Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty 扩展威胁检测

GuardDuty 扩展威胁检测可自动检测跨越数据源、多种 Amazon 资源类型和时间的多阶段攻击。 Amazon Web Services 账户借助此功能，可以 GuardDuty专注于通过监视不同类型的数据源来观察到的多个事件的顺序。扩展威胁检测将这些事件关联起来，以识别可能对您的 Amazon 环境构成潜在威胁的场景，然后生成攻击序列发现。

攻击序列威胁场景示例

扩展威胁检测涵盖的威胁场景包括与 Amazon 证书滥用相关的泄露、Amazon S3 存储桶中的数据泄露尝试以及 Amazon EKS 集群中的容器和 Kubernetes 资源泄露。单个调查发现可以涵盖整个攻击序列。例如，以下列表描述了 GuardDuty 可能检测到的场景：

由于相关威胁情景的性质，将所有情况都 GuardDuty 攻击序列调查发现类型视为危急。

下列视频演示了如何使用扩展威胁检测功能。

工作原理

当您在特定账户 GuardDuty 中启用Amazon时 Amazon Web Services 区域，默认情况下还会启用扩展威胁检测。使用扩展威胁检测功能不会产生额外的费用。默认情况下，它将所有基础数据来源事件关联起来。但是，当您启用更多 GuardDuty 保护计划（例如 S3 保护、EKS 保护和运行时监控）时，这将通过扩大事件源的范围来打开其他类型的攻击序列检测。这将有助于实现更全面的威胁分析，并提升攻击序列的检测效能。有关更多信息，请参阅 启用防护计划以最大限度地提高威胁检测能力。

GuardDuty 关联多个事件，包括 API 活动和 GuardDuty 发现。这些事件都称为信号。有时，您的环境中可能存在一些事件，这些事件本身并不构成明显的潜在威胁。 GuardDuty 将它们称为微弱信号。借助扩展威胁检测， GuardDuty 可以识别一系列多项操作何时与潜在的可疑活动一致，并在您的账户中生成攻击序列发现结果。这些多重操作可能包括微弱的信号和您账户中已经发现的 GuardDuty 结果。

GuardDuty 还旨在识别您账户中潜在的正在进行或最近的攻击行为（在 24 小时滚动时间范围内）。例如，攻击可能始于行为者意外获得对计算工作负载的访问权限。然后，参与者将执行一系列步骤，包括枚举、权限升级和证书泄露。 Amazon 这些凭证可能被用于进一步泄露或恶意访问数据。

启用防护计划以最大限度地提高威胁检测能力

系统会自动为所有 GuardDuty 账户启用扩展威胁检测，默认情况下会评估来自该账户中启用的所有保护计划的信号。 GuardDuty 基础数据源为多种攻击序列检测提供了重要信号。例如，通过基础威胁检测， GuardDuty 可以从 Amazon S3 上的 IAM 权限发现活动开始识别潜在的攻击序列 APIs，并检测随后的 S3 控制平面更改，例如使存储桶资源策略更加宽松的更改。但是，其他攻击序列需要高级信号，这些信号只能从高级保护计划中获得，例如运行时监控、S3 保护和 EKS 审计日志监控。

在 Amazon EKS 集群中检测攻击序列

GuardDuty 将 EKS 审核日志、进程的运行时行为和 Amazon API 活动中的多个安全信号关联起来，以检测复杂的攻击模式。要享受针对 EKS 的扩展威胁检测功能带来的优势，您必须至少启用以下其中一项功能：EKS 防护或运行时监控（搭配 EKS 插件）。EKS 防护功能会通过审计日志监控控制面板活动，而运行时监控则会观察容器内的行为。

为了最大限度地提高覆盖范围和全面的威胁检测， GuardDuty 建议同时启用这两个保护计划。它们共同创建了您的 EKS 集群的完整视图，从而 GuardDuty 能够检测复杂的攻击模式。例如，它可以识别特权容器的异常部署（通过 EKS Protection 检测到），然后在该容器内进行持久化尝试、加密挖掘和反向 shell 创建（使用运行时监控检测到）。 GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。AttackSequence:EKS/CompromisedCluster启用这两个防护计划后，攻击序列调查发现会涵盖以下威胁场景：

以下列表详细说明单独启用各专项防护计划时的检测能力：

如果您未启用 EKS 保护或运行时监控， GuardDuty 将无法生成个人EKS 防护调查发现类型或运行时监控调查发现类型。因此， GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。

检测 Amazon S3 存储桶中的攻击序列

启用 S3 保护可以 GuardDuty 检测攻击序列，这些攻击序列涉及企图泄露您的 Amazon S3 存储桶中的数据。如果没有 S3 保护， GuardDuty 则可以检测您的 S3 存储桶资源策略何时变得过于宽松。启用 S3 保护后， GuardDuty 可以检测在 S3 存储桶变得过于宽松后可能发生的潜在数据泄露活动。

如果未启用 S3 保护， GuardDuty 将无法生成个人S3 防护调查发现类型。因此， GuardDuty 将无法检测到涉及相关发现的多阶段攻击序列。有关启用此防护计划的更多信息，请参阅 S3 防护。

检测 Amazon EC2 实例组中的攻击序列

GuardDuty 可以识别影响共享公共属性（例如 Auto Scaling 组、IAM 实例配置文件、启动模板、 CloudFormation 堆栈或 VPC IDs）的单个实例或实例组的攻击序列。 AMIs这些实例可能表现出可疑行为，例如恶意进程、与恶意端点的连接、加密挖掘或 EC2 实例凭证的异常使用。

攻击序列发现可检测到以下威胁场景：

扩展威胁检测有助于识别这些威胁。 GuardDuty 将这些相关事件表示为一个名为 “临界严重性” 的调查结果。AttackSequence:EC2/CompromisedInstanceGroup

GuardDuty 控制台中的扩展威胁检测

默认情况下， GuardDuty 控制台中的扩展威胁检测页面将状态显示为已启用。通过基础威胁检测，状态表示 GuardDuty 可以检测潜在的攻击序列，该序列涉及 Amazon S3 上的 IAM 权限发现活动 APIs 并检测后续的 S3 控制平面更改。

使用以下步骤在 GuardDuty 控制台中访问 “扩展威胁检测” 页面：

了解和管理攻击序列调查发现

攻击序列的发现与您账户中的其他 GuardDuty 发现结果一样。您可以在 GuardDuty 控制台的 “调查结果” 页面上查看它们。有关查看调查发现的信息，请参阅 GuardDuty控制台中的调查结果页面。

与其他 GuardDuty 发现类似，攻击序列结果也会自动发送到 Amazon EventBridge。根据您的设置，攻击序列调查发现也会导出到发布目标（Amazon S3 存储桶）。要设置新的发布目标或更新现有的发布目标，请参阅将生成的调查发现导出到 Amazon S3。

其他资源

请查看以下章节，进一步了解攻击序列：