- Sécurité, identité et conformité›
- Amazon GuardDuty›
- Questions fréquentes (FAQ)
Questions fréquentes (FAQ) sur Amazon GuardDuty
Sujets de la page
Présentation du servicePrésentation du service
Qu'est-ce qu'Amazon GuardDuty ?
GuardDuty est un service intelligent de détection des menaces qui surveille en permanence vos comptes, charges de travail et activités d’exécution AWS, ainsi que vos données, pour détecter toute activité malveillante. Si une activité malveillante potentielle, telle qu'un comportement anormal, l'exfiltration d'informations d'identification ou la communication d'une infrastructure de commandement et de contrôle (C2), est détectée, GuardDuty génère des résultats de sécurité détaillés qui peuvent être utilisés pour la visibilité de la sécurité et l'aide à la résolution.
Quels sont les principaux avantages de GuardDuty ?
GuardDuty simplifie la surveillance continue de vos comptes, charges de travail et activités d’exécution AWS. GuardDuty est conçu pour fonctionner de manière totalement indépendante de vos ressources et n’avoir aucun impact sur les performances ou la disponibilité de vos charges de travail. Le service est entièrement géré avec l'intégration des renseignements sur les menaces, la détection des anomalies par le machine learning (ML) et l'analyse des logiciels malveillants. GuardDuty émet des alertes détaillées et exploitables qui peuvent être intégrées aux systèmes existants de gestion des événements et de flux de travail. Aucuns frais initiaux ne sont facturés et vous ne payez que les événements analysés, sans logiciel supplémentaire à déployer ni abonnement à un flux de renseignement sur les menaces.
Q : Combien coûte GuardDuty ?
GuardDuty est un service de paiement à l'utilisation, et vous ne payez que pour l'utilisation que vous en faites. Les prix de GuardDuty sont basés sur le volume de journaux de service analysés, deprocesseurs virtuels (vCPU) ou d'unités de capacité Aurora (ACU) de l'instance Aurora sans serveur v2 pour l'analyse des événements Amazon RDS, du nombre et de la taille des charges de travail Amazon Elastic Kubernetes Service (Amazon EKS) ou Amazon Elastic Container Service (Amazon ECS) surveillées lors de l'exécution, et du volume de données analysées pour détecter les logiciels malveillants.
Les journaux de service analysés sont filtrés à des fins d'optimisation des coûts et directement intégrés à GuardDuty, ce qui signifie que vous n'avez pas à les activer ou à les payer séparément. Si la surveillance d’exécution de EKS est activée pour votre compte, l'analyse des journaux de flux VPC provenant d'instances sur lesquelles l'agent GuardDuty est déployé et actif ne vous sera pas facturée. L'agent de sécurité d'exécution nous fournit des données de télémétrie réseau similaires (et plus contextuelles). Par conséquent, pour éviter de facturer deux fois les clients, nous ne facturerons pas les journaux de flux VPC provenant des instances Amazon Elastic Compute Cloud (Amazon EC2) sur lesquelles l'agent est installé.
Pour des informations et des exemples de tarification, reportez-vous à la Tarification d'Amazon GuardDuty.
Le coût estimé dans le compte payeur GuardDuty indique-t-il le total des coûts agrégés pour les comptes liés, ou seulement celui pour le compte payeur individuel ?
Le coût estimé représente le coût pour le compte payeur individuel. Vous verrez l'utilisation facturée et le coût quotidien moyen de chaque compte membre dans le compte de l'administrateur GuardDuty. Vous devez accéder au compte individuel si vous voulez consulter les informations détaillées d'utilisation.
Est-il possible d'essayer gratuitement GuardDuty?
Oui, tout nouveau compte Amazon GuardDuty bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble de la fonction et aux détections pendant l'essai gratuit. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.
Les titulaires de comptes GuardDuty nouveaux et existants qui n’ont pas encore activé une fonctionnalité GuardDuty peuvent l’essayer gratuitement pendant 30 jours dans le cadre de l’offre gratuite d’AWS (pour la fonctionnalité de protection contre les programmes malveillants, l’essai gratuit est disponible pour les analyses de programmes malveillants initiées par GuardDuty uniquement pour les volumes de données Amazon EBS. Il n’existe pas d’essai gratuit pour la protection contre les logiciels malveillants pour Amazon S3). Pendant la période d’essai gratuite et par la suite, vous pouvez toujours suivre vos dépenses mensuelles estimées sur la page d’utilisation de la console GuardDuty, ventilées par source de données.
Quelles sont les différences entre GuardDuty et Amazon Macie ?
GuardDuty assure une surveillance étendue de la sécurité de vos comptes, charges de travail et données AWS, afin d'identifier les menaces, telles que la reconnaissance des attaquants, les compromissions d'instances, de comptes, de compartiments ou de clusters Amazon EKS et les logiciels malveillants. Macie est un service entièrement géré de découverte de données sensibles, qui utilise le ML et la correspondance de modèles pour découvrir vos données sensibles dans Amazon Simple Storage Service (Amazon S3).
Le service GuardDuty offre-t-il une couverture régionale ou mondiale ?
GuardDuty est un service régional. Même lorsque plusieurs comptes sont activés et que plusieurs Régions AWS sont utilisées, les résultats de sécurité de GuardDuty restent dans les régions où les données sous-jacentes ont été générées. Ainsi, toutes les données analysées sont basées sur la région et ne traversent pas les frontières régionales d'AWS. Cependant, vous pouvez agréger les résultats de sécurité produits par GuardDuty dans les régions en utilisant Amazon EventBridge ou en envoyant les résultats à votre magasin de données (tel que S3), puis agréger les résultats comme vous le souhaitez. Vous pouvez également envoyer les résultats de GuardDuty à AWS Security Hub et utiliser sa fonctionnalité d'agrégation interrégionale.
Quelles sont les régions couvertes par GuardDuty ?
La disponibilité régionale de GuardDuty est indiquée dans la liste des services régionaux AWS. Pour obtenir la liste complète des régions dans lesquelles les fonctionnalités GuardDuty sont disponibles, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.
Quels sont les partenaires qui utilisent GuardDuty ?
De nombreux partenaires technologiques ont intégré Amazon GuardDuty et s'appuient sur le service. En outre, des consultants, des intégrateurs de systèmes et des fournisseurs de services de sécurité gérés possèdent une expertise GuardDuty. Pour plus de détails, reportez-vous à la page des partenaires Amazon GuardDuty.
GuardDuty permet-il de répondre aux exigences de la norme de sécurité du secteur des cartes de crédit (PCI DSS) ?
Foregenix a publié un livre blanc qui fournit une évaluation détaillée de l'efficacité de GuardDuty pour répondre aux exigences, telle que l'exigence 11.4 PCI DSS qui requiert des techniques de détection des intrusions sur les points critiques du réseau.
Activation de GuardDuty
Comment activer GuardDuty ?
Vous pouvez configurer et déployer GuardDuty en quelques étapes dans la console de gestion AWS. Une fois GuardDuty activé, il analyse immédiatement les flux continus d'activité des comptes et des réseaux en quasi temps réel et à grande échelle. Vous n'avez pas à déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Les renseignements sur les menaces sont pré-intégrés dans le service et sont mis à jour et gérés en continu.
