Domande frequenti su Amazon GuardDuty

Panoramica del servizio

GuardDuty è un servizio intelligente di rilevamento delle minacce che monitora continuamente gli account AWS, i carichi di lavoro, le attività di runtime e i dati alla ricerca di attività dannose. Nel caso in cui venga rilevata una potenziale attività dannosa, come un comportamento anomalo, l'esfiltrazione di credenziali, o la comunicazione di infrastruttura di comando e controllo (C2), GuardDuty genera risultati dettagliati che possono essere utilizzati per la visibilità della sicurezza e per la risoluzione dei problemi.

GuardDuty semplifica il monitoraggio continuo di account AWS, carichi di lavoro e attività di runtime. GuardDuty è progettato per funzionare in modo completamente indipendente dalle risorse e non avere alcun impatto sulle prestazioni o sulla disponibilità dei carichi di lavoro. Si tratta di una soluzione completamente gestita che integra intelligence sulle minacce, machine learning (ML), rilevamento di anomalie e scansione di malware. GuardDuty produce avvisi dettagliati che permettono di avviare operazioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover implementare ulteriori software o sottoscrizioni a feed di intelligence sulle minacce.

GuardDuty è un servizio con pagamento in base al consumo e paghi solo per l'utilizzo che ne deriva. I prezzi di GuardDuty si basano sul volume dei log di servizio analizzati, sulle CPU virtuali (vCPU) o sulle unità di capacità Aurora (ACU) delle istanze Aurora Serverless v2 per l'analisi degli eventi di Amazon RDS, sul numero e sulla dimensione dei carichi di lavoro Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) monitorati in fase di runtime e sul volume di dati scansionati alla ricerca di malware.

I log di servizio analizzati sono filtrati per l'ottimizzazione dei costi e direttamente integrati con GuardDuty, il che significa che non dovrai abilitarli o pagarli separatamente. Se il monitoraggio di runtime EKS è abilitato per il tuo account, non ti verrà addebitato alcun costo per l'analisi dei log di flusso VPC delle istanze in cui l'agente GuardDuty è implementato e attivo. L’agente di sicurezza del runtime ci fornisce dati di telemetria di rete simili (e più contestuali). Pertanto, per evitare un doppio addebito ai clienti, non addebiteremo i log di flusso VPC provenienti dalle istanze Amazon Elastic Compute Cloud (Amazon EC2) in cui è installato l'agente.

Consulta la pagina dei prezzi di Amazon GuardDuty per maggiori dettagli ed esempi di prezzo.

Il costo stimato si riferisce al costo per la sola entità pagante. Nell'account amministratore GuardDuty vedrai l'utilizzo fatturato e il costo giornaliero medio per ogni account dei membri. Per visualizzare le informazioni dettagliate relative all'utilizzo, devi consultare l'account individuale.

Sì, tutti i nuovi account di GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante questo periodo saranno disponibili tutte le funzioni e i rilevamenti del servizio. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

I titolari di account GuardDuty nuovi ed esistenti che non hanno ancora abilitato una funzionalità GuardDuty possono provarla gratuitamente per 30 giorni sul piano gratuito AWS (per la funzione di Protezione dai malware, la versione di prova gratuita è disponibile per le scansioni anti-malware avviate da GuardDuty solo per i volumi di dati di Amazon EBS). Non è disponibile una versione di prova gratuita della Protezione dai malware di GuardDuty per Amazon S3). Durante il periodo di prova gratuito e successivamente, puoi sempre monitorare la tua spesa mensile stimata nella pagina di utilizzo della console GuardDuty, suddivisa per origine dati.

GuardDuty offre una protezione completa per la sicurezza di account AWS, carichi di lavoro e dati aiutando a identificare minacce, quali riconoscimento di utenti malintenzionati, istanze, account, bucket o cluster Amazon EKS compromessi e malware. Macie è un servizio interamente gestito di rilevamento dei dati sensibili che utilizza il ML e la corrispondenza dei modelli per rilevare i dati sensibili in Amazon Simple Storage Service (Amazon S3).

GuardDuty è un servizio regionale. Anche quando sono stati abilitati più account e sono interessate più Regioni AWS, i risultati della sicurezza di GuardDuty rimangono nella Regione in cui sono stati generati i dati. In questo modo tutti i dati analizzati sono localizzati a livello regionale e non possono superare i confini di nessuna regione AWS. Tuttavia, puoi scegliere di aggregare i risultati sulla sicurezza di GuardDuty in più regioni utilizzando Amazon EventBridge o inoltrandoli in un datastore (come Amazon S3) e quindi utilizzandoli secondo le proprie esigenze. Puoi inviare anche i risultati di GuardDuty alla centrale di sicurezza AWS e utilizzare la funzionalità dello strumento di aggregazione multiregionale.

La disponibilità regionale di GuardDuty è indicata nell'elenco dei servizi delle Regioni AWS. Per un elenco completo delle Regioni in cui sono disponibili le funzionalità di GuardDuty, consulta Disponibilità delle funzionalità specifiche per Regione.

Diversi partner tecnologici hanno già integrato GuardDuty, basando le proprie soluzioni su di esso. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Per maggiori informazioni, consulta la pagina dei partner di Amazon GuardDuty.

