Amazon GuardDuty 中的摘要控制面板 - Amazon GuardDuty
概览调查发现最常见的调查发现类型按严重性分类的调查发现调查发现最多的账户含调查发现的资源最少发生的调查发现防护计划覆盖范围
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon GuardDuty 中的摘要控制面板

GuardDuty 摘要控制面板提供当前 Amazon Web Services 区域 Amazon Web Services 账户中生成的 GuardDuty 调查发现的汇总视图。

如果您使用的是 GuardDuty 管理员账户,则控制面板会提供组织中您的账户和成员账户的汇总统计结果和数据。

查看摘要控制面板

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    当您打开控制台时,GuardDuty 会默认显示摘要控制面板。

  2. 摘要页面上,从控制台右上角的区域选择器中选择所需的 Amazon Web Services 区域。

  3. 从日期范围选择器菜单中,选择要查看摘要的日期范围。默认情况下,控制面板显示当天,即今天的数据。

    注意

    如果在所选日期范围内未生成任何调查发现,则控制面板将没有任何数据可显示。您可以刷新控制面板或调整日期范围。

概览

该部分提供以下数据:

  • 攻击序列数:表示 GuardDuty 在当前区域的账户中生成的攻击序列调查发现数量。

    GuardDuty 可检测您账户中的潜在多阶段攻击。您可以在攻击序列数下选择数量,以在调查发现页面上查看其详细信息。

  • 调查发现总数:表示当前区域中您的账户中生成的调查发现总数。这包括个人调查发现和攻击序列调查发现。

  • 含调查发现的资源数:表示与调查发现相关联且可能被盗用的资源数量。

  • 含调查发现的账户:表示至少生成一个调查发现的账户数量。如果您是独立账户,则此字段中的值为 1

对于过去 7 天过去 30 天的时间范围,概览窗格可能分别显示每周(WoW)或每月(MoM)生成的调查发现的百分比差异。如果前一周或前一月没有调查发现,那么在没有数据可比较的情况下,可能无法得出百分比差异。

GuardDuty“摘要”控制面板中的“概述”部分。

如果您是 GuardDuty 管理员账户,所有这些字段都会提供组织中所有成员账户的汇总数据。

调查发现

调查发现小部件最多显示八个主要调查发现。这些调查发现根据其严重性级别列出,重大调查发现首先显示。

默认情况下,您可以查看所有调查发现。要仅查看攻击序列调查发现数据,请启用仅限主要攻击序列

在此列表中,可以选择任何调查发现以查看其详细信息。

GuardDuty“摘要”控制面板中的“调查发现”小部件。

最常见的调查发现类型

此部分提供了一个饼图,显示当前区域生成的前五个最常见调查发现类型。将鼠标悬停在饼图的每个扇区上时,可以观察到以下内容:

  • 调查发现计数:表示在选定日期范围内生成此调查发现的次数。

  • 严重性:表示调查发现的严重性级别。

  • 百分比:表示此调查发现类型相对于总数的比例。

  • 上次生成:表示自上次检测到此调查发现类型以来过去多长时间。

按严重性分类的调查发现

此部分显示一个条形图,展示选定日期范围内的调查发现总数。该图表按严重性(重大)对调查发现进行细分,并帮助您查看该范围内特定日期的调查发现数量。

要查看特定日期每个严重性级别的计数,请将鼠标悬停在图表中相应的条形上。

调查发现最多的账户

该部分提供以下数据:

  • 账户:表示生成调查发现的 Amazon Web Services 账户 ID。

  • 调查发现计数:表示为此账户 ID 生成调查发现的次数。

  • 上次生成:表示自上次为此账户 ID 生成调查发现类型以来过去多长时间。

  • 严重性筛选器:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括所有严重性重大严重性高严重性中等严重性

含调查发现的资源

该部分提供以下数据:

  • 资源:显示可能受影响的资源类型,如果此资源属于您的账户,则可以访问快速链接以查看资源详细信息。如果您使用的是 GuardDuty 管理员账户,则可以使用所有者成员账户的凭证访问 GuardDuty 控制台,查看可能受影响资源的详细信息。

  • 账户:表示此资源所属的 Amazon Web Services 账户 ID。

  • 调查发现计数:表示此资源与查找结果关联的次数。

  • 上次生成:表示自上次生成与此资源关联的调查发现类型以来过去多长时间。

  • 资源类型筛选器:默认情况下,显示所有资源类型的数据。通过使用此筛选器,您可以查看特定资源类型的数据,例如 InstanceAccessKeyLambda 等。

  • 严重性筛选器:默认情况下,显示所有严重性的数据。通过使用此筛选器,您可以选择查看其他严重性级别的数据。可能的选项包括重大严重性高严重性中等严重性所有严重性

最少发生的调查发现

本节重点介绍 Amazon 环境中不常出现的调查发现类型。此小部件旨在帮助您识别和调查潜在的突发威胁模式。

此小部件显示以下数据:

  • 调查发现类型:显示调查发现类型名称。

  • 调查发现计数:表示在选定时间范围内生成此调查发现类型的次数。

  • 上次生成:表示自上次生成此调查发现类型以来过去多长时间。

  • 严重性筛选器:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括重大严重性高严重性中等严重性所有严重性

防护计划覆盖范围

此部分显示您组织中的成员账户统计数据。其中显示当前区域中已启用 GuardDuty(基础威胁检测)的成员账户数量。只有委派 GuardDuty 管理员才能查看其组织内成员账户的统计数据。创建新的 Amazon 组织时,生成整个组织的统计数据最长可能需要 24 小时的时间。

如何使用这个小部件

  • 配置:如果未配置防护计划,请在操作列下选择配置

  • 查看已启用的账户:将鼠标悬停在已启用的账户列中的栏上,查看有多少账户已启用每个防护计划。要进一步查看账户详细信息,请选择绿色栏,然后选择查看账户

    在 GuardDuty“摘要”控制面板中查看成员账户的防护计划启用状态。