Est-il possible de gérer plusieurs comptes avec GuardDuty ?
Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. Lorsque vous utilisez la fonction, tous les résultats de sécurité sont regroupés dans le compte d'administrateur pour les examiner et procéder à des corrections. Les événements EventBridge sont également agrégés dans le compte d'administrateur GuardDuty lorsque cette configuration est utilisée. En outre, GuardDuty est intégré à AWS Organizations, afin de pouvoir déléguer un compte d'administrateur GuardDuty pour votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.
Quelles sources de données GuardDuty analyse-t-il ?
Les sources de données fondamentales analysées par GuardDuty incluent : les journaux d'événements de gestion AWS CloudTrail, les événements de gestion CloudTrail, les journaux de flux Amazon EC2 VPC et les journaux de requêtes DNS. Les plans de protection GuardDuty surveillent d'autres types de ressources, notamment les événements de données CloudTrail S3 (protection S3), les journaux d'audit Amazon EKS et l'activité d'exécution pour Amazon EKS (protection EKS), l'activité d'exécution Amazon ECS (surveillance d'exécution ECS), l'activité d'exécution Amazon EC2 (surveillance d'exécution EC2), les données de volume Amazon EBS (protection contre les logiciels malveillants), les événements de connexion Amazon Aurora (protection RDS) et les journaux d'activité réseau (protection Lambda). Le service est optimisé pour consommer de grands volumes de données pour le traitement en temps quasi réel des détections de sécurité. GuardDuty vous donne accès à des techniques de détection intégrées, développées et optimisées pour le cloud, et gérées et constamment améliorées par l'équipe technique GuardDuty.
Quand GuardDuty commence-t-il à fonctionner ?
Une fois activé, GuardDuty commence à analyser les activités malveillantes ou non autorisées. Le délai pour commencer à recevoir des résultats dépend du niveau d'activité de votre compte. GuardDuty n'examine pas les données historiques. Il analyse uniquement l'activité qui existe après son activation. Si GuardDuty identifie des menaces potentielles, un résultat s'affiche sur la console GuardDuty.
Dois-je activer CloudTrail, les journaux de flux VPC, les journaux de requêtes DNS ou les journaux d'audit Amazon EKS pour que GuardDuty fonctionne ?
Non. GuardDuty extrait des flux de données indépendants directement de CloudTrail, des journaux de flux VPC, des journaux de requêtes DNS et d'Amazon EKS. Vous n'avez pas besoin de gérer les stratégies de compartiment Amazon S3 ni de modifier le mode de collecte et de stockage de vos journaux. Les autorisations GuardDuty sont gérées comme des rôles liés à un service. Vous pouvez désactiver GuardDuty à tout moment. Dans ce cas, toutes les autorisations GuardDuty sont supprimées. Ainsi, vous pouvez activer plus facilement le service, car cela évite d'exécuter des opérations de configuration complexes. Les rôles liés à un service éliminent également le risque d'affecter le fonctionnement du service en configurant incorrectement les autorisations AWS Identity and Access Management (IAM) ou en modifiant les politiques de compartiment S3. Enfin, les rôles lié à un services rendent GuardDuty extrêmement efficace pour consommer de grands volumes de données en temps quasi réel avec un impact minime voire nul sur les performances et la disponibilité de votre compte ou de vos charges de travail.
L'activation de GuardDuty a-t-elle un impact sur les performances ou la disponibilité de mon compte ?
Lorsque vous activez GuardDuty pour la première fois, il fonctionne de manière totalement indépendante de vos ressources AWS. Si vous configurez la surveillance d’exécution GuardDuty pour déployer automatiquement l’agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison de VPC dans les VPC utilisés pour exécuter des charges de travail surveillées.
GuardDuty gère-t-il ou conserve-t-il mes journaux ?
Non. GuardDuty ne gère ni ne conserve vos journaux. Toutes les données que consomme GuardDuty sont analysées en temps quasi réel, puis supprimées, afin que GuardDuty oit extrêmement efficace et rentable et de réduire le risque de rémanence de données. En ce qui concerne la distribution et la conservation des journaux, vous devez utiliser directement les services de journalisation et de surveillance AWS qui offrent des options complètes de distribution et de conservation.
Comment empêcher Amazon GuardDuty de lire mes journaux et mes sources de données ?
Vous pouvez empêcher GuardDuty d'analyser vos sources de données à tout moment dans les paramètres généraux en suspendant le service. Ainsi, le service cessera immédiatement d'analyser les données. Toutefois, vos résultats ou configuration existants ne seront pas supprimés. Vous pouvez également choisir de désactiver le service dans les paramètres généraux. Dans ce cas, toutes les données restantes seront supprimées, notamment vos résultats et configurations existants, avant de supprimer les autorisations du service et de le réinitialiser. Vous pouvez également désactiver de manière sélective des fonctionnalités telles que GuardDuty S3 Protection ou GuardDuty EKS Protection via la console de gestion ou via les CLI AWS.
Activation de GuardDuty
Que peut détecter GuardDuty ?
GuardDuty vous donne accès à des techniques de détection intégrées développées et optimisées pour le cloud. Les algorithmes de détection sont gérés et améliorés constamment par l'équipe technique GuardDuty. Les principales catégories de détection sont les suivantes :
- Reconnaissance :activité qui suggère une reconnaissance par un attaquant, telle qu'une activité API inhabituelle, une analyse de port intra-VPC, des modèles inhabituels de demandes de connexion ayant échoué ou une exploration de port non bloqué à partir d'une adresse IP incorrecte connue.
- Instance compromise : Activité indiquant l'existence d'une instance compromise, telle que le mining de crypto-monnaie, l'utilisation par un logiciel malveillant d'algorithmes de génération de domaine (DGA), une activité sortante de déni de service, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante d'une instance avec une adresse IP malveillante connue, l'utilisation d'informations d'identification Amazon EC2 temporaires par une adresse IP externe, et l'exfiltration de données à l'aide d'un DNS.
- Compte compromis : les cas courants qui indiquent la compromission d'un compte, notamment les appels d'API provenant d'une géolocalisation inhabituelle ou d'un proxy d'anonymisation, les tentatives de désactivation de la journalisation CloudTrail, les lancements inhabituels d'instance ou d'infrastructure, les déploiements d'infrastructures dans une région inhabituelle, l'exfiltration d'informations d'identification et les appels d'API provenant d'adresses IP malveillantes connues.
- Compromission de compartiment : activité qui indique l'existence d'un compartiment compromis, telle que des modèles d'accès aux données suspects indiquant une utilisation abusive des informations d'identification, l'activité inhabituelle d'une API S3 depuis un hôte distant, les accès S3 non autorisés depuis des adresses IP malveillantes connues et les appels d'API pour récupérer les données stockées dans les compartiments S3, effectués par un utilisateur qu n'a aucun historique d'accès au compartiment ou les API invoquées à partir d'un emplacement inhabituel. GuardDuty surveille et analyse en permanence les événements de données S3 CloudTrail (tels que GetObject, ListObjects et DeleteObject) pour détecter toute activité suspecte dans tous vos compartiments S3.
