Domande frequenti su Amazon GuardDuty

GuardDuty è un servizio intelligente di rilevamento delle minacce che monitora continuamente gli account AWS, i carichi di lavoro, le attività di runtime e i dati alla ricerca di attività dannose. Nel caso in cui venga rilevata una potenziale attività dannosa, come un comportamento anomalo, l’esfiltrazione di credenziali, o la comunicazione di infrastruttura di comando e controllo (C2), GuardDuty genera esiti dettagliati che possono essere utilizzati per la visibilità della sicurezza e per la risoluzione dei problemi.

GuardDuty semplifica il monitoraggio continuo di account AWS, carichi di lavoro e attività di runtime. GuardDuty è progettato per funzionare in modo completamente indipendente dalle risorse e non avere alcun impatto sulle prestazioni o sulla disponibilità dei carichi di lavoro. Si tratta di una soluzione completamente gestita che integra intelligence sulle minacce, machine learning (ML), rilevamento di anomalie e scansione di malware. GuardDuty produce avvisi dettagliati che permettono di avviare operazioni specifiche, facilmente integrabili con sistemi di gestione di eventi o flussi di lavoro esistenti. Per l’utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover implementare ulteriori software o sottoscrizioni a feed di intelligence sulle minacce.

GuardDuty è un servizio con pagamento in base al consumo e paghi solo per l’utilizzo che ne deriva. I prezzi di GuardDuty si basano sul volume dei log di servizio analizzati, sulle CPU virtuali (vCPU) o sulle unità di capacità Aurora (ACU) delle istanze Aurora Serverless v2 per l’analisi degli eventi di Amazon RDS, sul numero e sulla dimensione dei carichi di lavoro Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) monitorati in fase di runtime e sul volume di dati scansionati alla ricerca di malware.

I log di servizio analizzati sono filtrati per l’ottimizzazione dei costi e direttamente integrati con GuardDuty, il che significa che non dovrai abilitarli o pagarli separatamente. Se il monitoraggio di runtime EKS è abilitato per il tuo account, non ti verrà addebitato alcun costo per l'analisi dei log di flusso VPC delle istanze in cui l’agente GuardDuty è implementato e attivo. L’agente di sicurezza del runtime ci fornisce dati di telemetria di rete simili (e più contestuali). Pertanto, per evitare un doppio addebito ai clienti, non addebiteremo i log di flusso VPC provenienti dalle istanze Amazon Elastic Compute Cloud (Amazon EC2) in cui è installato l’agente.

Consulta la pagina dei prezzi di Amazon GuardDuty per maggiori dettagli ed esempi di prezzo.

Il costo stimato si riferisce al costo per la sola entità pagante. Nell’account amministratore GuardDuty vedrai l’utilizzo fatturato e il costo giornaliero medio per ogni account membro. Per visualizzare le informazioni dettagliate relative all’utilizzo, devi consultare l’account individuale.

Sì, tutti i nuovi account di GuardDuty potranno provare gratuitamente il servizio per 30 giorni. Durante questo periodo, saranno disponibili tutte le funzionalità e i rilevamenti del servizio. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per i propri account membro. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

I titolari di account GuardDuty nuovi ed esistenti che non hanno ancora abilitato una funzionalità GuardDuty possono provarla gratuitamente per 30 giorni sul piano gratuito AWS (per la funzione di Protezione dai malware, la versione di prova gratuita è disponibile per le scansioni anti-malware avviate da GuardDuty solo per i volumi di dati di Amazon EBS). Non è disponibile una versione di prova gratuita della Protezione dai malware di GuardDuty per Amazon S3). Durante il periodo di prova gratuito e successivamente, puoi sempre monitorare la tua spesa mensile stimata nella pagina di utilizzo della console GuardDuty, suddivisa per origine dati.

GuardDuty offre una protezione completa per la sicurezza di account AWS, carichi di lavoro e dati aiutando a identificare minacce, quali riconoscimento di utenti malintenzionati, istanze, account, bucket o cluster Amazon EKS compromessi e malware. Macie è un servizio interamente gestito di rilevamento dei dati sensibili che utilizza il ML e la corrispondenza dei modelli per rilevare i dati sensibili in Amazon Simple Storage Service (Amazon S3).

GuardDuty è un servizio regionale. Anche quando sono stati abilitati più account e sono interessate più Regioni AWS, gli esiti relativi alla sicurezza di GuardDuty rimangono nella Regione in cui sono stati generati i dati. In questo modo, tutti i dati analizzati sono localizzati a livello regionale e non possono superare i confini di nessuna Regione AWS. Tuttavia, puoi scegliere di aggregare gli esiti relativi alla sicurezza di GuardDuty in più Regioni utilizzando Amazon EventBridge o inoltrandoli in un datastore (come Amazon S3) e quindi utilizzandoli secondo le proprie esigenze. Puoi inviare anche gli esiti di GuardDuty ad AWS Security Hub e utilizzare la funzionalità dello strumento di strumento di aggregazione multi-Regione.

La disponibilità regionale di GuardDuty è indicata nell’elenco dei servizi delle Regioni AWS. Per un elenco completo delle Regioni in cui sono disponibili le funzionalità di GuardDuty, consulta Disponibilità delle funzionalità specifiche per Regione.

Diversi partner tecnologici hanno già integrato GuardDuty, basando le proprie soluzioni su di esso. Anche altri consulenti, integratori di sistemi e fornitori di servizi di sicurezza gestiti possono offrire la propria competenza in relazione al servizio. Per maggiori informazioni, consulta la pagina dei partner di Amazon GuardDuty.

Foregenix ha pubblicato un white paper che fornisce valutazioni dettagliate sull’efficacia di GuardDuty nel soddisfare i requisiti di conformità, come i requisiti 11.4 relativi a PCI DSS (Payment Card Industry Data Security Standard), che necessitano di tecniche di rilevamento delle intrusioni nei punti critici della rete.

Per configurare e implementare GuardDuty, sono sufficienti pochi passaggi nella Console di gestione AWS. Una volta abilitato, GuardDuty inizia immediatamente ad analizzare i flussi continui di attività di account e di rete quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

Sì, GuardDuty offre una funzionalità di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. Quando viene attivata, tutti gli esiti di sicurezza vengono aggregati all'account dell'amministratore per essere consultati e attivare l'eventuale processo di risoluzione. In questa configurazione, anche gli eventi EventBridge vengono aggregati sull'account dell'amministratore di GuardDuty. Inoltre, GuardDuty si integra con AWS Organizations che consente di delegare un account amministratore di GuardDuty per la propria organizzazione. Questo account amministratore delegato è un account centralizzato che consolida tutti gli esiti e può configurare tutti gli account dei membri.

Le origini dati fondamentali analizzate da GuardDuty includono: log degli eventi di gestione di AWS CloudTrail, eventi di gestione di CloudTrail e log di flusso VPC e log di query DNS di Amazon EC2. I piani di protezione GuardDuty monitorano altri tipi di risorse, tra cui gli eventi di dati di CloudTrail S3 (S3 Protection), i log di controllo di Amazon EKS e le attività di runtime per Amazon EKS (EKS Protection), Amazon ECS (ECS Runtime Monitoring) e Amazon EC2 (EC2 Runtime Monitoring), i dati di volume Amazon EBS (Malware Protection), gli eventi di accesso ad Amazon Aurora (RDS Protection) e i log delle attività di rete (Lambda Protection). Il servizio è ottimizzato per consumare grandi volumi di dati per l'elaborazione quasi in tempo reale dei rilevamenti di sicurezza. GuardDuty offre l'accesso a tecniche di rilevamento integrate sviluppate e ottimizzate per il cloud e aggiornate e migliorate continuamente dagli ingegneri di GuardDuty.

