Amazon GuardDutyDuty

Phát hiện thông minh mối đe dọa và giám sát liên tục để bảo vệ tài khoản và khối lượng công việc AWS của bạn.

Amazon GuardDuty là dịch vụ phát hiện mối đe dọa giúp bạn liên tục giám sát các hành vi trái phép hoặc độc hại để giúp bạn bảo vệ tài khoản và khối lượng công việc AWS của mình. Dịch vụ này sẽ giám sát để tìm các hoạt động như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép gây nguy cơ làm lộ thông tin tài khoản. Đồng thời, GuardDuty cũng phát hiện các phiên bản hoặc hoạt động do thám có khả năng gây tổn hại của kẻ tấn công.

Sau khi kích hoạt với chỉ vài lần nhấp chuột trên Bảng điều khiển quản lý AWS, Amazon GuardDuty có thể ngay lập tức bắt đầu phân tích hàng tỷ sự kiện trên khắp các tài khoản AWS của bạn để tìm dấu hiệu rủi ro. GuardDuty sẽ xác định các kẻ tấn công nghi ngờ thông qua nguồn cấp dữ liệu thông tin về mối đe dọa được tích hợp và sử dụng machine learning để phát hiện các điểm bất thường trong hoạt động của tài khoản và khối lượng công việc. Khi phát hiện mối đe dọa tiềm tàng, dịch vụ sẽ cung cấp cảnh báo bảo mật chi tiết đến bảng điều khiển của GuardDuty và Sự kiện của AWS CloudWatch. Việc này giúp bạn có thể triển khai hành động đối với cảnh báo và giúp dễ dàng tích hợp các cảnh báo vào các hệ thống quản lý sự kiện và quy trình công việc hiện hữu.

Amazon GuardDuty là giải pháp với mức chi phí hợp lý và dễ dàng sử dụng. Dịch vụ này không đòi hỏi bạn phải triển khai và duy trì phần mềm hay cơ sở hạ tầng bảo mật, nghĩa là, bạn có thể kích hoạt dịch vụ một cách nhanh chóng mà không chịu rủi ro gây ảnh hưởng tiêu cực đến khối lượng công việc ứng dụng hiện hữu. Việc sử dụng GuardDuty không tốn chi phí trả trước, không cần triển khai phần mềm và cũng không bắt buộc phải có nguồn cấp dữ liệu thông tin về mối đe dọa. Khách hàng chỉ trả tiền cho các sự kiện được GuardDuty phân tích và có thể sử dụng bản dù̀ng thử miễn phí 30 ngày cho mọi tài khoản mới sử dụng dịch vụ.

Giới thiệu về Amazon GuardDuty

Cách thức hoạt động

Lợi ích

Phát hiện thông minh mối đe dọa

Amazon GuardDuty cung cấp cho bạn khả năng phát hiện thông minh mối đe dọa bằng cách thu thập, phân tích và thực hiện kết nối tương quan hàng tỷ sự kiện từ AWS CloudTrail, Nhật ký dòng của Amazon VPC và Nhật ký DNS trên khắp các tài khoản AWS liên quan của bạn. Khả năng phát hiện của GuardDuty trở nên chính xác hơn nhờ có tích hợp thông tin về mối đe dọa (ví dụ như danh sách địa chỉ IP độc hại đã biết do AWS Security và các đối tác thông tin về mối đe dọa bên thứ 3 cung cấp). Ngoài ra, GuardDuty còn sử dụng machine learning để phát hiện các hoạt động bất thường của tài khoản và mạng. Ví dụ: GuardDuty sẽ cảnh báo cho bạn nếu phát hiện lệnh gọi API từ xa từ địa chỉ IP độc hại đã biết, cho thấy khả năng làm lộ các thông tin xác thực AWS. GuardDuty cũng sẽ phát hiện các mối đe dọa trực tiếp đến môi trường AWS của bạn có khả năng làm tổn hại phiên bản, ví dụ như phiên bản Amazon EC2 gửi dữ liệu được mã hóa trong truy vấn DNS.

Tập trung công tác phát hiện mối đe dọa cho nhiều tài khoản

Có nhiều tổ chức sử dụng nhiều tài khoản AWS để giúp phân bổ chi phí, đạt sự linh hoạt và độ bảo mật tốt hơn. Chỉ với vài lần nhấp chuột trên Bảng điều khiển quản lý AWS, bạn sẽ có thể tập trung công tác phát hiện mối đe dọa bằng cách kích hoạt Amazon GuardDuty cho bất kỳ tài khoản AWS nào của mình. Với GuardDuty, bạn sẽ không cần cài đặt thêm phần mềm hay lắp đặt thêm cơ sở hạ tầng bảo mật để phân tích dữ liệu hoạt động của tài khoản và khối lượng công việc. Đội ngũ trung tâm hoạt động bảo mật sẽ có thể dễ dàng quản lý và thiết lập mức độ ưu tiên cho mối đe dọa từ một chế độ xem bảng điều khiển duy nhất và tự động hóa phản hồi bảo mật bằng cách sử dụng một tài khoản bảo mật duy nhất.

Củng cố khả năng bảo mật bằng tự động hóa

Bên cạnh việc phát hiện mối đe dọa, Amazon GuardDuty còn giúp bạn dễ dàng tự động hóa cách ứng phó với các mối đe dọa này, làm giảm thời gian khắc phục và phục hồi. Bạn có thể cài đặt các tập chỉ lệnh sửa chữa hoặc chức năng AWS Lambda để kích hoạt theo phát hiện của GuardDuty. Phát hiện bảo mật của GuardDuty gồm có thông tin chi tiết về tài nguyên bị ảnh hưởng, ví dụ như thẻ, nhóm bảo mật hoặc thông tin xác thực. Phát hiện của GuardDuty cũng bao gồm thông tin về kẻ tấn công, ví dụ như địa chỉ IP và vị trí địa lý. Việc này giúp phát hiện bảo mật GuardDuty có nhiều thông tin hữu ích và giúp bạn triển khai hành động ứng phó. Ví dụ: bạn khó có thể phát hiện nhanh chóng việc tài khoản bị lộ thông tin nếu không liên tục giám sát hoạt động tài khoản gần như theo thời gian thực. Còn với GuardDuty, khi phiên bản bị nghi ngờ đánh cắp dữ liệu, dịch vụ sẽ cảnh báo để bạn có thể tự động tạo mục nhập kiểm soát truy cập làm hạn chế quyền truy cập ra bên ngoài cho phiên bản đó.