Обзор сервиса

Вопрос. Что такое Amazon GuardDuty?

Amazon GuardDuty предоставляет средства обнаружения угроз, с помощью которых можно непрерывно отслеживать и защищать аккаунты AWS, рабочие нагрузки и данные, хранящиеся в Amazon Simple Storage Service (Amazon S3). GuardDuty анализирует непрерывные потоки метаданных, создаваемых в результате действий в аккаунте и сети и хранящихся в сервисах AWS CloudTrail Events, журналах Amazon Virtual Private Cloud (VPC) Flow и журналах DNS Logs. Чтобы точнее определять угрозы, в сервисе используются встроенные источники информации об угрозах (например, об известных вредоносных IP-адресах), а также средства машинного обучения и обнаружения аномалий.

Вопрос. Каковы главные преимущества Amazon GuardDuty?

Amazon GuardDuty упрощает непрерывное отслеживание аккаунтов AWS, рабочих нагрузок и данных, хранящихся в Amazon S3. Он работает абсолютно независимо от используемых вами ресурсов, поэтому не влияет на производительность или доступность рабочих нагрузок. Это полностью управляемый сервис, использующий обобщенную информацию об угрозах, обнаружение аномалий и машинное обучение. Amazon GuardDuty предоставляет подробные предупреждения с возможностью реагирования, которые легко интегрировать с существующими системами управления событиями и рабочими процессами. Авансовые платежи отсутствуют, вы платите только за проанализированные события. При этом не требуется развертывать дополнительное программное обеспечение или подписываться на каналы информации об угрозах.

Вопрос. Сколько стоит использование сервиса Amazon GuardDuty?

Цена на использование Amazon GuardDuty зависит от количества проанализированных событий в сервисе AWS CloudTrail Events, а также от объема проанализированных данных в сервисах Amazon VPC Flow Logs и DNS Logs. За использование этих источников журналов для анализа в сервисе GuardDuty дополнительная плата не взимается.

  • Анализ событий управления AWS CloudTrail. Сервис GuardDuty непрерывно анализирует события управления CloudTrail и отслеживает доступ к вашим аккаунтам и инфраструктуре AWS, а также действия в них. Плата за анализ событий управления CloudTrail начисляется за каждые 1 000 000 событий в месяц на пропорциональной основе.
  • Анализ событий, связанных с данными S3, в AWS CloudTrail. Сервис GuardDuty непрерывно анализирует события, связанные с данными S3, в CloudTrail и отслеживает доступ ко всем вашим корзинам Amazon S3 и действия в них. Плата за анализ событий, связанных с данными CloudTrail S3, начисляется за каждые 1 000 000 событий в месяц пропорционально.
  • Анализ журнала VPC Flow и журнала DNS. Amazon GuardDuty непрерывно анализирует журналы VPC Flow, а также запросы и ответы DNS для выявления вредоносного, несанкционированного или неожиданного поведения аккаунтов AWS и рабочих нагрузок клиента. Плата за анализ журнала VPC Flow и журнала DNS рассчитывается по количеству гигабайтов данных, проанализированных за месяц. На анализ журнала VPC Flow и журнала DNS предоставляются многоуровневые скидки в зависимости от объема.

Авансовые платежи отсутствуют, оплате подлежат только проанализированные данные.

Подробные сведения и примеры расчета цен приведены на странице цен на Amazon GuardDuty.

Вопрос. Показана ли в расчетной стоимости для аккаунта плательщика Amazon GuardDuty сумма расходов для всех связанных аккаунтов? Или она показана только для аккаунта плательщика?

Расчетная стоимость относится только к затратам отдельного аккаунта плательщика. При использовании аккаунта администратора отображается только расчетная стоимость для аккаунта администратора.

Вопрос. Существует ли бесплатный ознакомительный период?

Да. Любой аккаунт, который прежде не использовал сервис, может в течение 30 дней бесплатно попробовать работу с Amazon GuardDuty. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей по обнаружению вторжения. GuardDuty отображает объем обработанных данных и расчетные среднесуточные расходы на использование сервиса для аккаунта клиента. Это упрощает работу с Amazon GuardDuty во время бесплатного ознакомительного периода и позволяет прогнозировать стоимость сервиса после окончания этого периода.

Вопрос. В чем разница между Amazon GuardDuty и Amazon Macie?