- Logiciels malveillants : GuardDuty peut détecter la présence de logiciels malveillants, tels que des chevaux de Troie, des vers, des mineurs de crypto-monnaie, des programmes malveillants ou des robots, qui peuvent être utilisés pour compromettre les charges de travail de vos instances ou de vos conteneurs Amazon EC2, ou qui sont chargés dans vos compartiments Amazon S3.
- Conteneur compromis : activité qui identifie un comportement malveillant potentiel ou suspect dans les charges de travail des conteneurs, en surveillant et en profilant en permanence les clusters Amazon EKS en analysant ses journaux d’audit EKS et les activités d’exécution de conteneur dans Amazon EKS ou Amazon ECS.
Voici la liste complète des types de résultats de GuardDuty.
Que sont les renseignements sur les menaces de GuardDuty ?
Les renseignements sur les menaces de GuardDuty comprennent les adresses IP et les domaines connus pour être utilisés par les pirates. Les renseignements sur les menaces de GuardDuty sont fournis par AWS et des fournisseurs tiers, tels que Proofpoint et CrowdStrike. Ces flux de renseignements sont préintégrés et constamment mis à jour dans GuardDuty, sans frais supplémentaires.
Puis-je fournir mes propres renseignements sur les menaces ?
Oui, GuardDuty vous permet de charger vos propres renseignements sur les menaces ou une liste d'adresses IP de confiance. Lorsque cette fonction est utilisée, ces listes ne sont appliquées qu'à votre compte et ne sont pas partagées avec les autres clients.
Comment les résultats de sécurité sont-ils transmis ?
Quand une menace potentielle est détectée, Amazon GuardDuty envoie un résultat de sécurité détaillé à la console GuardDuty et à EventBridge. Ainsi, les alertes sont exploitables et faciles à intégrer aux systèmes existants de gestion des événements ou de flux. Les résultats comprennent la catégorie, la ressource concernée et ses métadonnées, telles que le niveau de gravité.
Sous quelle forme les résultats de GuardDuty sont-ils présentés ?
Les résultats de GuardDuty sont présentés dans un format JSON courant, qui est également utilisé par Macie et Amazon Inspector. Il est ainsi plus facile pour les clients et les partenaires d'utiliser les résultats de sécurité des trois services et de les intégrer dans des solutions plus larges de gestion des événements, de flux ou de sécurité.
Pendant combien de temps les résultats de sécurité sont-ils disponibles dans GuardDuty ?
Les résultats de sécurité sont conservés et accessibles via la console GuardDuty et les API pendant 90 jours. Les résultats seront supprimés après 90 jours. Pour conserver les résultats plus longtemps que 90 jours, vous pouvez activer EventBridge pour envoyer les résultats vers un compartiment S3 de votre compte ou vers tout autre magasin de données pour la conservation longue durée.
Puis-je regrouper les résultats générés par GuardDuty ?
Oui, vous pouvez agréger les résultats de sécurité produits par GuardDuty entre les régions en utilisant EventBridge ou les envoyer vers votre magasin de données (comme S3), puis en agrégeant les résultats comme vous le souhaitez. Vous pouvez également envoyer les résultats de GuardDuty à Security Hub et utiliser sa fonctionnalité d'agrégation interrégionale.
Est-il possible d'exécuter des actions préventives automatisées à l'aide de GuardDuty ?
Grâce à Amazon GuardDuty, EventBridge et AWS Lambda, vous avez la possibilité de définir des actions préventives automatisées en fonction d'un résultat de sécurité. Par exemple, vous pouvez créer une fonction Lambda pour modifier les règles de vos groupes de sécurité AWS en fonction de résultats de sécurité. Si vous recevez un résultat GuardDuty qui indique qu'une de vos instances EC2 est sondée par une IP malveillante connue, vous pouvez y remédier avec une règle EventBridge, en lançant une fonction Lambda pour modifier automatiquement vos règles de groupe de sécurité et restreindre l'accès sur ce port.
Comment les détections GuardDuty sont-elles développées et gérées ?
L'équipe GuardDuty se consacre au développement, à la gestion et à l'itération des détections. De nouvelles détections sont ainsi régulièrement produites pour le service et les détections existantes font l'objet d'une itération continue. Plusieurs mécanismes de retour d'informations sont intégrés au service, par exemple, indications positives ou négatives sont associés à chaque résultat de sécurité disponible dans l'interface utilisateur GuardDuty. Ainsi, vous pouvez fournir un retour d'information qui pourrait être intégré dans les itérations futures des détections de GuardDuty.
Est-il possible d'écrire des détections personnalisées dans Amazon GuardDuty ?
Non. GuardDuty élimine la lourdeur et la complexité du développement et de la maintenance de vos propres ensembles de règles personnalisées. De nouvelles détections sont constamment ajoutées en fonction des commentaires des clients, ainsi que des recherches des ingénieurs en sécurité d'AWS et de l'équipe technique de GuardDuty. Cependant, les personnalisations configurables par les clients comprennent l'ajout de listes personnelles de menaces et d'adresses IP sûres.
Protection S3 pour GuardDuty
J'utilise actuellement GuardDuty. Comment puis-je commencer à utiliser la protection S3 ?
Pour les comptes GuardDuty actuels, la protection S3 peut être activée dans la console, sur la page S3 Protection, ou via l'API. Vous démarrez ainsi un essai gratuit de 30 jours de la fonctionnalité GuardDuty S3 Protection.
Est-il possible d'essayer gratuitement la protection S3 de GuardDuty ?
Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque compte de chaque région bénéficie d'un essai gratuit de 30 jours de GuardDuty qui inclut la fonction S3 Protection. Les comptes dans lesquels GuardDuty est déjà activé bénéficient également d'un essai gratuit de 30 jours de la fonction S3 Protection lors de sa première activation.
Je suis un nouvel utilisateur de GuardDuty. la fonction de protection S3 est-elle activée par défaut pour mes comptes ?
Oui. Les nouveaux comptes qui active GuardDuty dans la console ou par le biais de l'API active également par défaut S3 Protection. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.
Puis-je utiliser la protection S3 de GuardDuty sans activer le service GuardDuty complet (notamment l'analyse des journaux de flux VPC, des journaux de requêtes DNS et des événements de gestion CloudTrail) ?
Non. Le service GuardDuty doit être activé pour pouvoir utiliser la S3 Protection. Les comptes GuardDuty actuels peuvent activer la S3 Protection. La fonction est activée par défaut pour les nouveaux comptes GuardDuty une fois le service GuardDuty activé.
GuardDuty surveille-t-il tous les compartiments de mon compte pour protéger mon déploiement Amazon S3 ?
Par défaut,S3 Protection surveille tous les compartiments S3 de votre environnement.
Dois-je activer la journalisation des événements de données CloudTrail S3 pour utiliser S3 Protection ?
Non. GuardDuty a un accès direct aux journaux des événements des données CloudTrail S3. Vous n'avez pas besoin d'activer la journalisation des événements de données S3 dans CloudTrail, et les coûts associés ne vous sont donc pas facturés. Notez que GuardDuty ne stocke pas les journaux et qu'il les utilise uniquement pour ses analyses.
GuardDuty pour EKS Protection
Comment fonctionne GuardDuty EKS Protection ?
