Amazon 中的摘要控制面板 GuardDuty - Amazon GuardDuty
概述结果最常见的调查发现类型按严重性分类的调查发现调查发现最多的账户含调查发现的资源最少发生的调查发现防护计划覆盖范围
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 中的摘要控制面板 GuardDuty

“ GuardDuty 摘要” 仪表板提供了您 Amazon Web Services 账户 当前生成的 GuardDuty 调查结果的汇总视图 Amazon Web Services 区域。

如果您使用的是 GuardDuty 管理员账户,控制面板会提供您的账户和组织中成员账户的汇总统计数据和数据。

查看摘要控制面板

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

    GuardDuty 默认情况下,当您打开控制台时,会显示 “摘要” 控制面板。

  2. 摘要页面上, Amazon Web Services 区域 从控制台右上角的区域选择器中选择所需的区域。

  3. 从日期范围选择器菜单中,选择要查看摘要的日期范围。默认情况下,控制面板显示当天,即今天的数据。

    注意

    如果在所选日期范围内未生成任何调查发现,则控制面板将没有任何数据可显示。您可以刷新控制面板或调整日期范围。

概述

该部分提供以下数据:

  • 攻击序列:表示当前区域中您的账户中 GuardDuty 生成的攻击序列发现次数。

    GuardDuty 检测您账户中潜在的多阶段攻击。您可以在攻击序列数下选择数量,以在调查发现页面上查看其详细信息。

  • 调查发现总数:表示当前区域中您的账户中生成的调查发现总数。这包括个人调查发现和攻击序列调查发现。

  • 含调查发现的资源数:表示与调查发现相关联且可能被盗用的资源数量。

  • 含调查发现的账户:表示至少生成一个调查发现的账户数量。如果您是独立账户,则此字段中的值为 1

对于过去 7 天过去 30 天的时间范围,概览窗格可能分别显示每周(WoW)或每月(MoM)生成的调查发现的百分比差异。如果前一周或前一月没有调查发现,那么在没有数据可比较的情况下,可能无法得出百分比差异。

摘要仪表板中的 “ GuardDuty 概述” 部分。

如果您是 GuardDuty 管理员帐户,则所有这些字段都会提供组织中所有成员账户的汇总数据。

结果

调查发现小部件最多显示八个主要调查发现。这些调查发现根据其严重性级别列出,重大调查发现首先显示。

默认情况下,您可以查看所有调查发现。要仅查看攻击序列调查发现数据,请启用仅限主要攻击序列

在此列表中,可以选择任何调查发现以查看其详细信息。

“ GuardDuty 摘要” 仪表板中的 “调查结果” 控件。

最常见的调查发现类型

此部分提供了一个饼图,显示当前区域生成的前五个最常见调查发现类型。将鼠标悬停在饼图的每个扇区上时,可以观察到以下内容:

  • 调查发现计数:表示在选定日期范围内生成此调查发现的次数。

  • 严重性:表示调查发现的严重性级别。

  • 百分比:表示此调查发现类型相对于总数的比例。

  • 上次生成:表示自上次检测到此调查发现类型以来过去多长时间。

按严重性分类的调查发现

此部分显示一个条形图,展示选定日期范围内的调查发现总数。该图表按严重性(重大)对调查发现进行细分,并帮助您查看该范围内特定日期的调查发现数量。

要查看特定日期每个严重性级别的计数,请将鼠标悬停在图表中相应的条形上。

调查发现最多的账户

该部分提供以下数据:

  • 账户:表示生成调查结果的 Amazon Web Services 账户 ID。

  • 调查发现计数:表示为此账户 ID 生成调查发现的次数。

  • 上次生成:表示自上次为此账户 ID 生成调查发现类型以来过去多长时间。

  • 严重性筛选器:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括所有严重性重大严重性高严重性中等严重性

含调查发现的资源

该部分提供以下数据:

  • 资源:显示可能受影响的资源类型,如果此资源属于您的账户,则可以访问快速链接以查看资源详细信息。如果您是 GuardDuty 管理员账户,则可以使用所有者成员账户的凭据访问 GuardDuty 控制台,查看可能受影响的资源的详细信息。

  • 帐户:表示此资源所属的 Amazon Web Services 账户 ID。

  • 调查发现计数:表示此资源与查找结果关联的次数。

  • 上次生成:表示自上次生成与此资源关联的调查发现类型以来过去多长时间。

  • 资源类型筛选器:默认情况下,显示所有资源类型的数据。通过使用此筛选条件,您可以选择查看特定资源类型的数据,例如实例AccessKeyLambda 等。

  • 严重性筛选器:默认情况下,显示所有严重性的数据。通过使用此筛选器,您可以选择查看其他严重性级别的数据。可能的选项包括重大严重性高严重性中等严重性所有严重性

最少发生的调查发现

本节重点介绍查找环境中不常出现的 Amazon 类型。此小部件旨在帮助您识别和调查潜在的突发威胁模式。

此小部件显示以下数据:

  • 调查发现类型:显示调查发现类型名称。

  • 调查发现计数:表示在选定时间范围内生成此调查发现类型的次数。

  • 上次生成:表示自上次生成此调查发现类型以来过去多长时间。

  • 严重性筛选器:默认情况下,显示高严重性调查发现类型的数据。此字段的可能选项包括重大严重性高严重性中等严重性所有严重性

防护计划覆盖范围

此部分显示您组织中的成员账户统计数据。它显示了当前区域中已启用 GuardDuty (基础威胁检测)的成员账户数量。只有授权的 GuardDuty 管理员才能查看其组织内成员账户的统计信息。创建新 Amazon 组织时,生成整个组织的统计数据最多可能需要 24 小时。

如何使用这个小部件

  • 配置:如果未配置防护计划,请在操作列下选择配置

  • 查看已启用的账户:将鼠标悬停在已启用的账户列中的栏上,查看有多少账户已启用每个防护计划。要进一步查看账户详细信息,请选择绿色栏,然后选择查看账户

    在 “ GuardDuty 摘要” 控制面板中查看成员账户的保护计划启用状态。