Amazon GuardDuty では、関連する AWS アカウントすべての AWS CloudTrail、Amazon VPC フローログ、DNS ログの何十億というイベントに対する収集、分析、関連付けが行われ、インテリジェントな脅威検出が実行されます。GuardDuty の検出精度は、脅威インテリジェンス (AWS セキュリティやサードパーティーの脅威インテリジェンスパートナーが提供する、既知の悪意ある IP アドレスのリストなど) を組み込むことで、さらに向上します。GuardDuty は、アカウントやネットワークの異常なアクティビティ検出に Machine Learning も利用します。たとえば、既知の悪意ある IP アドレスから実行されたリモート API コールが検出され、AWS 認証情報の侵害の可能性がある場合、GuardDuty ではアラートを発行します。GuardDuty では、AWS 環境に対する直接的な脅威として、DNS クエリ内で符号化データを送信する Amazon EC2 インスタンスなど、侵害されたことを示すインスタンスも検出されます。

多くの組織では、コストの適切な配分、俊敏性、セキュリティといった理由から、複数の AWS アカウントを使用しています。AWS マネジメントコンソールで数回クリックするだけで、すべての AWS アカウントをまたいで Amazon GuardDuty を使用し、脅威検出を一元管理できます。GuardDuty を使用すると、アカウントやワークロードのアクティビティデータを分析するためにセキュリティソフトウェアやインフラストラクチャを追加でインストールする必要はありません。セキュリティ運用の中心チームは、脅威の管理と分類を単一のコンソールビューで簡単に実行でき、単一のセキュリティアカウントを使用してセキュリティ対応を自動化できます。

Amazon GuardDuty では、脅威の検出に加えて、脅威の対応の自動化も簡単であり、修正や回復にかかる時間を短縮できます。GuardDuty の検出結果に基づいてトリガーする修正用スクリプトや AWS Lambda 関数を設定できます。GuardDuty によるセキュリティの検出結果には、影響を受けたリソースのタグ、セキュリティグループ、認証情報などの詳細情報も含まれます。また、攻撃者の IP アドレスや地理的位置などの情報も含まれます。GuardDuty のセキュリティで検出された結果に基づいて、すぐに必要なアクションを起こすことができます。たとえば、アカウント侵害を検出するには、アカウントのアクティビティをほぼリアルタイムで継続的にモニタリングしている必要があります。GuardDuty では、データ盗難の疑いがあるインスタンスを検出するとアラートを発行し、このインスタンスへのアウトバウンドアクセスを制限するアクセスコントロールエントリを自動的に作成できるようにします。