GuardDuty pour EKS Protection est une fonctionnalité de GuardDuty qui surveille l'activité du plan de contrôle du cluster Amazon EKS en analysant les journaux d'audit Amazon EKS. GuardDuty est intégré à Amazon EKS, ce qui lui permet d'accéder directement aux journaux d'audit Amazon EKS sans que vous ayez à activer ou à stocker ces journaux. Ces journaux d'audit sont des enregistrements chronologiques pertinents pour la sécurité qui documentent la séquence des actions effectuées sur le plan de contrôle d'Amazon EKS. Ces journaux d'audit Amazon EKS donnent à GuardDuty la visibilité nécessaire pour effectuer une surveillance continue de l'activité de l'API Amazon EKS et appliquer une veille des menaces et une détection des anomalies éprouvées pour identifier les activités malveillantes ou les changements de configuration susceptibles d'exposer votre cluster Amazon EKS à un accès non autorisé. Lorsque des menaces sont identifiées, GuardDuty génère des résultats de sécurité qui comprennent le type de menace, le niveau de gravité et des détails au niveau du conteneur (tels que l'ID du pod, l'ID de l'image du conteneur et les identifications associées).
Quels types de menaces GuardDuty EKS Protection peut-il détecter sur mes charges de travail Amazon EKS ?
GuardDuty EKS Protection peut détecter les menaces liées à l'activité des utilisateurs et des applications capturée dans les journaux d'audit Amazon EKS. Les détections de menaces Amazon EKS incluent les clusters Amazon EKS auxquels accèdent des acteurs malveillants connus ou à partir de nœuds Tor, les opérations d'API effectuées par des utilisateurs anonymes qui pourraient indiquer une mauvaise configuration et les mauvaises configurations qui peuvent entraîner un accès non autorisé aux clusters Amazon EKS. En outre, à l'aide de modèles ML, GuardDuty peut identifier des modèles cohérents avec les techniques d'escalade de privilèges, comme le lancement suspect d'un conteneur avec un accès de niveau racine à l'hôte EC2 sous-jacent. Pour obtenir la liste complète des nouvelles détection, reportez-vous à Types de résultats d'Amazon GuardDuty.
Dois-je activer les journaux d’audit Amazon EKS ?
Non, GuardDuty a un accès direct à ces journaux. Notez que GuardDuty utilise ces journaux uniquement à des fins d’analyse ; il ne les stocke pas et vous n'avez pas besoin d'activer ou de payer pour que ces journaux d'audit Amazon EKS soient partagés avec GuardDuty. Pour optimiser les coûts, GuardDuty applique des filtres intelligents pour ne consommer qu'un sous-ensemble des journaux d'audit liés à la détection des menaces de sécurité.
Est-il possible d'essayer gratuitement GuardDuty EKS Protection ?
Oui, vous pouvez profiter d'un essai gratuit de 30 jours. Chaque nouveau compte GuardDuty dans chaque région reçoit un essai gratuit de 30 jours de GuardDuty, qui inclut la fonction GuardDuty EKS Protection. Les comptes GuardDuty existants bénéficient d'un essai de 30 jours de GuardDuty EKS Protection sans frais supplémentaires. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.
Comment puis-je commencer à employer GuardDuty EKS Protection si j'utilise actuellement GuardDuty ?
GuardDuty EKS Protection doit être activé pour chaque compte individuel. Vous pouvez activer la fonctionnalité pour vos comptes d'un simple clic dans la console GuardDuty à partir de la page de la console GuardDuty EKS Protection. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer GuardDuty EKS Protection dans toute votre organisation à partir de la page GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la surveillance continue pour Amazon EKS dans tous les comptes individuels des membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique AWS Organizations, vous devez explicitement activer l'activation automatique pour Amazon EKS. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, sans aucune configuration sur vos clusters Amazon EKS.
Le service GuardDuty EKS Protection est-il activé par défaut pour mes comptes si je suis un nouvel utilisateur de GuardDuty ?
Oui. Tout nouveau compte qui active GuardDuty dans la console ou par le biais de l'API active également par défaut GuardDuty EKS Protection. Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Protection contre les logiciels malveillants.
Comment puis-je désactiver GuardDuty EKS Protection ?
Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez désactiver GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la fonction pour vos comptes membres.
Si je désactive le service GuardDuty EKS Protection, comment puis-je le réactiver ?
Si vous avez désactivé la fonction GuardDuty EKS Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Dans la console GuardDuty, vous pouvez activer GuardDuty EKS Protection pour vos comptes sur la page de la console GuardDuty EKS Protection.
Dois-je activer GuardDuty EKS Protection sur chaque compte AWS et chaque cluster Amazon EKS individuellement ?
GuardDuty EKS Protection doit être activé pour chaque compte individuel. Si vous opérez dans une configuration GuardDuty multi-compte, vous pouvez activer la détection des menaces pour Amazon EKS dans toute votre organisation d'un simple clic sur la page de la console GuardDuty EKS Protection du compte d'administrateur GuardDuty. Cela permettra la détection des menaces pour Amazon EKS dans tous les comptes individuels des membres. Une fois l'option activée pour un compte, tous les clusters Amazon EKS existants et futurs du compte seront surveillés pour détecter les menaces, et aucune configuration manuelle n'est requise sur vos clusters Amazon EKS.
Serai-je facturé si je n'utilise pas Amazon EKS et que j'active la fonction GuardDuty EKS Protection dans GuardDuty ?
Vous ne serez pas facturé si vous n'utilisez pas Amazon EKS et que vous avez activé GuardDuty EKS Protection. Toutefois, lorsque vous commencerez à utiliser Amazon EKS, GuardDuty surveillera automatiquement vos clusters et générera des résultats pour les problèmes identifiés, et cette surveillance vous sera facturée.
Puis-je activer GuardDuty EKS Protection sans activer le service GuardDuty complet (y notamment l'analyse des journaux de flux VPC, des journaux de requêtes DNS et des événements de gestion CloudTrail) ?
Non. Le service GuardDuty doit être activé pour que GuardDuty EKS Protection soit disponible.
Le service GuardDuty EKS Protection surveille-t-il les journaux d'audit Amazon EKS pour les déploiements Amazon EKS sur AWS Fargate ?
Oui, GuardDuty EKS Protection surveille les journaux d'audit Amazon EKS à la fois des clusters Amazon EKS déployés sur des instances EC2 et des clusters Amazon EKS déployés sur Fargate.
Le service GuardDuty surveille-t-il Amazon EKS non géré sur Amazon EC2 ou Amazon EKS Anywhere ?
Actuellement, cette fonctionnalité ne prend en charge que les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte ou sur Fargate.
L'utilisation de GuardDuty EKS Protection aura-t-elle un impact sur les performances ou le coût de l'exécution des conteneurs sur Amazon EKS ?
Non. GuardDuty EKS Protection n'a aucune incidence sur les performances, la disponibilité ou le coût des déploiements de charges de travail Amazon EKS.
Dois-je activer GuardDuty EKS Protection dans chaque région AWS individuellement ?
Oui, GuardDuty est un service régional, et donc GuardDuty EKS Protection doit être activé dans chaque région AWS séparément.
Surveillance d’exécution GuardDuty
Comment fonctionne la surveillance d’exécution GuardDuty ?
