Pourquoi mettre en place AWS GuardDuty ?

Qu’est ce qu’AWS GuardDuty ?

Amazon Web Services (AWS) propose parmi ses nombreux services un service de détection des menaces. Ce service permet la remontée d’alerte lors d’activités malveillantes. Il intègre de nombreux scénarios qui permettent de détecter des actions malveillantes comme :

La connexion d’une instance vers un serveur distant connue pour être malveillant ;
La connexion répétée à un service d’authentification (ex : ssh) ;
La modification d’une politique d’accès à un bucket S3 (ex : passer d’un bucket privé à un bucket public) ;
Ou encore un comportement inhabituel d’un utilisateur IAM.

Oui, mais comment ça fonctionne ?

GuardDuty collecte les événements de gestion d’AWS CloudTrail (activités des utilisateurs AWS et des API sur vos comptes), les événements de données d’AWS CloudTrail S3 (activité d’Amazon S3), des journaux de flux VPC Amazon (données de trafic réseau) et des journaux DNS (modèles de requête de nom).

Et à partir de ces éléments, GuardDuty utilise le machine learning agrémenté de données sur les dernières menaces connues pour déterminer les dangers.

Et pourquoi choisir cet outil plutôt qu’un autre ?

GuardDuty a l’avantage d’être un service simple à utiliser. L’interface est épurée et les informations relatives à une menace permettent facilement d’enquêter sur la cause et de prendre les bonnes dispositions pour protéger l’environnement.

Entre autres, il est également très facile à mettre en place. Il suffit d’un clic pour que le service soit activé et prêt à l’emploi. Si vous avez déjà mis en place des journaux d’audit pour les différents services que GuardDuty utilise, il ira automatiquement lire les informations. Ainsi il ne vous restera plus qu’à configurer le stockage et la remonter d’alerte.

De plus, malgré le fait qu’il ne soit pas un IDS ou un IPS à proprement parler, ce service peut être utilisé dans le cadre de certaines normes pour répondre à un besoin de détection d’intrusion comme cela est le cas pour PCI DSS par exemple.

GuardDuty ne détectera pas toutes les menaces mais il permettra une première détection contre les intrusions ou le vol de données. AWS a réussi à produire un service utile, répondant à des normes de cybersécurité et facile à prendre en main pour des personnes non initié au domaine.

Vous souhaitez mettre en place une architecture sécurisée? Nos équipes sont à votre disposition afin de vous aider à choisir les meilleurs outils de sécurité en fonction de vos besoins.

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Qu’est ce qu’AWS GuardDuty ?

Oui, mais comment ça fonctionne ?

Et pourquoi choisir cet outil plutôt qu’un autre ?

Allistic - Paris

Allistic - Lille

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité