¿Qué es Amazon GuardDuty?;

La seguridad se convierte en el factor principal cuando los usuarios almacenan sus datos en la nube. Todos quieren que sus datos estén seguros y protegidos. Por lo tanto, ven la plataforma que también es rentable y los servicios proporcionados por ellos pueden proteger sus datos. Amazon demuestra estar proporcionando este tipo de servicios. Amazon GuardDuty es uno de ellos.

Amazon GuardDuty es un servicio que detecta las amenazas analizando y monitoreando continuamente el comportamiento inusual e inesperado para proteger su cuenta de AWS, las cargas de trabajo y los datos almacenados en Amazon s3. Supervisa todo esto mediante el análisis de miles de millones de requests en múltiples fuentes de datos de AWS, como registros de eventos de AWS CloudTrail, registros de flujo de VPC y registros de DNS. Luego utiliza estos registros de datos para conocer fuentes maliciosas, como direcciones IP y URL, ya que son más propensas a las amenazas que manipularlas para detectar las múltiples técnicas de seguridad a fin de resolver el problema. GuardDuty es un servicio inteligente y también rentable proporcionado por AWS para detectar las amenazas porque se vuelve muy lento para un usuario individual analizar todos los registros de datos y luego monitorear sus datos y luego proteger sus datos de las amenazas Con unos pocos clics, puede habilitar GuardDuty desde Amazon Management Console sin ocuparse de la implementación del hardware o software subyacente y con un costo mínimo. Este servicio utiliza los servicios incorporados Aprendizaje automático, técnicas de detección de anomalías y varias técnicas integradas de inteligencia de amenazas para identificar y priorizar amenazas potenciales. puede habilitar GuardDuty desde Amazon Management Console sin ocuparse de la implementación del hardware o el software subyacente y con un costo mínimo. Este servicio utiliza los servicios incorporados Aprendizaje automático, técnicas de detección de anomalías y varias técnicas integradas de inteligencia de amenazas para identificar y priorizar amenazas potenciales. puede habilitar GuardDuty desde Amazon Management Console sin ocuparse de la implementación del hardware o el software subyacente y con un costo mínimo. Este servicio utiliza los servicios incorporados Aprendizaje automático, técnicas de detección de anomalías y varias técnicas integradas de inteligencia de amenazas para identificar y priorizar amenazas potenciales.

Historia

Se han realizado varios cambios después del lanzamiento de GuardDuty para mejorar la calidad del servicio y la facilidad de uso. Algunos de ellos son que AWS aumenta la cantidad de direcciones IP para comunicarse mejor y aumentar la calidad. Se agregaron algunas de las últimas técnicas de inteligencia de amenazas para mayor seguridad. Se agregaron algunos detalles de uso nuevos para fines de monitoreo y, en consecuencia, estimación de costos. Hay algo que también se elimina de GuardDuty que es la puerta trasera que en realidad indica que su instancia EC2 en el entorno de AWS está intentando comunicarse con algunas direcciones IP que están asociadas con algunos tipos de malware. Ahora está disponible para algunas regiones más que antes estaban limitadas a unas pocas regiones, Se agregó una característica de Recon que en realidad solía informar que un puerto sensible relacionado con EMR en una instancia EC2 no está bloqueado y se está probando activamente. Estas son las características en las que AWS trabaja continuamente para brindar una mejor calidad de servicio a sus usuarios y donde la seguridad se convierte en el factor principal.

Características

1. Puede monitorear continuamente varias cuentas al mismo tiempo sin costo ni complejidad adicionales.
2. Su eficiencia es encomiable.
3. Automáticamente puede responder y remediar la amenaza.
4. El nivel de precisión es alto.
5. Puede identificar exhaustivamente las amenazas. Supervisa continuamente los datos entrantes, la actividad de la red para obtener mejores resultados mediante el uso de otros servicios de AWS.
6. Refuerza la seguridad a través de la automatización. Como es capaz de responder automáticamente a la detección de amenazas. Puede remediar acciones aprovechando los eventos de Amazon cloudwatch y otros servicios.
7. Se puede gestionar de forma centralizada. Puede administrar las cuentas nuevas de todos los usuarios y la cuenta existente de forma centralizada.