Una volta attivato, GuardDuty avvia l’analisi delle attività dannose o non autorizzate. Il periodo di tempo necessario per iniziare a visualizzare problemi rilevati dipende dai livelli di attività dell'account. GuardDuty non fa riferimento ad alcuno storico dei dati, ma rivolgerà la propria analisi solo alle attività che hanno luogo dopo l'attivazione. Nel momento in cui GuardDuty individua una potenziale minaccia, inoltrerà un esito alla console di GuardDuty.

No. GuardDuty estrae i data stream (flussi di dati) indipendenti direttamente da CloudTrail, dai log dei flussi di VPC, dai log delle query DNS ed Amazon EKS. Non è quindi necessario gestire policy di bucket Amazon S3 o modificare le modalità di raccolta e archiviazione dei log. Le autorizzazioni di GuardDuty sono gestite come ruoli collegati a servizi. Puoi disabilitare GuardDuty in qualunque momento. In questo modo, tutte le autorizzazioni verranno rimosse. Ciò semplifica l'attivazione del servizio, evitando configurazioni complesse. I ruoli collegati ai servizi eliminano anche il rischio di configurazioni errate delle autorizzazioni ad AWS Identity and Access Management (IAM) o di modifiche alle policy dei bucket Amazon S3 che possano avere un impatto sul funzionamento del servizio. Infine, i ruoli collegati ai servizi rendono GuardDuty estremamente efficiente poiché analizza grandi volumi di dati quasi in tempo reale senza influire minimamente sulle prestazioni o la disponibilità di account o carichi di lavoro.

Quando abiliti GuardDuty per la prima volta, funziona in modo completamente indipendente dalle tue risorse AWS. Se configuri il monitoraggio del runtime di GuardDuty per implementare automaticamente l'agente di sicurezza GuardDuty, è possibile che si abbia un ulteriore utilizzo delle risorse e vengano creati anche endpoint VPC nei VPC utilizzati per eseguire i carichi di lavoro monitorati.

No, GuardDuty non gestisce né mantiene i registri esaminati. Tutti i dati elaborati da GuardDuty vengono analizzati quasi in tempo reale e poi rimossi. Il servizio GuardDuty è estremamente efficiente, economicamente vantaggioso e riduce il rischio di perdita di dati residui. Per quanto riguarda la consegna e la conservazione dei registri, si consiglia di utilizzare direttamente i servizi di registrazione di log e di monitoraggio di AWS, che offrono opzioni complete di consegna e conservazione.

L'analisi delle origini dati da parte di GuardDuty può essere interrotta in qualsiasi momento sospendendo il servizio tramite le impostazioni generali. Il servizio arresterà immediatamente i processi di analisi dei dati, senza però eliminare risultati e configurazioni esistenti. Il servizio può anche essere disabilitato nelle impostazioni generali. Selezionando questa opzione, tutti i dati rimanenti saranno eliminati, inclusi risultati e configurazioni esistenti; quindi le autorizzazioni saranno revocate e il servizio reimpostato. Puoi anche selezionare le funzioni da disabilitare, come ad esempio la protezione GuardDuty di S3 o la protezione GuardDuty di EKS, attraverso la console di gestione o l'interfaccia della linea di comando AWS.

GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. I relativi algoritmi vengono mantenuti e migliorati continuamente dagli ingegneri di GuardDuty. Le categorie principali di rilevamento sono le seguenti:

• Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API insolite, attività di scansione di porte in VPC, modelli insoliti di tentativi di accesso non riusciti o probing di porte non bloccate da IP pericolosi noti.
• Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno ed esfiltrazione dei dati tramite DNS.
• Compromissione di account: modelli comuni che indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici insoliti o resi anonimi tramite proxy, tentativi di disabilitare i registri di CloudTrail, avvio di istanze o infrastrutture inusuali, distribuzione di infrastrutture in regioni solitamente non utilizzate, esfiltrazione di credenziali, attività sospette di accesso ai database e chiamate API da IP pericolosi noti.
• Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API Amazon S3 da un host remoto, accesso non autorizzato ad Amazon S3 da indirizzi IP notoriamente pericolosi e chiamate API per il recupero di dati in bucket Amazon S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o invocata da una posizione insolita. GuardDuty monitora e analizza in modo continuo gli eventi dei dati di CloudTrail S3 (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.
• Malware: GuardDuty è in grado di rilevare la presenza di malware, come trojan, worm, crypto miner, rootkit o bot, che possono essere utilizzati per compromettere i carichi di lavoro delle istanze o dei container Amazon EC2 oppure caricati nei bucket Amazon S3.
• Compromissione dei container: attività che identificano possibili comportamenti dannosi o sospetti nei carichi di lavoro dei container sono rilevate tramite il monitoraggio e la profilazione continua dei cluster Amazon EKS tramite l'analisi dei log di controllo di Amazon EKS e l’attività di runtime dei container in Amazon EKS o Amazon ECS. 

Ecco un elenco completo dei tipi di esiti di GuardDuty.

L'intelligence sulle minacce di GuardDuty si basa su indirizzi IP e domini noti per essere utilizzati dai malintenzionati. Le informazioni di intelligence sulle minacce rilevate da GuardDuty sono fornite da AWS e da terze parti, ad esempio Proofpoint e CrowdStrike. Questi feed di intelligence sulle minacce sono preintegrati e aggiornati continuamente in Amazon GuardDuty senza alcun costo aggiuntivo.

Sì, GuardDuty ti permette di caricare la tua intelligence sulle minacce o il tuo elenco di indirizzi IP sicuri. Gli elenchi caricati sono applicati esclusivamente al proprio account e non sono condivisi con altri clienti.

Quando viene rilevata una potenziale minaccia, GuardDuty invia un esito di sicurezza dettagliato alla console di GuardDuty e a EventBridge. In questo modo è possibile tradurre gli avvisi in azioni concrete, integrandoli più facilmente in sistemi di gestione di eventi o flussi di lavoro esistenti. Gli esiti includono la categoria, le risorse interessate e i metadati associati alla risorsa, ad esempio il livello di gravità.

Gli esiti di sicurezza di GuardDuty sono in formato JSON, lo stesso utilizzato da Amazon Macie e Amazon Inspector. In questo modo, è più semplice per clienti e partner avvalersi degli esiti dell'analisi di tutti i tre servizi e incorporarli in soluzioni più ampie di gestione degli eventi, di flussi di lavoro o di sicurezza.

Gli esiti delle analisi di sicurezza sono mantenuti nella console di GuardDuty e nelle API per 90 giorni. Dopo 90 giorni vengono rimossi. Per conservarli per periodi più lunghi di 90 giorni, è possibile configurare EventBridge in modo che li inoltri in un bucket Amazon S3 nello stesso account o in un altro datastore.

