Обзор

Amazon GuardDuty – это интеллектуальный сервис обнаружения угроз, предоставляющий клиентам точный и простой способ постоянного мониторинга и защиты аккаунтов AWS, рабочих нагрузок и данных, сохраненных в Amazon S3. Сервис Amazon GuardDuty анализирует миллиарды событий аккаунтов AWS по данным отслеживаний AWS CloudTrail Management Events (активность пользователей AWS и интерфейсов API в аккаунтах), AWS CloudTrail S3 Data Events (активность Amazon S3), журналов Amazon VPC Flow Logs (данные сетевого трафика) и журналов DNS (шаблоны запросов доменных имен).

Система обнаружения угроз сервиса Amazon GuardDuty выявляет активность, которая может быть связана с несанкционированным доступом к аккаунту, инстансу или корзине, а также с исследованием системы злоумышленниками. Например, сервис Amazon GuardDuty обнаруживает необычные вызовы интерфейса API, подозрительные исходящие подключения к известным вредоносным IP-адресам или возможную кражу данных с использованием DNS-запросов в качестве транспортного механизма. Сервис Amazon GuardDuty обеспечивает повышенную точность обнаружения угроз благодаря применению машинного обучения, дополненного аналитической информацией об угрозах, например списками вредоносных IP-адресов и доменов.

Сервис Amazon GuardDuty можно включить несколькими щелчками мышью в Консоли управления AWS. Благодаря этому сервису клиенты могут воспользоваться более интеллектуальным и экономичным способом обнаружения угроз в облаке AWS.

Точное обнаружение угрозы на уровне аккаунта

Amazon GuardDuty точно обнаруживает угрозы компрометации аккаунта. Быстро выявить такие угрозы довольно сложно, если не ведется непрерывный мониторинг показателей в режиме, близком к реальному времени. Amazon GuardDuty способен обнаруживать такие признаки компрометации аккаунта, как доступ к ресурсам AWS из необычного местоположения в нетипичное время суток. Для программных аккаунтов AWS сервис Amazon GuardDuty проверяет необычные вызовы API, например попытки скрыть активность аккаунта путем отключения функций ведения журналов CloudTrail или попытки сделать снимки состояния базы данных с вредоносного IP-адреса.

Непрерывный мониторинг нескольких аккаунтов AWS без дополнительных расходов и трудозатрат

Amazon GuardDuty непрерывно отслеживает и анализирует данные событий аккаунта AWS и рабочих нагрузок клиента, содержащиеся в AWS CloudTrail, журналах VPC Flow Logs и журналах DNS. Дополнительного развертывания и обслуживания программного обеспечения или инфраструктуры обеспечения безопасности не требуется. Объединив аккаунты AWS, можно выполнять обнаружение угроз для всех этих аккаунтов, а не для каждого в отдельности. Кроме того, теперь не требуется собирать, анализировать и сопоставлять большие объемы данных AWS из нескольких аккаунтов. Это позволяет сосредоточиться на скорости реагирования и обеспечении безопасности организации, продолжая расширять и внедрять инновации в облаке AWS.

Система обнаружения угроз, разработанная и оптимизированная для облака

Amazon GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются службой AWS Security. Сервис обнаруживает вторжения указанных ниже основных категорий.

Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.

Несанкционированный доступ к инстансу. Активность, указывающая на несанкционированный доступ к инстансу, например майнинг криптовалюты, действия по управлению бэкдорами (C&C), вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.

Несанкционированный доступ к аккаунту. Перечень распространенных схем, указывающих на несанкционированный доступ к аккаунту, включает вызовы интерфейса API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, изменения, смягчающие политику паролей аккаунтов, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе и вызовы интерфейса API с известных вредоносных IP-адресов.

Несанкционированный доступ к корзине. Действия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к данным, указывающие на неправомерное использование данных для доступа, необычные действия в интерфейсе API S3 из удаленного узла, несанкционированный доступ к сервису S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис Amazon GuardDuty непрерывно отслеживает и анализирует события, связанные с данными AWS CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.

