Questions fréquentes (FAQ) sur Amazon GuardDuty

Vous pouvez configurer et déployer GuardDuty en quelques étapes dans la console de gestion AWS. Une fois GuardDuty activé, il analyse immédiatement les flux continus d'activité des comptes et des réseaux en quasi temps réel et à grande échelle. Vous n'avez pas à déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Les renseignements sur les menaces sont pré-intégrés dans le service et sont mis à jour et gérés en continu.

Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. Lorsque vous utilisez la fonction, tous les résultats de sécurité sont regroupés dans le compte d'administrateur pour les examiner et procéder à des corrections. Les événements EventBridge sont également agrégés dans le compte d'administrateur GuardDuty lorsque cette configuration est utilisée. En outre, GuardDuty est intégré à AWS Organizations, afin de pouvoir déléguer un compte d'administrateur GuardDuty pour votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.

Les sources de données fondamentales analysées par GuardDuty incluent : les journaux d'événements de gestion AWS CloudTrail, les événements de gestion CloudTrail, les journaux de flux Amazon EC2 VPC et les journaux de requêtes DNS. Les plans de protection GuardDuty surveillent d'autres types de ressources, notamment les événements de données CloudTrail S3 (protection S3), les journaux d'audit Amazon EKS et l'activité d'exécution pour Amazon EKS (protection EKS), l'activité d'exécution Amazon ECS (surveillance d'exécution ECS), l'activité d'exécution Amazon EC2 (surveillance d'exécution EC2), les données de volume Amazon EBS (protection contre les logiciels malveillants), les événements de connexion Amazon Aurora (protection RDS) et les journaux d'activité réseau (protection Lambda). Le service est optimisé pour consommer de grands volumes de données pour le traitement en temps quasi réel des détections de sécurité. GuardDuty vous donne accès à des techniques de détection intégrées, développées et optimisées pour le cloud, et gérées et constamment améliorées par l'équipe technique GuardDuty.

Une fois activé, GuardDuty commence à analyser les activités malveillantes ou non autorisées. Le délai pour commencer à recevoir des résultats dépend du niveau d'activité de votre compte. GuardDuty n'examine pas les données historiques. Il analyse uniquement l'activité qui existe après son activation. Si GuardDuty identifie des menaces potentielles, un résultat s'affiche sur la console GuardDuty.

Non. GuardDuty extrait des flux de données indépendants directement de CloudTrail, des journaux de flux VPC, des journaux de requêtes DNS et d'Amazon EKS. Vous n'avez pas besoin de gérer les stratégies de compartiment Amazon S3 ni de modifier le mode de collecte et de stockage de vos journaux. Les autorisations GuardDuty sont gérées comme des rôles liés à un service. Vous pouvez désactiver GuardDuty à tout moment. Dans ce cas, toutes les autorisations GuardDuty sont supprimées. Ainsi, vous pouvez activer plus facilement le service, car cela évite d'exécuter des opérations de configuration complexes. Les rôles liés à un service éliminent également le risque d'affecter le fonctionnement du service en configurant incorrectement les autorisations AWS Identity and Access Management (IAM) ou en modifiant les politiques de compartiment S3. Enfin, les rôles lié à un services rendent GuardDuty extrêmement efficace pour consommer de grands volumes de données en temps quasi réel avec un impact minime voire nul sur les performances et la disponibilité de votre compte ou de vos charges de travail.

Lorsque vous activez GuardDuty pour la première fois, il fonctionne de manière totalement indépendante de vos ressources AWS. Si vous configurez la surveillance d’exécution GuardDuty pour déployer automatiquement l’agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison de VPC dans les VPC utilisés pour exécuter des charges de travail surveillées.

Non. GuardDuty ne gère ni ne conserve vos journaux. Toutes les données que consomme GuardDuty sont analysées en temps quasi réel, puis supprimées, afin que GuardDuty oit extrêmement efficace et rentable et de réduire le risque de rémanence de données. En ce qui concerne la distribution et la conservation des journaux, vous devez utiliser directement les services de journalisation et de surveillance AWS qui offrent des options complètes de distribution et de conservation.

Vous pouvez empêcher GuardDuty d'analyser vos sources de données à tout moment dans les paramètres généraux en suspendant le service. Ainsi, le service cessera immédiatement d'analyser les données. Toutefois, vos résultats ou configuration existants ne seront pas supprimés. Vous pouvez également choisir de désactiver le service dans les paramètres généraux. Dans ce cas, toutes les données restantes seront supprimées, notamment vos résultats et configurations existants, avant de supprimer les autorisations du service et de le réinitialiser. Vous pouvez également désactiver de manière sélective des fonctionnalités telles que GuardDuty S3 Protection ou GuardDuty EKS Protection via la console de gestion ou via les CLI AWS.

