Amazon 文件历史记录 GuardDuty - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 文件历史记录 GuardDuty

变更说明日期

GuardDuty 现已在中东(阿联酋)区域推出。

将中东(UAE)添加到可用列表Amazon Web Services 区域 GuardDuty 中。有关更多信息,请参阅区域和终端节点

2022 年 10 月 6 日

为新功能添加了内容- GuardDuty 恶意软件防护

GuardDuty 恶意软件保护是亚马逊的一项可选增强功能 GuardDuty。在 GuardDuty 识别存在风险的资源的同时,恶意软件保护会检测可能是入侵来源的恶意软件。启用恶意软件保护后,每当 GuardDuty 检测到 Amazon EC2 实例或容器工作负载存在恶意软件的可疑行为时, GuardDuty 恶意软件保护都会对连接到受影响的 EC2 实例或容器工作负载的 EBS 卷启动无代理扫描,以检测是否存在恶意软件。要了解恶意软件保护的工作原理以及如何配置此功能,请参阅GuardDuty 恶意软件保护

2022 年 7 月 26 日

已退役一种发现类型

Exfiltration:S3/ObjectRead.Unusual已经退休了。

2022 年 7 月 5 日

添加了新的 S3 发现类型,使用 GuardDuty异常检测机器学习 (ML) 模型识别异常行为。

添加了以下新的 S3 查找类型。这些发现类型确定 API 请求是否以异常方式调用了 IAM 实体。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。要了解有关这些新发现的更多信息,请参阅 S3 查找类型

2022 年 7 月 5 日

添加了 GuardDuty EKS 保护内容 GuardDuty

GuardDuty 现在可以通过监控 Kubernetes 审计日志,为您的 Amazon EKS 资源生成调查结果。要了解如何配置此功能,请参阅亚马逊中的 EKS 保护 GuardDuty。有关 GuardDuty 可以为 Amazon EKS 资源生成的调查结果列表,请参阅 Kubernetes 调查结果。添加了新的补救指南,以支持修复 Kubernetes 发现补救指南中的这些发现。

2022 年 1 月 25 日

添加了 1 个新发现

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS已添加一项新发现。此发现会告知您Amazon环境之外的Amazon账户何时访问您的实例证书。

2022 年 1 月 20 日

更新了查找类型以帮助识别与 log4j 相关的问题

Amazon 更新 GuardDuty 了以下调查结果类型,以帮助识别与 CVE-2021-44228 和 CVE-2021-45046 相关的问题,并对其进行优先排序:backdoor:ec2/c&cActivity.b; backdoor:ec2/c&cActivity.B! DNS; 行为:ec2/NetworkPortUnusual。

2021 年 12 月 22 日

寻找变化

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration已更改为UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。该发现的这个改进版本了解了使用您的凭证的典型位置,以减少通过本地网络路由的流量的发现。 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

2021 年 9 月 7 日

更新到 GuardDuty SLR

S GuardDuty LR 已更新,增加了新的操作以提高查找精度。

2021 年 8 月 3 日

为每种查找类型添加了数据源信息。

查找条件描述现在包含有关 GuardDuty 使用哪个数据源生成该查找结果的信息。

2021 年 5 月 10 日

退役了 13 种发现类型。

13项调查结果已被撤销,取而代之的是新的 AnomalousBehavoir 发现。 Persistence:IAMUser/NetworkPermissions, Persistence:IAMUser/ResourcePermissions, Persistence:IAMUser/UserPermissions, PrivilegeEscalation:IAMUser/AdministrativePermissions, Recon:IAMUser/NetworkPermissions, Recon:IAMUser/ResourcePermissions, Recon:IAMUser/UserPermissions, ResourceConsumption:IAMUser/ComputeResources, Stealth:IAMUser/LoggingConfigurationModified, Discovery:S3/BucketEnumeration.Unusual, Impact:S3/ObjectDelete.Unusual,Impact:S3/PermissionsModification.Unusual

2021 年 3 月 12 日

为异常行为添加了 8 种新的发现类型。

基于 IAM 委托人的异常行为添加了 8 种新的 IAMUser 查找类型。 CredentialAccess:IAMUser/AnomalousBehavior, DefenseEvasion:IAMUser/AnomalousBehavior, Discovery:IAMUser/AnomalousBehavior, Exfiltration:IAMUser/AnomalousBehavior, Impact:IAMUser/AnomalousBehavior, InitialAccess:IAMUser/AnomalousBehavior, Persistence:IAMUser/AnomalousBehavior, PrivilegeEscalation:IAMUser/AnomalousBehavior

2021 年 3 月 12 日

添加了基于域名信誉的 EC2 调查结果。

添加了 4 种基于域名声誉的新影响力发现类型。Impact:EC2/AbusedDomainRequest.Reputation , Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation。 还为 C&CActivity 添加了新的 EC2 调查结果。 Impact:EC2/SuspiciousDomainRequest.Reputation

