Thiago Teixeira
EN | PT

AWS GuardDuty

Amazon Web Services

Serviço gerenciado de detecção de ameaças para contas, workloads e dados S3 na AWS.

Identidade, Nuvem e Acesso Comercial Plataforma / Suíte Em Estudo saas
Página Inicial

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O AWS GuardDuty é o serviço nativo de detecção de ameaças da AWS. Analisa continuamente CloudTrail, VPC Flow Logs, logs DNS, audit logs do EKS, eventos de dados S3 e (com o add-on de malware) volumes EBS, emitindo findings com severidade, mapeamento MITRE ATT&CK e dicas de remediação.

Categorias a reconhecer:

  • Recon (port scan, IP de anonimização).
  • UnauthorizedAccess (exfiltração de credenciais IAM ou de instância).
  • CryptoCurrency (tráfego de mineração).
  • Backdoor / Trojan / Behavior (Tor, C2 conhecido).

Casos de uso

  • Detecção de baseline contínua em contas AWS
  • Encaminhamento para Security Hub / SIEM
  • Auto-remediação via EventBridge + Lambda