J'ai activé GuardDuty dans mon environnement, mais il n'a généré aucun type de résultat

Brève description

Lors de l'activation de GuardDuty la surveillance des menaces de sécurité démarre immédiatement. Si GuardDuty découvre un problème de sécurité, un type de résultat est généré. Si GuardDuty ne détecte pas de menace de sécurité, aucun type de résultat n'est généré.

Solution

Pour savoir pourquoi GuardDuty n'a généré aucun type de résultat, vérifiez les configurations suivantes :

• Les sources de données
• Le statut de GuardDuty
• Les listes d'adresses IP approuvées

Sources de données

GuardDuty utilise ses sources de données pour détecter les activités non autorisées et inattendues avec des types de ressources pour certains services AWS. Les sources de données incluent :

• Journaux d'événements de gestion AWS CloudTrail
• Journaux de flux Amazon Virtual Private Cloud (Amazon VPC)
• Journaux DNS.
• Événements de données CloudTrail pour Amazon Simple Storage Service (Amazon S3)
• Journaux d'audit Kubernetes
• Données de volume Amazon Elastic Block Store (Amazon EBS)

Il est recommandé d'activer GuardDuty Kubernetes Protection, la protection Amazon S3 et la protection contre les logiciels malveillants qui ne sont pas activées par défaut.

Remarque : GuardDuty traite uniquement les journaux DNS si vous utilisez le résolveur DNS de VPC par défaut. Tous les autres types de résolveurs DNS ne génèrent pas de résultats basés sur le DNS.

Statut GuardDuty

GuardDuty doit être activé pour que des types de résultats soient générés. Si GuardDuty est suspendu ou désactivé, aucun type de résultat n'est généré. Il est recommandé d'activer GuardDuty dans toutes les Régions AWS prises en charge. Ainsi, GuardDuty génère des types de résultats pour les activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement.

Listes d'adresses IP approuvées

Vous pouvez ajouter les adresses IP auxquelles vous faites confiance pour communiquer dans votre environnement AWS à des listes d'adresses IP approuvées. Les listes d'adresses IP approuvées empêchent GuardDuty de générer des types de résultats pour les événements survenus à partir des adresses IP figurant dans ces listes.

Il est recommandé d'utiliser une règle de suppression au lieu d'une liste d'adresses IP de confiance afin d'être informé des problèmes détectés dans votre environnement. La règle de suppression réduit les notifications issues des types de résultats. Une règle de suppression archive automatiquement les nouveaux résultats générés par GuardDuty qui correspondent à des critères spécifiques. Vous pouvez consulter les résultats supprimés à partir de la console GuardDuty en changeant le menu déroulant de la vue Résultats de Actuels àArchivés.

Pour créer des résultats GuardDuty à des fins de test, procédez de l'une des façons suivantes :

• Créez des exemples de résultats à partir de la console ou de l'API GuardDuty.
• Générez automatiquement des résultats GuardDuty courants à l'aide du script guardduty_tester.sh.

Pour plus d'informations, consultez la section Comment puis-je configurer une liste d'adresses IP approuvées utilisables avec GuardDuty ?

Informations connexes

Démarrer avec GuardDuty

Pourquoi GuardDuty m'envoie-t-il des résultats d'alerte pour une adresse figurant dans une liste d'adresses IP approuvées ?