Foregenix ha pubblicato un white paper che fornisce valutazioni dettagliate sull'efficacia di GuardDuty nel soddisfare i requisiti di conformità, come i requisiti 11.4 relativi a PCI DSS (Payment Card Industry Data Security Standard), che necessitano di tecniche di rilevamento delle intrusioni nei punti critici della rete.

Funzionamento di GuardDuty

Per configurare e implementare GuardDuty, sono sufficienti pochi passaggi nella Console di gestione AWS. Una volta abilitato, GuardDuty inizia immediatamente ad analizzare i flussi continui di attività di account e di rete quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

Sì, GuardDuty offre una funzione di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. Quando viene attivata, tutti i problemi identificati vengono aggregati all'account dell'amministratore per essere consultati e attivare l'eventuale processo di risoluzione. In questa configurazione, anche gli eventi EventBridge vengono aggregati sull'account dell'amministratore di GuardDuty. Inoltre, GuardDuty si integra con AWS Organizations che consente di delegare un account amministratore di GuardDuty per la propria organizzazione. Questo account amministratore delegato è un account centralizzato che consolida tutti i risultati e può configurare tutti gli account dei membri.

Le origini dati fondamentali analizzate da GuardDuty includono: log degli eventi di gestione di AWS CloudTrail, eventi di gestione di CloudTrail e log di flusso VPC e log di query DNS di Amazon EC2. I piani di protezione GuardDuty monitorano altri tipi di risorse, tra cui gli eventi di dati di CloudTrail S3 (S3 Protection), i log di controllo di Amazon EKS e le attività di runtime per Amazon EKS (EKS Protection), Amazon ECS (ECS Runtime Monitoring) e Amazon EC2 (EC2 Runtime Monitoring), i dati di volume Amazon EBS (Malware Protection), gli eventi di accesso ad Amazon Aurora (RDS Protection) e i log delle attività di rete (Lambda Protection). Il servizio è ottimizzato per consumare grandi volumi di dati per l'elaborazione quasi in tempo reale dei rilevamenti di sicurezza. GuardDuty offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e aggiornate e migliorate continuamente dagli ingegneri di GuardDuty.

Una volta attivato, GuardDuty avvia l'analisi delle attività dannose o non autorizzate. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dei dati, ma rivolgerà la propria analisi solo alle attività che hanno luogo dopo l'attivazione. Nel momento in cui GuardDuty individua una potenziale minaccia, inoltrerà una notifica alla console di GuardDuty.

No. GuardDuty estrae i flussi dei dati indipendenti direttamente da CloudTrail, dai log dei flussi di VPC, dai log delle query DNS ed Amazon EKS. Non è quindi necessario gestire policy di bucket Amazon S3 o modificare le modalità di raccolta e archiviazione dei log. Le autorizzazioni di GuardDuty sono gestite come ruoli collegati a servizi. Puoi disabilitare GuardDuty in qualunque momento. In questo modo, tutte le autorizzazioni verranno rimosse. Ciò semplifica l'attivazione del servizio, evitando configurazioni complesse. I ruoli collegati ai servizi eliminano anche il rischio di configurazioni errate delle autorizzazioni ad AWS Identity and Access Management (IAM) o di modifiche alle policy dei bucket Amazon S3 che possano avere un impatto sul funzionamento del servizio. Infine, i ruoli collegati ai servizi rendono GuardDuty estremamente efficiente poiché analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

Quando abiliti GuardDuty per la prima volta, funziona in modo completamente indipendente dalle tue risorse AWS. Se configuri il monitoraggio del runtime di GuardDuty per implementare automaticamente l'agente di sicurezza GuardDuty, è possibile che si abbia un ulteriore utilizzo delle risorse e vengano creati anche endpoint VPC nei VPC utilizzati per eseguire i carichi di lavoro monitorati.

No, GuardDuty non gestisce né mantiene i registri esaminati. Tutti i dati elaborati da GuardDuty vengono analizzati quasi in tempo reale e poi rimossi. Il servizio GuardDuty è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la consegna e la conservazione dei registri, si consiglia di utilizzare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono opzioni complete di consegna e conservazione.

L'analisi delle origini dei dati da parte di GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato nelle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato. Puoi anche selezionare le funzioni da disabilitare, come ad esempio la protezione GuardDuty di S3 o la protezione GuardDuty di EKS, attraverso la console di gestione o l'interfaccia della linea di comando AWS.

Attivazione di GuardDuty

GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono mantenuti e migliorati continuamente dagli ingegneri di GuardDuty. Le categorie principali di rilevamento sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API insolite, attività di scansione di porte in VPC, modelli insoliti di tentativi di accesso non riusciti o probing di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno ed esfiltrazione dei dati tramite DNS.
  • Compromissione di account: modelli comuni che indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici insoliti o resi anonimi tramite proxy, tentativi di disabilitare i registri di CloudTrail, avvio di istanze o infrastrutture inusuali, implementazioni di infrastrutture in regioni solitamente non utilizzate, esfiltrazione di credenziali, attività sospette di accesso ai database e chiamate API da IP pericolosi noti.
  • Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API Amazon S3 da un host remoto, accesso non autorizzato ad Amazon S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket Amazon S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o invocata da una posizione insolita. GuardDuty monitora e analizza in modo continuo gli eventi dei dati di CloudTrail S3 (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.
  • Malware: GuardDuty è in grado di rilevare la presenza di malware, come trojan, worm, crypto miner, rootkit o bot, che può essere utilizzato per compromettere i carichi di lavoro delle istanze o dei container Amazon EC2 oppure caricato nei bucket Amazon S3.
  • Compromissione dei container: attività che identificano possibili comportamenti dannosi o sospetti nei carichi di lavoro dei container sono rilevate tramite il monitoraggio e la profilazione continua dei cluster Amazon EKS tramite l'analisi dei log di controllo di Amazon EKS e l’attività di runtime dei container in Amazon EKS o Amazon ECS

Ecco un elenco completo dei tipi di esiti di GuardDuty.