Amazon GuardDuty обеспечивает общую защиту ваших аккаунтов AWS, рабочих нагрузок и данных, помогая обнаруживать ряд угроз, например исследование системы злоумышленниками либо компрометацию на уровне инстанса, аккаунта или корзины. Сервис Amazon Macie позволяет обнаруживать и защищать конфиденциальные данные в Amazon S3. Для этого он помогает классифицировать имеющиеся у вас данные, а также средства обеспечения безопасности и доступа, связанные с этими данными.

Вопрос. Amazon GuardDuty – это региональный или глобальный сервис?

Amazon GuardDuty – региональный сервис. Даже когда сервис используется для нескольких аккаунтов и работает в нескольких регионах, отчеты о безопасности, созданные Amazon GuardDuty, остаются в тех же регионах, где получены исходные данные. Такой подход гарантирует, что анализ всех данных будет выполняться в пределах региона и что данные не покинут соответствующие регионы AWS. Клиенты могут объединять отчеты безопасности, созданные сервисом Amazon GuardDuty в разных регионах, с помощью сервиса Amazon CloudWatch Events, передавая отчеты в хранилище данных, находящееся под контролем клиента (например, в Amazon S3), а затем агрегируя данные по своему усмотрению.

Вопрос. В каких регионах работает сервис Amazon GuardDuty?

Список регионов, в которых доступен сервис Amazon GuardDuty, представлен в таблице регионов AWS

Вопрос. Какие партнеры работают с Amazon GuardDuty?

Существует большое количество партнеров по технологиям, решения которых построены на основе сервиса Amazon GuardDuty или интегрированы с ним. Многие консалтинговые компании, системные интеграторы и поставщики управляемых сервисов безопасности имеют опыт работы с Amazon GuardDuty. См. список партнеров Amazon GuardDuty.

Вопрос. Помогает ли сервис Amazon GuardDuty выполнять требования стандарта безопасности данных в индустрии платежных карт (PCI DSS)?

Ответ. GuardDuty анализирует события в нескольких источниках данных AWS, например в AWS CloudTrail, журналах Amazon VPC Flow и журналах DNS. Сервис также обнаруживает подозрительную активность на основе данных об угрозах, полученных от AWS и других сервисов, таких как CrowdStrike. Компания Foregenix опубликовала документ, в котором представлена подробная оценка эффективности сервиса Amazon GuardDuty в части соответствия требованиям, например требованию 11.4 стандарта безопасности данных в индустрии платежных карт (PCI DSS), согласно которому необходимо использовать методы обнаружения вторжений в критически важных точках сети.

Включение GuardDuty

Вопрос. Как включить Amazon GuardDuty?

Amazon GuardDuty можно установить и развернуть несколькими щелчками мышью в Консоли управления AWS. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

Вопрос. Можно ли использовать сервис Amazon GuardDuty для нескольких аккаунтов?

Да. В Amazon GuardDuty предусмотрена возможность работы с несколькими аккаунтами, что позволяет связывать несколько аккаунтов AWS и управлять ими из одного аккаунта администратора. При использовании этой возможности все отчеты о безопасности будут агрегированы для администратора или в аккаунте администратора Amazon GuardDuty, в котором можно просмотреть эти отчеты и принять корректирующие меры. В случае применения данной конфигурации события Amazon CloudWatch Events также будут агрегированы в аккаунте администратора Amazon GuardDuty.

Вопрос. Данные из каких источников анализирует сервис Amazon GuardDuty?

Amazon GuardDuty анализирует AWS CloudTrail, журналы VPC Flow и журналы DNS AWS. Сервис оптимизирован для обработки больших объемов данных, что позволяет обнаруживать угрозы безопасности в режиме, близком к режиму реального времени. GuardDuty предоставляет доступ к встроенным методам обнаружения, разработанным и оптимизированным для облака. Их обслуживание и непрерывное совершенствование обеспечивает служба AWS Security.

Вопрос. Насколько быстро начинает работать сервис GuardDuty?

Amazon GuardDuty начинает анализировать данные на наличие вредоносной или несанкционированной активности сразу же после включения. Время получения первых отчетов о безопасности зависит от уровня активности в аккаунте. GuardDuty не анализирует данные за прошедший период – только действия, которые происходят после его включения. Если GuardDuty обнаруживает какие-либо потенциальные угрозы, результаты обнаружения отображаются в консоли GuardDuty.