La surveillance d’exécution GuardDuty utilise un agent de sécurité léger et entièrement géré qui renforce la visibilité des activités d’exécution, telles que l’accès aux fichiers, l’exécution des processus et les connexions réseau au niveau du pod ou de l’instance pour vos ressources couvertes. L’agent de sécurité est automatiquement déployé sous la forme d’un ensemble de démons qui collecte les événements d’exécution et les transmet à GuardDuty pour le traitement analytique de sécurité. Cela permet à GuardDuty d’identifier des instances ou des conteneurs spécifiques de votre environnement AWS qui sont potentiellement compromis et de détecter les tentatives d’augmentation des privilèges vers l’environnement AWS au sens large. Lorsque GuardDuty détecte une menace potentielle, un résultat de sécurité est généré qui inclut le contexte des métadonnées, notamment l’instance, le conteneur, le pod et les détails du processus.
Quels sont les services AWS pris en charge par la surveillance d’exécution GuardDuty ?
La surveillance d’exécution est disponible pour les ressources Amazon EKS exécutées sur Amazon EC2, les clusters Amazon ECS exécutés sur Amazon EC2 ou AWS Fargate, et les instances Amazon EC2.
Comment démarrer avec la surveillance d’exécution si j’utilise actuellement GuardDuty ?
Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée à partir de la console GuardDuty sur la page Surveillance d’exécution, ou par le biais de l’API. En savoir plus sur la surveillance d’exécution GuardDuty.
Si je suis un nouvel utilisateur de GuardDuty, est-ce que la surveillance d’exécution est activée par défaut pour mes comptes ?
Non. La surveillance d’exécution GuardDuty est le seul plan de protection qui n’est pas activé par défaut lorsque vous activez GuardDuty pour la première fois. La fonctionnalité peut être activée depuis la console GuardDuty sur la page Surveillance d’exécution, ou via l’API. La surveillance d’exécution n’est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l’aide de la fonctionnalité d’activation automatique AWS Organizations, sauf si l’option d’activation automatique pour la surveillance d’exécution est activée.
Quelles sont mes options de déploiement pour l’agent de sécurité GuardDuty ?
Lorsque vous activez la surveillance d’exécution pour Amazon ECS, GuardDuty est prêt à consommer les événements d’exécution d’une tâche. Ces tâches s’exécutent au sein des clusters Amazon ECS, qui s’exécutent à leur tour sur des instances AWS Fargate. Pour que GuardDuty reçoive ces événements d’exécution, vous devez utiliser la configuration automatique de l’agent.
Lorsque vous activez la surveillance d’exécution pour Amazon EC2 ou Amazon EKS, vous pouvez soit déployer l’agent de sécurité GuardDuty manuellement, soit autoriser GuardDuty à le gérer en votre nom grâce à la configuration automatique de l’agent.
Consultez la section Key concepts - Approaches to manage GuardDuty security agent du Guide de l’utilisateur de GuardDuty pour plus de détails.
Puis-je utiliser la surveillance d’exécution GuardDuty sans activer le service GuardDuty complet ?
Non, le service GuardDuty doit être activé pour pouvoir utiliser la surveillance d’exécution GuardDuty.
La surveillance d’exécution GuardDuty est-elle disponible dans toutes les régions où GuardDuty est actuellement disponible ?
Pour obtenir la liste complète des régions dans lesquelles la surveillance d’exécution est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.
Dois-je activer la surveillance d’exécution GuardDuty sur chaque compte AWS individuellement ?
La surveillance d’exécution GuardDuty doit être activée pour chaque compte individuel. Si vous travaillez dans une configuration multi-comptes GuardDuty, vous pouvez l’activer dans l’ensemble de votre organisation en un seul clic sur la page de la console de surveillance d’exécution GuardDuty du compte administrateur GuardDuty. Cela activera la surveillance d’exécution pour les charges de travail souhaitées dans tous les comptes individuels des membres. Une fois l’option activée pour un compte, toutes les charges de travail sélectionnées existantes et futures du compte seront surveillées pour détecter les menaces d’exécution, et aucune configuration manuelle ne sera requise.
Puis-je modifier la façon dont je surveille des clusters spécifiques dans Amazon EKS ou Amazon ECS ?
La surveillance d’exécution GuardDuty vous permet de configurer de manière sélective les clusters Amazon EKS ou Amazon ECS qui doivent être surveillés pour détecter les menaces. Grâce à la configurabilité au niveau du cluster, vous pouvez surveiller de manière sélective des clusters spécifiques pour détecter les menaces ou continuer à utiliser la configurabilité au niveau du compte pour surveiller tous les clusters EKS ou ECS d’un compte et d’une région donnés, respectivement.
L’utilisation de la surveillance d’exécution GuardDuty aura-t-elle un impact sur les performances ou le coût de l’exécution des charges de travail AWS ?
Comme tous les cas d'utilisation en matière de sécurité, d'observabilité et autres nécessitant un agent sur l'hôte, l'agent de sécurité GuardDuty entraîne une surcharge de l'utilisation des ressources. L’agent de sécurité GuardDuty est conçu pour être léger, et il est surveillé de près par GuardDuty afin de minimiser l’utilisation et l’impact sur les coûts des charges de travail couvertes. Les métriques exactes d’utilisation des ressources seront mises à la disposition des équipes chargées des applications et de la sécurité pour qu’elles puissent les surveiller dans Amazon CloudWatch.
Si vous configurez la surveillance d’exécution GuardDuty pour déployer automatiquement l’agent de sécurité GuardDuty, cela peut entraîner une utilisation supplémentaire des ressources et créer également des points de terminaison de VPC dans les VPC utilisés pour exécuter des charges de travail AWS.
Aurai-je à payer des frais relatifs à la surveillance d’exécution GuardDuty si je n’utilise pas Amazon EKS, Amazon ECS ou Amazon EC2 et que j’active la surveillance d’exécution GuardDuty pour l’une de ces charges de travail ?
Vous n’aurez pas à payer de frais relatifs à la surveillance d’exécution GuardDuty si la surveillance d’exécution GuardDuty est activée pour une charge de travail que vous n’exécutez pas. Toutefois, lorsque vous commencez à utiliser Amazon EKS, Amazon ECS ou Amazon EC2 et que la surveillance d’exécution GuardDuty est activée pour cette charge de travail, des frais vous seront facturés lorsque GuardDuty surveillera automatiquement vos clusters, tâches et instances et générera des résultats pour les problèmes identifiés.
Comment désactiver la surveillance d’exécution GuardDuty ?
La surveillance d’exécution GuardDuty peut être désactivée pour un compte ou une organisation AWS sur la page de surveillance d’exécution de la console GuardDuty. Si l’agent de sécurité a été déployé automatiquement par GuardDuty, GuardDuty supprimera également l’agent de sécurité lorsque la fonctionnalité sera désactivée.
Si vous avez choisi de déployer l’agent GuardDuty manuellement (applicable uniquement à la surveillance d’exécution d’EKS et à la surveillance d’exécution d’EC2), vous devrez le supprimer manuellement, et tous les points de terminaison d’un VPC créés doivent être supprimés manuellement. Les étapes de suppression manuelle pour la surveillance d’exécution d’EKS et la surveillance d’exécution d’EC2 sont détaillées dans le Guide de l’utilisateur de GuardDuty.