L'intelligence sulle minacce di GuardDuty si basa su indirizzi IP e domini noti per essere utilizzati dai malintenzionati. Le informazioni di intelligence sulle minacce rilevate da GuardDuty sono fornite da AWS e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed sono preintegrati e aggiornati continuamente in Amazon GuardDuty senza alcun costo aggiuntivo.

Sì, GuardDuty ti permette di caricare le tue informazioni di intelligence o il tuo elenco di indirizzi IP sicuri. Gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

Quando viene rilevata una potenziale minaccia, GuardDuty invia un avviso di sicurezza dettagliato alla console di GuardDuty e a EventBridge. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli più facilmente in sistemi di gestione di eventi o flussi di lavoro esistenti. I risultati includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

Le minacce rilevate da GuardDuty sono in formato JSON, lo stesso utilizzato da Macie e Amazon Inspector. In questo modo è più semplice per clienti e partner avvalersi dei risultati dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

I risultati delle analisi sono mantenuti nella console di GuardDuty e nelle API per 90 giorni. Dopo 90 giorni vengono rimossi. Per conservarli per periodi più lunghi di 90 giorni, puoi configurare EventBridge in modo che li inoltri in un bucket Amazon S3 nello stesso account o in un altro datastore.

Sì, puoi scegliere di aggregare i risultati sulla sicurezza di GuardDuty in più regioni utilizzando EventBridge o inoltrandoli in un datastore (come Amazon S3) e quindi utilizzandoli secondo le proprie esigenze. Puoi inviare anche i risultati di GuardDuty alla centrale di sicurezza e utilizzare la funzionalità dello strumento di aggregazione multiregionale.

GuardDuty, EventBridge e AWS Lambda offrono la massima flessibilità per poter configurare operazioni preventive automatizzate basate sulle potenziali minacce rilevate dal servizio. Ad esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza AWS in seguito a un avviso. Se GuardDuty rileva che una delle istanze Amazon EC2 è stata sottoposta a probing da un IP malevolo noto, una regola di EventBridge può attivare una funzione Lambda che modifichi automaticamente le regole del gruppo di sicurezza e limiti l'accesso a quella porta.

GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni con cadenza regolare e un'iterazione continua sui rilevamenti esistenti. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente di GuardDuty. Potrai così fornire un feedback che verrà integrato alle iterazioni future dei rilevamenti di GuardDuty.

No, GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche degli ingegneri di AWS Security e del team di GuardDuty. Tuttavia, i clienti potranno personalizzare il servizio aggiungendo elenchi di minacce e di indirizzi IP sicuri.

Protezione di GuardDuty S3

Per gli account GuardDuty correnti, S3 Protection può essere attivato nella console nella pagina S3 Protection o tramite l'API. Questa operazione avvierà la prova gratuita di 30 giorni della caratteristica GuardDuty per la protezione di S3.

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già attivato GuardDuty dispongono di un periodo di prova gratuito di 30 giorni per la protezione di S3 dal momento della prima attivazione.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione di S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il servizio di protezione S3 attivato a meno che l'opzione di abilitazione automatica per S3 non sia attivata.

No, il servizio GuardDuty deve essere abilitato perché la protezione di S3 sia disponibile. Sugli account GuardDuty attuali è possibile attivare la protezione S3. Nei nuovi account GuardDuty, la protezione sarà attivata per impostazione predefinita non appena si attiva il servizio GuardDuty.

Sì, la protezione di S3 monitora per impostazione predefinita tutti i bucket Amazon S3 nel tuo ambiente.

No, GuardDuty ha accesso diretto ai registri degli eventi di dati di S3 di CloudTrail. Non dovrai abilitare i registri degli eventi di dati di S3 su CloudTrail e, quindi, non ti saranno addebitati i relativi costi. Ricorda che GuardDuty non archivia i log e li utilizza solamente per l'analisi.

Protezione di GuardDuty EKS

La protezione di GuardDuty EKS è una funzione GuardDuty che monitora l'attività del piano di controllo (control-plane) dei cluster Amazon EKS analizzando i log di audit di Amazon EKS. GuardDuty è integrato in Amazon EKS e dispone quindi di un accesso diretto ai log di controllo di Amazon EKS, senza che sia necessario attivare o archiviare gli stessi. Questi log di controllo sono log cronologici rilevanti ai fini della sicurezza che documentano le varie azioni intraprese sul piano di controllo di Amazon EKS. I log di controllo di Amazon EKS conferiscono a GuardDuty la visibilità necessaria per condurre un monitoraggio continuo dell’attività API di Amazon EKS e applicare un’intelligence sulle minacce e un rilevamento di anomalie comprovati per identificare comportamenti dannosi o modifiche alla configurazione, suscettibili di esporre il tuo cluster di Amazon EKS ad accessi non autorizzati. Quando sono identificati delle minacce, GuardDuty genera risultati dell’analisi che includono il tipo di minaccia, il livello di gravità e dettagli a livello del container come ID pod, ID immagine del container e tag associati.

