Возможности Amazon GuardDuty

Amazon GuardDuty – это сервис обнаружения угроз, который постоянно отслеживает вредоносное или аномальное поведение с целью защиты аккаунтов AWS, рабочих нагрузок эластичного вычислительного облака (EC2) Amazon, контейнерных программ, баз данных Amazon Aurora и данных, хранящихся в Простом сервисе хранения данных Amazon (S3). GuardDuty сочетает в себе машинное обучение, обнаружение аномалий, мониторинг сети и обнаружение вредоносных файлов, используя как разработки AWS, так и ведущие в отрасли сторонние источники, чтобы помочь защитить рабочие нагрузки и данные на AWS. GuardDuty может анализировать десятки миллиардов событий в нескольких источниках данных AWS, например в журналах событий AWS CloudTrail, журналах потоков виртуального частного облака Amazon (VPC), журналах эластичного сервиса Amazon Kubernetes (EKS) и системного уровня, а также журналах запросов DNS.

Amazon GuardDuty выявляет необычные действия в ваших учетных записях, анализирует их соответствие безопасности и дает контекст, в котором они были вызваны. Это позволяет респонденту определить, следует ли ему тратить время на дальнейшее расследование. Выводам GuardDuty назначается степень серьезности, а действия можно автоматизировать путем интеграции с Центром безопасности AWS, Amazon EventBridge, AWS Lambda и AWS Step Functions. Amazon Detective также тесно интегрирован с GuardDuty, поэтому вы можете легко выполнять глубокую криминалистику и расследование первопричин.

Amazon GuardDuty точно обнаруживает угрозы компрометации аккаунта. Быстро выявить такие угрозы довольно сложно, если не ведется непрерывный мониторинг показателей в режиме, близком к реальному времени. Amazon GuardDuty способен обнаруживать такие признаки компрометации аккаунта, как доступ к ресурсам AWS из необычного местоположения в нетипичное время суток. Для программных аккаунтов AWS сервис Amazon GuardDuty проверяет необычные вызовы API, например попытки скрыть активность аккаунта путем отключения функций ведения журналов CloudTrail или попытки сделать снимки состояния базы данных с вредоносного IP-адреса.

Amazon GuardDuty непрерывно отслеживает и анализирует данные событий аккаунта AWS и рабочих нагрузок клиента, содержащиеся в AWS CloudTrail, журналах VPC Flow Logs и журналах DNS. Дополнительного развертывания и обслуживания программного обеспечения или инфраструктуры обеспечения безопасности не требуется. Объединив аккаунты AWS, можно выполнять обнаружение угроз для всех этих аккаунтов, а не для каждого в отдельности. Кроме того, теперь не требуется собирать, анализировать и сопоставлять большие объемы данных AWS из нескольких аккаунтов. Сосредоточьтесь на скорости реагирования и обеспечении безопасности организации, продолжая расширять и внедрять инновации в облаке AWS.

Amazon GuardDuty поможет вам получить доступ к встроенным методам обнаружения, разработанным и оптимизированным для облака. AWS Security постоянно поддерживает и улучшает эти алгоритмы обнаружения. Сервис обнаруживает вторжения указанных ниже основных категорий.

• Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, подозрительные попытки входа в базу данных, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
• Несанкционированный доступ к инстансу. Активность, указывающая на несанкционированный доступ к инстансу, например майнинг криптовалюты, действия по управлению бэкдорами (C&C), вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
• Несанкционированный доступ к аккаунту. Перечень распространенных схем, указывающих на несанкционированный доступ к аккаунту, включает вызовы интерфейса API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, изменения, смягчающие политику паролей аккаунтов, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе, кража учетных данных, подозрительная активность при входе в базу данных и вызовы интерфейса API с известных вредоносных IP-адресов.
• Несанкционированный доступ к корзине. Действия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к данным, указывающие на неправомерное использование данных для доступа, необычные действия в интерфейсе API Amazon S3 из удаленного узла, несанкционированный доступ к сервису S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис Amazon GuardDuty непрерывно отслеживает и анализирует события, связанные с данными AWS CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.

Здесь полный список способов обнаружения угроз сервисом GuardDuty.

В сервисе GuardDuty применяются передовые методы обнаружения вторжений с использованием средств машинного обучения и обнаружения аномалий. Эти методы позволяют идентифицировать угрозы, которые прежде было трудно выявить, например необычные схемы вызовов интерфейса API или вредоносное поведение пользователя системы Управления идентификацией и доступом AWS (IAM). Кроме того, в Amazon GuardDuty интегрирована информация об угрозах, включающая списки вредоносных доменов или IP-адресов от службы безопасности AWS и ведущих сторонних партнеров по безопасности, включая Proofpoint и CrowdStrike.

Сервис Amazon GuardDuty можно использовать в качестве альтернативы методам, подразумевающим создание собственных решений в сфере безопасности, обслуживание сложных специальных правил или составление собственных списков вредоносных IP-адресов. GuardDuty позволяет избавиться от тяжелой рутинной работы и лишних сложностей, связанных с мониторингом и защитой аккаунтов AWS и рабочих нагрузок.

Amazon GuardDuty использует три уровня серьезности (низкий, средний и высокий), чтобы помочь клиентам определить приоритеты при реагировании на потенциальные угрозы. Низкий уровень серьезности указывает на подозрительную или вредоносную активность, которая была заблокирована до того, как нанесла ущерб ресурсу. Средний уровень серьезности указывает на подозрительную активность. Например, это может быть большой объем трафика, возвращаемый на удаленный узел, который скрывается за сетью Tor, или активность, отличная от ранее наблюдавшихся схем. Высокий уровень серьезности указывает, что рассматриваемый ресурс (например, инстанс Amazon EC2 или набор данных для доступа пользователя IAM) скомпрометирован и активно используется в несанкционированных целях.

Сервис Amazon GuardDuty позволяет использовать интерфейсы API HTTPS, инструменты интерфейса командной строки (CLI) и сервис Событий Amazon CloudWatch для поддержки автоматического реагирования системы безопасности на обнаруженные угрозы. Например, можно автоматизировать рабочий процесс реагирования, используя сервис Событий CloudWatch в качестве источника события, запускающего функцию AWS Lambda.

Сервис Amazon GuardDuty рассчитан на автоматическое управление использованием ресурсов на основе общих уровней активности в аккаунтах AWS и рабочих нагрузках клиента, а также данных, сохраненных в Amazon S3. Сервис Amazon GuardDuty выделяет дополнительные ресурсы для системы обнаружения вторжения только в случае необходимости и прекращает их использование, когда эти ресурсы больше не требуются. Сервис обладает экономичной архитектурой, которая гарантирует наличие вычислительной мощности, необходимой для обеспечения безопасности, при минимальных затратах. Вы платите только за ресурсы, используемые для обнаружения вторжения, и только тогда, когда они используются. Amazon GuardDuty обеспечивает безопасность в любом масштабе.

Подключить Amazon GuardDuty для одного аккаунта можно одним щелчком мышью в Консоли управления AWS или с помощью одного вызова API. Чтобы включить сервис Amazon GuardDuty для нескольких аккаунтов, потребуется несколько щелчков мышью в консоли. В сервисе Amazon GuardDuty предусмотрена поддержка нескольких аккаунтов с помощью интеграции с сервисом Организации AWS. Встроенная поддержка также обеспечивается в сервисе GuardDuty. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.