Protection contre les logiciels malveillants dans GuardDuty
Comment fonctionne la protection contre les logiciels malveillants Amazon GuardDuty ?
Volumes de données Amazon EBS : si cette source de données est activée pour la protection contre les programmes malveillants, GuardDuty lance une analyse de détection des programmes malveillants lorsqu’il identifie un comportement suspect indiquant un logiciel malveillant dans une instance Amazon EC2 ou dans des charges de travail de conteneurs. Il analyse une réplique du volume Amazon EBS que GuardDuty génère sur la base de l'instantané de votre volume Amazon EBS à la recherche de chevaux de Troie, de vers, de mineurs de crypto-monnaie, de rootkits, de bots, etc. GuardDuty Malware Protection génère des résultats contextualisés qui peuvent aider à valider la source du comportement suspect. Ces résultats peuvent également être transmis aux administrateurs concernés et déclencher des actions correctives automatiques.
Analyse des objets S3 : une fois qu’un compartiment est configuré pour la protection contre les programmes malveillants, GuardDuty analyse automatiquement les fichiers récemment chargés et, si un logiciel malveillant est détecté, génère une notification Amazon EventBridge contenant des informations sur le logiciel malveillant, permettant ainsi l’intégration avec les systèmes de gestion des événements de sécurité ou de flux de travail existants. Vous pouvez configurer la mise en quarantaine automatique des programmes malveillants en déplaçant l’objet vers un compartiment isolé de votre compte, ou utiliser des balises d’objet pour modifier la disposition du résultat de l’analyse, ce qui permet de mieux identifier et classer les objets numérisés en fonction des balises.
Quels sont les types de résultats de GuardDuty pour Amazon EC2 qui lanceront une recherche de logiciels malveillants ?
Les résultats de GuardDuty pour Amazon EC2 qui déclencheront une recherche de logiciels malveillants sont disponibles dans le Guide de l’utilisateur de GuardDuty.
Quelles ressources et quels types de fichiers la fonction GuardDuty Malware Protection peut-elle analyser ?
Malware Protection détecte les fichiers malveillants en analysant l'EBS attaché aux instances EC2. Les types de systèmes de fichiers pris en charge sont disponibles dans le Guide de l’utilisateur de GuardDuty.
La protection contre les logiciels malveillants S3 peut analyser des fichiers appartenant à la plupart des classes de stockage S3 synchrones, telles que S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA et Amazon S3 Glacier Instant Retrieval, grâce au moteur d’analyse des logiciels malveillants de GuardDuty. Il analysera les formats de fichiers connus pour être utilisés pour diffuser ou contenir des logiciels malveillants, notamment les exécutables, les fichiers .pdf, les archives, les fichiers binaires, les fichiers compressés, les scripts, les programmes d’installation, les bases de données de messagerie, les e-mails simples, les images et les objets chiffrés.
Quels types de menaces la fonction GuardDuty Malware Protection peut-elle détecter ?
Malware Protection recherche les menaces telles que les chevaux de Troie, les vers, les mineurs de cryptomonnaie, les rootkits et les bots, qui peuvent être utilisés pour compromettre les charges de travail, réaffecter des ressources à des fins malveillantes et obtenir un accès non autorisé aux données.
Consultez le guide de l’utilisateur de GuardDuty pour obtenir une liste complète des types de résultats.
Dois-je activer la journalisation pour que la protection contre les logiciels malveillants GuardDuty fonctionne ?
Il n'est pas nécessaire d'activer la journalisation des services pour que GuardDuty ou la fonction de Malware Protection fonctionne. La fonction Malware Protection fait partie de GuardDuty, un service AWS qui utilise les renseignements provenant de sources internes et externes intégrées.
Comment la protection contre les logiciels malveillants GuardDuty effectue-t-elle l'analyse sans agent ?
Au lieu d'utiliser des agents de sécurité, GuardDuty Malware Protection crée et analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Les autorisations que vous avez accordées à GuardDuty par le biais d’un rôle lié à un service permettent au service de créer un réplica de volume chiffré dans le compte de service GuardDuty à partir de l’instantané qui reste dans votre compte. Ensuite, la fonction GuardDuty Malware Protection analyse le réplica de volume pour rechercher les logiciels malveillants.
Pour les objets d’Amazon S3, GuardDuty commence à lire, déchiffrer et analyser les objets chargés dans des compartiments que vous avez configurés pour la protection contre les logiciels malveillants GuardDuty. Vous pouvez limiter l’étendue des objets à analyser dans un compartiment en définissant que seuls les objets avec certains préfixes sont analysés. GuardDuty analysera les objets chargés qui correspondent à ces préfixes définis et générera un résultat de sécurité et une notification Amazon EventBridge avec un résultat d’analyse détaillé : infecté, sain, ignoré ou échec. La notification inclura également des métriques d’analyses liées au nombre d’objets et d’octets analysés. Vous pouvez également définir des actions après l’analyse que GuardDuty exécutera sur l’objet en fonction du résultat, telles que la mise en quarantaine automatique ou le balisage d’objet.
Est-il possible d'essayer gratuitement la protection contre les logiciels malveillants GuardDuty ?
Oui, chaque nouveau compte GuardDuty dans chaque région bénéficie d’un essai gratuit de GuardDuty pendant 30 jours, y compris de la fonctionnalité de protection contre les programmes malveillants (disponible uniquement pour l’analyse des volumes de données EBS initiée par GuardDuty ; il n’y a pas d’essai gratuit pour la protection contre les logiciels malveillants GuardDuty pour Amazon S3). Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez afficher l'estimation des coûts après l'essai dans la page d'utilisation de la console GuardDuty. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.
Si j'utilise actuellement GuardDuty, comment puis-je démarrer avec la protection contre les logiciels malveillants GuardDuty ?
Vous pouvez activer Malware Protection dans la console GuardDuty dans la page Malware Protection ou en utilisant l'API. Si vous opérez dans une configuration multi-compte GuardDuty, vous pouvez activer la fonction dans toute votre organisation, dans la page de la console Malware Protection du compte d'administrateur GuardDuty. Ainsi, vous activez la recherche continue des logiciels malveillants dans tous les comptes membres. Pour les comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d'AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option de protection contre les logiciels malveillants.
Pour la protection contre les logiciels malveillants pour S3, vous pouvez intégrer l’analyse des programmes malveillants dans vos applications en suivant deux étapes. Tout d’abord, en tant que propriétaire de l’application, vous devez configurer la configuration de protection des compartiments sur les compartiments que vous souhaitez surveiller. Vous pouvez le configurer dans la console GuardDuty par programmation pour un compartiment existant ou lors de la création d’un nouveau compartiment. GuardDuty enverra des métriques d’analyse à vos événements EventBridge pour chaque compartiment S3 protégé, ce qui vous permettra de configurer des alarmes et de définir des actions après l’analyse, telles que le balisage de l’objet ou la copie de l’objet malveillant dans un compartiment de quarantaine que GuardDuty exécutera en fonction du résultat de l’analyse. Si GuardDuty est activé pour votre compte, un résultat de sécurité est également généré dans GuardDuty.
