Вопросы и ответы по Amazon GuardDuty

Обзор сервиса

GuardDuty – это интеллектуальный сервис обнаружения угроз, который постоянно отслеживает ваши учетные записи AWS, рабочие нагрузки, время выполнения и данные на предмет вредоносной активности. При обнаружении потенциальной вредоносной активности, такой как аномальное поведение, утечка учетных данных или передача командно-контрольной инфраструктуры (C2), GuardDuty генерирует подробные выводы по безопасности, которые можно использовать для обеспечения видимости безопасности и оказания помощи в устранении последствий.

GuardDuty позволяет упростить непрерывное отслеживание аккаунтов AWS, рабочих нагрузок и времени выполнения. GuardDuty разработан для функционирования полностью независимо от ваших ресурсов и не влияет на производительность или доступность ваших рабочих нагрузок. Это полностью управляемый сервис, использующий обобщенную информацию об угрозах, обнаружение аномалий и машинное обучение. GuardDuty предоставляет подробные предупреждения с возможностью реагирования, которые легко интегрировать с существующими системами управления событиями и рабочими процессами. Авансовые платежи отсутствуют, вы платите только за проанализированные события. При этом не требуется развертывать дополнительное программное обеспечение или подписываться на каналы информации об угрозах.

GuardDuty — это сервис с оплатой по факту использования, и вы платите только за его фактическое использование. Стоимость GuardDuty зависит от объема анализируемых журналов сервисов, количества виртуальных процессоров (vCPU) или единиц мощности Aurora (ACU) инстанса бессерверной конфигурации Aurora версии 2 для анализа событий Amazon RDS, количества и размера рабочих нагрузок эластичного сервиса Amazon Kubernetes (Amazon EKS) или эластичного сервиса контейнеров Amazon (Amazon ECS), отслеживаемых во время выполнения, и объема данных, сканируемых на наличие вредоносного ПО.

Анализируемые журналы обслуживания фильтруются для оптимизации затрат и напрямую интегрируются в GuardDuty, что означает, что вам не нужно включать или оплачивать их отдельно. Если в вашем аккаунте включен мониторинг времени выполнения EKS, с вас не будет взиматься плата за анализ журналов потоков VPC в случаях развертывания и активности агента GuardDuty. Агент безопасности во время выполнения предоставляет нам аналогичные (и более контекстуальные) данные сетевой телеметрии. Поэтому, чтобы не взимать двойную плату с клиентов, мы не будем взимать плату за журналы потоков VPC из инстансов эластичного облака вычислений Amazon (Amazon EC2), на которых установлен агент.

Дополнительные сведения и примеры расчета цен приведены на странице цен на Amazon GuardDuty.

Расчетная стоимость представляет собой стоимость для отдельного аккаунта плательщика, а в аккаунте администратора GuardDuty вы увидите выставленные счета за использование и среднедневную стоимость для каждого дополнительного аккаунта. Вы должны перейти на индивидуальный аккаунт, если хотите увидеть подробную информацию об использовании.

Да. Любой аккаунт, который прежде не использовал сервис, может в течение 30 дней бесплатно попробовать работу с GuardDuty. В бесплатной пробной версии клиенту предоставляется доступ к полному набору возможностей по обнаружению вторжения. В течение ознакомительного периода на странице использования консоли GuardDuty можно посчитать примерную стоимость сервиса. У администраторов GuardDuty есть доступ к информации о стоимости сервиса в аккаунтах участников. По истечении ознакомительного периода актуальную стоимость функции можно посмотреть в консоли оплаты AWS.

Новые и существующие владельцы аккаунтов GuardDuty, которые еще не активировали функцию GuardDuty, могут бесплатно попробовать ее в течение 30 дней на Уровне бесплатного пользования AWS (для функции защиты от вредоносного ПО бесплатная пробная версия доступна для сканирования на вредоносное ПО, инициированного GuardDuty, только для томов данных Amazon EBS. Бесплатная пробная версия функции защиты от вредоносного ПО для Amazon S3 не предусмотрена). В течение бесплатного пробного периода и после него вы всегда можете отслеживать свои предполагаемые ежемесячные расходы на странице использования консоли GuardDuty с разбивкой по источникам данных.

GuardDuty обеспечивает общую защиту ваших аккаунтов AWS, рабочих нагрузок и данных, помогая обнаруживать ряд угроз, например исследование системы злоумышленниками либо компрометацию на уровне инстанса, аккаунта или кластера Amazon EKS, а также вредоносное ПО. Macie – это полностью управляемый сервис обнаружения конфиденциальных данных, который использует машинное обучение и сопоставление шаблонов для обнаружения конфиденциальных данных в простом сервисе хранения данных Amazon (Amazon S3).

GuardDuty – региональный сервис. Даже когда сервис используется для нескольких аккаунтов и работает в нескольких регионах, отчеты о безопасности, созданные GuardDuty, остаются в тех же регионах, где получены исходные данные. Такой подход гарантирует, что анализ всех данных будет выполняться в пределах региона и что данные не покинут соответствующие регионы AWS. Клиенты могут объединять отчеты безопасности, созданные сервисом GuardDuty в разных регионах, с помощью сервиса Amazon EventBridge, передавая отчеты в хранилище данных, находящееся под контролем клиента (например, в Amazon S3), а затем агрегируя данные по своему усмотрению. Вы также можете отправлять данные, созданные сервисом GuardDuty, в Центр безопасности AWS и использовать его возможность межрегиональной агрегации.

Доступность GuardDuty в регионах можно проверить в списке региональных сервисов AWS. Полный список регионов, в которых доступны функции GuardDuty, см. в разделе Доступность функций для конкретных регионов.

Существует большое количество партнеров по технологиям, решения которых построены на основе сервиса Amazon GuardDuty или интегрированы с ним. Многие консалтинговые компании, системные интеграторы и поставщики управляемых сервисов безопасности имеют опыт работы с GuardDuty. Подробнее см. на странице Партнеры Amazon GuardDuty.

