GuardDuty sources de données de base - Amazon GuardDuty
AWS CloudTrail événements de gestionJournaux de flux VPCJournaux de requêtes DNS de Route53 Resolver

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty sources de données de base

GuardDuty utilise les sources de données de base pour détecter les communications avec des domaines et adresses IP malveillants connus, et identifier les comportements potentiellement anormaux et les activités non autorisées. Pendant le transfert entre ces sources et GuardDuty, toutes les données du journal sont cryptées. GuardDuty extrait différents champs de ces sources de journaux à des fins de profilage et de détection d'anomalies, puis supprime ces journaux.

Lorsque vous l'activez GuardDuty pour la première fois dans une région, il existe un essai gratuit de 30 jours qui inclut la détection des menaces pour toutes les sources de données de base. Au cours de cet essai gratuit, vous pouvez suivre une estimation de l'utilisation mensuelle ventilée par source de données de base. En tant que compte d' GuardDuty administrateur délégué, vous pouvez consulter le coût d'utilisation mensuel estimé ventilé par compte de membre qui appartient à votre organisation et qui a été activé GuardDuty. Une fois la période d'essai de 30 jours terminée, vous pouvez AWS Billing demander des informations sur le coût d'utilisation.

Il n'y a aucun coût supplémentaire pour GuardDuty accéder aux événements et aux journaux à partir de ces sources de données fondamentales.

Une fois que vous l'avez activé GuardDuty dans votre Compte AWS, il commence automatiquement à surveiller les sources de journaux expliquées dans les sections suivantes. Vous n'avez rien d'autre à activer pour commencer GuardDuty à analyser et à traiter ces sources de données afin de générer les résultats de sécurité associés.

AWS CloudTrail événements de gestion

AWS CloudTrail vous fournit un historique des appels d' AWS API pour votre compte, y compris les appels d'API effectués à l' AWS Management Console AWS SDKsaide des outils de ligne de commande et de certains AWS services. CloudTrail vous aide également à identifier les utilisateurs et les comptes invoqués AWS APIs pour les services pris en charge CloudTrail, l'adresse IP source à partir de laquelle les appels ont été appelés et l'heure à laquelle les appels ont été appelés. Pour de plus amples informations, veuillez consulter Présentation de AWS CloudTrail dans le Guide de l'utilisateur AWS CloudTrail .

GuardDuty surveille les événements CloudTrail de gestion, également appelés événements du plan de contrôle. Ces événements fournissent un aperçu des opérations de gestion qui sont effectuées sur les ressources de votre entreprise Compte AWS.

Voici des exemples d'événements de CloudTrail gestion GuardDuty surveillés :

  • Configuration de la sécurité (opérations de AttachRolePolicy l'API IAM)

  • Configuration des règles pour les données de routage (opérations de EC2 CreateSubnet l'API Amazon)

  • Configuration de la journalisation (opérations AWS CloudTrail CreateTrail d'API)

Lorsque vous l'activez GuardDuty, il commence à consommer CloudTrail des événements de gestion directement CloudTrail via un flux d'événements indépendant et dupliqué et analyse vos CloudTrail journaux d'événements.

GuardDuty ne gère pas vos CloudTrail événements et n'affecte pas vos CloudTrail configurations existantes. De même, vos CloudTrail configurations n'affectent pas la façon dont les journaux d'événements sont GuardDuty consommés et traités. Pour gérer l'accès et la rétention de vos CloudTrail événements, utilisez la console CloudTrail de service ou l'API. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le Guide de AWS CloudTrail l'utilisateur.

Comment GuardDuty gère les événements AWS CloudTrail mondiaux

Pour la plupart AWS des services, les CloudTrail événements sont enregistrés Région AWS là où ils ont été créés. Pour les services internationaux tels que AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon et CloudFront Amazon Route 53 (Route 53), les événements ne sont générés que dans la région où ils se produisent, mais ils ont une importance mondiale.

Lorsqu'il GuardDuty utilise des événements de service CloudTrail globaux (GSE) ayant une valeur de sécurité, tels que des configurations réseau ou des autorisations utilisateur, il reproduit ces événements et les traite dans chaque région où vous les avez activés. GuardDuty Ce comportement permet de GuardDuty maintenir les profils des utilisateurs et des rôles dans chaque région, ce qui est essentiel pour détecter les événements anormaux.

