Обзор

Amazon GuardDuty – это интеллектуальный сервис обнаружения угроз, предоставляющий клиентам точный и простой способ постоянного мониторинга и защиты аккаунтов AWS и рабочих нагрузок. Amazon GuardDuty анализирует миллиарды событий аккаунтов AWS по данным отслеживаний AWS CloudTrail (активность пользователей AWS и API в аккаунтах), журналов Amazon VPC Flow Logs (данные сетевого трафика) и журналов DNS (шаблоны запросов доменных имен).

Система обнаружения угроз сервиса Amazon GuardDuty выявляет активность, которая может быть связана с угрозой для аккаунтов или инстансов и вредоносным зондированием. Например, Amazon GuardDuty обнаруживает необычные вызовы API, подозрительные исходящие подключения к известным вредоносным IP-адресам или возможную кражу данных с использованием в качестве транспортного механизма DNS-запросов. Amazon GuardDuty обеспечивает более точные результаты, применяя машинное обучение, дополненное аналитической информацией об угрозах, такой как списки вредоносных IP-адресов и доменов.

Amazon GuardDuty можно активировать с помощью нескольких щелчков мышью в Консоли управления AWS. Благодаря этому сервису клиенты могут воспользоваться интеллектуальным и экономичным способом обнаружения угроз в облаке AWS.

Точное обнаружение угрозы на уровне аккаунта

Amazon GuardDuty обеспечивает точное обнаружение угрозы компрометации аккаунта: быстро выявить этот факт довольно сложно, если не ведется непрерывный мониторинг показателей в режиме, близком к реальному времени. Amazon GuardDuty способен обнаруживать такие признаки компрометации аккаунта, как доступ к ресурсам AWS из необычного местоположения в нетипичное время суток. Для программных аккаунтов AWS Amazon GuardDuty проверяет необычные вызовы API, такие как попытки скрыть активность аккаунта, отключив ведение журналов CloudTrail, или попытки сделать снимки состояния базы данных с вредоносного IP-адреса.

Непрерывный мониторинг нескольких аккаунтов AWS без дополнительных расходов и трудозатрат

Amazon GuardDuty непрерывно отслеживает и анализирует данные событий аккаунта AWS и рабочих нагрузок клиента, содержащиеся в AWS CloudTrail, журналах VPC Flow Logs и журналах DNS. Дополнительного развертывания и обслуживания программного обеспечения или инфраструктуры безопасности не требуется. Объединив аккаунты AWS, можно выполнять обнаружение угроз для всех этих аккаунтов, а не для каждого в отдельности. Кроме того, теперь не требуется собирать, анализировать и сопоставлять большие объемы данных AWS из нескольких аккаунтов. Это дает возможность сосредоточиться на скорости реагирования и обеспечении безопасности организации, продолжая расширяться и внедрять инновации в облаке AWS.

Система обнаружения угроз, разработанная и оптимизированная для облака

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Их обслуживание и непрерывное совершенствование обеспечивают сервисы безопасности AWS. Amazon GuardDuty использует продвинутые методы обнаружения вторжения с использованием машинного обучения и обнаружения аномалий. Эти методы позволяют идентифицировать угрозы, которые прежде было трудно выявить, например необычные схемы вызовов API или вредоносное поведение пользователя IAM. Кроме того, в Amazon GuardDuty интегрирована информация об угрозах, включающая списки вредоносных доменов или IP-адресов от службы безопасности AWS и ведущих сторонних партнеров по безопасности, включая Proofpoint и CrowdStrike. Amazon GuardDuty предоставляет альтернативу созданию собственных решений в сфере безопасности, обслуживанию сложных специальных правил или составлению собственных списков вредоносных IP-адресов. GuardDuty исключает тяжелую рутинную работу и лишние сложности, связанные с мониторингом и защитой аккаунтов AWS и рабочих нагрузок.

Уровни серьезности угроз для эффективной расстановки приоритетов

Amazon GuardDuty использует три уровня серьезности (низкий, средний и высокий), чтобы помочь клиентам определить приоритеты при реагировании на потенциальные угрозы. Низкий уровень серьезности указывает на подозрительную или вредоносную активность, которая была заблокирована до того, как нанесла ущерб ресурсу. Средний уровень серьезности указывает на подозрительную активность. Например, на удаленный хост, который скрывается за сетью Tor, возвращается большой объем трафика или отмечается активность, отличная от ранее наблюдавшихся схем. Высокий уровень серьезности указывает, что рассматриваемый ресурс (например, инстанс EC2 или набор данных для доступа пользователя IAM) скомпрометирован и активно используется в несанкционированных целях.

Автоматизация реагирования на угрозы и их устранения

Amazon GuardDuty позволяет использовать API HTTPS, инструменты интерфейса командной строки и сервис AWS CloudWatch Events для поддержки автоматического реагирования системы безопасности на обнаруженные проблемы безопасности. Например, можно автоматизировать рабочий процесс реагирования, используя CloudWatch Events в качестве источника события, запускающего функцию AWS Lambda.

Высокая доступность системы обнаружения угроз

Amazon GuardDuty рассчитан на автоматическое управление использованием ресурсов на основе общих уровней активности в аккаунтах AWS и рабочих нагрузках клиента. Amazon GuardDuty выделяет дополнительные ресурсы для системы обнаружения вторжения только тогда, когда это необходимо, и прекращает их использование, когда эти ресурсы больше не нужны. Сервис обладает экономичной архитектурой, которая гарантирует наличие вычислительной мощности, необходимой для обеспечения безопасности, при минимальных затратах. Клиент платит только за ресурсы, используемые для обнаружения вторжения, и только тогда, когда они используются. Amazon GuardDuty обеспечивает безопасность в любом масштабе.

Развертывание методом 1-click без необходимости развертывания дополнительного программного обеспечения или инфраструктуры и управления ими

Подключить Amazon GuardDuty для одного аккаунта можно за один щелчок мышью в Консоли управления AWS или с помощью одного вызова API. Чтобы включить Amazon GuardDuty для нескольких аккаунтов, потребуется несколько щелчков мышью в консоли. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

Подробнее о ценах на Amazon GuardDuty

Перейти на страницу цен
Готовы начать работу?
Регистрация
Есть вопросы?
Свяжитесь с нами