Компания Foregenix опубликовала техническое описание, в котором представлена подробная оценка эффективности сервиса GuardDuty в части соответствия требованиям, например требованию 11.4 стандарта безопасности данных в индустрии платежных карт (PCI DSS), согласно которому необходимо использовать методы обнаружения вторжений в критически важных точках сети.

Включение GuardDuty

GuardDuty можно установить и развернуть несколькими щелчками мышью в Консоли управления AWS. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

Да. В GuardDuty предусмотрена возможность управления несколькими аккаунтами, что позволяет связывать несколько аккаунтов AWS и управлять ими из одного аккаунта администратора. При использовании этой возможности все отчеты о безопасности будут агрегированы в аккаунте администратора, в котором можно просмотреть эти отчеты и принять корректирующие меры. В случае применения данной конфигурации события Amazon EventBridge также будут агрегированы в аккаунте администратора GuardDuty. Кроме того, GuardDuty интегрирован с сервисом Организации AWS, что позволяет вам делегировать аккаунт администратора для GuardDuty для вашей организации. Аккаунт уполномоченного администратора становится централизованным средством для объединения всех отчетов и настройки всех аккаунтов участников.

Основные источники данных, анализируемые GuardDuty, включают журналы событий управления AWS CloudTrail, события управления CloudTrail, журналы потоков VPC Amazon EC2 и журналы запросов DNS. Планы защиты GuardDuty позволяют отслеживать другие типы ресурсов, включая события данных CloudTrail S3 (защита S3), журналы аудита и активность во время выполнения Amazon EKS (защита EKS), активность во время выполнения Amazon ECS (мониторинг времени выполнения ECS), активность во время выполнения Amazon EC2 (мониторинг времени выполнения EC2), данные томов Amazon EBS (защита от вредоносных программ), события входа в Amazon Aurora (защита RDS) и журналы сетевой активности (защита Lambda). Сервис оптимизирован для обработки больших объемов данных, что позволяет обнаруживать угрозы безопасности в режиме, близком к режиму реального времени. GuardDuty предоставляет доступ к встроенным методам обнаружения, разработанным и оптимизированным для облака. Они обслуживаются и непрерывно совершенствуются благодаря инженерно-техническому обеспечению GuardDuty.

GuardDuty начинает анализировать данные на наличие вредоносной или несанкционированной активности сразу же после включения. Время получения первых отчетов о безопасности зависит от уровня активности в аккаунте. GuardDuty не анализирует данные за прошедший период – только действия, которые происходят после его включения. Если GuardDuty обнаруживает какие-либо потенциальные угрозы, результаты обнаружения отображаются в консоли GuardDuty.

Нет. GuardDuty извлекает независимые потоки данных непосредственно из CloudTrail, журналов потока VPC и журналов запросов DNS и Amazon EKS. Управлять политиками корзины Amazon S3 или изменять способ сбора и хранения журналов не требуется. Разрешения GuardDuty управляются как роли, связанные с сервисами. Вы можете отключить GuardDuty в любое время, что приведет к удалению всех разрешений GuardDuty. Это облегчает включение сервиса, поскольку позволяет избежать сложной конфигурации. Роли, связанные с сервисом, также устраняют вероятность того, что неправильная конфигурация Управления идентификацией и доступом AWS (IAM) или изменение политики корзины Amazon S3 повлияют на работу службы. Наконец, роли, связанные с сервисами, делают GuardDuty чрезвычайно эффективным при потреблении больших объемов данных практически в реальном времени с минимальным или нулевым влиянием на производительность и доступность вашего аккаунта или рабочих нагрузок.

Когда вы впервые включаете сервис GuardDuty, он работает полностью независимо от ваших ресурсов AWS. Если вы настроите сервис мониторинга за временем выполнения GuardDuty для EKS на автоматическое развертывание агента безопасности GuardDuty, это может привести к дополнительному использованию ресурсов, а также создаст адреса VPC в VPC, которые используются для запуска отслеживаемых рабочих нагрузок.

Нет. GuardDuty не управляет журналами и не сохраняет их. Все данные, обработанные GuardDuty, анализируются в режиме, близком к режиму реального времени, а затем удаляются. Такой подход обеспечивает высокую эффективность и экономичность сервиса GuardDuty, а также снижает риск появления остаточных данных. Для доставки и хранения журналов следует использовать сервисы AWS для мониторинга и ведения журналов, в которых предусмотрены полнофункциональные варианты доставки и хранения.

Предотвратить анализ источников данных сервисом GuardDuty можно в любое время, приостановив сервис в общих настройках. При этом анализ данных сервисом немедленно прекратится, но существующие отчеты и конфигурации не будут удалены. В общих настройках также есть вариант полного отключения сервиса. В этом случае перед удалением разрешений сервиса и его сбросом будут удалены все имеющиеся данные, включая существующие отчеты о безопасности и конфигурации. Вы также можете выборочно отключить такие возможности, как защита GuardDuty S3 или защита GuardDuty EKS через консоль управления или AWS CLI.

Активация GuardDuty

GuardDuty предоставляет доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. Алгоритмы обнаружения вторжения поддерживаются и непрерывно совершенствуются инженерами GuardDuty. Сервис обнаруживает вторжения указанных ниже основных категорий.

  • Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
  • Компрометация инстанса. Активность, указывающая на компрометацию инстанса, например майнинг криптовалюты, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных учетных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
  • Компрометация аккаунта. Перечень распространенных схем, указывающих на компрометацию аккаунта, включает вызовы API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов CloudTrail, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе, утечку учетных данных, подозрительную активность входа в базу данных и вызовы API с известных вредоносных IP-адресов.
  • Несанкционированный доступ к корзине. Действия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к учетным данным, которые говорят о неправомерном использовании данных для доступа, необычные действия в интерфейсе API Amazon S3 из удаленного узла, несанкционированный доступ к сервису Amazon S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах Amazon S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис GuardDuty непрерывно отслеживает и анализирует события, связанные с данными CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.
  • Вредоносное ПО. GuardDuty может обнаружить присутствие вредоносных программ, таких как трояны, черви, криптомайнеры, руткиты или боты, которые могут быть использованы для компрометации рабочих нагрузок инстансов или контейнеров Amazon EC2 либо загружены в корзины Amazon S3.
  • Компрометация контейнеров. Деятельность, выявляющую возможное злонамеренное или подозрительное поведение в рабочих нагрузках контейнеров, можно обнаружить, если непрерывно осуществлять мониторинг и профилирование кластеров Amazon EKS путем анализа журналов аудита Amazon EKS и активности во время выполнения контейнера в Amazon EKS или Amazon ECS

Здесь представлен полный список типов угроз, обнаруживаемых сервисом GuardDuty.

Информация об угрозах в GuardDuty объединяет списки известных IP-адресов и доменов, которые используются злоумышленниками. Информация об угрозах GuardDuty предоставляется сервисами AWS и сторонними поставщиками, например Proofpoint и CrowdStrike. Эти источники информации об угрозах встроены в GuardDuty и постоянно обновляются без дополнительной платы.

Да. GuardDuty позволяет загружать собственные данные об угрозах или список доверенных IP-адресов. При использовании такой возможности созданные списки применяются только к конкретному аккаунту и не используются для других клиентов.

При обнаружении потенциальной угрозы GuardDuty доставляет подробный отчет о безопасности в консоль GuardDuty и сервис EventBridge. Это позволяет реагировать на такие предупреждения и легко интегрировать их в существующие системы управления событиями и рабочими процессами. Отчеты включают сведения о категории угрозы и затронутом ресурсе, а также метаданные, связанные с ресурсом, например об уровне серьезности угрозы.

Данные, созданные GuardDuty, имеют стандартный формат JSON, который также используется в сервисах Macie и Amazon Inspector. Благодаря этому клиентам и партнерам проще получать отчеты о безопасности из всех трех сервисов и включать их в более общие решения для управления событиями, рабочими процессами или безопасностью.

Отчеты о безопасности сохраняются в течение 90 дней и доступны для просмотра в консоли GuardDuty и через API. По истечении 90 дней отчеты удаляются. Чтобы увеличить срок хранения отчетов (более 90 дней), в сервисе EventBridge можно настроить автоматическую передачу отчетов для долгосрочного хранения в корзину Amazon S3 того же аккаунта или в другое хранилище данных.

Да. Клиенты могут объединять отчеты безопасности, созданные сервисом GuardDuty в разных регионах, с помощью сервиса EventBridge, передавая отчеты в хранилище данных, находящееся под контролем клиента (например, в Amazon S3), а затем агрегируя данные по своему усмотрению. Вы также можете отправлять данные, созданные сервисом GuardDuty, в Центр безопасности и использовать его возможность межрегиональной агрегации.

С помощью GuardDuty, EventBridge и AWS Lambda можно настраивать автоматические действия по устранению последствий на основании отчетов о безопасности. Например, можно создать функцию Lambda, которая на основании отчета о безопасности будет изменять правила группы безопасности AWS. Если в отчете о безопасности GuardDuty указано, что один из инстансов Amazon EC2 был исследован с известного вредоносного IP-адреса, проблему можно устранить с помощью правила EventBridge, которое запустит функцию Lambda для автоматического изменения правил группы безопасности и ограничения доступа к указанному порту.

Над сервисом GuardDuty работает группа специалистов, ориентированная на разработку и отработку методов обнаружения вторжения, а также управление ими. Такой подход обеспечивает постоянное внедрение в сервис новых методов обнаружения вторжения и непрерывное улучшение существующих методов. В сервис встроено несколько механизмов получения обратной связи, например выражение согласия или несогласия с каждым отчетом о безопасности в пользовательском интерфейсе GuardDuty. С помощью такого механизма клиенты могут предоставлять отзывы, которые будут учтены в будущих версиях системы обнаружения вторжения GuardDuty.

Нет. GuardDuty исключает тяжелую рутинную работу и сложности, связанные с разработкой и поддержанием собственных наборов правил. В сервис постоянно добавляются новые методы обнаружения вторжения, созданные на основе обратной связи от клиентов и исследований, выполненных инженерами по безопасности AWS и группой разработки GuardDuty. Перечень индивидуальных настроек, доступных клиентам, включает возможность добавления собственных списков угроз и списков безопасных IP-адресов.

Защита GuardDuty для S3

Для существующих аккаунтов защиту GuardDuty для S3 можно включить в консоли на странице защиты S3 или в API. После этого начнется 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3.

Да. Доступен 30‑дневный бесплатный ознакомительный период. Каждый аккаунт в каждом регионе получает 30-дневный бесплатный ознакомительный период использования защиты GuardDuty для S3. Аккаунты, в которых уже включена функция GuardDuty, также получат 30-дневную бесплатную пробную версию функции защиты S3 при первой активации.

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита для S3. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» Организаций AWS, защита для S3 не будет включена, за исключением случаев, когда включена функция «Автоматическое включение для S3».

Нет. Чтобы использовать защиту GuardDuty для Amazon S3, необходимо включить сервис GuardDuty. Текущие аккаунты GuardDuty имеют возможность включить S3 Protection, а в новых аккаунтах эта функция будет по умолчанию после включения службы GuardDuty.

Да. По умолчанию функция защиты для S3 отслеживает все корзины Amazon S3 в вашей среде.

Нет. GuardDuty имеет прямой доступ к журналам событий данных CloudTrail S3. От вас не требуется включать регистрацию событий данных S3 в CloudTrail, и поэтому вы не понесете соответствующих расходов. Учтите, что сервис GuardDuty не хранит журналы, а только использует их для анализа.