GuardDuty vous donne accès à des techniques de détection intégrées développées et optimisées pour le cloud. Les algorithmes de détection sont gérés et améliorés constamment par l'équipe technique GuardDuty. Les principales catégories de détection sont les suivantes :

• Reconnaissance :activité qui suggère une reconnaissance par un attaquant, telle qu'une activité API inhabituelle, une analyse de port intra-VPC, des modèles inhabituels de demandes de connexion ayant échoué ou une exploration de port non bloqué à partir d'une adresse IP incorrecte connue.
• Instance compromise : Activité indiquant l'existence d'une instance compromise, telle que le mining de crypto-monnaie, l'utilisation par un logiciel malveillant d'algorithmes de génération de domaine (DGA), une activité sortante de déni de service, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante d'une instance avec une adresse IP malveillante connue, l'utilisation d'informations d'identification Amazon EC2 temporaires par une adresse IP externe, et l'exfiltration de données à l'aide d'un DNS.
• Compte compromis : les cas courants qui indiquent la compromission d'un compte, notamment les appels d'API provenant d'une géolocalisation inhabituelle ou d'un proxy d'anonymisation, les tentatives de désactivation de la journalisation CloudTrail, les lancements inhabituels d'instance ou d'infrastructure, les déploiements d'infrastructures dans une région inhabituelle, l'exfiltration d'informations d'identification et les appels d'API provenant d'adresses IP malveillantes connues.
• Compromission de compartiment : activité qui indique l'existence d'un compartiment compromis, telle que des modèles d'accès aux données suspects indiquant une utilisation abusive des informations d'identification, l'activité inhabituelle d'une API S3 depuis un hôte distant, les accès S3 non autorisés depuis des adresses IP malveillantes connues et les appels d'API pour récupérer les données stockées dans les compartiments S3, effectués par un utilisateur qu n'a aucun historique d'accès au compartiment ou les API invoquées à partir d'un emplacement inhabituel. GuardDuty surveille et analyse en permanence les événements de données S3 CloudTrail (tels que GetObject, ListObjects et DeleteObject) pour détecter toute activité suspecte dans tous vos compartiments S3.
• Logiciels malveillants : GuardDuty peut détecter la présence de logiciels malveillants, tels que des chevaux de Troie, des vers, des mineurs de crypto-monnaie, des programmes malveillants ou des robots, qui peuvent être utilisés pour compromettre les charges de travail de vos instances ou de vos conteneurs Amazon EC2, ou qui sont chargés dans vos compartiments Amazon S3.
• Conteneur compromis : activité qui identifie un comportement malveillant potentiel ou suspect dans les charges de travail des conteneurs, en surveillant et en profilant en permanence les clusters Amazon EKS en analysant ses journaux d’audit EKS et les activités d’exécution de conteneur dans Amazon EKS ou Amazon ECS. 

Voici la liste complète des types de résultats de GuardDuty.

Les renseignements sur les menaces de GuardDuty comprennent les adresses IP et les domaines connus pour être utilisés par les pirates. Les renseignements sur les menaces de GuardDuty sont fournis par AWS et des fournisseurs tiers, tels que Proofpoint et CrowdStrike. Ces flux de renseignements sont préintégrés et constamment mis à jour dans GuardDuty, sans frais supplémentaires.

Oui, GuardDuty vous permet de charger vos propres renseignements sur les menaces ou une liste d'adresses IP de confiance. Lorsque cette fonction est utilisée, ces listes ne sont appliquées qu'à votre compte et ne sont pas partagées avec les autres clients.

Quand une menace potentielle est détectée, Amazon GuardDuty envoie un résultat de sécurité détaillé à la console GuardDuty et à EventBridge. Ainsi, les alertes sont exploitables et faciles à intégrer aux systèmes existants de gestion des événements ou de flux. Les résultats comprennent la catégorie, la ressource concernée et ses métadonnées, telles que le niveau de gravité.

Les résultats de GuardDuty sont présentés dans un format JSON courant, qui est également utilisé par Macie et Amazon Inspector. Il est ainsi plus facile pour les clients et les partenaires d'utiliser les résultats de sécurité des trois services et de les intégrer dans des solutions plus larges de gestion des événements, de flux ou de sécurité.

Les résultats de sécurité sont conservés et accessibles via la console GuardDuty et les API pendant 90 jours. Les résultats seront supprimés après 90 jours. Pour conserver les résultats plus longtemps que 90 jours, vous pouvez activer EventBridge pour envoyer les résultats vers un compartiment S3 de votre compte ou vers tout autre magasin de données pour la conservation longue durée.

Oui, vous pouvez agréger les résultats de sécurité produits par GuardDuty entre les régions en utilisant EventBridge ou les envoyer vers votre magasin de données (comme S3), puis en agrégeant les résultats comme vous le souhaitez. Vous pouvez également envoyer les résultats de GuardDuty à Security Hub et utiliser sa fonctionnalité d'agrégation interrégionale.

