AWS GuardDuty: Phát hiện Mối đe dọa Liên tục cho Tài khoản, Dữ liệu và Workloads AWS

Khái niệm

AWS GuardDuty là một dịch vụ phát hiện mối đe dọa (threat detection) luôn hoạt động, được quản lý hoàn toàn bởi AWS. Nó sử dụng Machine Learning (ML), phân tích hành vi (behavioral analytics), và nguồn dữ liệu tình báo (threat intelligence) để phát hiện các hoạt động bất thường hoặc tiềm ẩn rủi ro bảo mật trong tài khoản AWS của bạn

GuardDuty giúp bạn phát hiện sớm các hành vi nguy hiểm như:

• Truy cập trái phép vào tài nguyên AWS
• Sử dụng credential bị rò rỉ
• Kết nối đến IP độc hại hoặc C2 servers
• Hoạt động bất thường của EC2, IAM hoặc S3
• malware

Tự động hoá: Tích hợp với Security Hub, EventBridge, SNS, Lambda để cảnh báo và phản ứng tự động.

GuardDuty giám sát gì (nguồn dữ liệu)

Bao gồm: CloudTrail, VPC Flow Logs, DNS, S3, EKS, RDS, Lambda

• CloudTrail management events: Patterns API bất thường, reconnaissance, attempts leo thang đặc quyền
• CloudTrail data events cho S3: Patterns truy cập/exfiltration object bất thường (S3 Protection)
• VPC Flow Logs: Port scans, brute force, giao tiếp IP xấu đã biết, indicators crypto-mining
• DNS query logs (Route 53 Resolver): DNS tới domains xấu đã biết, patterns command-and-control
• EKS audit logs: Hành động Kubernetes đáng ngờ trong clusters của bạn (EKS Audit Log Monitoring)
• EKS runtime monitoring: Tín hiệu kernel-level để phát hiện mối đe dọa dựa trên container (agent tùy chọn)
• EC2 Malware Protection: Quét malware on-demand và tự động sử dụng phân tích EBS snapshot (không có agent trên instance)
• RDS Protection: Hoạt động login đáng ngờ và patterns brute force trên RDS databases
• Lambda Protection: Phát hiện các mối đe dọa về hành vi network bất thường và patterns thực thi cho functions như khai thác tiền điện tử trái phép, giao tiếp với các máy chủ của tác nhân đe dọa đã biết

Lưu ý: Các tính năng có sẵn khác nhau theo vùng và có thể yêu cầu kích hoạt rõ ràng cho mỗi detector. Luôn xem lại docs hiện tại để biết coverage.