La protezione di GuardDuty EKS può rilevare minacce associate all’attività di utenti e applicazioni contenute nei log di revisione Amazon EKS. I rilevamenti delle minacce di Amazon EKS includono i cluster di Amazon EKS oggetto di accesso da parte di noti utenti malintenzionati o tramite nodi Tor, operazioni API svolte da utenti anonimi che potrebbero indicare una configurazione errata, come pure configurazioni errate suscettibili di causare accessi non autorizzati ai cluster di Amazon EKS. Inoltre, GuardDuty può identificare, tramite modelli di machine learning (ML), modelli riconducibili a tecniche di privilege-escalation, ad esempio il lancio sospetto di un container con accesso root a un host Amazon EC2 sottostante. Consulta la pagina relativa ai tipi di esiti di Amazon GuardDuty per un elenco esaustivo di tutti i nuovi rilevamenti.

No, GuardDuty ha accesso diretto ai log di revisione EKS. Ricorda che GuardDuty utilizza questi log solamente per l'analisi, senza archiviarli. Inoltre, non devi abilitarli né pagare alcun importo per condividere questi log di revisione di Amazon EKS con GuardDuty. Al fine di ottimizzare i costi, GuardDuty applica filtri intelligenti per utilizzare soltanto il sottoinsieme dei registri di revisione utili per il rilevamento delle minacce alla sicurezza.

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni nuovo account GuardDuty ha diritto ad una prova gratuita di 30 giorni in tutte le regioni che include la protezione di GuardDuty EKS. Gli account GuardDuty esistenti ricevono una prova di 30 giorni della protezione di GuardDuty EKS senza costi aggiuntivi. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

È necessario abilitare la protezione di GuardDuty EKS per ogni singolo account. Con una sola operazione, potrai attivare questa funzione sui tuoi account dalla console GuardDuty dalla pagina della console relativa alla protezione di GuardDuty EKS. Se hai optato per una configurazione multi-account di GuardDuty, puoi attivare la protezione per tutta l'organizzazione dalla pagina relativa alla protezione di GuardDuty EKS del tuo account amministratore GuardDuty. In questo modo, sarà attivato il monitoraggio continuo di Amazon EKS su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione di attivazione automatica di AWS Organizations, devi attivare esplicitamente l'opzione di abilitazione automatica per Amazon EKS. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account senza alcuna configurazione manuale di tali cluster.

Sì, la protezione di GuardDuty EKS sarà attivata per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l'API. Per i nuovi account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per la protezione di EKS. 

Puoi disabilitare la funzione dalla console o tramite l'API. Nella console di GuardDuty, puoi disabilitare la protezione di GuardDuty EKS per i tuoi account dalla relativa pagina. Se sei un amministratore di GuardDuty, puoi disabilitare questa funzione anche sugli account dei tuoi membri.

Se hai disabilitato la protezione di GuardDuty EKS, potrai abilitarla nuovamente dalla console o tramite l'API. Nella console di GuardDuty, puoi abilitare la protezione di GuardDuty EKS per i tuoi account dalla relativa pagina.

È necessario abilitare la protezione di GuardDuty EKS per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, dalla pagina relativa alla protezione di GuardDuty EKS del tuo account di amministratore GuardDuty puoi abilitare, con un solo clic e in tutta l'organizzazione, il rilevamento delle minacce per Amazon EKS. In questo modo, sarà abilitato il rilevamento delle minacce per Amazon EKS su tutti i singoli account dei membri. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account e non sarà richiesta alcuna configurazione manuale di tali cluster.

Se non utilizzi Amazon EKS e hai abilitato la protezione di GuardDuty EKS, non ti verrà addebitato alcun costo per la protezione. Tuttavia, quando inizi a utilizzare Amazon EKS, GuardDuty monitorerà automaticamente i tuoi cluster e genererà risultati relativi ai problemi riscontrati. Di conseguenza, riceverai un addebito per il monitoraggio.

No, affinché sia disponibile la protezione di GuardDuty EKS, il servizio GuardDuty deve essere abilitato.

Sì, la protezione di GuardDuty EKS monitora i log di revisione sia dai cluster di Amazon EKS implementati sulle istanze Amazon EC2 che dai cluster Amazon EKS implementati su Fargate.

Al momento, questa funzionalità supporta solo le implementazioni di Amazon EKS eseguite sulle istanze Amazon EC2 nel tuo account o su Fargate.

No, la protezione di GuardDuty EKS non incide in alcun modo sulle prestazioni, la disponibilità o i costi associati alle implementazioni di carichi di lavoro di Amazon EKS.

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la protezione di GuardDuty EKS in ogni regione AWS.