Grâce à Amazon GuardDuty, EventBridge et AWS Lambda, vous avez la possibilité de définir des actions préventives automatisées en fonction d'un résultat de sécurité. Par exemple, vous pouvez créer une fonction Lambda pour modifier les règles de vos groupes de sécurité AWS en fonction de résultats de sécurité. Si vous recevez un résultat GuardDuty qui indique qu'une de vos instances EC2 est sondée par une IP malveillante connue, vous pouvez y remédier avec une règle EventBridge, en lançant une fonction Lambda pour modifier automatiquement vos règles de groupe de sécurité et restreindre l'accès sur ce port.

L'équipe GuardDuty se consacre au développement, à la gestion et à l'itération des détections. De nouvelles détections sont ainsi régulièrement produites pour le service et les détections existantes font l'objet d'une itération continue. Plusieurs mécanismes de retour d'informations sont intégrés au service, par exemple, indications positives ou négatives sont associés à chaque résultat de sécurité disponible dans l'interface utilisateur GuardDuty. Ainsi, vous pouvez fournir un retour d'information qui pourrait être intégré dans les itérations futures des détections de GuardDuty.

Non. GuardDuty élimine la lourdeur et la complexité du développement et de la maintenance de vos propres ensembles de règles personnalisées. De nouvelles détections sont constamment ajoutées en fonction des commentaires des clients, ainsi que des recherches des ingénieurs en sécurité d'AWS et de l'équipe technique de GuardDuty. Cependant, les personnalisations configurables par les clients comprennent l'ajout de listes personnelles de menaces et d'adresses IP sûres.

Pour les comptes GuardDuty actuels, la protection S3 peut être activée dans la console, sur la page S3 Protection, ou via l'API. Vous démarrez ainsi un essai gratuit de 30 jours de la fonctionnalité GuardDuty S3 Protection.

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque compte de chaque région bénéficie d'un essai gratuit de 30 jours de GuardDuty qui inclut la fonction S3 Protection. Les comptes dans lesquels GuardDuty est déjà activé bénéficient également d'un essai gratuit de 30 jours de la fonction S3 Protection lors de sa première activation.

Oui. Les nouveaux comptes qui active GuardDuty dans la console ou par le biais de l'API active également par défaut S3 Protection. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.

Non. Le service GuardDuty doit être activé pour pouvoir utiliser la S3 Protection. Les comptes GuardDuty actuels peuvent activer la S3 Protection. La fonction est activée par défaut pour les nouveaux comptes GuardDuty une fois le service GuardDuty activé.

Par défaut,S3 Protection surveille tous les compartiments S3 de votre environnement.

Non. GuardDuty a un accès direct aux journaux des événements des données CloudTrail S3. Vous n'avez pas besoin d'activer la journalisation des événements de données S3 dans CloudTrail, et les coûts associés ne vous sont donc pas facturés. Notez que GuardDuty ne stocke pas les journaux et qu'il les utilise uniquement pour ses analyses.

GuardDuty pour EKS Protection est une fonctionnalité de GuardDuty qui surveille l'activité du plan de contrôle du cluster Amazon EKS en analysant les journaux d'audit Amazon EKS. GuardDuty est intégré à Amazon EKS, ce qui lui permet d'accéder directement aux journaux d'audit Amazon EKS sans que vous ayez à activer ou à stocker ces journaux. Ces journaux d'audit sont des enregistrements chronologiques pertinents pour la sécurité qui documentent la séquence des actions effectuées sur le plan de contrôle d'Amazon EKS. Ces journaux d'audit Amazon EKS donnent à GuardDuty la visibilité nécessaire pour effectuer une surveillance continue de l'activité de l'API Amazon EKS et appliquer une veille des menaces et une détection des anomalies éprouvées pour identifier les activités malveillantes ou les changements de configuration susceptibles d'exposer votre cluster Amazon EKS à un accès non autorisé. Lorsque des menaces sont identifiées, GuardDuty génère des résultats de sécurité qui comprennent le type de menace, le niveau de gravité et des détails au niveau du conteneur (tels que l'ID du pod, l'ID de l'image du conteneur et les identifications associées).

GuardDuty EKS Protection peut détecter les menaces liées à l'activité des utilisateurs et des applications capturée dans les journaux d'audit Amazon EKS. Les détections de menaces Amazon EKS incluent les clusters Amazon EKS auxquels accèdent des acteurs malveillants connus ou à partir de nœuds Tor, les opérations d'API effectuées par des utilisateurs anonymes qui pourraient indiquer une mauvaise configuration et les mauvaises configurations qui peuvent entraîner un accès non autorisé aux clusters Amazon EKS. En outre, à l'aide de modèles ML, GuardDuty peut identifier des modèles cohérents avec les techniques d'escalade de privilèges, comme le lancement suspect d'un conteneur avec un accès de niveau racine à l'hôte EC2 sous-jacent. Pour obtenir la liste complète des nouvelles détection, reportez-vous à Types de résultats d'Amazon GuardDuty.

Non, GuardDuty a un accès direct à ces journaux. Notez que GuardDuty utilise ces journaux uniquement à des fins d’analyse ; il ne les stocke pas et vous n'avez pas besoin d'activer ou de payer pour que ces journaux d'audit Amazon EKS soient partagés avec GuardDuty. Pour optimiser les coûts, GuardDuty applique des filtres intelligents pour ne consommer qu'un sous-ensemble des journaux d'audit liés à la détection des menaces de sécurité.

Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque nouveau compte GuardDuty dans chaque région reçoit un essai gratuit de 30 jours de GuardDuty, qui inclut la fonction GuardDuty EKS Protection. Les comptes GuardDuty existants bénéficient d'un essai de 30 jours de GuardDuty EKS Protection sans frais supplémentaires. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

GuardDuty EKS Protection doit être activé pour chaque compte individuel. Vous pouvez activer la fonctionnalité pour vos comptes d'un simple clic dans la console GuardDuty à partir de la page de la console GuardDuty EKS Protection. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer GuardDuty EKS Protection dans toute votre organisation à partir de la page GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la surveillance continue pour Amazon EKS dans tous les comptes individuels des membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique AWS Organizations, vous devez explicitement activer l'activation automatique pour Amazon EKS. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, sans aucune configuration sur vos clusters Amazon EKS.

Oui. Tout nouveau compte qui active GuardDuty dans la console ou par le biais de l'API active également par défaut GuardDuty EKS Protection. Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Protection contre les logiciels malveillants. 

Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez désactiver GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la fonction pour vos comptes membres.

Si vous avez désactivé la fonction GuardDuty EKS Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez activer GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection.

GuardDuty EKS Protection doit être activé pour chaque compte individuel. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer la détection des menaces pour Amazon EKS dans toute votre organisation d'un simple clic sur la page de la console GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la détection des menaces pour Amazon EKS dans tous les comptes individuels des membres. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, et aucune configuration manuelle n'est requise sur vos clusters Amazon EKS.

Vous ne serez pas facturé si vous n'utilisez pas Amazon EKS et que vous avez activé GuardDuty EKS Protection. Toutefois, lorsque vous commencerez à utiliser Amazon EKS, GuardDuty surveillera automatiquement vos clusters et générera des résultats pour les problèmes identifiés, et cette surveillance vous sera facturée.

Non. Le service GuardDuty doit être activé pour que GuardDuty EKS Protection soit disponible.

Oui, GuardDuty EKS Protection surveille les journaux d'audit Amazon EKS à la fois des clusters Amazon EKS déployés sur des instances EC2 et des clusters Amazon EKS déployés sur Fargate.

Actuellement, cette fonctionnalité ne prend en charge que les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte ou sur Fargate.

Non. GuardDuty EKS Protection n'a aucune incidence sur les performances, la disponibilité ou le coût des déploiements de charges de travail Amazon EKS.

Oui, GuardDuty est un service régional, et donc GuardDuty EKS Protection doit être activé dans chaque région AWS séparément.

La surveillance d’exécution GuardDuty utilise un agent de sécurité léger et entièrement géré qui renforce la visibilité des activités d’exécution, telles que l’accès aux fichiers, l’exécution des processus et les connexions réseau au niveau du pod ou de l’instance pour vos ressources couvertes. L’agent de sécurité est automatiquement déployé sous la forme d’un ensemble de démons qui collecte les événements d’exécution et les transmet à GuardDuty pour le traitement analytique de sécurité. Cela permet à GuardDuty d’identifier des instances ou des conteneurs spécifiques de votre environnement AWS qui sont potentiellement compromis et de détecter les tentatives d’augmentation des privilèges vers l’environnement AWS au sens large. Lorsque GuardDuty détecte une menace potentielle, un résultat de sécurité est généré qui inclut le contexte des métadonnées, notamment l’instance, le conteneur, le pod et les détails du processus. 

La surveillance d’exécution est disponible pour les ressources Amazon EKS exécutées sur Amazon EC2, les clusters Amazon ECS exécutés sur Amazon EC2 ou AWS Fargate, et les instances Amazon EC2. 

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée à partir de la console GuardDuty sur la page Surveillance d’exécution, ou par le biais de l’API. En savoir plus sur la surveillance d’exécution GuardDuty.

Non. La surveillance d’exécution GuardDuty est le seul plan de protection qui n’est pas activé par défaut lorsque vous activez GuardDuty pour la première fois. La fonctionnalité peut être activée depuis la console GuardDuty sur la page Surveillance d’exécution, ou via l’API. La surveillance d’exécution n’est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l’aide de la fonctionnalité d’activation automatique AWS Organizations, sauf si l’option d’activation automatique pour la surveillance d’exécution est activée.