Защита GuardDuty для EKS

Защита GuardDuty для EKS – это функция GuardDuty, которая отслеживает активность плоскости управления кластера Amazon EKS, анализируя журналы аудита Amazon EKS. Благодаря интеграции с Amazon EKS GuardDuty получает прямой доступ к журналам аудита Amazon EKS, не требуя их включения или хранения. Журналы аудита представляют собой относящиеся к системе безопасности хронологические записи, в которых зарегистрирована последовательность действий плоскости управления Amazon EKS. Журналы аудита Amazon EKS дают GuardDuty наглядность, необходимую для непрерывного мониторинга активности API Amazon EKS, а также собирают информацию о проверенных угрозах и выявлении аномалий для определения вредоносных действий или изменений конфигурации, из-за которых может возникнуть риск несанкционированного доступа к Amazon EKS. При выявлении угроз GuardDuty генерирует выводы о безопасности, где указаны тип угрозы, уровень серьезности и сведения о контейнере, такие как идентификатор пода, идентификатор образа контейнера и связанные теги.

Защита GuardDuty для EKS может выявлять угрозы, связанные с действиями пользователей и приложений, зафиксированными в журналах аудита Amazon EKS. Обнаружение угроз Amazon EKS включает обращение к кластерам Amazon EKS со стороны известных злоумышленников или узлов Tor, выполняемые анонимными пользователями операции API, которые могут указывать на неправильную конфигурацию, и ошибочные настройки, из-за которых может возникнуть риск несанкционированного доступа к Amazon EKS. Кроме того, с помощью моделей машинного обучения GuardDuty может определять последовательности шаблонов с техниками повышения привилегий, такие как подозрительный запуск контейнера с доступом к базовому хосту Amazon EC2 на корневом уровне. См. полный список новых выявляемых угроз в разделе Типы находок Amazon GuardDuty.

Нет. У GuardDuty есть прямой доступ к журналам аудита Amazon EKS. Обращаем внимание, что GuardDuty использует журналы только для анализа и не хранит их. Журналы аудита Amazon EKS не нужно включать или оплачивать для совместного использования в GuardDuty. Чтобы оптимизировать затраты, GuardDuty применяет интеллектуальные фильтры и использует только журналы аудита, имеющие отношение к выявлению угроз безопасности.

Да. Доступен 30‑дневный бесплатный ознакомительный период. Любой новый аккаунт GuardDuty в каждом регионе получает 30 дней бесплатного ознакомительного использования GuardDuty, включая возможности защиты GuardDuty для EKS. Существующие аккаунты GuardDuty бесплатно получают 30-дневный ознакомительный период для защиты GuardDuty для EKS. В течение ознакомительного периода на странице использования консоли GuardDuty можно посчитать примерную стоимость сервиса. У администраторов GuardDuty есть доступ к информации о стоимости сервиса в аккаунтах участников. По истечении ознакомительного периода актуальную стоимость функции можно посмотреть в консоли оплаты AWS.

Защиту GuardDuty для EKS нужно включать отдельно для каждого аккаунта. Вы можете включить функцию для своих аккаунтов одним щелчком мыши в консоли GuardDuty на странице защиты GuardDuty для EKS. Если конфигурация GuardDuty используется с несколькими аккаунтами, на странице защиты EKS в аккаунте администратора GuardDuty можно включить защиту GuardDuty для EKS по всей организации. Это позволит непрерывно отслеживать Amazon EKS в каждом отдельном аккаунте участника. Для аккаунтов GuardDuty, созданных путем использования функции автоматического включения Организаций AWS, необходимо дополнительно применить автоматическое включение для Amazon EKS. После подключения угрозы будут отслеживаться во всех существующих и будущих кластерах Amazon EKS без какой-либо настройки.

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию активна защита GuardDuty для EKS. Для новых аккаунтов GuardDuty, созданных путем использования функции «автоматического включения» в сервисе Организации AWS, необходимо дополнительно применить «автоматическое включение» для защиты EKS. 

Вы можете отключить эту функцию в консоли или с помощью API. В консоли GuardDuty перейдите на страницу защиты EKS и отключите защиту GuardDuty для EKS в своих аккаунтах. Если вы являетесь администратором GuardDuty, то можете отключить эту функцию в аккаунтах участников.

Если вы ранее отключили защиту GuardDuty для EKS, вы можете снова включить эту функцию в консоли или с помощью API. В консоли GuardDuty перейдите на страницу защиты EKS и включите защиту GuardDuty для EKS в своих аккаунтах.

Защиту GuardDuty для EKS нужно включать отдельно для каждого аккаунта. При использовании конфигурации GuardDuty с несколькими аккаунтами на странице защиты GuardDuty EKS в аккаунте администратора GuardDuty можно одним щелчком включить обнаружение угроз для EKS по всей организации. Это позволит выявлять угрозы для Amazon EKS в каждом отдельном аккаунте участника. После подключения угрозы будут отслеживаться во всех существующих и будущих кластерах Amazon EKS, и ручная настройка для них не потребуется.

Если вы не используете Amazon EKS и включили защиту EKS, то плата за защиту GuardDuty для EKS взиматься не будет. Однако, когда вы начнете использовать Amazon EKS, GuardDuty будет автоматически отслеживать ваши кластеры и генерировать заключения по выявленным проблемам, и за этот мониторинг будет взиматься плата.

Нет. Чтобы использовать защиту GuardDuty для EKS, необходимо включить сервис Amazon GuardDuty.

Да. Защита GuardDuty для EKS отслеживает журналы аудита кластеров Amazon EKS, развернутых как на инстансах Amazon EC2, так и на Fargate.

В данный момент поддерживаются только развертывания Amazon EKS, которые запускаются на инстансах Amazon EC2 в вашем аккаунте или на Fargate.