Щелкните, чтобы отобразить полный список способов обнаружения угроз сервисом GuardDuty.

В сервисе GuardDuty применяются передовые методы обнаружения вторжений с использованием средств машинного обучения и обнаружения аномалий. Эти методы позволяют идентифицировать угрозы, которые прежде было трудно выявить, например необычные схемы вызовов интерфейса API или вредоносное поведение пользователя системы IAM. Кроме того, в Amazon GuardDuty интегрирована информация об угрозах, включающая списки вредоносных доменов или IP-адресов от службы безопасности AWS и ведущих сторонних партнеров по безопасности, включая Proofpoint и CrowdStrike.

Сервис Amazon GuardDuty можно использовать в качестве альтернативы методам, подразумевающим создание собственных решений в сфере безопасности, обслуживание сложных специальных правил или составление собственных списков вредоносных IP-адресов. GuardDuty позволяет избавиться от тяжелой рутинной работы и лишних сложностей, связанных с мониторингом и защитой аккаунтов AWS и рабочих нагрузок.

Уровни серьезности угроз для эффективной расстановки приоритетов

Amazon GuardDuty использует три уровня серьезности (низкий, средний и высокий), чтобы помочь клиентам определить приоритеты при реагировании на потенциальные угрозы. Низкий уровень серьезности указывает на подозрительную или вредоносную активность, которая была заблокирована до того, как нанесла ущерб ресурсу. Средний уровень серьезности указывает на подозрительную активность. Например, это может быть большой объем трафика, возвращаемый на удаленный узел, который скрывается за сетью Tor, или активность, отличная от ранее наблюдавшихся схем. Высокий уровень серьезности указывает, что рассматриваемый ресурс (например, инстанс EC2 или набор данных для доступа пользователя IAM) скомпрометирован и активно используется в несанкционированных целях.

Автоматизация реагирования на угрозы и их устранения

Сервис Amazon GuardDuty позволяет использовать интерфейсы API HTTPS, инструменты интерфейса командной строки и сервис Amazon CloudWatch Events для поддержки автоматического реагирования системы безопасности на обнаруженные угрозы. Например, можно автоматизировать рабочий процесс реагирования, используя сервис CloudWatch Events в качестве источника события, запускающего функцию AWS Lambda.

Высокая доступность системы обнаружения угроз

Сервис Amazon GuardDuty рассчитан на автоматическое управление использованием ресурсов на основе общих уровней активности в аккаунтах AWS и рабочих нагрузках клиента, а также данных, сохраненных в Amazon S3. Сервис Amazon GuardDuty выделяет дополнительные ресурсы для системы обнаружения вторжения только в случае необходимости и прекращает их использование, когда эти ресурсы больше не требуются. Сервис обладает экономичной архитектурой, которая гарантирует наличие вычислительной мощности, необходимой для обеспечения безопасности, при минимальных затратах. Клиент платит только за ресурсы, используемые для обнаружения вторжения, и только тогда, когда они используются. Amazon GuardDuty обеспечивает безопасность в любом масштабе.

Развертывание одним щелчком без необходимости развертывать дополнительное программное обеспечение или инфраструктуру и управлять ими

Подключить Amazon GuardDuty для одного аккаунта можно одним щелчком мышью в Консоли управления AWS или с помощью одного вызова API. Чтобы включить сервис Amazon GuardDuty для нескольких аккаунтов, потребуется несколько щелчков мышью в консоли. В сервисе Amazon GuardDuty предусмотрена поддержка нескольких аккаунтов с помощью интеграции с сервисом AWS Organizations. Встроенная поддержка также обеспечивается в сервисе GuardDuty. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Подробнее о ценах на продукт

См. примеры цен и сведения о бесплатных пробных версиях

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрируйтесь и получите бесплатную пробную версию

Получите доступ к бесплатной пробной версии Amazon GuardDuty. 

Начать работу с бесплатной пробной версией 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать разработку в консоли

Начните работу с Amazon GuardDuty в Консоли AWS.

Войти