Amazon GuardDuty là một dịch vụ bảo mật trí tuệ nhân tạo (AI) của AWS được thiết kế để giám sát và phát hiện các hoạt động độc hại trong tài khoản AWS của bạn. Nó sử dụng các thuật toán học máy, phát hiện dị thường và dữ liệu từ bên thứ ba để tìm kiếm các hoạt động đáng ngờ.
Việc kích hoạt GuardDuty rất đơn giản chỉ với một cú nhấp chuột và không cần phải cài đặt phần mềm. GuardDuty sử dụng dữ liệu đầu vào bao gồm sự kiện CloudTrail, bao gồm những cuộc gọi API không bình thường, triển khai không được ủy quyền, các sự kiện quản lý như tạo mạng ảo, tạo đường hầm SSH, … Ngoài ra còn sử dụng nhật ký VPC Flow, DNS Logs, Kubernetes Audit Logs để phát hiện các hoạt động đáng ngờ.
GuardDuty có thể thiết lập các luật EventBridge để thông báo cho bạn trong trường hợp phát hiện các vấn đề bảo mật. Luật EventBridge có thể được định tuyến đến các tài nguyên AWS khác, chẳng hạn như AWS Lambda hoặc SNS.
GuardDuty cũng có thể bảo vệ tài khoản của bạn chống lại các cuộc tấn công CryptoCurrency. Nó cung cấp các finding đặc biệt để phát hiện các hoạt động khai thác tiền điện tử trái phép.
Sơ đồ này liên quan đến việc sử dụng các dịch vụ AWS để phát hiện các mối đe dọa an ninh đến hệ thống của bạn.
VPC Flow Logs là một tính năng trong Amazon VPC (Virtual Private Cloud) cho phép bạn ghi lại các lưu lượng mạng vào, ra khỏi mạng VPC. Các bản ghi này cho phép bạn kiểm tra các hoạt động mạng và phát hiện các mối đe dọa an ninh.
CloudTrail Logs là một dịch vụ AWS cho phép bạn ghi lại các hoạt động API trên tài khoản AWS của bạn. Các bản ghi này bao gồm các hoạt động như tạo, xóa hoặc cập nhật các tài nguyên AWS, và các hành động liên quan đến an ninh, chẳng hạn như phát hiện đăng nhập không hợp lệ.
DNS Logs là các bản ghi tương tự như CloudTrail, nhưng liên quan đến hoạt động DNS của tên miền của bạn. Chúng ghi lại các yêu cầu DNS đến tên miền của bạn, cho phép bạn phát hiện các hoạt động độc hại, chẳng hạn như tấn công từ chối dịch vụ (DoS).
EKS Audit Logs là các bản ghi liên quan đến các hoạt động trong một môi trường Kubernetes trên AWS (Elastic Kubernetes Service). Chúng ghi lại các yêu cầu API và sự kiện của hệ thống, cho phép bạn theo dõi các hoạt động và phát hiện các mối đe dọa an ninh.
GuardDuty là một dịch vụ AWS tự động phát hiện các mối đe dọa an ninh trong tài khoản AWS của bạn bằng cách sử dụng các thuật toán học máy và phát hiện bất thường. Nó sử dụng các bản ghi từ các dịch vụ khác như VPC Flow Logs, CloudTrail Logs, DNS Logs, EKS Audit Logs để phát hiện các hành động độc hại, chẳng hạn như tấn công DDoS hoặc các hoạt động tài khoản đáng ngờ.
EventBridge là một dịch vụ AWS cho phép bạn giám sát và xử lý các sự kiện trong hệ thống của bạn. Nó cho phép bạn thiết lập các quy tắc để xử lý các sự kiện nhất định và chuyển chúng đến các dịch vụ khác nhau như AWS Lambda hoặc SNS.
Sơ đồ này chỉ ra rằng các bản ghi từ các dịch vụ AWS khác nhau (VPC Flow Logs, CloudTrail Logs, DNS Logs, EKS Audit Logs) được thu thập và đưa vào Amazon GuardDuty để phát hiện các mối đe dọa trong tài khoản AWS của bạn. GuardDuty sử dụng các thuật toán học máy và phát hiện bất thường để tìm kiếm các hành vi không bình thường hoặc các mẫu tấn công trong tài khoản của bạn. Khi GuardDuty phát hiện một vấn đề, nó sẽ tạo ra một “finding” (mục phát hiện) và gửi nó đến EventBridge.
EventBridge được sử dụng để xử lý các “findings” từ GuardDuty và phát hiện các vấn đề bảo mật khác trong tài khoản AWS của bạn. Bằng cách sử dụng các luật EventBridge, bạn có thể kích hoạt các hành động khác nhau khi các “finding” được tạo ra. Ví dụ, bạn có thể gửi thông báo đến Amazon SNS hoặc kích hoạt một AWS Lambda function để thực hiện các hành động khắc phục.
Tóm lại, sơ đồ này mô tả quy trình phát hiện các mối đe dọa và các vấn đề bảo mật trong tài khoản AWS của bạn, từ việc thu thập các bản ghi từ các dịch vụ AWS khác nhau, đến sử dụng GuardDuty để phát hiện các mối đe dọa, EventBridge để xử lý các “finding”, và cuối cùng là SNS hoặc Lambda để kích hoạt các hành động khác phục.