Lorsque vous activez la surveillance d’exécution pour Amazon ECS, GuardDuty est prêt à consommer les événements d’exécution d’une tâche. Ces tâches s’exécutent au sein des clusters Amazon ECS, qui s’exécutent à leur tour sur des instances AWS Fargate. Pour que GuardDuty reçoive ces événements d’exécution, vous devez utiliser la configuration automatique de l’agent.

Lorsque vous activez la surveillance d’exécution pour Amazon EC2 ou Amazon EKS, vous pouvez soit déployer l’agent de sécurité GuardDuty manuellement, soit autoriser GuardDuty à le gérer en votre nom grâce à la configuration automatique de l’agent.

Consultez la section Key concepts - Approaches to manage GuardDuty security agent du Guide de l’utilisateur de GuardDuty pour plus de détails.
 

Non, le service GuardDuty doit être activé pour pouvoir utiliser la surveillance d’exécution GuardDuty.

Pour obtenir la liste complète des régions dans lesquelles la surveillance d’exécution est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

La surveillance d’exécution GuardDuty doit être activée pour chaque compte individuel. Si vous travaillez dans une configuration multi-comptes GuardDuty, vous pouvez l’activer dans l’ensemble de votre organisation en un seul clic sur la page de la console de surveillance d’exécution GuardDuty du compte administrateur GuardDuty. Cela activera la surveillance d’exécution pour les charges de travail souhaitées dans tous les comptes individuels des membres. Une fois l’option activée pour un compte, toutes les charges de travail sélectionnées existantes et futures du compte seront surveillées pour détecter les menaces d’exécution, et aucune configuration manuelle ne sera requise.

La surveillance d’exécution GuardDuty vous permet de configurer de manière sélective les clusters Amazon EKS ou Amazon ECS qui doivent être surveillés pour détecter les menaces. Grâce à la configurabilité au niveau du cluster, vous pouvez surveiller de manière sélective des clusters spécifiques pour détecter les menaces ou continuer à utiliser la configurabilité au niveau du compte pour surveiller tous les clusters EKS ou ECS d’un compte et d’une région donnés, respectivement.

Comme tous les cas d'utilisation en matière de sécurité, d'observabilité et autres nécessitant un agent sur l'hôte, l'agent de sécurité GuardDuty entraîne une surcharge de l'utilisation des ressources. L’agent de sécurité GuardDuty est conçu pour être léger, et il est surveillé de près par GuardDuty afin de minimiser l’utilisation et l’impact sur les coûts des charges de travail couvertes. Les métriques exactes d’utilisation des ressources seront mises à la disposition des équipes chargées des applications et de la sécurité pour qu’elles puissent les surveiller dans Amazon CloudWatch.

Si vous configurez la surveillance d’exécution GuardDuty pour déployer automatiquement l’agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison de VPC dans les VPC utilisés pour exécuter des charges de travail AWS. 

Vous n’aurez pas à payer de frais relatifs à la surveillance d’exécution GuardDuty si la surveillance d’exécution GuardDuty est activée pour une charge de travail que vous n’exécutez pas. Toutefois, lorsque vous commencez à utiliser Amazon EKS, Amazon ECS ou Amazon EC2 et que la surveillance d’exécution GuardDuty est activée pour cette charge de travail, des frais vous seront facturés lorsque GuardDuty surveillera automatiquement vos clusters, tâches et instances et générera des résultats pour les problèmes identifiés. 

La surveillance d’exécution GuardDuty peut être désactivée pour un compte ou une organisation AWS sur la page de surveillance d’exécution de la console GuardDuty. Si l’agent de sécurité a été déployé automatiquement par GuardDuty, GuardDuty supprimera également l’agent de sécurité lorsque la fonctionnalité sera désactivée.

Si vous avez choisi de déployer l’agent GuardDuty manuellement (applicable uniquement à la surveillance d’exécution d’EKS et à la surveillance d’exécution d’EC2), vous devrez le supprimer manuellement, et tous les points de terminaison d’un VPC créés doivent être supprimés manuellement. Les étapes de suppression manuelle pour la surveillance d’exécution d’EKS et la surveillance d’exécution d’EC2 sont détaillées dans le Guide de l’utilisateur de GuardDuty. 

Volumes de données Amazon EBS : si cette source de données est activée pour la protection contre les programmes malveillants, GuardDuty lance une analyse de détection des programmes malveillants lorsqu’il identifie un comportement suspect indiquant un logiciel malveillant dans une instance Amazon EC2 ou dans des charges de travail de conteneurs. Il analyse une réplique du volume Amazon EBS que GuardDuty génère sur la base de l'instantané de votre volume Amazon EBS à la recherche de chevaux de Troie, de vers, de mineurs de crypto-monnaie, de rootkits, de bots, etc. GuardDuty Malware Protection génère des résultats contextualisés qui peuvent aider à valider la source du comportement suspect. Ces résultats peuvent également être transmis aux administrateurs concernés et déclencher des actions correctives automatiques.