2021 年 1 月 27 日

添加了 4 种新的查找类型。

添加了 3 个新的 S3 MaliciousipCaller 调查结果。Discovery:S3/MaliciousIPCaller, Exfiltration:S3/MaliciousIPCaller, Impact:S3/MaliciousIPCaller。 还为 C&CActivity 添加了新的 EC2 调查结果。 Backdoor:EC2/C&CActivity.B

2020 年 12 月 21 日

停用了UnauthorizedAccess:EC2/TorIPCaller查找类型。

UnauthorizedAccess:EC2/TorIPCaller查找类型现已停用 GuardDuty。了解更多

2020 年 10 月 1 日

添加了Impact:EC2/WinRmBruteForce查找类型。

添加了新的影响调查结果Impact:EC2/WinRmBruteForce。了解更多

2020 年 9 月 17 日

添加了Impact:EC2/PortSweep查找类型。

添加了新的影响调查结果Impact:EC2/PortSweep。了解更多

2020 年 9 月 17 日

GuardDuty 现已在非洲(开普敦)和欧洲(米兰)区域推出。

将非洲(开普敦)和欧洲(米兰)添加到可用Amazon区域列表中 GuardDuty 。了解更多

2020 年 7 月 31 日

添加了用于监控 GuardDuty 成本的新使用详情。

现在,您可以使用新指标来查询您的账户和您管理的账户的 GuardDuty 使用成本数据。控制台中提供了使用成本的新概述,网址为 https://console.aws.amazon.com/guardduty/。更多详细信息可以通过 API 获取。

2020 年 7 月 31 日

在@@ 中添加了有关通过 S3 数据事件监控进行 S3 保护的内容 GuardDuty。

GuardDuty S3 保护现在可以通过监控 S3 数据平面事件作为新数据源来实现。新账户将自动启用此功能。如果您已经在使用, GuardDuty 则可以为自己或您的成员账户启用新数据源。

2020 年 7 月 31 日

添加了 14 个新的 S3 调查结果。

已为 S3 控制平面和数据层面源添加了 14 种新的 S3 查找类型。

2020 年 7 月 31 日

添加了对 S3 发现结果的额外支持,并更改了 2 个现有查找结果类型名称。

GuardDuty 调查结果现在包括涉及 S3 存储桶的调查结果的更多详细信息。与 S3 活动相关的现有查找结果类型已重命名为:Policy:IAMUser/S3BlockPublicAccessDisabled已更改为Policy:S3/BucketBlockPublicAccessDisabled。 Stealth:IAMUser/S3ServerAccessLoggingDisabled已更改为Stealth:S3/ServerAccessLoggingDisabled。

2020 年 5 月 28 日

添加了用于Amazon Organizations集成的内容。

GuardDuty 现在与Amazon Organizations委派管理员集成,允许您管理组织内的 GuardDuty 帐户。将委托管理员设置 GuardDuty 为 GuardDuty 管理员时,可以自动启用任何组织成员由委派管理员帐户管理。您还可以在新Amazon Organizations成员账户 GuardDuty 中自动启用。了解更多

2020 年 4 月 20 日

为导出结果功能添加了内容。

添加了描述的 “导出查找结果” 功能的内容 GuardDuty。

2019 年 11 月 14 日

添加了UnauthorizedAccess:EC2/MetadataDNSRebind查找类型。

添加了新的未经授权的发现UnauthorizedAccess:EC2/MetadataDNSRebind。了解更多

2019 年 10 月 10 日

添加了Stealth:IAMUser/S3ServerAccessLoggingDisabled查找类型。

添加了新的隐身发现,Stealth:IAMUser/S3ServerAccessLoggingDisabled. 了解更多

2019 年 10 月 10 日

添加了Policy:IAMUser/S3BlockPublicAccessDisabled查找类型。

添加了新的政策调查结果Policy:IAMUser/S3BlockPublicAccessDisabled。了解更多

2019 年 10 月 10 日

停用了Backdoor:EC2/XORDDOS查找类型。

Backdoor:EC2/XORDDOS查找类型现已停用 GuardDuty。 了解更多

2019 年 6 月 12 日

添加了PrivilegeEscalation查找类型。

PrivilegeEscalation查找类型检测用户何时尝试为其账户分配升级的、更宽松的权限。了解更多

2019 年 5 月 14 日

GuardDuty 现已在欧洲(斯德哥尔摩)区域推出。

将欧洲(斯德哥尔摩)添加到可用Amazon区域列表中 GuardDuty 。了解更多

2019 年 5 月 9 日

添加了新的查找类型Recon:EC2/PortProbeEMRUnprotectedPort。

此调查结果会通知您,某个 EC2 实例上与 EMR 相关的敏感端口未被阻止或正在被积极探测。了解更多

2019 年 5 月 8 日

添加了 5 种新的发现类型,用于检测您的 EC2 实例是否可能被用于拒绝服务 (DoS) 攻击。

这些调查结果会通知您,您环境中的 EC2 实例的行为方式可能表明它们正被用于执行拒绝服务 (DoS) 攻击。了解更多

2019 年 3 月 8 日

添加了新的查找类型:Policy:IAMUser/RootCredentialUsage

Policy:IAMUser/RootCredentialUsage查找类型会告知您,您的Amazon账户的根证书正被用于向Amazon服务发出编程请求。了解更多

