Amazon GuardDuty adalah layanan pemantauan keamanan cloud terkelola yang mendeteksi perilaku atau ancaman yang dapat membahayakan akun, sumber daya, atau beban kerja Amazon Web Services (AWS).
Sebagai layanan cloud terkelola, Amazon GuardDuty tidak memerlukan tim TI untuk menginstal, mengelola, dan menskalakan perangkat lunak keamanan tambahan. Sebagai gantinya, seorang administrator atau analis keamanan mengaktifkan GuardDuty melalui AWS Management Console, dan layanan ini segera mulai menganalisis lingkungan cloud mereka. Namun, beberapa kemampuan deteksi ancaman yang lebih canggih memerlukan waktu satu hingga dua minggu untuk menetapkan garis dasar normal untuk perbandingan.
Bagaimana GuardDuty bekerja
Amazon GuardDuty terus menganalisis peristiwa cloud di AWS CloudTrail, Amazon Virtual Private Cloud (VPC) Flow Logs, dan log sistem nama domain (DNS) untuk kemungkinan aktivitas berbahaya.
Layanan ini menggunakan kecerdasan ancaman terintegrasi, deteksi anomali, dan kemampuan pembelajaran mesin yang dikembangkan oleh tim keamanan AWS untuk melakukan analisis hampir secara real time.
GuardDuty mendeteksi tiga jenis ancaman utama di cloud AWS:
- Reconnaissance penyerang: Jenis ancaman ini mencakup pola login yang gagal, aktivitas API yang tidak biasa, dan pemindaian port;
- Sumber daya yang dikompromikan: Kategori ancaman ini mencakup cryptojacking, lonjakan lalu lintas jaringan yang tidak biasa, dan akses sementara ke instansi Elastic Compute Cloud (EC2) oleh alamat IP eksternal; dan
- Akun yang dikompromikan: Contoh ancaman ini mencakup panggilan API dari lokasi yang aneh, upaya untuk menonaktifkan CloudTrail, dan penyebaran instansi atau infrastruktur yang tidak biasa.
Meskipun seorang admin dapat memberikan daftar alamat IP “aman” ke GuardDuty, layanan ini tidak mendukung aturan deteksi yang disesuaikan. Namun, seorang admin dapat merespons setiap temuan GuardDuty dengan memberi tanda jempol atas atau bawah untuk memberikan umpan balik bagi deteksi di masa depan.
Amazon GuardDuty mengompilasi dan mengirimkan temuan keamanan ke Management Console dalam format JSON, yang memungkinkan admin atau alur kerja otomatis untuk mengambil tindakan. Misalnya, Amazon CloudWatch Events dapat menerima temuan dari GuardDuty, kemudian memicu fungsi AWS Lambda untuk memodifikasi konfigurasi keamanan. Konsol GuardDuty dan API menyimpan temuan keamanan selama 90 hari.
Manajemen GuardDuty, biaya
Amazon GuardDuty bekerja secara independen dari sumber daya cloud, yang berarti tidak memiliki dampak kinerja pada sistem yang berjalan. Selain itu, GuardDuty menggunakan peran yang terhubung dengan layanan melalui AWS Identity and Access Management, yang berarti seorang admin tidak perlu mengelola atau memodifikasi kebijakan bucket S3 atau pengumpulan log, seperti yang mereka lakukan dengan izin untuk individu.
Pelanggan AWS membayar GuardDuty berdasarkan jumlah Peristiwa AWS CloudTrail dan volume VPC Flow Logs dan DNS logs yang dianalisis oleh layanan ini. AWS menyediakan uji coba gratis.
Amazon Macie, layanan keamanan lain yang didukung oleh pembelajaran mesin, berbeda dari GuardDuty karena fokus pada klasifikasi dan perlindungan data.