Что такое Amazon GuardDuty ?;

Опубликовано: 2 Марта, 2022

Безопасность становится главным фактором, когда пользователи хранят свои данные в облаке. Все хотят, чтобы их данные были в безопасности. Поэтому они смотрят на платформу, которая также является рентабельной, а предоставляемые ими услуги могут защитить их данные. Amazon доказывает, что предоставляет такие услуги. Amazon GuardDuty - один из них.

Amazon GuardDuty - это сервис, который обнаруживает угрозы, непрерывно анализируя и отслеживая необычное и неожиданное поведение, чтобы защитить вашу учетную запись AWS, рабочие нагрузки и ваши данные, которые хранятся в amazon s3. Он отслеживает все это, анализируя миллиарды запросов из нескольких источников данных AWS, таких как журналы событий AWS CloudTrail, журналы потоков VPC и журналы DNS. Затем он использует эти журналы данных для получения информации об источниках вредоносных программ, таких как IP-адреса и URL-адреса, поскольку они более подвержены угрозам, а не для манипулирования ими при обнаружении нескольких методов безопасности для решения проблемы. GuardDuty - это интеллектуальный, а также экономичный сервис, предоставляемый AWS для обнаружения угроз, поскольку для отдельного пользователя становится очень много времени анализировать все журналы данных, а затем отслеживать их данные и после этого защищать свои данные от угрозы. За несколько щелчков мышью вы можете включить GuardDuty из консоли управления Amazon, не заботясь о развертывании базового оборудования или программного обеспечения и с минимальными затратами. Эта служба использует встроенные службы машинного обучения, методы обнаружения аномалий и различные методы интегрированного анализа угроз для выявления и определения приоритетности потенциальных угроз.

История

После выпуска GuardDuty было внесено несколько изменений, направленных на повышение качества обслуживания и простоту использования. Некоторые из них - AWS увеличивает количество IP-адресов, чтобы лучше общаться и повышать качество. Добавлены некоторые из новейших методов анализа угроз для большей безопасности. Добавлены некоторые новые детали использования для целей мониторинга и, соответственно, оценки стоимости. Есть кое-что, что также удаляет из GuardDuty, то есть бэкдор, который фактически сообщает, что ваш экземпляр EC2 в среде AWS пытается связаться с некоторыми IP-адресами, которые связаны с некоторыми видами вредоносных программ. Теперь он доступен для еще нескольких регионов, которые ранее были ограничены несколькими регионами. Добавлена функция Recon, которая фактически использовалась для информирования о том, что чувствительный порт, связанный с EMR, на инстансе EC2 не заблокирован и активно исследуется. Итак, это функции, над которыми AWS постоянно работает, чтобы предоставлять своим пользователям более качественные услуги, а безопасность становится главным фактором.

Функции

  1. Он может непрерывно контролировать несколько учетных записей одновременно без дополнительных затрат и сложности.
  2. Его эффективность достойна похвалы.
  3. Он автоматически может отреагировать и устранить угрозу.
  4. Уровень точности высокий.
  5. Он может всесторонне идентифицировать угрозы. Он постоянно отслеживает входящие данные, сетевую активность для лучшего результата с помощью других сервисов AWS.
  6. Повышает безопасность за счет автоматизации. Поскольку он способен автоматически реагировать на обнаружение угрозы. Он может исправлять действия, используя события Amazon cloudwatch и другие сервисы.
  7. Им можно управлять централизованно. Он может централизованно управлять новыми и существующими учетными записями всех пользователей.

Как работает GuardDuty?

Как уже упоминалось, GuardDuty постоянно анализирует облачные события, используя другие многочисленные сервисы AWS, такие как журналы событий AWS CloudTrail, журналы потоков Amazon Virtual Private Cloud (VPC) и журналы системы доменных имен (DNS) для анализа вредоносных действий.

GuardDuty может обнаруживать три типа детекторов:

  1. Взломанные учетные записи: это угроза, при которой человеку не разрешен доступ к учетной записи, но он использует несанкционированные средства. В облаке эти угрозы включают вызовы API из странного места и попытки внести изменения в инфраструктуру или отключить CloudTrail, чтобы он мог создать препятствие для анализа журнала данных.
  2. Разведка злоумышленника: включает угрозу, при которой атаки начинаются со сканирования сети с зараженной конечной точки, чтобы определить местонахождение актива и служб, на которые злоумышленник хочет нацелить его, в основном, известное как сканирование портов.
  3. Взломанные ресурсы: в основном это угроза, при которой ресурсы, такие как экземпляры EC2, захватываются внешним IP-адресом, и возникают необычные всплески сетевого трафика.

Администратор GuardDuty должен предоставить свои IP-адреса для обнаружения угрозы, поскольку GuardDuty не имеет функции настраиваемых правил обнаружения поддержки. Чтобы работать более эффективно, пользователи могут реагировать на «большой палец вверх» или «большой палец вниз», предоставляемый GuardDuty, для улучшения. В консоли управления он находится в формате JSON, что позволяет пользователю выполнять действия, идентифицируя угрозу, обнаруженную GuardDuty.

Компании, использующие GuardDuty

Ведущими компаниями, которые используют эту услугу в целях безопасности, являются FICO, webroot, Mapbox, Autodesk.

Вот список других компаний, использующих GuardDuty:

  1. Полка.
  2. Грунтовка.
  3. Александрия.
  4. ГОТОВ К.
  5. Чико Рей.
  6. BeachBody.
  7. Врачи.
  8. Глициния.

Преимущества

  1. Централизованное управление: позволяет контролировать несколько учетных записей с помощью GuardDuty. Вы можете объединить все свои учетные записи в одну учетную запись администратора GuardDuty для удобства и управления. Это выгодно, если это крупное предприятие и отдельная группа безопасности, чтобы они могли напрямую сосредоточиться на этом в целом для всего бизнеса.
  2. Полностью автоматизирован: вам просто нужно указать свои IP-адреса и ничего больше за несколько щелчков мышью, вы можете включить это, и вам не нужно смотреть на базовое оборудование или конфигурацию, настройку или управление. Все автоматизировано.
  3. Рентабельность: приз основан на анализе событий CloudTrail и рабочего процесса Amazon VPC и журнала DNS, т.е. в соответствии с вашими данными и рабочей нагрузкой, за которую он будет взиматься. Нет фиксированной цены. Плата будет взиматься в соответствии с вашим использованием.
  4. Комплексная идентификация угроз: GuardDuty поставляется с современными интегрированными методами и инструментами анализа угроз для мониторинга ваших данных. Это помогает отслеживать неожиданный и необычный доступ к вашим данным, криптовалюте и другие вредоносные действия.

Недостатки

У GuardDuty нет таких недостатков, которые заставляют пользователей не использовать его, но да, ему нужны несколько других сервисов AWS, таких как события CloudTrail, журналы DNS, журналы потоков VPC, чтобы анализировать данные, и, соответственно, он работает на выходах этих сервисов. .

Продвинутая компьютерная тематика

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Сеть сортировки Bitonic с использованием параллельных вычислений
27 Февраля, 2023
Аппаратное обеспечение ввода-вывода в операционной системе
23 Февраля, 2023
Pointer-анализ
23 Февраля, 2023
Сетевая архитектура 5G
22 Февраля, 2023
Основные понятия оптимизации параллелизма и локальности
21 Февраля, 2023
Простой генератор кода
21 Февраля, 2023
Модели шума в цифровой обработке изображений
21 Февраля, 2023
Встроенные функции в MATLAB
7 Января, 2023