Нет. Защита GuardDuty для EKS не влияет на производительность, доступность или стоимость развертывания рабочих нагрузок Amazon EKS.

Да. GuardDuty – это региональный сервис, и защиту для EKS необходимо включать отдельно в каждом регионе AWS.

Мониторинг времени выполнения GuardDuty

Мониторинг времени выполнения GuardDuty использует легкий, полностью управляемый агент безопасности, который помогает отслеживать действия во время выполнения, такие как доступ к файлам, выполнение процессов и сетевые подключения к охватываемым ресурсам на уровне пода или инстанса. Агент безопасности автоматически развертывается в виде набора демонов, который собирает события времени выполнения и передает их GuardDuty для обработки аналитики безопасности. Это позволяет GuardDuty выявлять конкретные инстансы или контейнеры в вашей среде AWS, которые могут быть взломаны, и обнаруживать попытки распространения привилегий в более широкую среду AWS. Когда GuardDuty обнаруживает потенциальную угрозу, генерируется заключение о безопасности, которое включает контекст метаданных, содержащий сведения об инстансе, контейнере, поде и процессе. 

Мониторинг времени выполнения доступен для ресурсов Amazon EKS, работающих в Amazon EC2, кластеров Amazon ECS, работающих на Amazon EC2 или AWS Fargate, и инстансов Amazon EC2

Для текущих аккаунтов GuardDuty эту функцию можно активировать с консоли GuardDuty на странице мониторинга времени выполнения или через API. Узнайте больше о мониторинге времени выполнения GuardDuty.

Нет. Сервис мониторинга времени выполнения GuardDuty Runtime Monitoring – единственный план защиты, который по умолчанию не задействован при первом включении GuardDuty. Эту функцию можно активировать с консоли GuardDuty на странице мониторинга времени выполнения или через API. Для новых аккаунтов с GuardDuty, созданных путем использования функции автоматического включения в сервисе «Организации AWS», мониторинг времени выполнения не будет включен, за исключением случаев, когда применяется функция автоматического включения для мониторинга времени выполнения.

Когда вы включаете мониторинг времени выполнения Amazon ECS, GuardDuty готов использовать события времени выполнения задачи. Эти задачи выполняются в кластерах Amazon ECS, которые, в свою очередь, выполняются на инстансах AWS Fargate. Чтобы GuardDuty получал эти события времени выполнения, вы должны использовать автоматическую настройку агента.

При включении мониторинга времени выполнения для Amazon EC2 или Amazon EKS вы можете либо развернуть агент безопасности GuardDuty вручную, либо разрешить GuardDuty управлять им от вашего имени с помощью автоматической настройки агента.

Подробнее см. в разделе «Основные понятия – подходы к управлению агентом безопасности GuardDuty» в Руководстве пользователя GuardDuty.
 

Нет. Для использования мониторинга времени выполнения должен быть включен весь сервис GuardDuty.

Полный список регионов, в которых доступен мониторинг времени выполнения, см. в разделе Доступность функций для конкретных регионов.

Мониторинг выполнения GuardDuty должен быть включен для каждого отдельного аккаунта. При использовании конфигурации GuardDuty с несколькими аккаунтами на консольной странице мониторинга времени выполнения GuardDuty в аккаунте администратора GuardDuty можно одним щелчком включить его по всей организации. Это позволит отслеживать время выполнения желаемых рабочих нагрузок в каждом отдельном аккаунте участника. После включения для аккаунта все существующие и будущие выбранные рабочие нагрузки в аккаунте будут отслеживаться на предмет угроз времени выполнения, ручная настройка не потребуется.

Мониторинг GuardDuty во время выполнения позволяет выборочно настроить, какие кластеры Amazon EKS или Amazon ECS следует отслеживать на предмет обнаружения угроз. Благодаря возможности настройки на уровне кластера вы можете выборочно проводить мониторинг определенных кластеров на предмет обнаружения угроз или продолжать использовать конфигурацию на уровне аккаунта для мониторинга всех кластеров EKS или ECS соответственно в данном аккаунте и регионе.

Как и во всех случаях обеспечения безопасности, наблюдаемости и других вариантах использования, требующих наличия агента на хостинге, агент безопасности GuardDuty потребляет дополнительные ресурсы. Агент безопасности GuardDuty спроектирован так, чтобы минимально влиять на ресурсы. GuardDuty тщательно его контролирует, чтобы свести к минимуму используемый им объем ресурсов и влияние на соответствующие рабочие нагрузки. Точные метрики использования ресурсов будут доступны для мониторинга группами приложений и безопасности в Amazon CloudWatch.

Если вы настроите сервис мониторинга за временем выполнения GuardDuty для EKS на автоматическое развертывание агента безопасности GuardDuty, это может привести к дополнительному использованию ресурсов, а также создаст адреса VPC в VPC, которые используются для запуска рабочих нагрузок AWS. 

С вас не будет взиматься плата за мониторинг времени выполнения GuardDuty, если вы включите мониторинг времени выполнения GuardDuty для рабочей нагрузки, которую вы не выполняете. Однако когда вы начнете использовать Amazon EKS, Amazon ECS или Amazon EC2 и мониторинг времени выполнения GuardDuty будет включен для этой рабочей нагрузки, с вас будет взиматься плата, когда GuardDuty будет автоматически отслеживать ваши кластеры, задачи и инстансы и генерировать полученные данные для выявленных проблем. 

Мониторинг времени выполнения GuardDuty можно отключить для аккаунта AWS или организации на странице «Мониторинг времени выполнения» консоли GuardDuty. Если агент безопасности был автоматически развернут GuardDuty, GuardDuty также удалит агента безопасности, когда эта функция будет отключена.

Если вы решили развернуть агент GuardDuty вручную (применимо только к сервису мониторинга времени выполнения EKS и сервису мониторинга времени выполнения EC2), вам нужно будет удалить его вручную, при этом все созданные адреса VPC также необходимо удалить вручную. Шаги по удалению вручную сервиса мониторинга времени выполнения EKS и сервиса мониторинга времени выполнения EC2 подробно описаны в руководстве пользователя GuardDuty. 

Защита GuardDuty от вредоносных программ

Тома данных Amazon EBS. Если в этом источнике данных включена функция защиты от вредоносного ПО, GuardDuty начинает сканирование на предмет обнаружения вредоносных программ при обнаружении подозрительного поведения, указывающего на наличие вредоносного ПО в инстансе Amazon EC2 или рабочих нагрузках контейнеров. Он сканирует реплику тома Amazon EBS, которую GuardDuty создает на основе моментального снимка вашего тома Amazon EBS, на наличие троянов, червей, майнеров криптовалют, руткитов, ботов и т. д. Защита от вредоносных программ GuardDuty генерирует контекстуализированные выводы, которые могут подтвердить источник подозрительного поведения. Эти данные также могут быть направлены соответствующим администраторам, а также могут инициировать автоматическое исправление ситуации.

Сканирование объектов S3. Как только корзина настроена на защиту от вредоносного ПО, сервис GuardDuty автоматически сканирует недавно загруженные файлы и в случае обнаружения вредоносного ПО генерирует уведомление Amazon EventBridge с подробными сведениями о вредоносной программе, что позволяет интегрироваться с существующими системами управления событиями безопасности или рабочими процессами. Можно настроить автоматический карантин вредоносного ПО, переместив объект в изолированную корзину в своем аккаунте, или использовать теги объектов для сортировки результатов сканирования, что позволит лучше идентифицировать и классифицировать сканируемые объекты на основе тегов.

Полученные данные GuardDuty для Amazon EC2, которые инициируют сканирование на вредоносное ПО, можно найти в руководстве пользователя GuardDuty.

Функция защиты от вредоносных программ поддерживает обнаружение вредоносных файлов путем сканирования Amazon EBS, подключенных к инстансам Amazon EC2. Поддерживаемые типы файловых систем см. в руководстве пользователя GuardDuty.

Функция защиты от вредоносного ПО для S3 позволяет сканировать файлы, принадлежащие большинству классов синхронных хранилищ S3, таким как Amazon S3 Стандартный, Интеллектуальное многоуровневое хранение Amazon S3, S3 Standard-IA, S3 One Zone-IA и Мгновенное извлечение данных Amazon S3 Glacier, с помощью механизма сканирования вредоносного ПО GuardDuty.  Сервис будет сканировать форматы файлов, которые, как известно, используются для распространения или содержания вредоносного ПО, включая исполняемые файлы, файлы в формате PDF, архивы, двоичные файлы, упакованные файлы, сценарии, инсталляторы, базы данных электронной почты, простые электронные письма, изображения и закодированные объекты.

Защита от вредоносного ПО сканирует такие угрозы, как трояны, черви, майнеры криптовалют, руткиты и боты, которые могут быть использованы для компрометации рабочих нагрузок, переназначения ресурсов для злонамеренного использования и получения несанкционированного доступа к данным.

Полный список типов полученных данных см. в руководстве пользователя GuardDuty.

Для работы GuardDuty или функции защиты от вредоносных программ не обязательно включать регистрацию служб. Функция защиты от вредоносного ПО является частью GuardDuty – сервиса AWS, который использует разведданные из интегрированных внутренних и внешних источников.

Эта функция создаст и просканирует реплику на основе моментального снимка томов Amazon EBS, подключенных к потенциально зараженному инстансу Amazon EC2 или контейнерной рабочей нагрузке в вашем аккаунте. Разрешения, которые вы предоставили GuardDuty с помощью роли, связанной с сервисом, дают возможность сервису создавать зашифрованную копию тома в аккаунте сервиса GuardDuty из снимка, который остается в вашем аккаунте. Затем защита от вредоносного ПО GuardDuty проверит копию тома на наличие вредоносного ПО.

Для объектов в Amazon S3 сервис GuardDuty начинает чтение, расшифровку и сканирование объектов, загруженных в корзины, в которых вы настроили защиту от вредоносных программ GuardDuty. Можно ограничить объем сканируемых объектов в корзине, указав, что сканируются только объекты с определенными префиксами. Сервис GuardDuty просканирует загруженные объекты, совпадающие с указанными префиксами, и выдаст отчет о безопасности и уведомление Amazon EventBridge с подробным результатом сканирования: заражено, очищено, пропущено или не выполнено. Уведомление также будет содержать метрики сканирования, связанные с количеством просканированных объектов и байтами. Вы также можете определить действия после сканирования, которые GuardDuty будет выполнять с объектом на основе результатов сканирования, такие как автоматический карантин или маркировка объектов.

Да, каждый новый аккаунт GuardDuty в каждом регионе получает 30-дневную бесплатную пробную версию GuardDuty, включая функцию защиты от вредоносного ПО (доступна только для сканирования томов данных EBS по инициативе GuardDuty; бесплатная пробная версия GuardDuty с функцией защиты от вредоносного ПО для Amazon S3 не предусмотрена). Существующие аккаунты GuardDuty получают 30-дневную пробную версию этой функции без дополнительной оплаты при первом включении ее в аккаунте. В течение ознакомительного периода на странице использования консоли GuardDuty можно посчитать примерную стоимость сервиса. У администраторов GuardDuty есть доступ к информации о стоимости сервиса в аккаунтах участников. По истечении ознакомительного периода актуальную стоимость функции можно посмотреть в консоли оплаты AWS.