Sì, puoi scegliere di aggregare gli esiti relativi alla sicurezza di GuardDuty in più Regioni utilizzando EventBridge o inoltrandoli in un datastore (come Amazon S3) e quindi utilizzandoli secondo le proprie esigenze. Puoi anche inviare gli esiti di GuardDuty alla centrale di sicurezza e utilizzare la funzionalità dello strumento di aggregazione multi-Regione.

GuardDuty, EventBridge e AWS Lambda offrono la massima flessibilità per poter configurare operazioni preventive automatizzate basate sugli esiti di sicurezza rilevati dal servizio. Ad esempio, è possibile creare una funzione Lambda che modifichi le regole dei gruppi di sicurezza AWS in seguito a un avviso. Se ricevi un esito di GuardDuty che ti informa che una delle istanze Amazon EC2 è stata sottoposta a probing da un IP malevolo noto, una regola di EventBridge può attivare una funzione Lambda che modifichi automaticamente le regole del gruppo di sicurezza e limiti l’accesso a quella porta.

GuardDuty dispone di un team dedicato che sviluppa, gestisce e itera le operazioni di rilevamento. Sono pertanto previste nuove operazioni con cadenza regolare e un'iterazione continua sui rilevamenti esistenti. Il servizio include diversi meccanismi di feedback, ad esempio la possibilità di inserire un pollice in su o in giù per ogni elemento rilevato nell'interfaccia utente di GuardDuty. Potrai così fornire un feedback che verrà integrato alle iterazioni future dei rilevamenti di GuardDuty.

No, GuardDuty rimuove le complessità che derivano da sviluppo e manutenzione di set di regole personalizzate. Le nuove operazioni di rilevamento saranno aggiunte con continuità in base ai feedback dei clienti e alle ricerche degli ingegneri di AWS Security e del team di GuardDuty. Tuttavia, i clienti potranno personalizzare il servizio aggiungendo elenchi di minacce e di indirizzi IP sicuri.

Per gli account GuardDuty correnti, la Protezione S3 può essere attivata nella console nella pagina Protezione per S3 o tramite l’API. Questa operazione avvierà la prova gratuita di 30 giorni della funzionalità di GuardDuty per la Protezione S3.

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni account, in ogni regione, ha diritto a un periodo di prova gratuito di 30 giorni per la protezione di S3 con GuardDuty. Anche gli account che hanno già attivato GuardDuty dispongono di un periodo di prova gratuito di 30 giorni per la funzionalità di Protezione S3 dal momento della prima attivazione.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l’API avranno il servizio di Protezione S3 attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di abilitazione automatica di AWS Organizations non avranno il servizio di Protezione S3 attivato a meno che l’opzione di abilitazione automatica per S3 non sia attivata.

No, il servizio GuardDuty deve essere abilitato perché la Protezione S3 sia disponibile. Sugli account GuardDuty attuali è possibile attivare la Protezione S3. Nei nuovi account GuardDuty, la funzionalità sarà attivata per impostazione predefinita non appena si attiva il servizio GuardDuty.

Sì, la Protezione S3 monitora per impostazione predefinita tutti i bucket Amazon S3 nel tuo ambiente.

No, GuardDuty ha accesso diretto ai log degli eventi di dati di S3 di CloudTrail. Non dovrai abilitare i registri degli eventi di dati di S3 su CloudTrail e, quindi, non ti saranno addebitati i relativi costi. Ricorda che GuardDuty non archivia i log e li utilizza solamente per l’analisi.

La Protezione di GuardDuty EKS è una funzionalità di GuardDuty che monitora l’attività del piano di controllo (control-plane) dei cluster Amazon EKS analizzando i log di revisione di Amazon EKS. GuardDuty è integrato in Amazon EKS e dispone quindi di un accesso diretto ai log di controllo di Amazon EKS, senza che sia necessario attivare o archiviare gli stessi. Questi log di controllo sono log cronologici rilevanti ai fini della sicurezza che documentano le varie azioni intraprese sul piano di controllo di Amazon EKS. I log di controllo di Amazon EKS conferiscono a GuardDuty la visibilità necessaria per condurre un monitoraggio continuo dell’attività API di Amazon EKS e applicare un’intelligence sulle minacce e un rilevamento di anomalie comprovati per identificare comportamenti dannosi o modifiche alla configurazione, suscettibili di esporre il tuo cluster di Amazon EKS ad accessi non autorizzati. Quando sono identificati delle minacce, GuardDuty genera esiti di sicurezza che includono il tipo di minaccia, il livello di gravità e dettagli a livello del container come ID pod, ID immagine del container e tag associati.

La protezione per EKS di GuardDuty può rilevare minacce associate all’attività di utenti e applicazioni contenute nei log di revisione Amazon EKS. I rilevamenti delle minacce di Amazon EKS includono i cluster di Amazon EKS oggetto di accesso da parte di noti utenti malintenzionati o tramite nodi Tor, operazioni API svolte da utenti anonimi che potrebbero indicare una configurazione errata, come pure configurazioni errate suscettibili di causare accessi non autorizzati ai cluster di Amazon EKS. Inoltre, GuardDuty può identificare, tramite modelli di machine learning (ML), modelli riconducibili a tecniche di privilege-escalation, ad esempio il lancio sospetto di un container con accesso root a un host Amazon EC2 sottostante. Consulta la pagina relativa ai tipi di esiti di Amazon GuardDuty per un elenco esaustivo di tutti i nuovi rilevamenti.

No, GuardDuty ha accesso diretto ai log di revisione EKS. Ricorda che GuardDuty utilizza questi log solamente per l'analisi, senza archiviarli. Inoltre, non devi abilitarli né pagare alcun importo per condividere questi log di revisione di Amazon EKS con GuardDuty. Al fine di ottimizzare i costi, GuardDuty applica filtri intelligenti per utilizzare soltanto il sottoinsieme dei log di revisione utili per il rilevamento delle minacce alla sicurezza.

Sì. Offriamo una prova gratuita della durata di 30 giorni. Ogni nuovo account GuardDuty ha diritto ad una prova gratuita di 30 giorni in tutte le regioni che include la protezione di GuardDuty EKS. Gli account GuardDuty esistenti ricevono una prova di 30 giorni della Protezione per EKS di GuardDuty senza costi aggiuntivi. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per i propri account membro. Dopo 30 giorni, è possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

È necessario abilitare la Protezione per EKS di GuardDuty per ogni singolo account. Con una sola operazione, potrai attivare questa funzione sui tuoi account dalla console GuardDuty dalla pagina della console relativa alla protezione di GuardDuty EKS. Se hai optato per una configurazione multi-account di GuardDuty, puoi attivare la protezione per tutta l'organizzazione dalla pagina relativa alla protezione di GuardDuty EKS del tuo account amministratore GuardDuty. In questo modo, sarà attivato il monitoraggio continuo di Amazon EKS su tutti i singoli account dei membri. Per gli account di GuardDuty creati con la funzione di attivazione automatica di AWS Organizations, devi attivare esplicitamente l'opzione di abilitazione automatica per Amazon EKS. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account senza alcuna configurazione manuale di tali cluster.

Sì, la protezione per EKS di GuardDuty sarà attivata per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l’API. Per i nuovi account di GuardDuty creati con la funzionalità di abilitazione automatica di AWS Organizations, è necessario attivare l’opzione di abilitazione automatica per la protezione di EKS. 

