWS CloudTrail, чтобы использовать защиту GuardDuty для S3?

Нет. У сервиса GuardDuty есть прямой доступ к журналам событий, связанных с данными S3, в AWS CloudTrail, и вам необязательно включать ведение журналов данных S3 в CloudTrail и нести связанные с этим издержки. Учтите, что сервис GuardDuty не хранит журналы, а только использует их для анализа.
 

Защита GuardDuty для S3

Вопрос. Я использую сервис Amazon GuardDuty. Как мне начать применять его для защиты S3?

Для существующих аккаунтов защиту GuardDuty для S3 можно включить в консоли или в API. В консоли GuardDuty вы можете перейти на страницу защиты S3 и включить защиту GuardDuty для S3 для ваших аккаунтов. После этого начнется 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3.

Вопрос. Доступен ли бесплатный ознакомительный период использования защиты GuardDuty для S3?

Да, доступен 30‑дневный бесплатный ознакомительный период. Каждый аккаунт в каждом регионе получает 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3. Аккаунты, в которых уже включен сервис GuardDuty, также получают 30 дней бесплатного использования защиты GuardDuty для S3.

Вопрос. Я новый пользователь Amazon GuardDuty. Включена ли по умолчанию защита GuardDuty для S3 для моих аккаунтов?

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита GuardDuty для S3. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, защита GuardDuty для S3 не будет включена по умолчанию за исключением случаев, когда включена функция «автоматическое включение для S3».

Вопрос. Могу ли я включить только защиту GuardDuty для S3, не включая полный сервис GuardDuty (VPC Flow Logs, журналы запросов DNS и CloudTrail Management Events)?

Чтобы использовать защиту GuardDuty для S3, необходимо включить сервис Amazon GuardDuty. В текущих аккаунтах с GuardDuty можно включить защиту GuardDuty для S3. В новых аккаунтах с GuardDuty после включения сервиса GuardDuty защита GuardDuty для S3 включается по умолчанию.

Вопрос. Отслеживает ли сервис GuardDuty все корзины в моем аккаунте для защиты S3?

Да. По умолчанию функция защиты GuardDuty для S3 отслеживает все корзины S3 в вашей среде.

Вопрос. Необходимо ли мне включить ведение журнала событий, связанных с данными S3, в AWS CloudTrail, чтобы использовать защиту GuardDuty для S3?

Нет. У сервиса GuardDuty есть прямой доступ к журналам событий, связанных с данными S3, в AWS CloudTrail, и вам необязательно включать ведение журналов данных S3 в CloudTrail и нести связанные с этим издержки. Учтите, что сервис GuardDuty не хранит журналы, а только использует их для анализа.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах на продукт

См. примеры цен и сведения о бесплатных пробных версиях

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрируйтесь и получите бесплатную пробную версию

Получите доступ к бесплатной пробной версии Amazon GuardDuty. 

Начать работу с бесплатной пробной версией 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните работу с Amazon GuardDuty в Консоли AWS.

Войти