Analyse des objets S3 : une fois qu’un compartiment est configuré pour la protection contre les programmes malveillants, GuardDuty analyse automatiquement les fichiers récemment chargés et, si un logiciel malveillant est détecté, génère une notification Amazon EventBridge contenant des informations sur le logiciel malveillant, permettant ainsi l’intégration avec les systèmes de gestion des événements de sécurité ou de flux de travail existants. Vous pouvez configurer la mise en quarantaine automatique des programmes malveillants en déplaçant l’objet vers un compartiment isolé de votre compte, ou utiliser des balises d’objet pour modifier la disposition du résultat de l’analyse, ce qui permet de mieux identifier et classer les objets numérisés en fonction des balises.

Les résultats de GuardDuty pour Amazon EC2 qui déclencheront une recherche de logiciels malveillants sont disponibles dans le Guide de l’utilisateur de GuardDuty.

Malware Protection détecte les fichiers malveillants en analysant l'EBS attaché aux instances EC2. Les types de systèmes de fichiers pris en charge sont disponibles dans le Guide de l’utilisateur de GuardDuty.

La protection contre les logiciels malveillants S3 peut analyser des fichiers appartenant à la plupart des classes de stockage S3 synchrones, telles que S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA et Amazon S3 Glacier Instant Retrieval, grâce au moteur d’analyse des logiciels malveillants de GuardDuty.  Il analysera les formats de fichiers connus pour être utilisés pour diffuser ou contenir des logiciels malveillants, notamment les exécutables, les fichiers .pdf, les archives, les fichiers binaires, les fichiers compressés, les scripts, les programmes d’installation, les bases de données de messagerie, les e-mails simples, les images et les objets chiffrés.

Malware Protection recherche les menaces telles que les chevaux de Troie, les vers, les mineurs de cryptomonnaie, les rootkits et les bots, qui peuvent être utilisés pour compromettre les charges de travail, réaffecter des ressources à des fins malveillantes et obtenir un accès non autorisé aux données.

Consultez le guide de l’utilisateur de GuardDuty pour obtenir une liste complète des types de résultats.

Il n'est pas nécessaire d'activer la journalisation des services pour que GuardDuty ou la fonction de Malware Protection fonctionne. La fonction Malware Protection fait partie de GuardDuty, un service AWS qui utilise les renseignements provenant de sources internes et externes intégrées.

Au lieu d'utiliser des agents de sécurité, GuardDuty Malware Protection crée et analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Les autorisations que vous avez accordées à GuardDuty par le biais d’un rôle lié à un service permettent au service de créer un réplica de volume chiffré dans le compte de service GuardDuty à partir de l’instantané qui reste dans votre compte. Ensuite, la fonction GuardDuty Malware Protection analyse le réplica de volume pour rechercher les logiciels malveillants.

Pour les objets d’Amazon S3, GuardDuty commence à lire, déchiffrer et analyser les objets chargés dans des compartiments que vous avez configurés pour la protection contre les logiciels malveillants GuardDuty. Vous pouvez limiter l’étendue des objets à analyser dans un compartiment en définissant que seuls les objets avec certains préfixes sont analysés. GuardDuty analysera les objets chargés qui correspondent à ces préfixes définis et générera un résultat de sécurité et une notification Amazon EventBridge avec un résultat d’analyse détaillé : infecté, sain, ignoré ou échec. La notification inclura également des métriques d’analyses liées au nombre d’objets et d’octets analysés. Vous pouvez également définir des actions après l’analyse que GuardDuty exécutera sur l’objet en fonction du résultat, telles que la mise en quarantaine automatique ou le balisage d’objet.

Oui, chaque nouveau compte GuardDuty dans chaque région bénéficie d’un essai gratuit de GuardDuty pendant 30 jours, y compris de la fonctionnalité de protection contre les programmes malveillants (disponible uniquement pour l’analyse des volumes de données EBS initiée par GuardDuty ; il n’y a pas d’essai gratuit pour la protection contre les logiciels malveillants GuardDuty pour Amazon S3). Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

Vous pouvez activer Malware Protection dans la console GuardDuty dans la page Malware Protection ou en utilisant l'API. Si vous opérez dans une configuration multi-compte GuardDuty, vous pouvez activer la fonction dans toute votre organisation, dans la page de la console Malware Protection du compte d'administrateur GuardDuty. Ainsi, vous activez la recherche continue des logiciels malveillants dans tous les comptes membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d'AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option de protection contre les logiciels malveillants.