Monitoraggio di runtime di GuardDuty

Il monitoraggio del runtime di GuardDuty utilizza un agente di sicurezza leggero e completamente gestito che aggiunge visibilità alle attività di runtime come l'accesso ai file, l'esecuzione dei processi e le connessioni di rete a livello di pod o istanza per le risorse coperte. L'agente di sicurezza viene distribuito automaticamente come set Daemon che raccoglie gli eventi di runtime e li invia a GuardDuty per l'elaborazione delle analisi di sicurezza. Ciò consente a GuardDuty di identificare istanze o container specifici all'interno dell'ambiente AWS potenzialmente compromessi e rilevare i tentativi di estendere i privilegi all'ambiente AWS più ampio. Quando GuardDuty rileva una potenziale minaccia, viene generato un risultato di sicurezza che include il contesto dei metadati che include il container, il pod Kubernetes e i dettagli del processo. 

Il monitoraggio del runtime è disponibile per le risorse Amazon EKS in esecuzione su Amazon EC2, i cluster Amazon ECS in esecuzione su Amazon EC2 o AWS Fargate e le istanze Amazon EC2

Per gli account GuardDuty correnti, la funzionalità può essere attivata dalla console GuardDuty nella pagina Monitoraggio del runtime o tramite l'API. Scopri di più sul monitoraggio del runtime di GuardDuty.

No. Il monitoraggio del runtime di GuardDuty è l'unico piano di protezione che non è abilitato di default quando si attiva GuardDuty per la prima volta. La funzionalità può essere attivata dalla console GuardDuty nella pagina Monitoraggio del runtime o tramite l'API. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il monitoraggio del runtime attivato a meno che non sia attivata l'opzione di abilitazione automatica del monitoraggio.

Quando abiliti il monitoraggio del runtime di Amazon ECS, GuardDuty è pronto a consumare gli eventi di runtime di un'attività. Queste attività vengono eseguite all'interno dei cluster Amazon ECS, che a loro volta vengono eseguiti su istanze AWS Fargate. Affinché GuardDuty riceva questi eventi di runtime, è necessario utilizzare la configurazione automatica dell'agente.

Quando abiliti il monitoraggio del runtime per Amazon EC2 o Amazon EKS, hai la possibilità di distribuire l'agente di sicurezza GuardDuty manualmente o consentire a GuardDuty di gestirlo per tuo conto con la configurazione automatica dell'agente.

Visita Concetti chiave: Approcci per gestire l'agente di sicurezza GuardDuty nella Guida per l'utente di GuardDuty per maggiori dettagli.
 

No, perché il monitoraggio del runtime di GuardDuty sia disponibile, il servizio GuardDuty deve essere abilitato.

Per un elenco completo delle Regioni in cui è disponibile il monitoraggio del runtime, consulta Disponibilità delle funzionalità specifiche per Regione.

Il monitoraggio del runtime di GuardDuty deve essere abilitato per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, potrai attivarlo con un solo clic in tutta l'organizzazione nella pagina Monitoraggio del runtime di GuardDuty dell’account dell’amministratore GuardDuty. In questo modo, sarà attivato il monitoraggio del runtime per i carichi di lavoro desiderati su tutti i singoli account dei membri. Una volta attivato per un account, tutti i carichi di lavoro esistenti e futuri selezionati verranno monitorati per le minacce di runtime e non sarà richiesta alcuna configurazione manuale.

Il monitoraggio del runtime di GuardDuty EKS consente di configurare in modo selettivo quali cluster Amazon EKS o Amazon ECS devono essere monitorati per il rilevamento delle minacce. Con la configurabilità a livello di cluster, puoi monitorare selettivamente i cluster specifici per il rilevamento delle minacce o continuare a utilizzare la configurabilità a livello di account per monitorare tutti i cluster EKS o ECS, rispettivamente, in un determinato account e Regione.

Come tutti i casi di sicurezza, osservabilità e altri casi d'uso che richiedono un agente sull'host, l'agente di sicurezza GuardDuty introduce un sovraccarico di utilizzo delle risorse. L'agente di sicurezza GuardDuty è progettato per essere leggero ed è monitorato attentamente da GuardDuty per ridurre al minimo l'utilizzo e l'impatto sui costi dei carichi di lavoro coperti. I parametri esatti sull'utilizzo delle risorse saranno resi disponibili ai team di applicazioni e sicurezza per il monitoraggio in Amazon CloudWatch.

Se configuri il monitoraggio del runtime di GuardDuty per implementare automaticamente l'agente di sicurezza GuardDuty, è possibile che si abbia un ulteriore utilizzo delle risorse e vengano creati anche endpoint VPC nei VPC utilizzati per eseguire i carichi di lavoro AWS. 

Non dovrai sostenere alcun costo per il monitoraggio del runtime di GuardDuty se lo hai abilitato per un carico di lavoro che non stai eseguendo. Tuttavia, quando inizi a utilizzare Amazon EKS, Amazon ECS o Amazon EC2 e il monitoraggio del runtime di GuardDuty è abilitato per quel carico di lavoro, ti verrà addebitato un costo quando GuardDuty monitora automaticamente i cluster, le attività e le istanze e genera risultati per i problemi identificati. 

Il monitoraggio del runtime di GuardDuty può essere disabilitato per un account o un'organizzazione AWS nella pagina Monitoraggio del runtime della console GuardDuty. Se l'agente di sicurezza è stato implementato automaticamente da GuardDuty, quando la funzionalità è disabilitata GuardDuty rimuoverà anche l'agente di sicurezza.

