Fonctionnalités d'Amazon GuardDuty

Lorsque votre compte est compromis, GuardDuty détecte de manière précise les menaces que vous aurez beaucoup de mal à identifier rapidement si vous ne surveillez pas constamment les facteurs en temps quasi réel. GuardDuty peut détecter les signes de compromission d'un compte comme l'accès aux ressources AWS à partir d'un emplacement géographique inhabituel et à une heure atypique de la journée. Pour les comptes AWS accessibles par programmation, GuardDuty recherche les appels d'API inhabituels, tels que les tentatives de dissimulation d'activité en désactivant la journalisation CloudTrail ou en créant des instantanés d'une base de données à partir d'une adresse IP malveillante.

GuardDuty surveille et analyse en permanence les données d'événement de vos comptes et charges de travail AWS disponibles dans CloudTrail, les journaux de flux VPC et les journaux DNS. Il n'est pas nécessaire de déployer et de maintenir un logiciel ou une infrastructure de sécurité supplémentaire avec les protections de base offertes par GuardDuty. En associant vos comptes AWS ensemble, vous pouvez regrouper la détection des menaces au lieu de travailler compte par compte. En outre, vous n'avez pas à collecter, analyser et corréler de gros volumes de données AWS provenant de plusieurs comptes. Concentrez-vous sur la manière de réagir rapidement, de sécuriser votre organisation et de continuer à évoluer et à innover sur AWS.

GuardDuty vous aide à accéder à des techniques de détection intégrées développées et optimisées pour le cloud. AWS Security maintient et améliore en permanence ces algorithmes de détection. Les principales catégories de détection sont les suivantes :

• Reconnaissance : activité suggérant une reconnaissance par un attaquant, telle qu'une activité d'API inhabituelle, des tentatives de connexion suspectes à une base de données, une analyse de port intra-VPC, des schémas inhabituels de demande de connexion ayant échoué ou un sondage de port non bloqué à partir d'une adresse IP malveillante connue.
• Instance compromise : activité indiquant une compromission de l’instance, telle que le minage de crypto-monnaies, l’activité de commande et de contrôle (C&C) par porte dérobée, l’activité d’exécution d’Amazon EC2, les logiciels malveillants utilisant des algorithmes de génération de domaine (DGA), l’activité de déni de service sortant, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante de l’instance avec une adresse IP malveillante connue, des informations d’identification Amazon EC2 temporaires utilisées par une adresse IP externe et l’exfiltration de données à l’aide de DNS.
• Compte compromis : les schémas courants indiquant une compromission de compte comprennent les appels d'API à partir d'un emplacement géographique inhabituel ou d'un proxy d'anonymisation, les tentatives de désactivation de la journalisation AWS CloudTrail, les changements qui affaiblissent la politique de mot de passe du compte, les lancements inhabituels d'instances ou d'infrastructures, les déploiements d'infrastructures dans une région inhabituelle, le vol d'informations d'identification, les connexions suspectes aux bases de données et les appels d'API à partir d'adresses IP malveillantes connues.
• Compartiment compromis : activité indiquant une compromission de compartiment, telle que des schémas d'accès aux données suspects indiquant un abus des informations d'identification, une activité inhabituelle d'API Amazon S3 à partir d'un hôte distant, un accès non autorisé à S3 à partir d'adresses IP malveillantes connues, et des appels d'API pour récupérer des données dans des compartiments S3 à partir d'un utilisateur sans historique d'accès au compartiment ou effectués à partir d'un emplacement inhabituel. Amazon GuardDuty surveille et analyse en permanence les événements de données AWS CloudTrail S3 (par ex., GetObject, ListObjects, DeleteObject) pour détecter les activités suspectes dans tous vos compartiments Amazon S3.
• Logiciels malveillants : GuardDuty peut détecter la présence de logiciels malveillants, tels que des chevaux de Troie, des vers, des crypto-mineurs, des rootkits ou des robots, qui peuvent être utilisés pour compromettre les charges de travail de vos instance ou de vos conteneurs Amazon EC2, ou qui sont chargés dans vos compartiments Amazon S3.
• Conteneur compromis : activité qui identifie un comportement malveillant potentiel ou suspect dans les charges de travail des conteneurs, en surveillant et en profilant en permanence les clusters Amazon EKS en analysant ses journaux d’audit EKS et les activités d’exécution de conteneur dans Amazon EKS ou Amazon ECS.

Voici la liste complète des types de résultats de GuardDuty.

GuardDuty fournit trois niveaux de gravité (faible, moyenne et élevée) pour aider les clients à hiérarchiser leur réponse aux menaces potentielles. Un niveau de gravité Faible indique une activité suspecte ou malveillante qui a été bloquée avant de pouvoir compromettre votre ressource. Un niveau de gravité Moyenne correspond à une activité suspecte, par exemple, une grande quantité de trafic renvoyé vers un hôte distant se cachant derrière le réseau Tor, ou une activité qui s'écarte du comportement normalement observé. Un niveau de gravité Élevée indique que la ressource en question (par ex., une instance EC2 ou un ensemble d'informations d'identification d'un utilisateur IAM) est compromise et activement utilisée à des fins non autorisées.

GuardDuty offre des API HTTPS, des outils d'interface de ligne de commande (CLI) et s'intègre à Amazon EventBridge pour prendre en charge les réponses de sécurité automatisées aux résultats de sécurité. Par exemple, vous pouvez automatiser le flux de travail de réponse en utilisant EventBridge comme source d'événements pour invoquer une fonction Lambda.

GuardDuty est conçu pour gérer automatiquement l'utilisation des ressources en fonction du niveau d'activité générale de vos comptes, charges de travail et données AWS. GuardDuty ajoute une capacité de détection uniquement lorsque cela est nécessaire et réduit l'utilisation lorsque la capacité n'est plus requise. Vous disposez maintenant d'une architecture économique qui maintient la puissance de traitement de sécurité dont vous avez besoin tout en réduisant les dépenses. Vous ne payez que la capacité de détection que vous utilisez, quand vous l'utilisez. GuardDuty vous offre une solution de sécurité à grande échelle, quelle que soit la taille de votre entreprise.

Vous pouvez activer GuardDuty sur un compte en un clic dans la console de gestion AWS ou à l'aide d'un simple appel d'API. En quelques étapes supplémentaires dans la console, vous pouvez activer GuardDuty sur plusieurs comptes. GuardDuty prend en charge plusieurs comptes par le biais de l'intégration d'AWS Organizations, ainsi que dans GuardDuty lui-même. Une fois GuardDuty activé, il analyse immédiatement les flux continus d'activité des comptes et des réseaux en quasi temps réel et à grande échelle. Vous n'avez pas à déployer ou gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Les renseignements sur les menaces sont pré-intégrés dans le service et sont mis à jour et gérés en continu.

GuardDuty fournit une protection complète pour les charges de travail de conteneurs sur l'ensemble de votre parc de calcul AWS, qui seraient autrement difficiles et complexes à réaliser. Que vous exécutiez des charges de travail avec un contrôle au niveau du serveur sur Amazon EC2 ou des charges de travail d’applications modernes sans serveur sur Amazon ECS avec AWS Fargate, GuardDuty détecte les activités potentiellement malveillantes et suspectes, vous fournit un contexte au niveau du conteneur avec la surveillance de l’exécution et vous aide à identifier les failles de couverture de sécurité de vos charges de travail de conteneur dans votre environnement AWS.