Note

En ce qui concerne les résultats générés par ces événements de service mondiaux, la valeur de la région indiquée dans le résultat peut être différente de celle de la région à l' GuardDuty origine de la détection. Par exemple, un résultat peut s'afficher us-east-1 sous la forme d'une région même s'il GuardDuty crée la détection dans une autre région.

Nous vous recommandons d'activer GuardDuty tous les éléments Régions AWS disponibles dans votre Compte AWS. Même si aucune ressource n'est déployée dans certaines régions, l'activation GuardDuty permet de protéger votre compte contre les menaces potentielles. Les acteurs de la menace peuvent potentiellement lancer des attaques par le biais de services mondiaux (tels que IAM ou Amazon CloudFront). AWS STS Ils peuvent tenter de créer des ressources non autorisées pour exploiter des régions où votre présence est limitée. GuardDuty traite les événements de service mondiaux dans toutes les régions où vous avez activé le service, y compris les régions par défaut et celles où vous avez activé le service. Cela permet de GuardDuty détecter les activités potentiellement suspectes dans votre région Compte AWS, y compris dans les régions où vous n'utilisez pas activement les ressources.

Journaux de flux VPC

La fonctionnalité VPC Flow Logs d'Amazon VPC capture des informations sur le trafic IP en provenance et à destination des interfaces réseau connectées aux instances Amazon Elastic Compute Cloud (Amazon EC2) au sein de votre environnement. AWS

Lorsque vous l'activez GuardDuty, il commence immédiatement à analyser les journaux de vos flux VPC à partir des EC2 instances Amazon de votre compte. Il consomme les événements des journaux de flux VPC directement à partir de la fonctionnalité VPC Flow Logs via un flux indépendant et dupliqué de journaux de flux. Ce processus n'affecte pas les éventuelles configurations de journaux de flux existantes.

Protection Lambda

La protection Lambda est une amélioration facultative d'Amazon. GuardDuty Actuellement, la surveillance de l'activité du réseau Lambda inclut les journaux de flux Amazon VPC provenant de toutes les fonctions Lambda de votre compte, même les journaux qui n'utilisent pas de réseau VPC. Pour protéger votre fonction Lambda contre les menaces de sécurité potentielles, vous devez configurer la protection Lambda dans votre compte. GuardDuty Pour de plus amples informations, veuillez consulter Protection Lambda.

GuardDuty Surveillance du temps d'exécution

Lorsque vous gérez l'agent de sécurité (manuellement ou via GuardDuty) dans EKS Runtime Monitoring ou Runtime Monitoring pour les EC2 instances, et qu'GuardDuty il est actuellement déployé sur une EC2 instance Amazon et que vous le recevez Types d'événement d'exécution collectés de cette instance, l'analyse des journaux de flux VPC provenant de cette instance Amazon EC2 ne vous GuardDuty Compte AWS sera pas facturée. Cela permet GuardDuty d'éviter le double coût d'utilisation sur le compte.

GuardDuty ne gère pas vos journaux de flux et ne les rend pas accessibles dans votre compte. Pour gérer l'accès et la conservation de vos journaux de flux, vous devez configurer la fonctionnalité de journaux de flux VPC.

Journaux de requêtes DNS de Route53 Resolver

Si vous utilisez des résolveurs AWS DNS pour vos EC2 instances Amazon (paramètre par défaut), vous GuardDuty pouvez accéder aux journaux de requêtes DNS de Route53 Resolver et les traiter via les résolveurs DNS internes. AWS Si vous utilisez un autre résolveur DNS, tel qu'OpenDNS ou GoogleDNS, ou si vous configurez vos propres résolveurs GuardDuty DNS, vous ne pourrez pas accéder aux données de cette source de données et les traiter.

Lorsque vous l'activez GuardDuty, il commence immédiatement à analyser les journaux de requêtes DNS de Route53 Resolver à partir d'un flux de données indépendant. Ce flux de données est distinct des données fournies par le biais de la fonctionnalité Journalisation des requêtes de résolveur de Route 53. La configuration de cette fonctionnalité n'a aucune incidence sur GuardDuty l'analyse.

Note

GuardDuty ne prend pas en charge la surveillance des journaux DNS pour les EC2 instances Amazon lancées AWS Outposts car la fonctionnalité de journalisation des Amazon Route 53 Resolver requêtes n'est pas disponible dans cet environnement.