O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente suas contas e workloads da AWS para detectar atividade maliciosa e entrega resultados de segurança detalhados para visibilidade e correção.
O GuardDuty não é um serviço gratuito, embora a ativação do GuardDuty inicie uma avaliação gratuita de 30 dias. Depois disso, a definição de preço é baseada no número de eventos do AWS CloudTrail analisados por mês e no volume de dados de log de fluxo de VPC e log de DNS analisados por mês.
Como funciona?
O serviço utiliza machine learning, detecção de anomalias e inteligência de ameaças integrada para identificar e priorizar ameaças potenciais. O GuardDuty analisa dezenas de bilhões de eventos em várias fontes de dados da AWS, como logs de eventos do AWS CloudTrail, logs de fluxo da Amazon VPC e logs de DNS.
O GuardDuty detecta três tipos principais de ameaças:
Instâncias comprometidas: O GuardDuty detectará quaisquer picos incomuns no tráfego de rede, bem como recursos invadidos, como um endereço IP externo seqüestrando instâncias do EC2.
Reconhecimento: Reconhecimento é quando um invasor coleta informações sobre a rede. O GuardDuty detecta atividades que sugerem reconhecimento, como sondagem de porta desbloqueada de um IP malicioso conhecido, verificação de porta VPC e atividade de API incomum.
Contas comprometidas: O GuardDuty detectará padrões comuns que indicam um comprometimento da conta, como chamadas de API de locais incomuns, atualizações que enfraquecem a política de senha da conta e chamadas de API de IPs maliciosos conhecidos.
O serviço categoriza seus alertas em três níveis de gravidade: baixo, médio e alto.
Ameaças de baixa gravidade geralmente são ameaças que foram bloqueadas sem comprometer os recursos.
Ameaças de gravidade média indicam atividade suspeita. Isso pode incluir um aumento no tráfego direcionado a domínios relacionados ao bitcoin, o que pode ser um sinal de mineração de criptomoedas.
Ameaças de alta gravidade indicam um recurso comprometido e devem ser corrigidas imediatamente.
Configurando o GuardDuty
A configuração do GuardDuty exige que os administradores criem uma função Identity and Access Management (IAM) para permitir que o GuardDuty consulte vários serviços, incluindo EC2, S3, VPC Flow e Organizations. Ele também permite que o CloudWatch consulte o barramento de eventos da AWS para ler eventos do GuardDuty e colocar esses eventos em um fluxo de dados kinesis, você poder ver todas as informações no site https://aws.amazon.com/pt/guardduty/.
CYBER DICA!
Se você ficou interessado nesta área e quer começar do zero ou já trabalha com Tecnologia da Informação e quer migrar para Cibersegurança, recomendo fortemente o Curso Hacker Ético da Danki.Code. Clique aqui e saiba mais sobre o que você irá aprender e com isso se tornar um profissional de uma das áreas que esta com grande demanda no mercado de trabalho nos dias atuais.