¿Cómo funciona GuardDuty?

Como ya se mencionó, GuardDuty analiza continuamente los eventos en la nube mediante el uso de otros múltiples servicios de AWS, como los registros de eventos de AWS CloudTrail, los registros de flujo de Amazon Virtual Private Cloud (VPC) y los registros del sistema de nombres de dominio (DNS) para analizar las actividades maliciosas.

Hay tres tipos de detecciones que GuardDuty puede detectar:

1. Cuentas comprometidas: Es una amenaza en la que a una persona no se le permite acceder a la cuenta pero por medios no autorizados, la está utilizando. En la nube, estas amenazas incluyen llamadas a la API desde una ubicación extraña y tratan de intentar realizar cambios en la infraestructura o deshabilitar CloudTrail para que pueda crear una barrera en el análisis del registro de datos.
2. Reconocimiento del atacante: incluye la amenaza en la que los ataques comienzan con un escaneo de la red desde el punto final infectado para localizar el activo y los servicios a los que el atacante quiere apuntar, lo que se conoce básicamente como escaneo de puertos.
3. Recursos comprometidos: básicamente incluye la amenaza en la que los recursos son secuestrados, como las instancias EC2, por una dirección IP externa y hay picos inusuales en el tráfico de la red.

El administrador de GuardDuty debe proporcionar sus direcciones IP para detectar la amenaza porque GuardDuty no tiene la característica de las reglas de detección de soporte personalizadas. Para trabajar de manera más eficiente, los usuarios pueden responder a los pulgares hacia arriba o hacia abajo proporcionados por GuardDuty para mejorar. En la consola de gestión está en formato JSON, lo que permite al usuario realizar acciones identificando la amenaza detectada por GuardDuty.

Empresas que utilizan GuardDuty

Las empresas líderes que utilizan este servicio para fines de seguridad son FICO, webroot, Mapbox, Autodesk.

Aquí está la lista de más empresas que utilizan GuardDuty:

1. Estante.
2. Cebador.
3. Alejandría.
4. PREPARADO PARA.
5. Chico Rey.
6. Cuerpo de playa.
7. Sanitarios.
8. glicina.

Beneficios

1. Administración Central: Permite el monitoreo de múltiples cuentas usando GuardDuty. Puede agregar todas sus cuentas en una sola cuenta de administrador de GuardDuty para facilitar la administración. Es beneficioso cuando se trata de una gran empresa y tener su equipo de seguridad por separado, para que puedan enfocarse directamente en esto como un todo para todo el negocio.
2. Totalmente automatizado: solo necesita proporcionar sus direcciones IP, nada más con unos pocos clics, puede habilitar esto y no tiene que mirar el hardware subyacente o la configuración, instalación o administración. Está todo automatizado.
3. Rentable: su premio se basa en el análisis de los eventos de CloudTrail y el flujo de trabajo de Amazon VPC y el registro de DNS, es decir, de acuerdo con sus datos y la carga de trabajo que se le cobrará. No hay precio fijo. Según su uso, se le cobrará.
4. Identificación integral de amenazas: GuardDuty viene con técnicas y herramientas de inteligencia de amenazas integradas y actualizadas para monitorear sus datos. Ayuda a monitorear el acceso inesperado e inusual a sus datos, criptomonedas y otras actividades maliciosas.

inconvenientes

No existen inconvenientes de GuardDuty que hagan que los usuarios no lo usen, pero sí, necesita varios otros servicios de AWS como eventos de CloudTrail, registros de DNS, registros de flujo de VPC para analizar los datos y, en consecuencia, funciona con los resultados de estos servicios. .