Pour la protection contre les logiciels malveillants pour S3, vous pouvez intégrer l’analyse des programmes malveillants dans vos applications en suivant deux étapes. Tout d’abord, en tant que propriétaire de l’application, vous devez configurer la configuration de protection des compartiments sur les compartiments que vous souhaitez surveiller. Vous pouvez le configurer dans la console GuardDuty par programmation pour un compartiment existant ou lors de la création d’un nouveau compartiment. GuardDuty enverra des métriques d’analyse à vos événements EventBridge pour chaque compartiment S3 protégé, ce qui vous permettra de configurer des alarmes et de définir des actions après l’analyse, telles que le balisage de l’objet ou la copie de l’objet malveillant dans un compartiment de quarantaine que GuardDuty exécutera en fonction du résultat de l’analyse. Si GuardDuty est activé pour votre compte, un résultat de sécurité est également généré dans GuardDuty.

Oui. La fonction protection contre les logiciels malveillants GuardDuty est activée par défaut pour tous les nouveaux comptes qui activent GuardDuty en utilisant la console ou l’API (pour l’analyse des volumes EBS). Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Malware Protection. 

Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Vous verrez une option pour désactiver Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la protection contre les logiciels malveillants sur vos comptes membres.

Si vous avez désactivé la fonction Malware Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Vous pouvez activer la fonction Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty.

Non. Aucun frais Malware Protection n'est facturé si aucune recherche de logiciels malveillants n'est effectuée pendant la période de facturation. Vous pouvez consulter les coûts réels de cette fonction dans la console de facturation AWS.

Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. GuardDuty dispose d'une de gestion multi-compte par l'intégration d'AWS Organizations. Cette intégration permet aux équipes de la sécurité et de la conformité d'assurer la couverture complète par GuardDuty, notamment Malware Protection, de tous les comptes d'une organisation.

Non. Une fois la fonctionnalité activée, la protection contre les logiciels malveillants GuardDuty lance une recherche de logiciels malveillants en réponse aux résultats Amazon EC2 pertinents. Vous n'avez pas à déployer d'agents, ni à activer des sources de journaux, et aucune autre modification de configuration n'est nécessaire.

GuardDuty Malware Protection n'affecte pas les performances de vos charges de travail. Par exemple, les instantanés de volume EBS créés pour la recherche des logiciels malveillants ne peuvent être générés qu'une fois par période de 24 heures. GuardDuty Malware Protection conserve les réplicas et les instantanés chiffrés pendant quelques minutes après avoir terminé une recherche. En outre, GuardDuty Malware Protection utilise les ressources de calcul de GuardDuty pour la recherche de logiciels malveillants et non pas les ressources de calcul du client.

Oui. GuardDuty étant un service régional, la fonction Malware Protection doit être activée dans chaque région AWS séparément.

GuardDuty Malware Protection analyse un réplica basée sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Si vos volumes EBS sont chiffrés avec une clé gérée par le client, vous avez la possibilité de partager votre clé AWS Key Management Service (KMS) avec GuardDuty. Le service utilise la même clé pour chiffrer le réplica du volume Amazon EBS. Pour les volumes EBS non chiffrés, GuardDuty utilise sa propre clé pour chiffrer la réplica du volume EBS.

Oui. Toutes les données du volume EBS de réplica (et l'instantané sur lequel le volume de réplica est basé) restent dans la même région que le volume EBS d'origine.

Chaque nouveau compte GuardDuty, dans chaque région, bénéficie d’un essai gratuit de GuardDuty pendant 30 jours, y compris de la fonctionnalité de protection contre les programmes malveillants (uniquement pour les analyses de volumes de données EBS initiées par GuardDuty ; il n’existe pas d’essai gratuit pour la protection contre les logiciels malveillants pour Amazon S3). Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez vous reporter à la page d'utilisation de la console GuardDuty pour connaître l'estimation des coûts après l'essai. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.

La tarification de l’analyse des programmes malveillants sur les volumes EBS est basée sur le nombre de Go de données analysés dans un volume. Vous pouvez appliquer des personnalisations en utilisant des options d'analyse de la console pour marquer, à l'aide de balises, des instances Amazon EC2 à inclure ou à exclure de l'analyse. Cela permet de contrôler les coûts. En outre, GuardDuty n'analyse une instance EC2 qu'une fois toutes les 24 heures. Si GuardDuty génère plusieurs résultats EC2 pour une instance EC2 dans les 24 heures, une analyse n'est exécutée que pour le premier résultat EC2 pertinent. Si des résultats EC2 continuent d'être produits pour une instance 24 heures après la dernière recherche de logiciels malveillants, une nouvelle recherche est lancée pour cette instance.

La tarification de l’analyse des programmes malveillants sur les objets de stockage contenus dans des compartiments S3 est basée sur le nombre de Go de données analysées, ainsi que sur le nombre de fichiers analysés dans un compartiment S3 désigné configuré pour l’analyse des programmes malveillants. GuardDuty ne recherchera que les fichiers récemment chargés dans les compartiments configurés, et n’analysera pas les fichiers existants ou les fichiers se trouvant dans des compartiments non conçus pour l’analyse des programmes malveillants.

