Обзор

Amazon GuardDuty – это интеллектуальный сервис обнаружения угроз, предоставляющий клиентам точный и простой способ постоянного мониторинга и защиты аккаунтов AWS и рабочих нагрузок. Amazon GuardDuty анализирует миллиарды событий аккаунтов AWS по данным отслеживаний AWS CloudTrail (активность пользователей AWS и API в аккаунтах), журналов Amazon VPC Flow Logs (данные сетевого трафика) и журналов DNS (шаблоны запросов доменных имен).

Система обнаружения угроз сервиса Amazon GuardDuty выявляет активность, которая может быть связана с компрометацией аккаунтов или инстансов и исследованием системы злоумышленниками. Например, Amazon GuardDuty обнаруживает необычные вызовы API, подозрительные исходящие подключения к известным вредоносным IP-адресам или возможную кражу данных с использованием DNS-запросов в качестве механизма транспорта. Amazon GuardDuty обеспечивает повышенную точность обнаружения угроз благодаря применению машинного обучения, дополненного аналитической информацией об угрозах, например списками вредоносных IP-адресов и доменов.

Amazon GuardDuty можно включить несколькими щелчками мышью в Консоли управления AWS. Благодаря этому сервису клиенты могут воспользоваться интеллектуальным и экономичным способом обнаружения угроз в облаке AWS.

Точное обнаружение угрозы на уровне аккаунта

Amazon GuardDuty точно обнаруживает угрозы компрометации аккаунта. Быстро выявить такие угрозы довольно сложно, если не ведется непрерывный мониторинг показателей в режиме, близком к реальному времени. Amazon GuardDuty способен обнаруживать такие признаки компрометации аккаунта, как доступ к ресурсам AWS из необычного местоположения в нетипичное время суток. Для программных аккаунтов AWS сервис Amazon GuardDuty проверяет необычные вызовы API, например попытки скрыть активность аккаунта путем отключения функций ведения журналов CloudTrail или попытки сделать снимки состояния базы данных с вредоносного IP-адреса.

Непрерывный мониторинг нескольких аккаунтов AWS без дополнительных расходов и трудозатрат

Amazon GuardDuty непрерывно отслеживает и анализирует данные событий аккаунта AWS и рабочих нагрузок клиента, содержащиеся в AWS CloudTrail, журналах VPC Flow Logs и журналах DNS. Дополнительного развертывания и обслуживания программного обеспечения или инфраструктуры обеспечения безопасности не требуется. Объединив аккаунты AWS, можно выполнять обнаружение угроз для всех этих аккаунтов, а не для каждого в отдельности. Кроме того, теперь не требуется собирать, анализировать и сопоставлять большие объемы данных AWS из нескольких аккаунтов. Это дает возможность сосредоточиться на скорости реагирования и обеспечении безопасности организации, продолжая расширяться и внедрять инновации в облаке AWS.

Система обнаружения угроз, разработанная и оптимизированная для облака

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются службой AWS Security. Сервис обнаруживает вторжения указанных ниже основных категорий.

Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.

Компрометация инстанса. Активность, указывающая на компрометацию инстанса, например майнинг криптовалюты, действия по управлению бэкдорами, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.

Компрометация аккаунта. Перечень распространенных схем, указывающих на компрометацию аккаунта, включает вызовы API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе и вызовы API с известных вредоносных IP-адресов.

Щелкните, чтобы отобразить полный список способов обнаружения угроз в сервисе Amazon GuardDuty.

В сервисе Amazon GuardDuty применяются передовые методы обнаружения вторжений с использованием средств машинного обучения и обнаружения аномалий. Эти методы позволяют идентифицировать угрозы, которые прежде было трудно выявить, например необычные схемы вызовов API или вредоносное поведение пользователя IAM. Кроме того, в Amazon GuardDuty интегрирована информация об угрозах, включающая списки вредоносных доменов или IP-адресов от службы безопасности AWS и ведущих сторонних партнеров по безопасности, включая Proofpoint и CrowdStrike.

Сервис Amazon GuardDuty можно использовать в качестве альтернативы методам, подразумевающим создание собственных решений в сфере безопасности, обслуживание сложных специальных правил или составление собственных списков вредоносных IP-адресов. GuardDuty позволяет избавиться от тяжелой рутинной работы и лишних сложностей, связанных с мониторингом и защитой аккаунтов AWS и рабочих нагрузок.

Уровни серьезности угроз для эффективной расстановки приоритетов

Amazon GuardDuty использует три уровня серьезности (низкий, средний и высокий), чтобы помочь клиентам определить приоритеты при реагировании на потенциальные угрозы. Низкий уровень серьезности указывает на подозрительную или вредоносную активность, которая была заблокирована до того, как нанесла ущерб ресурсу. Средний уровень серьезности указывает на подозрительную активность. Например, это может быть большой объем трафика, возвращаемый на удаленный узел, который скрывается за сетью Tor, или активность, отличная от ранее наблюдавшихся схем. Высокий уровень серьезности указывает, что рассматриваемый ресурс (например, инстанс EC2 или набор данных для доступа пользователя IAM) скомпрометирован и активно используется в несанкционированных целях.

Автоматизация реагирования на угрозы и их устранения

Amazon GuardDuty позволяет использовать API HTTPS, инструменты интерфейса командной строки и сервис AWS CloudWatch Events для поддержки автоматического реагирования системы безопасности на обнаруженные проблемы безопасности. Например, можно автоматизировать рабочий процесс реагирования, используя CloudWatch Events в качестве источника события, запускающего функцию AWS Lambda.

Высокая доступность системы обнаружения угроз

Amazon GuardDuty рассчитан на автоматическое управление использованием ресурсов на основе общих уровней активности в аккаунтах AWS и рабочих нагрузках клиента. Amazon GuardDuty выделяет дополнительные ресурсы для системы обнаружения вторжения только тогда, когда это необходимо, и прекращает их использование, когда эти ресурсы больше не нужны. Сервис обладает экономичной архитектурой, которая гарантирует наличие вычислительной мощности, необходимой для обеспечения безопасности, при минимальных затратах. Клиент платит только за ресурсы, используемые для обнаружения вторжения, и только тогда, когда они используются. Amazon GuardDuty обеспечивает безопасность в любом масштабе.

Развертывание одним щелчком без необходимости развертывать дополнительное программное обеспечение или инфраструктуру и управлять ими

Подключить Amazon GuardDuty для одного аккаунта можно одним щелчком мышью в Консоли управления AWS или с помощью одного вызова API. Чтобы включить Amazon GuardDuty для нескольких аккаунтов, потребуется несколько щелчков мышью в консоли. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах на продукт

См. примеры цен и сведения о бесплатных пробных версиях

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрируйтесь и получите бесплатную пробную версию

Получите доступ к бесплатной пробной версии Amazon GuardDuty. 

Начать работу с бесплатной пробной версией 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните работу с Amazon GuardDuty в Консоли AWS.

Войти