O AWS GuardDuty é um serviço da AWS que encontra ameaças no seu ambiente em um mar de dados trafegados, ajudando a encontrar as agulhas no palheiro, ele análise seus recursos e análise comportamentos suspeitos.
Para começar a utilizar o AWS GuardDuty é muito simples, basta acessar o serviço pelo console e habilitar ele clicando no botão Enable GuardDuty
Agora você verá as opções que o AWS GuardDuty fornece, como os Findings (o que foi encontrado de suspeito), o tempo da licença Trial que está rodando na sua contato e outras opções que vamos falar mais pra frente.
O AWS GuardDuty possuí três fontes de dados, onde ele irá coletar e analisar esses dados constantemente
Cada um desses recursos possuem uma infinidade de informações que serão analisadas por práticas de Machine Learning dentro da caixa do AWS GuardDuty.
VPC Flows Logs – não captura pacotes de dados, mas ele fornece a nível de ENI (Elastic Network Interface) informação de conectividade entre subnets e redes internas.
DNS Logs – são dados ativados diretamente no Route53, porém caso sua aplicação não utilize o DNS da AWS (Route 53) o AWS GuardDuty ainda assim consegue capturar essas informações a partir de chamadas que forem feitos para outros DNS partindo de uma EC2, por exemplo.
CloudTrail Events – são dados de auditoria, o AWS CloudTrail já captura dados a todo instante de tudo o que é alterado/acessado na sua conta e o AWS GuardDuty analisa esses dados também, atrás de mudanças que possam ser suspeitas.
O Findings foi mencionado anteriormente, ela é a primeira tela disponível pelo AWS GuardDuty e ela permite que você veja cada tipo de ameaças alertadas, sendo elas categorizadas pelo seu tipo de ameaça.
O AWS GuardDuty, além das categorias, também informa o nível de criticidade da suspeita identificada. Existem três níveis de severidade:
O AWS GuardDuty Events permite que você aproveite a cada novo evento gerado dentro dele, para que seja gerado algum tipo de tratamento dessa informação (usando Lambda) ou basicamente reportar por email ou outra ferramente de comunicação como o Slack, para reportar ao time que um novo evento foi gerado.
Um evento do AWS GuardDuty é um corpo de mensagem em JSON como esta abaixo:
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {COMPLETE_GUARDDUTY_FINDING_JSON}
}
A partir disso você pode criar sua própria lambda para tratar o Log, por categoria e level de severidade e tomar a ação para seu negócio, uma ação de segurança emergencial ou simplesmente reportar ao time de sustentação.
Abraços
A Inteligência Artificial (IA) é um campo multidisciplinar que busca desenvolver sistemas capazes de simular a inteligência humana. Neste artigo, vamos explorar os fundamentos da IA, suas técnicas e aplicações, além de discutir as perspectivas futuras dessa tecnologia revolucionária. Ao compreendermos a IA em sua totalidade, podemos apreciar seu potencial impacto em diversas áreas da … Continue reading O que é Inteligência Artificial: Uma Visão Abrangente e Perspectivas Futuras
A Transformação Digital tem sido um dos principais focos das empresas nos últimos anos. Ela implica em aproveitar as inovações tecnológicas para melhorar processos, aumentar a eficiência e a produtividade, além de proporcionar uma experiência superior para os clientes. Nesse contexto, o DevOps emerge como uma abordagem fundamental para impulsionar essa transformação. Neste artigo, discutiremos … Continue reading A Importância do DevOps na Transformação Digital das Empresas
A computação em nuvem revolucionou a forma como as empresas e indivíduos utilizam a tecnologia. Além dos benefícios óbvios, como maior flexibilidade, escalabilidade e redução de custos, a nuvem também pode desempenhar um papel fundamental na promoção da sustentabilidade ambiental. Neste artigo, vamos explorar como a computação em nuvem pode contribuir para a redução do … Continue reading A Nuvem e a Sustentabilidade Ambiental: Explorando os Benefícios Ambientais da Computação em Nuvem