Вопрос. Нужно ли для работы Amazon GuardDuty включать сервисы AWS CloudTrail, VPC Flow Logs и DNS Logs?

Нет. Amazon GuardDuty извлекает независимые потоки данных непосредственно из AWS CloudTrail, журналов VPC Flow и журналов DNS AWS. Управлять политиками корзины Amazon S3 или изменять способ сбора и хранения журналов не требуется. Разрешения GuardDuty управляются как связанные с сервисом роли. Их можно отозвать в любое время, отключив GuardDuty. Такой подход упрощает включение сервиса, которое не требует сложной настройки. При этом устраняется риск того, что изменение разрешений AWS Identity and Access Management (IAM) или политик корзины S3 повлияет на работу сервиса. Это также позволяет сервису GuardDuty чрезвычайно эффективно обрабатывать большие объемы данных в режиме, близком к режиму реального времени, не влияя на производительность или доступность аккаунта или рабочих нагрузок.

Вопрос. Оказывает ли включение сервиса Amazon GuardDuty в моем аккаунте влияние на производительность или доступность?

Amazon GuardDuty работает совершенно независимо от используемых ресурсов AWS, поэтому никак не влияет на аккаунты или рабочие нагрузки клиента. Это упрощает использование GuardDuty для множества аккаунтов в организации без какого-либо ущерба для существующих операций.

Вопрос. Осуществляет ли сервис Amazon GuardDuty управление моими журналами или их хранение?

Amazon GuardDuty не управляет журналами и не сохраняет их. Все данные, обработанные GuardDuty, анализируются в режиме, близком к режиму реального времени, а затем удаляются. Такой подход обеспечивает высокую эффективность и экономичность сервиса GuardDuty, а также снижает риск появления остаточных данных. Для доставки и хранения журналов следует использовать сервисы AWS для мониторинга и ведения журналов, в которых предусмотрены полнофункциональные варианты доставки и хранения.

Вопрос. Как прекратить просмотр журналов и источников данных сервисом Amazon GuardDuty?

Прекратить анализ источников данных сервисом Amazon GuardDuty можно в любое время, приостановив сервис в общих настройках. При этом анализ данных сервисом немедленно прекратится, но существующие отчеты и конфигурации не будут удалены. В общих настройках также есть вариант полного отключения сервиса. В этом случае перед удалением разрешений сервиса и его сбросом будут удалены все имеющиеся данные, включая отчеты о безопасности и конфигурации.

Отчеты GuardDuty

Вопрос. Что может обнаружить Amazon GuardDuty?

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются службой AWS Security. Сервис обнаруживает вторжения указанных ниже основных категорий.

  • Исследование системыАктивность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
  • Компрометация инстанса Активность, указывающая на компрометацию инстанса, например майнинг криптовалюты, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
  • Компрометация аккаунта Перечень распространенных схем, указывающих на компрометацию аккаунта, включает вызовы API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе и вызовы API с известных вредоносных IP-адресов.
  • Несанкционированный доступ к корзинеДействия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к данным, указывающие на неправомерное использование данных для доступа, необычные действия в интерфейсе API S3 из удаленного узла, несанкционированный доступ к сервису S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис Amazon GuardDuty непрерывно отслеживает и анализирует события, связанные с данными AWS CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.

Вопрос. Что представляет собой информация об угрозах в сервисе Amazon GuardDuty?

Информация об угрозах в Amazon GuardDuty объединяет списки известных IP-адресов и доменов, которые используются злоумышленниками. Информация об угрозах GuardDuty предоставляется службой AWS Security и сторонними поставщиками, например Proofpoint и CrowdStrike. Эти источники информации об угрозах встроены в сервис GuardDuty и сведения в них постоянно обновляются без дополнительной платы.

Вопрос. Можно ли использовать собственную информацию об угрозах?

Да. Amazon GuardDuty позволяет легко загрузить собственную информацию об угрозах или список безопасных IP-адресов. При использовании такой возможности эти списки применяются только к вашему аккаунту и не используются для других клиентов.

Вопрос. Как доставляются отчеты о безопасности?