Se hai scelto di implementare l'agente GuardDuty manualmente (applicabile solo al monitoraggio del runtime EKS e al monitoraggio del runtime EC2), dovrai rimuoverlo manualmente e tutti gli endpoint VPC creati dovranno essere eliminati manualmente. I passaggi per la rimozione manuale del monitoraggio del runtime EKS e del monitoraggio del runtime EC2 sono descritti in dettaglio nella Guida per l'utente di GuardDuty. 

Protezione malware di GuardDuty

Volumi di dati Amazon EBS: se questa origine dati è abilitata per la protezione da malware, GuardDuty avvia una scansione di rilevamento del malware quando identifica un comportamento sospetto indicativo di software dannoso nei carichi di lavoro di istanze o container di Amazon EC2. Scansiona la replica di un volume Amazon EBS generato da GuardDuty sulla base degli snapshot del tuo volume Amazon EBS per trojan, worm,crypto miner, rootkit, bot e altro. La protezione da malware GuardDuty genera risultati contestualizzati in grado di confermare l'origine del comportamento sospetto. Questi risultati possono essere indirizzati agli amministratori competenti per avviare il processo di risoluzione.

Scansione degli oggetti S3: una volta configurata la protezione da malware per un bucket, GuardDuty esegue automaticamente la scansione dei file appena caricati e, se viene rilevato un malware, genera una notifica Amazon EventBridge con i dettagli sul malware, consentendo l'integrazione con i sistemi di gestione degli eventi di sicurezza o di flusso di lavoro esistenti. Puoi configurare la messa in quarantena automatica del malware spostando l'oggetto in un bucket isolato nel tuo account oppure utilizzare i tag dell'oggetto per aggiungere la disposizione del risultato della scansione, consentendo di identificare e classificare meglio gli oggetti scansionati in base ai tag.

I risultati di GuardDuty per Amazon EC2 che avvieranno una scansione del malware sono disponibili nella Guida per l'utente di GuardDuty.

La protezione da malware supporta il rilevamento di file dannosi tramite la scansione dell’Amazon EBS collegato alle istanze Amazon EC2. I tipi di file system supportati sono disponibili nella Guida per l'utente di GuardDuty.

La protezione anti-malware per S3 è in grado di scansionare file appartenenti alla maggior parte delle classi di archiviazione S3 sincrone, come S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA e Recupero istantaneo Amazon S3 Glacier, con il motore di scansione anti-malware di GuardDuty.  Eseguirà la scansione dei formati di file noti per essere utilizzati per diffondere o contenere malware, inclusi file eseguibili, file .pdf, archivi, binari, file compressi, script, programmi di installazione, database di posta elettronica, e-mail semplici, immagini e oggetti codificati.

La protezione malware effettua una scansione per individuare minacce quali trojan, worm, crypto miner, rootkit e bot che possono essere utilizzati per compromettere i carichi di lavoro, riutilizzare le risorse per scopi dannosi e ottenere accesso non autorizzato ai dati.

Consulta la Guida per l'utente di GuardDuty per un elenco completo dei tipi di esiti.

Non è necessario che i registri del servizio siano attivati per far funzionare GuardDuty o la protezione malware. La protezione malware fa parte di GuardDuty, un servizio AWS che utilizza l'intelligenza di origini interne ed esterne integrate.

Invece di utilizzare agenti di sicurezza, la protezione da malware GuardDuty crea e scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Le autorizzazioni concesse a GuardDuty tramite il ruolo collegato al servizio consentono a quest'ultimo di creare la replica crittografata di un volume nell'account di servizio GuardDuty a partire da uno snapshot sul tuo account. Successivamente, la protezione malware di GuardDuty scansiona la replica del volume alla ricerca di malware.

In Amazon S3, GuardDuty inizia a leggere, decrittografare e scansionare gli oggetti caricati nei bucket configurati per la Protezione dai malware di GuardDuty. È possibile limitare l'ambito degli oggetti da scansionare in un bucket definendo che vengano scansionati solo gli oggetti con determinati prefissi. GuardDuty scansionerà gli oggetti caricati che corrispondono a questi prefissi definiti e genererà un esito di sicurezza e una notifica Amazon EventBridge con un risultato di scansione dettagliato: infetto, integro, ignorato o non riuscito. La notifica includerà anche le metriche di scansione relative al numero di oggetti e byte scansionati. È inoltre possibile definire le azioni post-scansione che GuardDuty eseguirà sull'oggetto in base al risultato della scansione, come la quarantena automatica o l'etichettatura degli oggetti.

Sì, ogni nuovo account GuardDuty in ogni regione riceve una prova gratuita di 30 giorni di GuardDuty, inclusa la funzione di Protezione da Malware (disponibile solo per la scansione avviata da GuardDuty dei volumi di dati EBS; non è disponibile una versione di prova gratuita di Protezione dai malware di GuardDuty per Amazon S3). Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la protezione malware la prima volta che questa funzione viene abilitata sull'account. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

Puoi abilitare la protezione malware dalla console di GuardDuty dalla pagine relativa alla protezione malware o tramite l'API. Se hai optato per una configurazione multi-account di GuardDuty, puoi abilitare la funzione per tutta l'organizzazione dalla console della pagina relativa alla protezione malware del tuo account amministratore. In questo modo, sarà abilitato il monitoraggio di malware su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per la protezione malware.