Вы можете включить защиту от вредоносного ПО в консоли GuardDuty, перейдя на страницу «Защита от вредоносного ПО» или используя API. Если вы работаете в конфигурации GuardDuty с несколькими аккаунтами, вы можете включить эту функцию для всей организации на странице консоли защиты от вредоносного ПО для аккаунта администратора GuardDuty. Это позволит мониторить вредоносное ПО в каждом отдельном аккаунте участника. Для аккаунтов GuardDuty, созданных путем использования функции автоматического включения в сервисе Организации AWS, необходимо дополнительно применить эту функцию для защиты от вредоносного ПО.

Чтобы использовать функцию защиты от вредоносного ПО для S3, можно интегрировать сканирование вредоносного ПО в приложения, выполнив два простых шага. Во-первых, владельцу приложения необходимо настроить конфигурацию защиты корзин для сегментов, которые вы хотите отслеживать. Настройку можно выполнить в консоли GuardDuty программно для существующей корзины или при создании новой корзины. Сервис GuardDuty отправит метрики сканирования в события EventBridge для каждой защищенной корзины S3, что позволит настроить аварийные сигналы и определить действия после сканирования, такие как маркировка объекта или копирование вредоносного объекта в карантинную корзину, которые GuardDuty выполнит на основе результатов сканирования. Если для аккаунта включен сервис GuardDuty, в нем также создается отчет о безопасности.

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита от вредоносного ПО GuardDuty (для сканирования томов EBS). Для новых аккаунтов GuardDuty, созданных путем использования функции «автоматического включения» в сервисе Организации AWS, необходимо дополнительно применить «автоматическое включение» для защиты от вредоносного ПО. 

Вы можете отключить эту функцию в консоли или с помощью API. Вы увидите опцию отключения защиты от вредоносного ПО для ваших аккаунтов в консоли GuardDuty на странице консоли защиты от вредоносного ПО. Если вы являетесь администратором GuardDuty, то можете отключить функцию защиты от вредоносного ПО GuardDuty в аккаунтах участников.

Если Защита от вредоносного ПО была отключена, вы можете включить ее в консоли или с помощью API. Вы можете включить защиту от вредоносного ПО для ваших аккаунтов в консоли GuardDuty на странице консоли защиты от вредоносного ПО.

Нет. Плата за защиту от вредоносного ПО не взимается, если в течение расчетного периода не проводилось сканирование. Стоимость функции можно посмотреть в консоли оплаты AWS.

Да. В GuardDuty предусмотрена возможность управления несколькими аккаунтами, что позволяет связывать несколько аккаунтов AWS и управлять ими из одного аккаунта администратора. GuardDuty позволяет управление несколькими аккаунтами благодаря интеграции с сервисом «Организации AWS». Эта интеграция помогает специалистам по безопасности и соответствию требованиям обеспечить полный охват GuardDuty, включая защиту от вредоносного ПО, во всех аккаунтах организации.

Нет. Если функция защиты от вредоносного ПО GuardDuty включена, она инициирует проверку на наличие вредоносного ПО в ответ на соответствующие полученные данные Amazon EC2. Вам не нужно устанавливать никаких агентов; нет источников журналов, которые нужно включить, и нет других изменений в конфигурации.

Нет. Защита от вредоносных программ GuardDuty создана таким образом, чтобы не влиять на эффективность рабочих нагрузок. Например, снимки томов Amazon EBS, созданные для анализа вредоносного ПО, могут быть созданы только один раз за 24-часовой период, а защита от вредоносных программ GuardDuty сохраняет зашифрованные реплики и снимки в течение нескольких минут после завершения сканирования. Кроме того, функция использует вычислительные ресурсы GuardDuty для сканирования вредоносных программ вместо вычислительных ресурсов клиента.

Да. GuardDuty – это региональный сервис, и защиту от вредоносного ПО необходимо включить отдельно в каждом регионе AWS.

Эта функция сканирует реплику на основе моментального снимка томов Amazon EBS, подключенных к потенциально зараженному инстансу Amazon EC2 или контейнерной рабочей нагрузке в вашем аккаунте. Если ваши тома Amazon EBS зашифрованы ключом, управляемым клиентом, у вас есть возможность поделиться ключом сервиса управления ключами AWS (KMS) с GuardDuty, и этот сервис использует тот же ключ для шифрования копии тома Amazon EBS. Для незашифрованных томов Amazon EBS GuardDuty использует свой собственный ключ для шифрования реплики тома Amazon EBS.

Да. Все копии данных томов Amazon EBS (и снимки состояния, на основе которых создан объем копии) остается в том же регионе, что и оригинальный объем Amazon EBS.

Каждый новый аккаунт GuardDuty в каждом регионе получает 30-дневную бесплатную пробную версию GuardDuty, включая функцию защиты от вредоносного ПО (только для сканирования объемов данных EBS, инициированного GuardDuty; бесплатная пробная версия функции защиты от вредоносного ПО для Amazon S3 не предоставляется). Существующие аккаунты GuardDuty получают 30-дневную пробную версию этой функции без дополнительной оплаты при первом включении ее в аккаунте. В течение ознакомительного периода на странице использования консоли GuardDuty можно посчитать примерную стоимость сервиса. У администраторов GuardDuty есть доступ к информации о стоимости сервиса в аккаунтах участников. По истечении ознакомительного периода актуальную стоимость функции можно посмотреть в консоли оплаты AWS.

Стоимость сканирования томов EBS на наличие вредоносного ПО основана на количестве ГБ данных, отсканированных в томе. Вы можете применить настройки с помощью опций сканирования из консоли, чтобы отметить некоторые инстансы Amazon EC2 при помощи тегов для включения или исключения из сканирования. Это обеспечивает контроль затрат. Кроме того, GuardDuty будет сканировать инстанс Amazon EC2 только один раз в 24 часа. Если GuardDuty генерирует несколько выводов Amazon EC2 для инстанса Amazon EC2 в течение 24 часов, сканирование будет выполняться только для первого соответствующего вывода Amazon EC2. Если в течение 24 часов после последней проверки на наличие вредоносного ПО для инстанса Amazon EC2 продолжаются обнаружения, для этого инстанса будет инициирована новая проверка на наличие вредоносного ПО.