При обнаружении угрозы сервис Amazon GuardDuty доставляет подробный отчет о безопасности в консоль GuardDuty и в сервис Amazon CloudWatch Events. Это позволяет реагировать на такие предупреждения и легко интегрировать их в существующие системы управления событиями и рабочими процессами. Отчеты включают сведения о категории угрозы и затронутом ресурсе, а также метаданные, связанные с ресурсом, например об уровне серьезности угрозы.

Вопрос. Какой формат имеют отчеты о безопасности Amazon GuardDuty?

Отчеты о безопасности Amazon GuardDuty имеют стандартный формат JSON, который также используется в сервисах Amazon Macie и Amazon Inspector. Благодаря этому клиентам и партнерам проще получать отчеты о безопасности из всех трех сервисов и включать их в более общие решения для управления событиями, рабочими процессами или безопасностью.

Вопрос. Как долго отчеты о безопасности доступны в сервисе Amazon GuardDuty?

Отчеты о безопасности сохраняются в течение 90 дней и доступны для просмотра в консоли Amazon GuardDuty и через API. По истечении 90 дней отчеты удаляются. Чтобы увеличить срок хранения отчетов (более 90 дней), в сервисе Amazon CloudWatch Events можно настроить автоматическую отправку отчетов в корзину Amazon S3 вашего аккаунта или в другое хранилище данных для долгосрочного хранения.

Вопрос. Можно ли использовать сервис Amazon GuardDuty для автоматического принятия превентивных мер?

С помощью сервисов Amazon GuardDuty, Amazon CloudWatch Events и AWS Lambda можно настраивать автоматические превентивные действия на основании отчетов о безопасности. Например, можно создать функцию Lambda, которая на основании отчета о безопасности будет изменять правила группы безопасности AWS. Если в отчете о безопасности GuardDuty указано, что один из инстансов Amazon EC2 был исследован с известного вредоносного IP-адреса, проблему можно устранить с помощью правила CloudWatch Events, которое запустит функцию Lambda для автоматического изменения правил группы безопасности и ограничения доступа к указанному порту.

Вопрос. Как разработать систему обнаружения вторжения Amazon GuardDuty и управлять ею?

Над сервисом Amazon GuardDuty работает группа специалистов, ориентированная на разработку и отработку методов обнаружения вторжения, а также управление ими. Такой подход обеспечивает постоянное внедрение в сервис новых методов обнаружения вторжения и непрерывное улучшение существующих методов. В сервис встроено несколько механизмов получения обратной связи, например выражение согласия или несогласия с каждым отчетом о безопасности в пользовательском интерфейсе GuardDuty. С помощью такого механизма клиенты могут предоставлять отзывы, которые будут учтены в будущих версиях системы обнаружения вторжения GuardDuty.

Вопрос. Можно ли создавать собственные методы обнаружения вторжения в сервисе Amazon GuardDuty?

Нет. Amazon GuardDuty исключает тяжелую рутинную работу и сложности, связанные с разработкой и поддержанием собственных наборов правил. В сервис постоянно добавляются новые методы обнаружения вторжения, созданные на основе обратной связи от клиентов и исследований, выполненных службой AWS Security и группой разработки GuardDuty. Перечень индивидуальных настроек, доступных клиентам, включает возможность добавления собственных списков угроз и списков безопасных IP-адресов.

Вопрос. Я использую сервис Amazon GuardDuty. Как мне начать применять его для защиты S3?

Для существующих аккаунтов защиту GuardDuty для Amazon S3 можно включить в консоли или в API. В консоли GuardDuty вы можете перейти на страницу защиты S3 и включить защиту GuardDuty для S3 для ваших аккаунтов. После этого начнется 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3.

Вопрос. Доступен ли бесплатный ознакомительный период использования защиты GuardDuty для S3?

Да, доступен 30‑дневный бесплатный ознакомительный период. Каждый аккаунт в каждом регионе получает 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3. Аккаунты, в которых уже включен сервис GuardDuty, также получают 30 дней бесплатного использования защиты GuardDuty для S3.

Вопрос. Я новый пользователь Amazon GuardDuty. Включена ли по умолчанию защита GuardDuty для S3 для моих аккаунтов?

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита GuardDuty для Amazon S3. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, защита GuardDuty для S3 не будет включена по умолчанию за исключением случаев, когда включена функция «автоматическое включение для S3».