Si je suis un nouvel utilisateur de GuardDuty, la protection contre les logiciels malveillants pour EC2 est-elle activée par défaut sur mes comptes ?
Oui. La fonction protection contre les logiciels malveillants GuardDuty est activée par défaut pour tous les nouveaux comptes qui activent GuardDuty en utilisant la console ou l’API (pour l’analyse des volumes EBS). Pour les nouveaux comptes GuardDuty créés en utilisant la fonction d'activation automatique AWS Organizations, vous devez activer explicitement l'activation automatique pour l'option Malware Protection.
Comment puis-je désactiver la protection contre les logiciels malveillants GuardDuty ?
Vous pouvez désactiver la fonction dans la console ou en utilisant l'API. Vous verrez une option pour désactiver Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty. Si vous disposez d'un compte d'administrateur GuardDuty, vous pouvez également désactiver la protection contre les logiciels malveillants sur vos comptes membres.
Si je désactive la protection contre les logiciels malveillants GuardDuty, comment puis-je la réactiver ?
Si vous avez désactivé la fonction Malware Protection, vous pouvez la réactiver dans la console ou en utilisant l'API. Vous pouvez activer la fonction Malware Protection sur vos comptes sur la page de la console Malware Protection.dans la console GuardDuty.
Si aucune recherche GuardDuty de logiciels malveillants n'est effectuée pendant la période de facturation, suis-je tout de même facturé ?
Non. Aucun frais Malware Protection n'est facturé si aucune recherche de logiciels malveillants n'est effectuée pendant la période de facturation. Vous pouvez consulter les coûts réels de cette fonction dans la console de facturation AWS.
La protection contre les logiciels malveillants GuardDuty prend-elle en charge la gestion de plusieurs comptes ?
Oui. GuardDuty dispose d'une fonction de gestion de plusieurs comptes qui vous permet d'associer et de gérer plusieurs comptes AWS à partir d'un seul compte d'administrateur. GuardDuty dispose d'une de gestion multi-compte par l'intégration d'AWS Organizations. Cette intégration permet aux équipes de la sécurité et de la conformité d'assurer la couverture complète par GuardDuty, notamment Malware Protection, de tous les comptes d'une organisation.
Dois-je apporter des modifications à la configuration, déployer un logiciel ou modifier mes déploiements AWS pour commencer à utiliser la protection contre les logiciels malveillants pour EC2 ?
Non. Une fois la fonctionnalité activée, la protection contre les logiciels malveillants GuardDuty lance une recherche de logiciels malveillants en réponse aux résultats Amazon EC2 pertinents. Vous n'avez pas à déployer d'agents, ni à activer des sources de journaux, et aucune autre modification de configuration n'est nécessaire.
L'utilisation de la fonction GuardDuty Malware Protection aura-t-elle un impact sur les performances de mes charges de travail ?
GuardDuty Malware Protection n'affecte pas les performances de vos charges de travail. Par exemple, les instantanés de volume EBS créés pour la recherche des logiciels malveillants ne peuvent être générés qu'une fois par période de 24 heures. GuardDuty Malware Protection conserve les réplicas et les instantanés chiffrés pendant quelques minutes après avoir terminé une recherche. En outre, GuardDuty Malware Protection utilise les ressources de calcul de GuardDuty pour la recherche de logiciels malveillants et non pas les ressources de calcul du client.
Dois-je activer la protection contre les logiciels malveillants GuardDuty dans chaque Région AWS individuellement ?
Oui. GuardDuty étant un service régional, la fonction Malware Protection doit être activée dans chaque région AWS séparément.
Comment la protection contre les logiciels malveillants GuardDuty utilise-t-elle le chiffrement ?
GuardDuty Malware Protection analyse un réplica basée sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée dans votre compte. Si vos volumes EBS sont chiffrés avec une clé gérée par le client, vous avez la possibilité de partager votre clé AWS Key Management Service (KMS) avec GuardDuty. Le service utilise la même clé pour chiffrer le réplica du volume Amazon EBS. Pour les volumes EBS non chiffrés, GuardDuty utilise sa propre clé pour chiffrer la réplica du volume EBS.
Le réplica du volume EBS sera-t-il analysé dans la même région que le volume d'origine ?
Oui. Toutes les données du volume EBS de réplica (et l'instantané sur lequel le volume de réplica est basé) restent dans la même région que le volume EBS d'origine.
Comment puis-je estimer et contrôler les dépenses liées à la protection contre les logiciels malveillants GuardDuty ?
Chaque nouveau compte GuardDuty, dans chaque région, bénéficie d’un essai gratuit de GuardDuty pendant 30 jours, y compris de la fonctionnalité de protection contre les programmes malveillants (uniquement pour les analyses de volumes de données EBS initiées par GuardDuty ; il n’existe pas d’essai gratuit pour la protection contre les logiciels malveillants pour Amazon S3). Les comptes GuardDuty existants reçoivent un essai de 30 jours de Malware Protection sans frais supplémentaires la première fois que la fonction est activée dans un compte. Pendant la période d'essai, vous pouvez vous reporter à la page d'utilisation de la console GuardDuty pour connaître l'estimation des coûts après l'essai. Si vous êtes administrateur GuardDuty, vous pourrez voir l'estimation des coûts de vos comptes membres. Après 30 jours, vous pouvez voir les coûts réels de cette fonction dans la console de facturation AWS.
La tarification de l’analyse des programmes malveillants sur les volumes EBS est basée sur le nombre de Go de données analysés dans un volume. Vous pouvez appliquer des personnalisations en utilisant des options d'analyse de la console pour marquer, à l'aide de balises, des instances Amazon EC2 à inclure ou à exclure de l'analyse. Cela permet de contrôler les coûts. En outre, GuardDuty n'analyse une instance EC2 qu'une fois toutes les 24 heures. Si GuardDuty génère plusieurs résultats EC2 pour une instance EC2 dans les 24 heures, une analyse n'est exécutée que pour le premier résultat EC2 pertinent. Si des résultats EC2 continuent d'être produits pour une instance 24 heures après la dernière recherche de logiciels malveillants, une nouvelle recherche est lancée pour cette instance.
La tarification de l’analyse des programmes malveillants sur les objets de stockage contenus dans des compartiments S3 est basée sur le nombre de Go de données analysées, ainsi que sur le nombre de fichiers analysés dans un compartiment S3 désigné configuré pour l’analyse des programmes malveillants. GuardDuty ne recherchera que les fichiers récemment chargés dans les compartiments configurés, et n’analysera pas les fichiers existants ou les fichiers se trouvant dans des compartiments non conçus pour l’analyse des programmes malveillants.
Puis-je conserver les instantanés Amazon EBS créés par la protection contre les logiciels malveillants GuardDuty ?
Oui. Il existe un paramètre permettant d'activer la conservation des instantanés lorsque l'analyse de Malware Protection détecte un logiciel malveillant. Vous pouvez activer ce paramètre à partir de la console GuardDuty, sur la page Settings (Paramètres). Par défaut, les instantanés sont supprimés quelques minutes après la fin d'une analyse et après 24 heures si l'analyse n'a pas abouti.
Quelle est la durée maximale de conservation par défaut d'un réplica de volume Amazon EBS ?