Puoi disabilitare la funzionalità dalla console o tramite l’API. Nella console di GuardDuty, puoi disabilitare la protezione di GuardDuty EKS per i tuoi account dalla relativa pagina. Se sei un amministratore di GuardDuty, puoi disabilitare questa funzione anche sui tuoi account membro.

Se hai disabilitato la funzionalità di protezione per EKS di GuardDuty, potrai abilitarla nuovamente dalla console o tramite l’API. Nella console di GuardDuty, puoi abilitare la Protezione per EKS di GuardDuty per i tuoi account dalla relativa pagina.

È necessario abilitare la Protezione per EKS di GuardDuty per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, dalla pagina relativa alla protezione di GuardDuty EKS del tuo account di amministratore GuardDuty puoi abilitare, con un solo clic e in tutta l'organizzazione, il rilevamento delle minacce per Amazon EKS. In questo modo, sarà abilitato il rilevamento delle minacce per Amazon EKS su tutti i singoli account dei membri. Una volta attivato per un account, il monitoraggio delle minacce sarà abilitato su tutti i cluster esistenti e futuri di Amazon EKS in quell’account e non sarà richiesta alcuna configurazione manuale di tali cluster.

Se non utilizzi Amazon EKS e hai abilitato la protezione per EKS di GuardDuty, non ti verrà addebitato alcun costo per la protezione. Tuttavia, quando inizi a utilizzare Amazon EKS, GuardDuty monitorerà automaticamente i tuoi cluster e genererà esiti relativi ai problemi riscontrati. Di conseguenza, riceverai un addebito per il monitoraggio.

No, affinché sia disponibile la protezione di GuardDuty EKS, il servizio GuardDuty deve essere abilitato.

Sì, la protezione per EKS di GuardDuty monitora i log di revisione sia dai cluster di Amazon EKS implementati sulle istanze Amazon EC2 che dai cluster Amazon EKS implementati su Fargate.

Al momento, questa funzionalità supporta solo le distribuzioni di Amazon EKS eseguite sulle istanze Amazon EC2 nel tuo account o su Fargate.

No, la protezione di GuardDuty EKS non incide in alcun modo sulle prestazioni, la disponibilità o i costi associati alle distribuzioni di carichi di lavoro di Amazon EKS.

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la protezione di GuardDuty EKS in ogni Regione AWS.

Il monitoraggio del runtime di GuardDuty utilizza un agente di sicurezza leggero e completamente gestito che aggiunge visibilità alle attività di runtime come l’accesso ai file, l’esecuzione dei processi e le connessioni di rete a livello di pod o istanza per le risorse coperte. L’agente di sicurezza viene distribuito automaticamente come set Daemon che raccoglie gli eventi di runtime e li invia a GuardDuty per l’elaborazione delle analisi di sicurezza. Ciò consente a GuardDuty di identificare istanze o container specifici all’interno dell’ambiente AWS potenzialmente compromessi e rilevare i tentativi di estendere i privilegi all’ambiente AWS più ampio. Quando GuardDuty rileva una potenziale minaccia, viene generato un esito di sicurezza che include il contesto dei metadati che include il container, il pod Kubernetes e i dettagli del processo. 

Per gli account GuardDuty correnti, la funzionalità può essere attivata dalla console GuardDuty nella pagina Monitoraggio del runtime o tramite l’API. Scopri di più sul monitoraggio del runtime di GuardDuty.

Il monitoraggio del runtime è disponibile per le risorse Amazon EKS in esecuzione su Amazon EC2, i cluster Amazon ECS in esecuzione su Amazon EC2 o AWS Fargate e le istanze Amazon EC2. 

I requisiti architetturali per il monitoraggio del runtime di GuardDuty sono disponibili nella Guida per l’utente di GuardDuty. 

No. Il monitoraggio del runtime di GuardDuty è l’unico piano di protezione che non è abilitato di default quando si attiva GuardDuty per la prima volta. La funzionalità può essere attivata dalla console GuardDuty nella pagina Monitoraggio del runtime o tramite l’API. I nuovi account GuardDuty creati utilizzando la funzionalità di abilitazione automatica di AWS Organizations non avranno il monitoraggio del runtime attivato a meno che non sia attivata l’opzione di abilitazione automatica del monitoraggio.

AWS pubblica regolarmente gli aggiornamenti degli agenti GuardDuty. Per Amazon ECS su Amazon EC2, puoi ottenere la versione più recente dell'agente eseguendo l'aggiornamento all'agente AMI o ECS ottimizzato per ECS più recente. Per Amazon ECS su Fargate, l'agente Fargate estrae automaticamente la versione più recente dell'agente GuardDuty.

Se scegli di implementare manualmente l'agente per cluster, sei responsabile anche dell'aggiornamento dell'agente quando GuardDuty pubblicizza il rilascio di una nuova versione. Le nuove versioni degli agenti vengono accuratamente testate e monitorate prima, durante e dopo il rilascio. GuardDuty mantiene un sottoinsieme di versioni precedenti dell’agente in modo da poter ripristinare un aggiornamento nel caso in cui l’applicazione presenti un conflitto univoco con l’agente; è possibile trovare una cronologia delle versioni dell’agente nella Guida per l’utente di GuardDuty. Per le patch CVE e altri aggiornamenti urgenti, segui le linee guida di aggiornamento di AWS incluse negli avvisi di PHD.

No, perché il monitoraggio del runtime di GuardDuty sia disponibile, il servizio GuardDuty deve essere abilitato.

Quando abiliti il monitoraggio del runtime di Amazon ECS, GuardDuty è pronto a consumare gli eventi di runtime di un’attività. Queste attività vengono eseguite all’interno dei cluster Amazon ECS, che a loro volta vengono eseguiti su istanze AWS Fargate. Affinché GuardDuty riceva questi eventi di runtime, è necessario utilizzare la configurazione automatica dell’agente.

Quando abiliti il monitoraggio del runtime per Amazon EC2 o Amazon EKS, hai la possibilità di distribuire l’agente di sicurezza GuardDuty manualmente o consentire a GuardDuty di gestirlo per tuo conto con la configurazione automatica dell’agente.

Per maggiori dettagli, visita Concetti chiave: Approcci per gestire l’agente di sicurezza di GuardDuty nella Guida per l’utente di GuardDuty.
 

Per un elenco completo delle Regioni in cui è disponibile il monitoraggio del runtime, consulta Disponibilità delle funzionalità specifiche per Regione.

Il monitoraggio del runtime di GuardDuty deve essere abilitato per ogni singolo account. Se hai optato per una configurazione multi-account di GuardDuty, potrai attivarlo con un solo clic in tutta l’organizzazione nella pagina Monitoraggio del runtime di GuardDuty dell’account dell’amministratore GuardDuty. In questo modo, sarà attivato il monitoraggio del runtime per i carichi di lavoro desiderati su tutti i singoli account membro. Una volta attivato per un account, tutti i carichi di lavoro esistenti e futuri selezionati verranno monitorati per le minacce di runtime e non sarà richiesta alcuna configurazione manuale.