Nel caso della Protezione dai malware per S3, puoi integrare la scansione anti-malware nelle tue applicazioni seguendo due passaggi. Innanzitutto, in qualità di proprietario dell'applicazione, è necessario configurare la configurazione della protezione dei bucket sui bucket che desideri monitorare. Puoi configurarla nella console GuardDuty a livello di codice per un bucket esistente o quando ne crei uno nuovo. GuardDuty invierà le metriche di scansione ai tuoi eventi EventBridge per ogni bucket S3 protetto, consentendoti di impostare allarmi e definire azioni post-scansione, come etichettare l'oggetto o copiare l'oggetto dannoso in un bucket di quarantena che GuardDuty eseguirà in base al risultato della scansione. Se GuardDuty è abilitato per il tuo account, in GuardDuty viene generato anche un esito di sicurezza.

Sì, GuardDuty per la protezione anti-malware sarà abilitato per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l'API (per la scansione dei volumi EBS). Per i nuovi account di GuardDuty creati con la funzione di abilitazione automatica di AWS Organizations, devi attivare l'opzione di abilitazione automatica per la protezione malware. 

Puoi disabilitare la funzione dalla console o tramite l'API. Vedrai l'opzione per disabilitare la protezione malware per i tuoi account nella console di GuardDuty o nella pagina della console relativa alla protezione malware. Se sei un amministratore di GuardDuty, puoi anche disabilitare GuardDuty per la protezione malware sugli account dei tuoi membri.

Se hai disabilitato la protezione malware, puoi riabilitarla dalla console o tramite l'API. Puoi disabilitare la protezione malware per i tuoi account nella console di GuardDuty o nella pagina relativa alla protezione malware.

No, non riceverai addebiti per la protezione malware se non sono state effettuate scansioni durante il periodo di fatturazione. È possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

Sì, GuardDuty offre una funzione di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. L’integrazione di AWS Organizations consente a GuardDuty di gestire più account. Questa integrazione aiuta i team di sicurezza e conformità a garantire la copertura totale di GuardDuty, inclusa la protezione malware, per tutti gli account di un’organizzazione.

No. Una volta che la funzionalità è abilitata, la protezione da malware GuardDuty avvia la scansione anti-malware in risposta agli esiti Amazon EC2 pertinenti. Non dovrai implementare alcun agente, attivare origini dei registri o apportare modifiche alla configurazione.

La protezione da malware GuardDuty è progettata per non influire sulle prestazioni dei carichi di lavoro. Ad esempio, gli snapshot dei volumi Amazon EBS creati per l'analisi dei malware possono essere generati soltanto una volta ogni 24 ore, e la protezione da malware GuardDuty mantiene le repliche crittografate e gli snapshot soltanto per pochi minuti dopo il completamento della scansione. Inoltre, la protezione da malware GuardDuty utilizza le risorse di calcolo di GuardDuty per la scansione dei malware invece delle risorse di calcolo del cliente.

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la scansione malware in ogni regione AWS.

La protezione da malware GuardDuty scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Se i tuoi volumi Amazon EBS sono crittografati con una chiave gestita dal cliente, puoi condividere la tua chiave di AWS Key Management Service (KMS) con GuardDuty. Il servizio utilizza la stessa chiave per crittografare la replica del volume Amazon EBS. Per i volumi Amazon EBS non crittografati, GuardDuty utilizza la sua chiave per la crittografia della replica del volume Amazon EBS.

Sì, tutti i dati della replica del volume Amazon EBS (e gli snapshot su cui si basa la replica del volume) rimangono nella stessa regione del volume Amazon EBS originale.

Ogni nuovo account GuardDuty, in ogni regione, riceve una prova gratuita di 30 giorni di GuardDuty, inclusa la funzionalità di Protezione da Malware (solo per le scansioni dei volumi di dati EBS avviate da GuardDuty; non è disponibile una versione di prova gratuita per Malware Protection for Amazon S3). Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la protezione malware la prima volta che questa funzione viene abilitata sull'account. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per gli account dei relativi membri. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzione nella console AWS per la fatturazione.

I prezzi per la scansione anti-malware dei volumi EBS si basano sui GB di dati scansionati in un volume. È possibile personalizzare le opzioni tramite le opzioni di scansione dalla console per contrassegnare alcune istanze Amazon EC2, utilizzando i tag, affinché queste siano incluse o escluse dalla scansione. Di conseguenza, potrai controllare i costi. Inoltre, GuardDuty scansionerà ogni istanza Amazon EC2 una sola volta ogni 24 ore. Nel caso in cui GuardDuty generi più risultati Amazon EC2 per una sola istanza Amazon EC2 in 24 ore, verrà effettuata una scansione soltanto per il primo risultato Amazon EC2 rilevante. Se continuano a essere generati risultati Amazon EC2 per un'istanza 24 ore dopo l'ultima scansione malware, verrà avviata una nuova scansione.

I prezzi per la scansione anti-malware degli oggetti di archiviazione nei bucket S3 si basano sui GB di dati scansionati e sul numero di file scansionati in un bucket S3 designato configurato per la scansione anti-malware. GuardDuty scansionerà solo i file appena caricati nei bucket configurati e non scansionerà i file esistenti o i file in bucket non designati per la scansione anti-malware.