GuardDuty Malware Protection conserve chaque volume EBS de réplica qu'il génère et analyse pendant 24 heures maximum. Par défaut, les volumes EBS de réplica sont supprimés quelques minutes après que GuardDuty Malware Protection a terminé une analyse. Toutefois, dans certains cas, GuardDuty Malware Protection peut devoir conserver un volume EBS de réplica pendant plus de 24 heures si une indisponibilité de service ou un problème de connexion interfère avec sa recherche de logiciels malveillants. Dans ce cas, GuardDuty Malware Protection conserve le volume EBS de réplica pendant sept jours maximum pour donner au service le temps de trier et de résoudre l'indisponibilité ou le problème de connexion. GuardDuty Malware Protection supprime le volume EBS de réplica une fois que l'indisponibilité ou la défaillance est résolue ou que la période de conservation prolongée a expiré.
Les résultats multiples de GuardDuty pour une seule instance EC2 ou une charge de travail de conteneur qui indiquent la présence possible de logiciels malveillants déclenchent-ils plusieurs recherches de logiciels malveillants ?
Non. GuardDuty n'analyse un réplica basé sur l'instantané des volumes EBS attachés à l'instance EC2 ou à la charge de travail de conteneur potentiellement infectée qu'une fois toutes les 24 heures. Même si GuardDuty génère plusieurs résultats permettant de lancer une recherche de logiciels malveillants, il ne lance pas d'analyse supplémentaire si moins de 24 heures se sont écoulées depuis l'analyse précédente. Si GuardDuty génère un résultat qualifié dans les 24 heures consécutives à la dernière recherche de logiciels malveillants, GuardDuty Malware Protection lance une nouvelle recherche de logiciels malveillants pour la charge de travail.
Si je désactive GuardDuty, dois-je également désactiver la fonctionnalité de protection contre les logiciels malveillants ?
Non. La désactivation du service GuardDuty désactive également la fonction Malware Protection.
Dois-je activer GuardDuty pour utiliser la protection contre les logiciels malveillants GuardDuty pour Amazon S3 ?
Non, la protection contre les logiciels malveillants GuardDuty S3 vous offre de la flexibilité en permettant aux propriétaires d’applications de configurer la protection contre les programmes malveillants pour leurs compartiments S3 même lorsque GuardDuty de base n’est pas activé pour le compte. GuardDuty de base inclut la surveillance par défaut des sources fondamentales, telles que les événements de gestion AWS CloudTrail, les journaux de flux VPC et les journaux de requêtes DNS.
Protection GuardDuty RDS
Comment fonctionne GuardDuty RDS Protection ?
La protection GuardDuty RDS peut être activée en une seule action dans la console GuardDuty, sans aucun agent à déployer manuellement, aucune source de données à activer et aucune autorisation de configuration. Grâce à des modèles ML personnalisés, GuardDuty RDS Protection commence par analyser et profiler les tentatives de connexion aux bases de données Amazon Aurora existantes et nouvelles. Lorsque des comportements ou tentatives suspectes effectuées par des acteurs malveillants connus sont identifiées, GuardDuty envoie les conclusions exploitables en matière de sécurité à GuardDuty et aux consoles de service de bases de données relationnelles Amazon (RDS), AWS Security Hub et Amazon EventBridge, permettant l’intégration avec la gestion des évènements de sécurité existante ou les systèmes de flux de travail. Découvrez comment GuardDuty RDS Protection utilise la surveillance des activités de connexion RDS.
Comment puis-je commencer à employer la détection de menaces pour les bases de données Aurora si j'utilise actuellement GuardDuty ?
Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. Découvrez-en plus sur GuardDuty RDS Protection.
Si je suis un nouvel utilisateur de GuardDuty, la fonction de détection de menaces pour les bases de données Aurora est-elle activée par défaut sur mes comptes ?
Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. La protection RDS n'est pas activée par défaut pour les nouveaux comptes GuardDuty créés à l'aide de la fonctionnalité d'activation automatique d’AWS Organizations, sauf si l'option d'activation automatique pour RDS est activée.
Puis-je utiliser GuardDuty RDS Protection sans activer le service GuardDuty complet (notamment l'analyse des journaux de flux Amazon Virtual Private Cloud (Amazon VPC), des journaux de requêtes DNS et des événements de gestion AWS CloudTrail) ?
Non, le service GuardDuty doit être activé pour pouvoir utiliser GuardDuty RDS Protection.
GuardDuty RDS Protection est-elle disponible dans toutes les régions où GuardDuty est actuellement disponible ?
Pour obtenir la liste complète des régions dans lesquelles RDS Protection est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.
Quelle(s) version(s) d'Amazon Aurora le service GuardDuty RDS Protection prend-il en charge ?
Veuillez consulter la liste des versions de bases de données Amazon Aurora prises en charge.
L'utilisation de GuardDuty RDS Protection aura-t-elle un impact sur les performances ou le coût de l'exécution des bases de données Aurora ?
Non. La détection des menaces GuardDuty pour bases de données Aurora est conçue pour n’avoir aucun impact sur les performances, la disponibilité ou les coûts de vos bases de données Amazon Aurora.
Protection GuardDuty Lambda
Comment fonctionne Amazon GuardDuty pour la protection Lambda ?
GuardDuty Lambda Protection surveille en permanence l'activité réseau, à commencer par les journaux de flux VPC, de vos charges de travail sans serveur pour détecter les menaces telles que les fonctions Lambda malicieusement réaffectées au minage de crypto-monnaie non autorisé, ou les fonctions Lambda compromises qui communiquent avec des serveurs d'acteurs de menaces connus. Lambda GuardDuty Protection peut être activée en quelques étapes dans la console GuardDuty et, à l'aide d'AWS Organizations, elle peut être activée de manière centralisée pour tous les comptes existants et nouveaux d'une organisation. Une fois activée, elle commence automatiquement à surveiller les données d'activité réseau à partir de toutes les fonctions Lambda existantes et nouvelles d'un compte.
Comment puis-je commencer à utiliser GuardDuty pour EKS Protection si j'utilise déjà GuardDuty ?
Pour les comptes GuardDuty actuels, la fonctionnalité peut être activée depuis la console GuardDuty sur la page RDS Protection, ou via l’API. En savoir plus sur la protection GuardDuty Lambda.
Si je suis un nouvel utilisateur de GuardDuty, la protection Lambda de GuardDuty est-elle activée par défaut pour mes comptes ?
Oui. Tous les nouveaux comptes qui activent GuardDuty via la console ou l’API auront également la protection RDS activée par défaut. Les nouveaux comptes GuardDuty créés à l'aide de la fonction d'activation automatique AWS Organizations ne disposeront pas de S3 Protection par défaut, sauf si l'activation automatique pour l'option S3 est activée.
La protection GuardDuty Lambda est-elle disponible dans toutes les régions où GuardDuty est actuellement disponible ?
Pour obtenir la liste complète des régions dans lesquelles la protection lambda est disponible, consultez la page Disponibilité des fonctionnalités spécifiques à chaque région.
L'utilisation de GuardDuty Lambda Protection aura-t-elle un impact sur les performances ou le coût d'exécution des charges de travail Lambda ?
Non, la protection Lambda GuardDuty est conçue pour ne pas affecter les performances, la disponibilité ou les coûts de vos charges de travail Lambda.