Il monitoraggio del runtime di GuardDuty EKS consente di configurare in modo selettivo quali cluster Amazon EKS o Amazon ECS devono essere monitorati per il rilevamento delle minacce. Con la configurabilità a livello di cluster, puoi monitorare selettivamente i cluster specifici per il rilevamento delle minacce o continuare a utilizzare la configurabilità a livello di account per monitorare tutti i cluster EKS o ECS, rispettivamente, in un determinato account e Regione.

Non dovrai sostenere alcun costo per il monitoraggio del runtime di GuardDuty se lo hai abilitato per un carico di lavoro che non stai eseguendo. Tuttavia, quando inizi a utilizzare Amazon EKS, Amazon ECS o Amazon EC2 e il monitoraggio del runtime di GuardDuty è abilitato per quel carico di lavoro, ti verrà addebitato un costo quando GuardDuty monitora automaticamente i cluster, le attività e le istanze e genera esiti per i problemi identificati. 

Come tutti i casi di sicurezza, osservabilità e altri casi d’uso che richiedono un agente sull’host, l’agente di sicurezza di GuardDuty introduce un sovraccarico di utilizzo delle risorse. L’agente di sicurezza di GuardDuty è progettato per essere leggero ed è monitorato attentamente da GuardDuty per ridurre al minimo l’utilizzo e l’impatto sui costi dei carichi di lavoro coperti. I parametri esatti sull’utilizzo delle risorse saranno resi disponibili ai team di applicazioni e sicurezza per il monitoraggio in Amazon CloudWatch.

Se configuri il monitoraggio del runtime di GuardDuty per implementare automaticamente l’agente di sicurezza di GuardDuty, è possibile che si abbia un ulteriore utilizzo delle risorse e vengano creati anche endpoint VPC nei VPC utilizzati per eseguire i carichi di lavoro AWS. 

Il monitoraggio del runtime di GuardDuty può essere disabilitato per un account o un’organizzazione AWS nella pagina Monitoraggio del runtime della console GuardDuty. Se l’agente di sicurezza è stato implementato automaticamente da GuardDuty, quando la funzionalità è disabilitata GuardDuty rimuoverà anche l’agente di sicurezza.

Se hai scelto di implementare l’agente GuardDuty manualmente (applicabile solo al monitoraggio del runtime di EKS e al monitoraggio del runtime di EC2), dovrai rimuoverlo manualmente e tutti gli endpoint VPC creati dovranno essere eliminati manualmente. I passaggi per la rimozione manuale del monitoraggio del runtime di EKS e del monitoraggio del runtime di EC2 sono descritti in dettaglio nella Guida per l’utente di GuardDuty. 

Volumi di dati Amazon EBS: se questa origine dati è abilitata per la Protezione da malware, GuardDuty avvia una scansione di rilevamento del malware quando identifica un comportamento sospetto indicativo di software dannoso nei carichi di lavoro di istanze o container di Amazon EC2. Scansiona la replica di un volume Amazon EBS generato da GuardDuty sulla base degli snapshot del tuo volume Amazon EBS per trojan, worm,crypto miner, rootkit, bot e altro. La protezione da malware GuardDuty genera risultati contestualizzati in grado di confermare l'origine del comportamento sospetto. Questi esiti possono essere indirizzati agli amministratori competenti per avviare il processo di risoluzione.

Scansione degli oggetti S3: una volta configurata la Protezione da malware per un bucket, GuardDuty esegue automaticamente la scansione dei file appena caricati e, se viene rilevato un malware, genera una notifica Amazon EventBridge con i dettagli sul malware, consentendo l’integrazione con i sistemi di gestione degli eventi di sicurezza o di flusso di lavoro esistenti. Puoi configurare la messa in quarantena automatica del malware spostando l’oggetto in un bucket isolato nel tuo account oppure utilizzare i tag dell’oggetto per aggiungere la disposizione del risultato della scansione, consentendo di identificare e classificare meglio gli oggetti scansionati in base ai tag.

I risultati di GuardDuty per Amazon EC2 che avvieranno una scansione del malware sono disponibili nella Guida per l’utente di GuardDuty.

La Protezione da malware supporta il rilevamento di file dannosi tramite la scansione dell’Amazon EBS collegato alle istanze Amazon EC2. I tipi di file system supportati sono disponibili nella Guida per l’utente di GuardDuty.

La Protezione da malware per S3 è in grado di scansionare file appartenenti alla maggior parte delle classi di archiviazione S3 sincrone, come S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA e Amazon S3 Glacier Instant Retrieval, con il motore di scansione anti-malware di GuardDuty.  Eseguirà la scansione dei formati di file noti per essere utilizzati per diffondere o contenere malware, inclusi file eseguibili, file .pdf, archivi, binari, file compressi, script, programmi di installazione, database di posta elettronica, e-mail semplici, immagini e oggetti codificati.

La Protezione dai malware effettua una scansione per individuare minacce quali trojan, worm, crypto miner, rootkit e bot che possono essere utilizzati per compromettere i carichi di lavoro, riutilizzare le risorse per scopi dannosi e ottenere accesso non autorizzato ai dati.

Consulta la Guida per l'utente di GuardDuty per un elenco completo dei tipi di esiti.

Non è necessario che i registri del servizio siano attivati per far funzionare GuardDuty o la Protezione dai malware. La Protezione dai malware fa parte di GuardDuty, un servizio AWS che utilizza l’intelligenza di origini interne ed esterne integrate.

Invece di utilizzare agenti di sicurezza, la Protezione dai malware di GuardDuty crea e scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Le autorizzazioni concesse a GuardDuty tramite il ruolo collegato al servizio consentono a quest’ultimo di creare la replica crittografata di un volume nell'account di servizio GuardDuty a partire da uno snapshot sul tuo account. Successivamente, la Protezione dai malware di GuardDuty scansiona la replica del volume alla ricerca di malware.

In Amazon S3, GuardDuty inizia a leggere, decrittografare e scansionare gli oggetti caricati nei bucket configurati per la Protezione dai malware di GuardDuty. È possibile limitare l’ambito degli oggetti da scansionare in un bucket definendo che vengano scansionati solo gli oggetti con determinati prefissi. GuardDuty scansionerà gli oggetti caricati che corrispondono a questi prefissi definiti e genererà un esito di sicurezza e una notifica Amazon EventBridge con un risultato di scansione dettagliato: infetto, integro, ignorato o non riuscito. La notifica includerà anche le metriche di scansione relative al numero di oggetti e byte scansionati. È inoltre possibile definire le azioni post-scansione che GuardDuty eseguirà sull’oggetto in base al risultato della scansione, come la quarantena automatica o l'etichettatura degli oggetti.

Sì, ogni nuovo account GuardDuty in ogni Regione riceve una prova gratuita di 30 giorni di GuardDuty, inclusa la funzionalità di Protezione dai malware (disponibile solo per la scansione avviata da GuardDuty dei volumi di dati EBS; non è disponibile una versione di prova gratuita della Protezione dai malware di GuardDuty per Amazon S3). Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la Protezione dai malware la prima volta che questa funzione viene abilitata sull'account. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per i propri account membro. Dopo 30 giorni è possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

Puoi abilitare la Protezione dai malware dalla console di GuardDuty dalla pagina relativa alla Protezione dai malware o tramite l’API. Se hai optato per una configurazione multi-account di GuardDuty, puoi abilitare la funzione per tutta l'organizzazione dalla console della pagina relativa alla protezione malware del tuo account amministratore. In questo modo, sarà abilitato il monitoraggio di malware su tutti i singoli account membro. Per gli account di GuardDuty creati con la funzionalità di abilitazione automatica di AWS Organizations, è necessario attivare l’opzione di abilitazione automatica per la Protezione dai malware.