2019 年 1 月 24 日

UnauthorizedAccess:IAMUser/UnusualASNCaller查找类型已停用

UnauthorizedAccess:IAMUser/UnusualASNCaller查找类型已停用。现在,您将收到有关通过其他活动 GuardDuty 发现类型从不寻常网络调用的活动的通知。生成的调查结果类型将基于已从异常网络调用的 API 的类别。了解更多

2018 年 12 月 21 日

添加了两种新的查找类型:PenTest:IAMUser/ParrotLinux和PenTest:IAMUser/PentooLinux

PenTest:IAMUser/ParrotLinux查找类型会告诉你,运行 Parrot Security Linux 的计算机正在使用属于你Amazon账户的证书进行 API 调用。 PenTest:IAMUser/PentooLinux查找类型会告诉你,运行 Pentoo Linux 的机器正在使用属于你Amazon账户的证书进行 API 调用。了解更多

2018 年 12 月 21 日

增加了对亚马逊 GuardDuty 公告 SNS 主题的支持

现在,您可以订阅 GuardDuty 公告 SNS 主题以接收有关新发布的调查结果类型、现有调查结果类型的更新以及其他功能更改的通知的信息。通知以 Amazon SNS 支持的所有格式提供。了解更多

2018 年 11 月 21 日

添加了两种新的查找类型:UnauthorizedAccess:EC2/TorClient和UnauthorizedAccess:EC2/TorRelay

UnauthorizedAccess:EC2/TorClient查找类型会告知您Amazon环境中的某个 EC2 实例正在连接到 Tor Guard 或 Authority 节点。 UnauthorizedAccess:EC2/TorRelay查找类型会告知您Amazon环境中的某个 EC2 实例正在连接到 Tor 网络,这表明它正在充当 Tor 中继。了解更多

2018 年 11 月 16 日

添加了新的查找类型:CryptoCurrency:EC2/BitcoinTool.B

这一发现告诉您,您的Amazon环境中的 EC2 实例正在查询与比特币或其他加密货币相关活动相关的域名。了解更多

2018 年 11 月 9 日

增加了对更新发送到 CloudWatch 事件的通知频率的支持

现在,您可以更新向 CloudWatch 事件发送通知的频率,以了解现有发现的后续出现。可能的值为 15 分钟、1 小时或 6 小时(默认值)。了解更多

2018 年 10 月 9 日

增加了区域支持

添加了对Amazon GovCloud (美国西部)的区域支持了解更多

2018 年 7 月 25 日

添加了对Amazon CloudFormation StackSets 中的支持 GuardDuty

您可以使用 Enable Amazon GuardDuty 模板在多个账户中 GuardDuty 同时启用。了解更多

2018 年 25 月 6 日

增加了对 GuardDuty 自动存档规则的支持

客户现在可以为调查结果抑制构建精细的自动存档规则。对于符合自动存档规则的发现, GuardDuty 自动将其标记为已存档。这使客户能够进一步调整 GuardDuty ,以便在当前调查结果表中仅保留相关的调查结果。了解更多

2018 年 5 月 4 日

GuardDuty 已在欧洲(巴黎)区域推出

GuardDuty 现已在欧洲(巴黎)上市,允许您在该地区扩展持续的安全监控和威胁检测。了解更多

2018 年 3 月 29 日

现在支持通过Amazon CloudFormation创建 GuardDuty 管理员和成员帐户。

有关更多信息,请参阅 AWS::GuardDuty::masterAWS::GuardDuty::member

2018 年 3 月 6 日

添加了九个 CloudTrail基于新增的异常检测。

这些新的查找类型将在所有支持的区域 GuardDuty 中自动启用。 了解更多

2018 年 2 月 28 日

添加了三个新的威胁情报检测(查找类型)。

这些新的查找类型将在所有支持的区域 GuardDuty 中自动启用。了解更多

2018 年 2 月 5 日

提高 GuardDuty 成员账户的限额。

在此版本中,每个Amazon账户(GuardDuty 管理员账户)最多可以添加 1000 个 GuardDuty 成员账户。了解更多

2018 年 1 月 25 日

GuardDuty 管理员和成员帐户的可信 IP 列表和威胁列表的上传和进一步管理方面的变化。

在此版本中,来自管理员 GuardDuty 帐户的用户可以上传和管理可信 IP 列表和威胁列表。来自成员 GuardDuty 账户的用户无法上传和管理列表。管理员帐户上传的可信 IP 列表和威胁列表会强加于其成员账户的 GuardDuty 功能。了解更多

2018 年 1 月 25 日

下表介绍了 GuardDuty 用户指南每次发布时进行的重要更改。

早期更新

更改 说明 日期
初次发布 亚马逊 GuardDuty 用户指南的首次发布。 2017 年 11 月 28 日