📌  相关文章
📜  什么是Amazon GuardDuty?

📅  最后修改于: 2021-04-17 01:52:44             🧑  作者: Mango

当用户将数据存储在云中时,安全性成为首要因素。每个人都希望他们的数据必须安全。因此,他们着眼于也具有成本效益的平台,并且他们提供的服务可以保护其数据。事实证明,亚马逊正在提供这些类型的服务。 Amazon GuardDuty是其中之一。

Amazon GuardDuty是一项服务,可通过持续分析和监视异常和意外行为来检测威胁,以保护您的AWS账户,工作负载以及存储在Amazon s3中的数据。它通过分析多个AWS数据源(例如AWS CloudTrail事件日志,VPC流日志和DNS日志)中的数十亿个请求来监控所有这些情况。然后,它会进一步使用这些数据日志来了解IP地址和URL之类的恶意源,因为它们更容易受到威胁,并且比检测多种安全技术来操纵它们来解决问题更容易受到威胁。 GuardDuty是AWS提供的一种智能服务,也是一种经济高效的服务,可用于检测威胁,因为单个用户分析所有数据日志然后监视其数据变得非常耗时,此后保护其数据免于受到威胁。威胁。只需单击几下,您就可以从Amazon Management Console启用GuardDuty,而无需考虑底层硬件或软件的部署,并且花费最少。该服务使用内置服务机器学习,异常检测技术和各种集成的威胁情报技术来识别潜在威胁并确定优先级。

历史

GuardDuty发布后已进行了一些更改,以提高服务质量和易用性。其中一些是AWS增加了IP地址的数量,以便更好地进行通信并扩大质量。添加了一些最新的威胁情报技术,以提高安全性。添加了一些新的使用详细信息以用于监视目的,并因此进行了成本估算。从GuardDuty的后门中也删除了一些内容,这实际上表明您在AWS环境中的EC2实例正在尝试与某些与某种恶意软件相关联的IP地址进行通信。现在可以将其提供给更多的区域,这些区域以前仅限于几个区域。添加了Recon的功能,该功能实际上用于通知EC2实例上与EMR相关的敏感端口未被阻止并且正在被主动探测。因此,这些功能是AWS持续致力于为用户提供更高服务质量的功能,而安全性却成为首要因素。

特征

  1. 它可以同时连续监视多个帐户,而不会增加成本和复杂性。
  2. 其效率值得称赞。
  3. 它可以自动响应和补救威胁。
  4. 准确度高。
  5. 它可以全面识别威胁。它通过使用其他AWS服务连续监视传入的数据和网络活动,以获得更好的结果。
  6. 它通过自动化来增强安全性。由于它能够自动响应威胁检测。它可以利用Amazon cloudwatch事件和其他服务来补救操作。
  7. 可以集中管理。它可以集中管理所有用户的新帐户和现有帐户。

GuardDuty如何工作?

如前所述,GuardDuty通过使用其他多个AWS服务(例如AWS CloudTrail事件日志,Amazon虚拟私有云(VPC)流日志和域名系统(DNS)日志)来连续分析云事件,以分析恶意活动。

GuardDuty可以检测三种类型的检测-

  1. 帐户遭到破坏:这是一种威胁,其中不允许某人访问该帐户,而是通过未经授权的方式使用该帐户。在云中,这些威胁包括从一个奇怪的位置进行API调用,并试图尝试对基础架构进行更改或禁用CloudTrail,以便它可能成为分析数据日志的障碍。
  2. 攻击者侦察:它包括以下威胁:攻击始于从受感染的端点扫描网络,以定位攻击者想要针对的资产和服务,这基本上就是端口扫描。
  3. 受损的资源:它基本上包括以下威胁:通过外部IP地址劫持资源(例如EC2实例),并且网络流量出现异常的峰值。

GuardDuty管理员必须提供其IP地址才能检测到威胁,因为GuardDuty不具有自定义支持检测规则的功能。为了更有效地工作,用户可以对GuardDuty提供的竖起大拇指或倒下大拇指做出响应,以进行改进。在管理控制台中,它采用JSON格式,使用户可以通过识别GuardDuty检测到的威胁来采取措施。

使用GuardDuty的公司

出于安全目的而使用此服务的领先公司是FICO,webroot,Mapbox,Autodesk。

以下是使用GuardDuty的更多公司的列表:

  1. 架子。
  2. 底漆。
  3. 亚历山德里亚。
  4. 准备就绪。
  5. Chico Rei。
  6. 海滩的身体。
  7. 卫生学家。
  8. 紫藤。

好处

  1. 中央管理:它允许使用GuardDuty监视多个帐户。您可以将所有帐户汇总到一个GuardDuty管理员帐户中,以方便管理。对于大型企业来说,这是有益的,并且分别拥有他们的安全团队,因此他们可以直接将其作为整个业务的整体重点。
  2. 全自动:您只需单击几下即可提供您的IP地址,只需启用即可,而无需查看基础硬件或配置,设置或管理。这都是自动化的。
  3. 经济高效:其奖项是基于对CloudTrail事件以及亚马逊VPC工作流程和DNS日志的分析得出的,即根据您的数据和将收取的工作量得出的。没有统一价格。根据您的使用情况,将收取费用。
  4. 全面的威胁识别: GuardDuty带有最新的集成威胁情报技术和工具来监视您的数据。它有助于监视对数据,加密货币和其他恶意活动的意外,异常访问。

缺点

GuardDuty并没有使用户不使用它的缺点,但是是的,它需要AWS的其他一些服务,例如CloudTrail事件,DNS日志,VPC流日志,以便分析数据,然后由这些服务的输出来工作。