Ho attivato un account Amazon GuardDuty, ma non ho ricevuto alcun tipo di risultato. Come posso risolvere il problema?
Breve descrizione
Dopo l'attivazione, GuardDuty inizia immediatamente a monitorare le minacce alla sicurezza. Se GuardDuty rileva un problema di sicurezza, viene generato un tipo di risultato. Se GuardDuty non rileva minacce alla sicurezza, non vengono generati tipi di risultati.
Risoluzione
Per risolvere il motivo per cui GuardDuty non ha generato alcun tipo di risultato, controlla le seguenti configurazioni:
Origini dei dati
GuardDuty utilizza le proprie origini dei dati per rilevare attività non autorizzate e impreviste con tipi di risorse per alcuni servizi AWS. Di seguito vengono riportate alcune origini dei dati:
- Registri degli eventi di gestione di AWS CloudTrail.
- Registri di flusso del Cloud privato virtuale Amazon (Amazon VPC).
- Registri DNS.
- Eventi di dati CloudTrail per Amazon Simple Storage Service (Amazon S3)
- Registro di audit Kubernetes
- Dati del volume Amazon Elastic Block Store (Amazon EBS)
Una best practice consiste nell'attivare la protezione Kubernetes per GuardDuty, la protezione Amazon S3 e la protezione malware che non sono attivate per impostazione predefinita.
Nota: GuardDuty elabora i registri DNS solo se utilizzi il resolver DNS predefinito per il VPC. Tutti gli altri tipi di resolver DNS non generano risultati basati sul DNS.
Stato GuardDuty
GuardDuty deve essere attivato per trovare i tipi da generare. Se GuardDuty è sospeso o disabilitato, allora non vengono generati tipi di risultati. Una best practice consiste nell'attivare GuardDuty in tutte le regioni AWS supportate. Ciò consente a GuardDuty di generare tipi di risultati per attività non autorizzate o insolite anche nelle regioni che non utilizzi attivamente.
Elenchi di indirizzi IP attendibili
Puoi aggiungere indirizzi IP attendibili per comunicare nel tuo ambiente AWS agli elenchi di IP attendibili. Gli elenchi di IP attendibili impediscono a GuardDuty di generare tipi di risultati per gli eventi verificatisi da indirizzi IP attendibili.
È consigliabile utilizzare un elenco di eliminazione anziché un elenco di IP attendibili per conoscere i problemi rilevati nel proprio ambiente. Un elenco di eliminazione riduce le notifiche dai tipi di risultati. Un elenco di eliminazione archivia automaticamente i nuovi risultati generati da GuardDuty che corrispondono a criteri specifici. È possibile rivedere i risultati eliminati dalla console GuardDuty modificando il menu a discesa della vista Finding (Risultati) da Current (Corrente) ad Archived (Archiviato).
Per creare risultati GuardDuty per i test, effettua una delle seguenti operazioni:
Per ulteriori informazioni, consulta Come si configura un elenco di indirizzi IP attendibili per GuardDuty?
Informazioni correlate
Nozioni di base su GuardDuty
Perché GuardDuty mi ha inviato i risultati di avviso per un elenco di indirizzi IP attendibili?