Nel caso della Protezione dai malware per S3, puoi integrare la scansione anti-malware nelle tue applicazioni seguendo due passaggi. Innanzitutto, in qualità di proprietario dell’applicazione, è necessario configurare la configurazione della protezione dei bucket sui bucket che desideri monitorare. Puoi configurarla nella console GuardDuty a livello di codice per un bucket esistente o quando ne crei uno nuovo. GuardDuty invierà le metriche di scansione ai tuoi eventi EventBridge per ogni bucket S3 protetto, consentendoti di impostare allarmi e definire azioni post-scansione, come etichettare l’oggetto o copiare l’oggetto dannoso in un bucket di quarantena che GuardDuty eseguirà in base al risultato della scansione. Se GuardDuty è abilitato per il tuo account, in GuardDuty viene generato anche un esito di sicurezza.

Sì, la Protezione dai malware di GuardDuty sarà abilitata per impostazione predefinita su tutti i nuovi account che attivano GuardDuty nella console o tramite l’API (per la scansione dei volumi EBS). Per i nuovi account di GuardDuty creati con la funzionalità di abilitazione automatica di AWS Organizations, è necessario attivare l’opzione di abilitazione automatica per la Protezione dai malware. 

Puoi disabilitare la funzionalità dalla console o tramite l’API. Vedrai l'opzione per disabilitare la protezione malware per i tuoi account nella console di GuardDuty o nella pagina della console relativa alla protezione malware. Se sei un amministratore di GuardDuty, puoi anche disabilitare la Protezione dai malware sui tuoi account membro.

Se hai disabilitato la Protezione dai malware, puoi riabilitarla dalla console o tramite l’API. Puoi disabilitare la Protezione dai malware per i tuoi account nella console di GuardDuty o nella pagina relativa alla Protezione dai malware.

No, non riceverai addebiti per la protezione malware se non sono state effettuate scansioni durante il periodo di fatturazione. È possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

Sì, GuardDuty offre una funzionalità di gestione multi-account che permette di associare e gestire più account AWS da un singolo account amministratore. L’integrazione di AWS Organizations consente a GuardDuty di gestire più account. Questa integrazione aiuta i team di sicurezza e conformità a garantire la copertura totale di GuardDuty, inclusa la Protezione dai malware, per tutti gli account di un’organizzazione.

No. Una volta che la funzionalità è abilitata, la Protezione dai malware di GuardDuty avvia la scansione anti-malware in risposta agli esiti Amazon EC2 pertinenti. Non dovrai implementare alcun agente, attivare origini dei log o apportare modifiche alla configurazione.

La Protezione dai malware di GuardDuty è progettata per non influire sulle prestazioni dei carichi di lavoro. Ad esempio, gli snapshot dei volumi Amazon EBS creati per l'analisi dei malware possono essere generati soltanto una volta ogni 24 ore, e la protezione da malware GuardDuty mantiene le repliche crittografate e gli snapshot soltanto per pochi minuti dopo il completamento della scansione. Inoltre, la Protezione dai malware di GuardDuty utilizza le risorse di calcolo di GuardDuty per la scansione dei malware invece delle risorse di calcolo del cliente.

Sì, GuardDuty è un servizio regionale ed è necessario abilitare separatamente la Protezione dai malware in ogni Regione AWS.

La Protezione dai malware di GuardDuty scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account. Se i tuoi volumi Amazon EBS sono crittografati con una chiave gestita dal cliente, puoi condividere la tua chiave di AWS Key Management Service (KMS) con GuardDuty. Il servizio utilizza la stessa chiave per crittografare la replica del volume Amazon EBS. Per i volumi Amazon EBS non crittografati, GuardDuty utilizza la sua chiave per la crittografia della replica del volume Amazon EBS.

Sì, tutti i dati della replica del volume Amazon EBS (e gli snapshot su cui si basa la replica del volume) rimangono nella stessa Regione del volume Amazon EBS originale.

Ogni nuovo account GuardDuty, in ogni Regione, riceve una prova gratuita di 30 giorni di GuardDuty, inclusa la funzionalità di Protezione dai malware (solo per le scansioni dei volumi di dati EBS avviate da GuardDuty; non è disponibile una versione di prova gratuita per Malware Protection for Amazon S3). Gli account GuardDuty esistenti hanno diritto a un periodo di prova gratuito di 30 giorni senza costi aggiuntivi per la Protezione dai malware la prima volta che questa funzione viene abilitata sull’account. Durante il periodo di prova, è possibile consultare, nella pagina di utilizzo della console di GuardDuty, i costi stimati che saranno applicati al termine della prova. Gli amministratori di GuardDuty potranno visualizzare i costi stimati per i propri account membro. Dopo 30 giorni, è possibile visualizzare i costi effettivi di questa funzionalità nella console AWS per la fatturazione.

I prezzi per la scansione anti-malware dei volumi EBS si basano sui GB di dati scansionati in un volume. È possibile personalizzare le opzioni tramite le opzioni di scansione dalla console per contrassegnare alcune istanze Amazon EC2, utilizzando i tag, affinché queste siano incluse o escluse dalla scansione. Di conseguenza, potrai controllare i costi. Inoltre, GuardDuty scansionerà ogni istanza Amazon EC2 una sola volta ogni 24 ore. Nel caso in cui GuardDuty generi più risultati Amazon EC2 per una sola istanza Amazon EC2 in 24 ore, verrà effettuata una scansione soltanto per il primo risultato rilevante. Se continuano a essere generati esiti Amazon EC2 per un’istanza 24 ore dopo l’ultima scansione malware, verrà avviata una nuova scansione.

I prezzi per la scansione anti-malware degli oggetti di archiviazione nei bucket S3 si basano sui GB di dati scansionati e sul numero di file scansionati in un bucket S3 designato configurato per la scansione anti-malware. GuardDuty scansionerà solo i file appena caricati nei bucket configurati e non scansionerà i file esistenti o i file in bucket non designati per la scansione anti-malware.

Sì, esiste un'impostazione tramite cui puoi abilitare la conservazione degli snapshot quando vengono rilevati malware. Puoi abilitare questa funzione dalla console GuardDuty sulla pagina delle impostazioni. Per impostazione predefinita, gli snapshot vengono cancellati pochi minuti dopo il completamento della scansione e dopo 24 ore nel caso in cui la scansione non venga completata.

La Protezione dai malware di GuardDuty mantiene ogni replica del volume Amazon EBS che genera e le scansioni fino a 24 ore. Per impostazione predefinita, la replica dei volumi Amazon EBS viene cancellata pochi minuti dopo il completamento della scansione malware di GuardDuty. Tuttavia, per alcune istanze, la protezione da malware GuardDuty potrebbe aver bisogno di mantenere la replica dei volumi Amazon EBS per più di 24 ore, nel caso in cui un problema di connessione o di funzionamento del servizio interferisca con la scansione. Nel caso in cui ciò si verifichi, la protezione da malware di GuardDuty manterrà la replica del volume Amazon EBS fino a sette giorni per dare al servizio il tempo di individuare e risolvere il problema di funzionamento o connessione. La Protezione dai malware di GuardDuty cancellerà la replica del volume Amazon EBS una volta risolto il problema o alla fine del periodo di conservazione prolungato.