Вопрос. Могу ли я включить только защиту GuardDuty для S3, не включая полный сервис GuardDuty (VPC Flow Logs, журналы запросов DNS и CloudTrail Management Events)?

Чтобы использовать защиту GuardDuty для Amazon S3, необходимо включить сервис Amazon GuardDuty. В текущих аккаунтах с GuardDuty можно включить защиту GuardDuty для S3. В новых аккаунтах с GuardDuty после включения сервиса GuardDuty защита GuardDuty для S3 включается по умолчанию.

Вопрос. Отслеживает ли сервис GuardDuty все корзины в моем аккаунте для защиты S3?

Да. По умолчанию функция защиты GuardDuty для Amazon S3 отслеживает все корзины S3 в вашей среде.

Вопрос. Необходимо ли мне включить ведение журнала событий, связанных с данными S3, в AWS CloudTrail, чтобы использовать защиту GuardDuty для S3?

Нет. У сервиса GuardDuty есть прямой доступ к журналам событий, связанных с данными S3, в AWS CloudTrail, и вам необязательно включать ведение журналов данных Amazon S3 в CloudTrail и нести связанные с этим издержки. Учтите, что сервис GuardDuty не хранит журналы, а только использует их для анализа.

Вопрос. Можно ли собирать вместе отчеты GuardDuty?

Да. Можно собирать отчеты GuardDuty из нескольких аккаунтов и регионов с помощью возможностей межрегиональной агрегации AWS Security Hub.

Защита GuardDuty для S3

Вопрос. Я сейчас использую Amazon GuardDuty. Как начать работу с GuardDuty для защиты Amazon S3?

Для существующих аккаунтов защиту GuardDuty для Amazon S3 можно включить в консоли или в API. В консоли GuardDuty вы можете перейти на страницу защиты S3 и включить защиту GuardDuty для S3 для ваших аккаунтов. После этого начнется 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3.

Вопрос. Доступен ли бесплатный ознакомительный период использования защиты GuardDuty для S3?

Да, доступен 30‑дневный бесплатный ознакомительный период. Каждый аккаунт в каждом регионе получает 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3. Аккаунты, в которых уже включен сервис GuardDuty, также получают 30 дней бесплатного использования защиты GuardDuty для S3.

Вопрос. Я новый пользователь Amazon GuardDuty. Включена ли по умолчанию защита GuardDuty для S3 для моих аккаунтов?

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита GuardDuty для S3. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, защита GuardDuty для S3 не будет включена по умолчанию за исключением случаев, когда включена функция «автоматическое включение для S3».

Вопрос. Могу ли я включить только защиту GuardDuty для S3, не включая полный сервис GuardDuty (VPC Flow Logs, журналы запросов DNS и CloudTrail Management Events)?

Чтобы использовать защиту GuardDuty для S3, необходимо включить сервис Amazon GuardDuty. В текущих аккаунтах с GuardDuty можно включить защиту GuardDuty для S3. В новых аккаунтах с GuardDuty после включения сервиса GuardDuty защита GuardDuty для S3 включается по умолчанию.

Вопрос. Отслеживает ли сервис GuardDuty все корзины в моем аккаунте для защиты S3?

Да. По умолчанию функция защиты GuardDuty для S3 отслеживает все корзины S3 в вашей среде.

Вопрос. Необходимо ли мне включить ведение журнала событий, связанных с данными S3, в AWS CloudTrail, чтобы использовать защиту GuardDuty для S3?

Нет. У сервиса GuardDuty есть прямой доступ к журналам событий, связанных с данными S3, в AWS CloudTrail, и вам необязательно включать ведение журналов данных S3 в CloudTrail и нести связанные с этим издержки. Учтите, что сервис GuardDuty не хранит журналы, а только использует их для анализа.

Защита GuardDuty для EKS

Вопрос. Как работает защита Amazon GuardDuty для EKS?

Защита Amazon GuardDuty для EKS – это функция GuardDuty, которая отслеживает активность плоскости управления кластера Amazon Elastic Kubernetes Service (Amazon EKS), анализируя журналы аудита Kubernetes. Благодаря интеграции с Amazon EKS GuardDuty получает прямой доступ к журналам аудита Kubernetes, не требуя их включения или хранения. Журналы аудита представляют собой относящиеся к системе безопасности хронологические записи, в которых зарегистрирована последовательность действий плоскости управления Amazon EKS. Журналы аудита Kubernetes дают GuardDuty наглядность, необходимую для непрерывного мониторинга активности API Amazon EKS, а также собирают информацию о проверенных угрозах и выявлении аномалий для определения вредоносных действий или изменений конфигурации, из-за которых может возникнуть риск несанкционированного доступа к Amazon EKS. При выявлении угроз GuardDuty генерирует выводы о безопасности, где указаны тип угрозы, уровень серьезности и сведения о контейнере, такие как идентификатор пода, идентификатор образа контейнера и связанные теги.

Вопрос. Какие типы угроз Amazon GuardDuty выявляет в рабочих нагрузках Amazon EKS?

Защита GuardDuty для EKS может выявлять угрозы, связанные с действиями пользователей и приложений, зафиксированными в журналах аудита Kubernetes. Обнаружение угроз Kubernetes включает обращение к кластерам Amazon EKS со стороны известных злоумышленников или узлов Tor, выполняемые анонимными пользователями операции API, которые могут указывать на неправильную конфигурацию, и ошибочные настройки, из-за которых может возникнуть риск несанкционированного доступа к Amazon EKS. Кроме того, с помощью моделей машинного обучения GuardDuty может определять последовательности шаблонов с техниками повышения привилегий, такие как подозрительный запуск контейнера с доступом к базовому хосту Amazon Elastic Compute Cloud (Amazon EC2) на корневом уровне. См. полный и подробный список новых выявляемых угроз в разделе Типы находок Amazon GuardDuty.

Вопрос. Нужно ли включать журналы аудита Amazon EKS Kubernetes?

Нет, у GuardDuty есть прямой доступ к журналам аудита Amazon EKS Kubernetes. Обращаем внимание, что GuardDuty использует журналы только для анализа и не хранит их. Журналы аудита Amazon EKS не нужно включать или оплачивать для совместного использования в GuardDuty. Чтобы оптимизировать затраты, GuardDuty применяет интеллектуальные фильтры и использует только журналы аудита, имеющие отношение к выявлению угроз безопасности.

Вопрос. Доступен ли бесплатный ознакомительный период использования защиты GuardDuty для EKS?

Да, доступен 30‑дневный бесплатный ознакомительный период. Любой новый аккаунт Amazon GuardDuty в каждом регионе получает 30 дней бесплатного ознакомительного использования GuardDuty, включая возможности защиты GuardDuty для EKS. Существующие аккаунты GuardDuty бесплатно получают 30-дневный ознакомительный период для защиты GuardDuty для EKS. В течение ознакомительного периода на странице использования консоли GuardDuty можно посчитать примерную стоимость сервиса. У администраторов GuardDuty есть доступ к информации о стоимости сервиса в аккаунтах участников. По истечении ознакомительного периода актуальную стоимость функции можно посмотреть в консоли выставления счетов AWS.

Вопрос. Я сейчас использую Amazon GuardDuty. Как начать работу с защитой GuardDuty для Amazon EKS?

Защиту GuardDuty для EKS нужно включать отдельно для каждого аккаунта. Активировать данную функцию можно одним нажатием в консоли GuardDuty. Для этого перейдите на страницу защиты Kubernetes и включите защиту GuardDuty для EKS в аккаунтах. Если конфигурация GuardDuty используется с несколькими аккаунтами, на странице защиты Kubernetes в аккаунте администратора GuardDuty можно включить мониторинг для Amazon EKS по всей организации. Это позволит непрерывно мониторить Amazon EKS в каждом отдельном аккаунте участника. Для аккаунтов GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, необходимо дополнительно применить «автоматическое включение для EKS». После подключения угрозы будут отслеживаться во всех существующих и будущих кластерах Amazon EKS без какой-либо настройки.

Вопрос. Я новый пользователь Amazon GuardDuty. Включена ли по умолчанию защита GuardDuty для EKS для моих аккаунтов?

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита GuardDuty для EKS. Примечание. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» AWS Organizations, защита GuardDuty для EKS не будет включена по умолчанию за исключением случаев, когда включена функция «автоматическое включение для EKS».

Вопрос. Как отключить защиту GuardDuty для EKS?

