O AWS GuardDuty é um serviço de detecção de ameaças com monitoramento continuo que analisa e processa os dados de alguns serviços das AWS. O GuardDuty utiliza feeds de inteligência contra ameaças, como listas de domínios e endereços IP maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente da AWS. É um serviço regional e é altamente recomendado ser habilitado em cada região. Habilitar em todas regiões permite monitorar atividades não autorizadas em região não utilizada e isso também permite que o GuardDuty monitore eventos do AWS CloudTrail para serviços globais da AWS, como o IAM. Caso o GuardDuty não seja habilitado em todas as regiões a capacidade de detectar atividades que envolvam serviços globais será reduzida.
Quando você habilita o GuardDuty pela primeira vez em qualquer região, sua conta da AWS é automaticamente inscrita em uma avaliação gratuita de 30 dias do GuardDuty para essa região.
O GuardDuty informa sobre o status do ambiente da AWS produzindo descobertas de segurança que podemos visualizar no console do GuardDuty ou por meio de eventos do Amazon CloudWatch. Também é possivel enviar as descobertas do GuardDuty para o AWS Security Hub.
O AWS GuardDuty monitora os eventos:
- AWS CloudTrail management events
- AWS CloudTrail data events for Amazon S3
- DNS logs
- Amazon EKS audit logs
- Amazon VPC flow logs
Também é possível monitorar o Amazon EBS volume data for Malware Protection que precisa ser habilitado separadamente no GuardDuty.
Quando o GuardDuty é habilitado pela primeira vez em qualquer região, ele cria uma função vinculada ao serviço para sua conta chamada AWSServiceRoleForAmazonGuardDuty. Essa função inclui as permissões e as políticas de confiança que permitem que o GuardDuty consuma e analise eventos nos serviços.