Стоимость сканирования объектов хранения в корзинах S3 на наличие вредоносного ПО зависит от объема сканируемых данных в ГБ, а также от количества файлов, отсканированных в специальной корзине S3, настроенной для сканирования на наличие вредоносного ПО. Сервис GuardDuty сканирует только что загруженные файлы в настроенные корзины и не сканирует существующие файлы или файлы в корзинах, не предназначенных для сканирования на наличие вредоносного ПО.

Да. Есть соответствующая функция, которой вы можете воспользоваться. Вы можете включить этот параметр в консоли GuardDuty на странице настроек. По умолчанию снимки удаляются через несколько минут после завершения сканирования и через 24 часа, если сканирование не было завершено.

Защита от вредоносных программ GuardDuty будет сохранять каждую реплику тома Amazon EBS, которую она создает и сканирует, в течение 24 часов. По умолчанию тома реплики Amazon EBS удаляются через несколько минут после того, как функция завершает сканирование. Однако в некоторых случаях защите от вредоносных программ GuardDuty может потребоваться сохранить реплику тома Amazon EBS дольше 24 часов, если перебои в обслуживании или проблемы с подключением мешают проверке на вредоносное ПО. Когда это происходит, функция сохраняет реплику тома Amazon EBS на срок до семи дней, чтобы дать службе время на диагностику и устранение сбоя или проблемы с подключением. Защита от вредоносных программ GuardDuty удалит реплику тома Amazon EBS после устранения сбоя или отказа или по истечении расширенного периода хранения.

Нет. Эта функция сканирует реплику на основе моментального снимка томов Amazon EBS, подключенных к потенциально зараженному инстансу Amazon EC2 или контейнерной рабочей нагрузке, раз в 24 часа. Даже если защита GuardDuty создает несколько результатов, которые позволяют инициировать проверку на наличие вредоносного ПО, она не будет инициировать дополнительные проверки, если с момента предыдущей проверки прошло менее 24 часов. Если по истечении 24 часов после последнего сканирования GuardDuty генерирует классифицированное обнаружение, то защита от вредоносного ПО GuardDuty инициирует новое сканирование на наличие вредоносного ПО для данной рабочей нагрузки.

Нет. Отключение сервиса GuardDuty отключает и функцию защиты от вредоносного ПО.

Нет, GuardDuty S3 с функцией защиты от вредоносного ПО обеспечивает гибкость, которая позволяет владельцам приложений настраивать защиту от вредоносного ПО для корзин S3, даже если базовая функция GuardDuty для аккаунта отключена. Базовая функция GuardDuty по умолчанию включает мониторинг базовых источников, таких как события управления AWS CloudTrail, журналы потоков VPC и журналы запросов DNS.

Защита GuardDuty для RDS

Защиту GuardDuty для RDS можно включить одним действием в консоли GuardDuty, при этом не нужно вручную развертывать агентов, подключать источники данных и настраивать разрешения. Используя специализированные модели машинного обучения, защита GuardDuty для RDS начинает с анализа и составления профиля попыток доступа к существующим и новым базам данных Amazon Aurora. При выявлении подозрительного поведения или попыток взлома со стороны известных злоумышленников GuardDuty передает практически применимые результаты проверки безопасности в консоли GuardDuty, службы реляционных баз данных Amazon (Amazon RDS), Центра безопасности и Amazon EventBridge, что позволяет интегрировать их с существующими системами управления событиями безопасности или управления рабочими процессами. Узнайте подробнее, как защита GuardDuty RDS использует мониторинг активности входа в систему RDS.

Для текущих аккаунтов GuardDuty эту функцию можно активировать с консоли GuardDuty на странице защиты RDS или через API. Узнайте подробнее о защите GuardDuty RDS.

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита для RDS. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» Организаций AWS, защита для RDS не будет включена, за исключением случаев, когда включена функция «Автоматическое включение для RDS».

Нет. Для использования защиты GuardDuty для RDS должен быть включен весь сервис GuardDuty.

Полный список регионов, в которых доступна защита RDS, см. в разделе Доступность функций для конкретных регионов.

Нет. Обнаружение угроз базами данных Aurora с помощью GuardDuty было разработано так, чтобы не влиять на производительность, доступность или стоимость эксплуатации ваших баз данных Amazon Aurora.

Защита GuardDuty Lambda

Защита GuardDuty Lambda непрерывно отслеживает сетевую активность, начиная с журналов потоков VPC от ваших бессерверных рабочих нагрузок, для обнаружения угроз, таких как функции Lambda, злонамеренно перепрофилированные для несанкционированного майнинга криптовалюты, или скомпрометированные функции Lambda, которые взаимодействуют с серверами известных угрожающих субъектов. Защиту GuardDuty Lambda можно включить, выполнив несколько шагов в консоли GuardDuty, а с помощью Организаций AWS ее можно централизованно включить для всех существующих и новых аккаунтов в организации. После включения сервис автоматически начинает отслеживать данные сетевой активности всех существующих и новых функций Lambda в аккаунте.

Для текущих аккаунтов GuardDuty эту функцию можно активировать с консоли GuardDuty на странице защиты Lambda или через API. Узнайте подробнее о защите GuardDuty Lambda.

Да. Во всех новых аккаунтах, в которых через консоль или API включен сервис GuardDuty, также по умолчанию включена защита Lambda. Для новых аккаунтов с GuardDuty, созданных путем использования функции «автоматического включения» Организаций AWS, защита Lambda не будет включена, за исключением случаев, когда включена функция «Автоматическое включение Lambda».

Полный список регионов, в которых доступна защита Lambda, см. в разделе Доступность функций для конкретных регионов.

Нет, защита GuardDuty Lambda разработана таким образом, чтобы не влиять на производительность, доступность или стоимость рабочих нагрузок Lambda.