Защиту GuardDuty для EKS можно отключить в консоли или с помощью API. В консоли GuardDuty перейдите на страницу защиты Kubernetes и отключите защиту GuardDuty для EKS в своих аккаунтах. Если вы являетесь администратором GuardDuty, то можете отключить функцию защиты GuardDuty для EKS в аккаунтах участников.

Вопрос. Как включить защиту GuardDuty для EKS после отключения?

После отключения защиты GuardDuty для EKS, ее можно заново включить в консоли или с помощью API. В консоли GuardDuty перейдите на страницу защиты Kubernetes и включите защиту GuardDuty для EKS в своих аккаунтах.

Вопрос. Нужно ли включать защиту Amazon GuardDuty для Amazon EKS в каждом аккаунте AWS и кластере Amazon EKS отдельно?

GuardDuty для EKS Protection нужно включать отдельно для каждого аккаунта. При использовании конфигурации GuardDuty с несколькими аккаунтами, на странице защиты Kubernetes в аккаунте администратора GuardDuty можно одним щелчком включить обнаружение угроз для Amazon EKS по всей организации. Это позволит выявлять угрозы для Amazon EKS в каждом отдельном аккаунте участника. После подключения угрозы будут отслеживаться во всех существующих и будущих кластерах Amazon EKS, и ручная настройка для них не потребуется.

Вопрос. Будет ли взиматься плата, если Amazon EKS не используется, но функция EKS Protection в GuardDuty
включена?

Если вы не используете Amazon EKS и включили EKS Protection, то плата за защиту GuardDuty для EKS взиматься не будет. Тем не менее как только вы начнете использовать Amazon EKS, GuardDuty автоматически инициирует мониторинг ваших кластеров, и вы получите информацию о выявленных проблемах.

Вопрос. Могу ли я включить только защиту GuardDuty для EKS, не включая полный сервис GuardDuty (например, журналы потока VPC, журналы запросов DNS и анализ событий управления CloudTrail)?

Чтобы использовать защиту GuardDuty для EKS, необходимо включить сервис Amazon GuardDuty.

Вопрос. Поддерживает ли защита GuardDuty для EKS управление несколькими аккаунтами?

GuardDuty позволяет управление несколькими аккаунтами благодаря интеграции с AWS Organizations. Эта интеграция помогает специалистам по безопасности и соответствию требованиям обеспечить полный охват GuardDuty по всем существующим и будущим кластерам Amazon EKS во всех аккаунтах организации.

Вопрос. Отслеживает ли GuardDuty журналы аудита Kubernetes для развертываний EKS в AWS Fargate?

Да. Защита GuardDuty для EKS отслеживает журналы аудита кластеров Amazon EKS, развернутых как на инстансах EC2, так и на AWS Fargate.

Вопрос. Отслеживает ли GuardDuty неуправляемый Kubernetes на EC2 или EKS Anywhere?

В данный момент поддерживаются только развертывания Amazon EKS, которые запускаются на инстансах EC2 в вашем аккаунте или на AWS Fargate.

Вопрос. Нужно ли вносить какие-либо изменения в конфигурацию, развертывать программное обеспечение или менять развертывания Amazon EKS?

Нет. После включения GuardDuty начинает проверять журналы аудита Kubernetes всех существующих и новых кластеров EKS в аккаунте на предмет угроз, при этом не нужно что-то развертывать, включать источники журналов и вносить изменения в конфигурацию.

Вопрос. Повлияет ли использование защиты GuardDuty для EKS на производительность или стоимость запуска контейнеров на Amazon EKS?

Нет. Защита GuardDuty для EKS не влияет на производительность, доступность или стоимость развертывания рабочих нагрузок Amazon EKS.

Вопрос. Нужно ли включать защиту GuardDuty для EKS в каждом регионе AWS отдельно?

Да. Amazon GuardDuty – это региональный сервис, и обнаружение угроз для EKS необходимо включить отдельно в каждом регионе AWS.

Standard Product Icons (Features) Squid Ink
Подробнее о ценах на продукт

См. примеры цен и сведения о бесплатных пробных версиях

Подробнее 
Sign up for a free account
Зарегистрируйтесь и получите бесплатную пробную версию

Получите доступ к бесплатной пробной версии Amazon GuardDuty. 

Начать работу с бесплатной пробной версией 
Standard Product Icons (Start Building) Squid Ink
Начать разработку в консоли

Начните работу с Amazon GuardDuty в Консоли AWS.

Войти