No, GuardDuty scansiona una replica sulla base degli snapshot dei volumi Amazon EBS collegati alle istanze Amazon EC2 potenzialmente infette o ai carichi di lavoro dei container nel tuo account soltanto una volta ogni 24 ore. Anche nel caso in cui GuardDuty generi più risultati idonei a una scansione, non verranno avviate scansioni aggiuntive se ne è stata effettuata una entro le 24 ore precedenti. Se GuardDuty genera esiti 24 ore dopo l’ultima scansione malware, la protezione avvierà una nuova scansione per il carico di lavoro.

No, è sufficiente disabilitare il servizio GuardDuty per disabilitare anche la funzionalità di Protezione dai malware.

No, la Protezione dai malware di GuardDuty per S3 è flessibile: consente ai proprietari delle applicazioni di configurare la funzionalità per i propri bucket S3 anche quando GuardDuty di base non è abilitato per l'account. GuardDuty di base include il monitoraggio predefinito delle fonti fondamentali, come gli eventi di gestione di AWS CloudTrail, i log di flusso VPC e i log delle query DNS.

La Protezione dai malware di GuardDuty per AWS Backup consente di rilevare malware nei backup di Amazon EC2, Amazon EBS e Amazon S3 senza distribuire software o agenti di sicurezza aggiuntivi. Questa funzionalità completamente gestita consente di scansionare automaticamente i backup dopo la creazione, eseguire scansioni su richiesta dei backup precedenti e verificare l’integrità del backup prima del ripristino. Inoltre, questa funzionalità utilizza una scansione incrementale economicamente conveniente che analizza solo i nuovi dati netti tra i backup successivi, fornendo una protezione flessibile e continua e riducendo i costi di scansione rispetto alle scansioni complete dei backup.

La protezione RDS di GuardDuty può essere attivata con una sola operazione nella console di GuardDuty, senza agenti da implementare manualmente, senza origini dati da attivare e senza autorizzazioni da configurare. Utilizzando modelli di ML personalizzati, la funzionalità di protezione RDS di GuardDuty inizia analizzando e delineando i tentativi di accesso ai database Amazon Aurora nuovi ed esistenti. Quando vengono identificati comportamenti o tentativi sospetti da parte di utenti malintenzionati noti, GuardDuty invia esiti di sicurezza concreti alle console di GuardDuty e Amazon Relational Database Service (RDS), alla Centrale di sicurezza e ad Amazon EventBridge, consentendo l’integrazione con sistemi di flussi di lavoro o di gestione degli eventi di sicurezza esistenti. Scopri di più su come la protezione RDS di GuardDuty utilizza il monitoraggio delle attività di accesso RDS.

Per gli account GuardDuty correnti, la funzionalità può essere attivata dalla console GuardDuty nella pagina Protezione per RDS o tramite l’API. Scopri di più sulla Protezione per RDS di GuardDuty.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione RDS attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di abilitazione automatica di AWS Organizations non avranno il servizio di protezione RDS attivato a meno che l’opzione di abilitazione automatica per RDS non sia attivata.

No, il servizio GuardDuty deve essere abilitato perché la Protezione per RDS di GuardDuty sia disponibile.

Per un elenco completo delle Regioni in cui è disponibile la Protezione per RDS, consulta Disponibilità delle funzionalità specifiche per Regione.

Consulta l’elenco delle versioni supportate del database Amazon Aurora.

No, il rilevamento delle minacce di GuardDuty per i database Aurora è progettato per non avere implicazioni in termini di prestazioni, disponibilità o costi per i database Amazon Aurora.

La Protezione per Lambda di GuardDuty monitora continuamente l’attività di rete, a partire dai log di flusso VPC, dai carichi di lavoro serverless per rilevare minacce come le funzioni Lambda riutilizzate in modo dannoso per il mining di criptovaluta non autorizzato o le funzioni Lambda compromesse che comunicano con i server noti degli autori delle minacce. La protezione Lambda di GuardDuty può essere abilitata con pochi passaggi nella console GuardDuty e, tramite AWS Organizations, può essere abilitata centralmente per tutti gli account esistenti e nuovi di un'organizzazione. Una volta abilitata, avvia automaticamente il monitoraggio dei dati delle attività di rete di tutte le funzioni Lambda esistenti e nuove in un account.

Per gli account GuardDuty correnti, la funzionalità può essere attivata dalla console GuardDuty nella pagina Protezione per Lambda o tramite l’API. Scopri di più sulla protezione per Lambda di GuardDuty.

Sì. Tutti i nuovi account che attivano GuardDuty sulla console o tramite l'API avranno il servizio di protezione Lambda attivato per impostazione predefinita. I nuovi account GuardDuty creati utilizzando la funzionalità di abilitazione automatica di AWS Organizations non avranno il servizio di Protezione per Lambda attivato per impostazione predefinita, a meno che l’opzione di abilitazione automatica per Lambda non sia attivata.

Per un elenco completo delle regioni in cui è disponibile la protezione Lambda, consulta Disponibilità delle funzionalità specifiche per Regione.

No, la protezione Lambda di GuardDuty è progettata per non avere implicazioni in termini di prestazioni, disponibilità o costi per i carichi di lavoro Lambda.

Amazon GuardDuty ha introdotto funzionalità Extended Threat Detection basate sull'intelligenza artificiale (IA) e sul machine learning (ML) per identificare rapidamente sequenze di attacchi complesse e in più fasi rivolte ai tuoi account, carichi di lavoro e dati AWS. Ciò consente a GuardDuty di rilevare e assegnare priorità alle sequenze di attacco attive, fornendoti una visione completa delle minacce e consigli prescrittivi di correzione per aiutarti a rispondere più rapidamente e ridurre al minimo l’impatto aziendale.

GuardDuty utilizza tecniche di IA e ML addestrate su scala AWS per mettere insieme automaticamente segnali ed esiti di sicurezza provenienti da vari servizi AWS. Ciò consente di identificare sequenze di attacco complete, come la compromissione delle credenziali seguita dall’esfiltrazione dei dati, e di rappresentarle come un unico esito con elevata priorità. L’esito include un riepilogo in linguaggio naturale della minaccia, dettagli sulle risorse interessate e raccomandazioni dettagliate per porvi rimedio.

I vantaggi principali includono:

• Rilevamento e risposta delle minacce più rapidi con l’aiuto di segnali di minaccia eterogenei correlati automaticamente e meno avvisi di sicurezza da analizzare manualmente
• Migliore visibilità sulle sequenze di attacco che coinvolgono più risorse e account
• Semplifica la risposta con raccomandazioni prescrittive di correzione basate sulle best practice di AWS e sulle mappature tattiche e tecniche MITRE ATT&CK®

Extended Threat Detection viene abilitato automaticamente e senza costi aggiuntivi per tutti i clienti GuardDuty, nuovi ed esistenti. Puoi visualizzare e intervenire sugli esiti della nuova sequenza di attacco direttamente dalla console GuardDuty o tramite le integrazioni GuardDuty con AWS Security Hub, Amazon EventBridge e altri strumenti di sicurezza che potresti già utilizzare.