Sì, esiste un'impostazione tramite cui puoi abilitare la conservazione degli snapshot quando vengono rilevati malware. Puoi abilitare questa funzione dalla console GuardDuty sulla pagina delle impostazioni. Per impostazione predefinita, gli snapshot vengono cancellati pochi minuti dopo il completamento della scansione e dopo 24 ore nel caso in cui la scansione non venga completata.

La protezione da malware GuardDuty mantiene ogni replica del volume Amazon EBS che genera e le scansioni fino a 24 ore. Per impostazione predefinita, la replica dei volumi Amazon EBS viene cancellata pochi minuti dopo il completamento della scansione malware di GuardDuty. Tuttavia, per alcune istanze, la protezione da malware GuardDuty potrebbe aver bisogno di mantenere la replica dei volumi Amazon EBS per più di 24 ore, nel caso in cui un problema di connessione o di funzionamento del servizio interferisca con la scansione. Nel caso in cui ciò si verifichi, la protezione da malware di GuardDuty manterrà la replica del volume Amazon EBS fino a sette giorni per dare al servizio il tempo di individuare e risolvere il problema di funzionamento o connessione. La protezione da malware GuardDuty cancellerà la replica del volume Amazon EBS una volta risolto il problema o alla fine del periodo di conservazione prolungato.

No, GuardDuty scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account soltanto una volta ogni 24 ore. Anche nel caso in cui GuardDuty generi più risultati idonei a una scansione, non verranno avviate scansioni aggiuntive se ne è stata effettuata una entro le 24 ore precedenti. Se GuardDuty genera risultati 24 ore dopo l'ultima scansione malware, la protezione avvierà una nuova scansione per il carico di lavoro.

No, è sufficiente disabilitare il servizio GuardDuty per disabilitare anche la funzione di protezione malware.

No, la Protezione dai malware di GuardDuty per S3 è flessibile: consente ai proprietari delle applicazioni di configurare la funzionalità per i propri bucket S3 anche quando GuardDuty di base non è abilitato per l'account. GuardDuty di base include il monitoraggio predefinito delle origini fondamentali, come gli eventi di gestione di AWS CloudTrail, i log di flusso VPC e i log delle query DNS.

Protezione di GuardDuty RDS

La protezione RDS di GuardDuty può essere attivata con una sola operazione nella console di GuardDuty, senza agenti da implementare manualmente, senza origini dati da attivare e senza autorizzazioni da configurare. Utilizzando modelli di ML personalizzati, la funzionalità di protezione RDS di GuardDuty inizia analizzando e delineando i tentativi di accesso ai database Amazon Aurora nuovi ed esistenti. Quando vengono identificati comportamenti o tentativi sospetti da parte di utenti malintenzionati noti, GuardDuty invia risultati di sicurezza concreti alle console di GuardDuty e Amazon Relational Database Service (RDS), alla Centrale di sicurezza e ad Amazon EventBridge, consentendo l'integrazione con sistemi di flussi di lavoro o di gestione degli eventi di sicurezza esistenti. Scopri di più su come la protezione RDS di GuardDuty utilizza il monitoraggio delle attività di accesso RDS.

Per gli account GuardDuty correnti, la funzione può essere attivata dalla console GuardDuty nella pagina Protezione RDS o tramite l'API. Scopri di più sulla protezione RDS di GuardDuty.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione RDS attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il servizio di protezione RDS attivato a meno che l'opzione di abilitazione automatica per RDS non sia attivata.

No, il servizio GuardDuty deve essere abilitato perché la protezione RDS di GuardDuty sia disponibile.

Per un elenco completo delle regioni in cui è disponibile la protezione RDS, consulta Disponibilità delle funzionalità specifiche per regione.

No, il rilevamento delle minacce di GuardDuty per i database Aurora è progettato per non avere implicazioni in termini di prestazioni, disponibilità o costi per i database Amazon Aurora.

Protezione di GuardDuty Lambda

La protezione Lambda di GuardDuty monitora continuamente l'attività di rete, a partire dai log di flusso VPC, dai carichi di lavoro serverless per rilevare minacce come le funzioni Lambda riutilizzate in modo dannoso per il mining di criptovaluta non autorizzato o le funzioni Lambda compromesse che comunicano con i server noti degli autori delle minacce. La protezione Lambda di GuardDuty può essere abilitata con pochi passaggi nella console GuardDuty e, tramite AWS Organizations, può essere abilitata centralmente per tutti gli account esistenti e nuovi di un'organizzazione. Una volta abilitata, avvia automaticamente il monitoraggio dei dati delle attività di rete di tutte le funzioni Lambda esistenti e nuove in un account.

Per gli account GuardDuty correnti, la funzione può essere attivata dalla console GuardDuty nella pagina Protezione Lambda o tramite l'API. Scopri di più sulla protezione Lambda di GuardDuty.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione Lambda attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzione di abilitazione automatica di AWS Organizations non avranno il servizio di protezione Lambda attivato per impostazione predefinita, a meno che l'opzione di abilitazione automatica per Lambda non sia attivata.

Per un elenco completo delle regioni in cui è disponibile la protezione Lambda, consulta Disponibilità delle funzionalità specifiche per regione.

No, la protezione Lambda di GuardDuty è progettata per non avere implicazioni in termini di prestazioni, disponibilità o costi per i carichi di lavoro Lambda.