Oui. Il existe un paramètre permettant d'activer la conservation des instantanés lorsque l'analyse de Malware Protection détecte un logiciel malveillant. Vous pouvez activer ce paramètre à partir de la console GuardDuty, sur la page Settings (Paramètres). Par défaut, les instantanés sont supprimés quelques minutes après la fin d'une analyse et après 24 heures si l'analyse n'a pas abouti.

GuardDuty Malware Protection conserve chaque volume EBS de réplica qu'il génère et analyse pendant 24 heures maximum. Par défaut, les volumes EBS de réplica sont supprimés quelques minutes après que GuardDuty Malware Protection a terminé une analyse. Toutefois, dans certains cas, GuardDuty Malware Protection peut devoir conserver un volume EBS de réplica pendant plus de 24 heures si une indisponibilité de service ou un problème de connexion interfère avec sa recherche de logiciels malveillants. Dans ce cas, GuardDuty Malware Protection conserve le volume EBS de réplica pendant sept jours maximum pour donner au service le temps de trier et de résoudre l'indisponibilité ou le problème de connexion. GuardDuty Malware Protection supprime le volume EBS de réplica une fois que l'indisponibilité ou la défaillance est résolue ou que la période de conservation prolongée a expiré.

Non. GuardDuty n'analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée qu'une fois toutes les 24 heures. Même si GuardDuty génère plusieurs résultats permettant de lancer une recherche de logiciels malveillants, il ne lance pas d'analyse supplémentaire si moins de 24 heures se sont écoulées depuis l'analyse précédente. Si GuardDuty génère un résultat qualifié dans les 24 heures consécutives à la dernière recherche de logiciels malveillants, GuardDuty Malware Protection lance une nouvelle recherche de logiciels malveillants pour la charge de travail.

Non. La désactivation du service GuardDuty désactive également la fonction Malware Protection.

Non, la protection contre les logiciels malveillants GuardDuty S3 vous offre de la flexibilité en permettant aux propriétaires d’applications de configurer la protection contre les programmes malveillants pour leurs compartiments S3 même lorsque GuardDuty de base n’est pas activé pour le compte. GuardDuty de base inclut la surveillance par défaut des sources fondamentales, telles que les événements de gestion AWS CloudTrail, les journaux de flux VPC et les journaux de requêtes DNS.

La protection GuardDuty RDS peut être activée en une seule action dans la console GuardDuty, sans aucun agent à déployer manuellement, aucune source de données à activer et aucune autorisation de configuration. Grâce à des modèles ML personnalisés, GuardDuty RDS Protection commence par analyser et profiler les tentatives de connexion aux bases de données Amazon Aurora existantes et nouvelles. Lorsque des comportements ou tentatives suspectes effectuées par des acteurs malveillants connus sont identifiées, GuardDuty envoie les conclusions exploitables en matière de sécurité à GuardDuty et aux consoles de service de bases de données relationnelles Amazon (RDS), AWS Security Hub et Amazon EventBridge, permettant l’intégration avec la gestion des évènements de sécurité existante ou les systèmes de flux de travail. Découvrez comment GuardDuty RDS Protection utilise la surveillance des activités de connexion RDS.

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. Découvrez-en plus sur GuardDuty RDS Protection.

Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. La protection RDS n'est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d’AWS Organizations, sauf si l'option d'activation automatique pour RDS est activée.

Non, le service GuardDuty doit être activé pour pouvoir utiliser GuardDuty RDS Protection.

Pour obtenir la liste complète des régions dans lesquelles RDS Protection est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

Veuillez consulter la liste des versions de bases de données Amazon Aurora prises en charge.

Non. La détection des menaces GuardDuty pour bases de données Aurora est conçue pour n’avoir aucun impact sur les performances, la disponibilité ou les coûts de vos bases de données Amazon Aurora.

GuardDuty Lambda Protection surveille en permanence l'activité réseau, à commencer par les journaux de flux VPC, de vos charges de travail sans serveur pour détecter les menaces telles que les fonctions Lambda malicieusement réaffectées au minage de crypto-monnaie non autorisé, ou les fonctions Lambda compromises qui communiquent avec des serveurs d'acteurs de menaces connus. Lambda GuardDuty Protection peut être activée en quelques étapes dans la console GuardDuty et, à l'aide d'AWS Organizations, elle peut être activée de manière centralisée pour tous les comptes existants et nouveaux d'une organisation. Une fois activée, elle commence automatiquement à surveiller les données d'activité réseau à partir de toutes les fonctions Lambda existantes et nouvelles d'un compte.

Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. En savoir plus sur la protection GuardDuty Lambda.

Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.

Pour obtenir la liste complète des régions dans lesquelles la protection lambda est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.

Non, la protection Lambda GuardDuty est conçue pour ne pas affecter les performances, la disponibilité ou les coûts de vos charges de travail Lambda.