GuardDuty 查找聚合

GuardDuty 动态更新生成的调查结果。如果 GuardDuty 检测到与相同安全问题相关的新活动，则 GuardDuty 不会创建新的调查结果，而是使用最新的详细信息更新原始调查结果。此行为使您无需浏览多个类似报告，就能识别正在发生的问题，并且还减少了已知安全问题的调查发现总量。

例如，对于 UnauthorizedAccess:EC2/SSHBruteForce 调查发现，针对实例的多次访问尝试将聚合到同一调查发现 ID，从而增加调查发现详细信息中的计数数量。这是因为该调查发现表示实例的安全问题，指示未针对此类活动正确保护实例上的 SSH 端口。但是，如果 GuardDuty 检测到针对环境中的新实例的 SSH 访问活动，它将创建具有唯一调查结果 ID 的新调查结果，以提醒您存在与新资源关联的安全问题。

聚合调查发现后，系统会根据该活动最近一次发生的信息进行更新。这意味着，在上面的示例中，如果您的实例是新攻击者的暴力攻击目标，则调查发现的详细信息将会更新，以反映最新源的远程 IP 信息，并且旧信息将被替换。您的 CloudTrail日志或 VPC 流日志中仍将提供有关个人活动尝试的完整信息。

提醒 GuardDuty 生成新查找结果而不是汇总现有查找结果的标准取决于查找结果类型。每种调查发现类型的聚合标准均由我们的安全工程师确定，以便为您提供账户中各种安全问题的概述。

在您的账户中 GuardDuty 生成攻击序列查找类型时，只有当您在账户中 GuardDuty 识别出相同序列中的相似信号时，才会汇总搜索结果。否则， GuardDuty 将生成另一个攻击序列。