No, non è necessario abilitare tutti i piani di protezione GuardDuty per beneficiare di Extended Threat Detection. Tuttavia, l’attivazione di più piani di protezione GuardDuty aumenterà l’ampiezza dei segnali di sicurezza disponibili, consentendogli di fornire rilevamento e analisi delle minacce ancora più completi. È necessario abilitare la Protezione per S3 di GuardDuty se si desidera che Extended Threat Detection di GuardDuty identifichi le compromissioni dei dati che possono far parte di un evento ransomware.

Ad esempio, se hai abilitato solo il rilevamento delle minacce di base di GuardDuty, GuardDuty sarebbe in grado di identificare una potenziale sequenza di attacco che inizia con l’attività di individuazione dei privilegi IAM, come le API S3, e prosegue fino all’alterazione del piano di controllo (control-plane) di Amazon S3, ad esempio la modifica di una policy sulle risorse del bucket Amazon S3 per renderla più permissiva.

Tuttavia, se abiliti anche la protezione S3 di GuardDuty, il rilevamento sarà potenziato. GuardDuty sarà ora in grado di aggiungere un’indicazione della potenziale attività di esfiltrazione dei dati allo stesso esito della sequenza di attacco. Ciò potrebbe accadere dopo che l'accesso al bucket S3 è stato reso più permissivo. Combinando queste funzionalità, GuardDuty può ora creare un rilevamento della sequenza di attacco più completo. Ciò fornisce una visione più completa della potenziale minaccia e delle diverse fasi dell'attacco.

Le funzionalità di Extended Threat Detection sono incluse senza costi aggiuntivi per tutti i clienti GuardDuty. I prezzi di GuardDuty, comprese le nuove funzionalità di Extended Threat Detection, rimangono invariati: paghi solo quello che usi, senza costi iniziali o aggiuntivi.

L'attivazione di S3 Protection consente a GuardDuty di correlare segnali più diversi su più fonti di dati, ampliando la sua capacità di rilevare sequenze di attacco complesse che coinvolgono i bucket S3. Con S3 Protection abilitato, GuardDuty è in grado di identificare le potenziali attività di esfiltrazione dei dati che possono verificarsi dopo che l’accesso al bucket S3 diventa più permissivo, oltre a rilevare il rilevamento dei privilegi IAM e le alterazioni del piano di controllo (control-plane) S3. Ciò fornisce una visione più completa delle potenziali minacce che prendono di mira le tue risorse S3.

Con S3 Protection, GuardDuty è in grado di rilevare sequenze di attacco in più fasi che coinvolgono le tue risorse Amazon S3. Queste possono includere scenari come attività di individuazione dei privilegi IAM sulle API S3 seguite da modifiche alle policy di bucket S3 per aumentare le autorizzazioni o chiamate API sospette per elencare o modificare i bucket S3 seguite da attività anomale di accesso o trasferimento dei dati. GuardDuty può anche identificare i tentativi di sfruttare le configurazioni errate nelle policy dei bucket S3 per ottenere accessi non autorizzati, nonché le sequenze che comportano una ricognizione iniziale delle risorse S3 seguita da tentativi di esfiltrazione dei dati. Questa funzionalità consente il rilevamento precoce di minacce complesse che altrimenti potrebbero passare inosservate fino a quando non si verifichino danni significativi.

L’attivazione di EKS Protection for Extended Threat Detection offre diversi vantaggi chiave per proteggere i cluster Amazon Elastic Kubernetes Service (Amazon EKS). Consente a GuardDuty di correlare i segnali di sicurezza tra i log di audit di Amazon EKS, i comportamenti di runtime e l’attività delle API AWS, consentendo il rilevamento di sofisticate sequenze di attacco che altrimenti potrebbero passare inosservate. Ciò include attacchi in più fasi come lo sfruttamento iniziale dei container seguito dall’escalation dei privilegi. GuardDuty è in grado di identificare automaticamente potenziali compromessi sui cluster EKS, sui pod e sulle risorse AWS associate, fornendo una migliore visibilità sulle minacce complesse che riguardano i carichi di lavoro dei container e i servizi AWS. Questo approccio migliora la tua capacità di rilevare e rispondere alle minacce avanzate che prendono di mira i tuoi ambienti Kubernetes.

GuardDuty sfrutta EKS Protection e Runtime Monitoring per creare una visione olistica dei cluster Amazon EKS, consentendogli di rilevare modelli di attacco complessi. EKS Protection monitora le attività del piano di controllo (control-plane), mentre Runtime Monitoring osserva i comportamenti all'interno dei container. Questa combinazione consente a GuardDuty di rilevare sequenze di attacco sofisticate come la compromissione dei container che eseguono applicazioni Web vulnerabili, l’accesso non autorizzato tramite credenziali non configurate, i tentativi di aumentare i privilegi all’interno del cluster, le richieste API sospette al server API Kubernetes e i tentativi di accesso a dati sensibili o risorse AWS tramite pod compromessi. Correlando questi diversi segnali, GuardDuty è in grado di identificare sequenze di attacco specifiche che potrebbero sfuggire ai singoli rilevamenti, fornendo una postura di sicurezza più completa per i tuoi ambienti EKS.

La combinazione di GuardDuty di base, che monitora CloudTrail e l’attività di rete, e Runtime Monitoring, che osserva i comportamenti dei processi e le chiamate di sistema all’interno delle istanze, fornisce un rilevamento delle minacce più completo. Questo monitoraggio integrato consente a GuardDuty di rilevare sofisticate sequenze di attacco come accessi non autorizzati tramite credenziali non configurate correttamente, tentativi di escalation dei privilegi e accesso non autorizzato a dati sensibili. Correlando questi diversi segnali, GuardDuty è in grado di identificare modelli di attacco complessi che potrebbero non essere rilevati dai singoli rilevamenti e mappare il vettore di attacco completo. 

Il monitoraggio del runtime è essenziale per un rilevamento più completo delle minacce negli ambienti Amazon ECS, aiutandoti a rilevare minacce più sofisticate specifiche dei container, come processi sospetti, tentativi di persistenza e attività non autorizzate.

Per Amazon ECS su Fargate: il monitoraggio del runtime è necessario per il rilevamento delle minacce, poiché altre origini dati GuardDuty non hanno visibilità nei container Fargate. Senza Runtime Monitoring abilitato, non verrà generato alcun esito di sicurezza per i carichi di lavoro Fargate.

Per ECS su EC2: Runtime Monitoring fornisce il rilevamento delle minacce in grado di riconoscere i container con un’attribuzione precisa a cluster ECS specifici. Riceverai esiti di sicurezza specializzati (come AttackSequence:ECS/CompromisedCluster). Senza Runtime Monitoring, GuardDuty può attribuire le minacce rilevate solo all’istanza EC2 sottostante, ottenendo esiti specifici per EC2 anziché approfondimenti a livello di cluster ECS.

Correlando diversi segnali tra l'attività di rete, il comportamento in fase di runtime dei processi e l'attività delle API AWS, GuardDuty è in grado di identificare modelli di attacco complessi che potrebbero non essere rilevati dai singoli rilevamenti e mappare il vettore di attacco completo.