Amazon GuardDuty 中的概念和关键术语

包含您的 Amazon 资源的标准 Amazon Web Services (Amazon) 账户。您可以使用您的账户登录 Amazon 并启用 GuardDuty。

您还可以邀请其他账户启用 GuardDuty 并在 Amazon 中与您的账户关联。如果您的邀请被接受，您的账户将被指定为 GuardDuty 管理员账户，添加的账户将成为您的成员账户。然后，您可以代表他们查看和管理这些账户的 GuardDuty 调查发现。

管理员账户的用户可以配置 GuardDuty，并查看和管理自己账户及其所有成员账户的 GuardDuty 调查发现。有关管理员账户可以管理的成员账户数量信息，请参阅 GuardDuty 配额。

成员账户的用户可以配置 GuardDuty，也可以查看和管理其账户中的 GuardDuty 调查发现（通过 GuardDuty 管理控制台或 GuardDuty API）。成员账户的用户不能查看或管理其他成员的账户中的结果。

一个 Amazon Web Services 账户不能同时是 GuardDuty 管理员账户和成员账户。一个 Amazon Web Services 账户只能接受一个成员账户邀请。接受成员资格邀请是可选的。

有关更多信息，请参阅 Amazon GuardDuty 中的多个账户。

攻击序列是指多个事件的关联，GuardDuty 观测到这些事件以特定序列发生，且与可疑活动的模式匹配。GuardDuty 利用 扩展威胁检测功能来检测账户中这些跨基础数据来源、Amazon 资源和时间表的多阶段攻击。

以下列表简要解释了与攻击序列相关的关键术语：

Amazon GuardDuty 是一项区域性服务。在特定 Amazon Web Services 区域中启用 GuardDuty 时，您的 Amazon Web Services 账户就会关联一个检测器 ID。这是一个长度为 32 个字符的字母数字 ID，在该区域中对您的账户是唯一的。例如，当您在其他区域为同一账户启用 GuardDuty 时，您的账户将关联一个不同的检测器 ID。detectorId 的格式为 12abc34d567e8fa901bc2d34e56789f0。

所有调查发现、账户以及有关管理调查发现和 GuardDuty 服务的操作都使用检测器 ID 来运行 API 操作。

要查找您账户和当前区域的 detectorId，请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面，或者运行 ListDetectors API。

某些 GuardDuty 功能是通过检测器配置的，例如配置 CloudWatch Events 通知频率，以及启用或禁用 GuardDuty 要处理的可选防护计划。

一组数据的源或位置。要检测 Amazon 环境中未经授权或意外的活动。GuardDuty 分析和处理来自 Amazon CloudTrail 事件日志、Amazon CloudTrail 管理事件、S3 Amazon CloudTrail 数据事件、VPC 流日志、DNS 日志的数据，详见 GuardDuty 基础数据来源。

为 GuardDuty 保护计划配置的功能对象，有助于检测 Amazon 环境中未经授权或意外的活动。每个 GuardDuty 防护计划都会配置相应的功能对象来分析和处理数据。一些功能对象包括 EKS 审计日志、RDS 登录活动监控、Lambda 网络活动日志和 EBS 卷。有关更多信息，请参阅 GuardDuty API 中的防护计划功能名称。

GuardDuty 发现的潜在安全问题。有关更多信息，请参阅 了解和生成 Amazon GuardDuty 调查发现。

调查发现将显示在 GuardDuty 控制台中，并包含安全问题的详细描述。您还可以通过调用 GetFindings 和 ListFindings API 操作来检索生成的调查发现。

您还可以通过 Amazon CloudWatch Events 查看 GuardDuty 调查发现。GuardDuty 通过 HTTPS 协议将调查发现发送到 Amazon CloudWatch。有关更多信息，请参阅 使用 Amazon EventBridge 处理 GuardDuty 调查发现。

这是具有扫描 S3 对象所需权限的 IAM 角色。启用已扫描对象标记后，IAM PassRole 权限有助于 GuardDuty 向已扫描的对象添加标签。

为存储桶启用 S3 恶意软件防护后，GuardDuty 将创建恶意软件防护计划资源。此资源与恶意软件防护计划 ID 相关联，后者是受保护存储桶的唯一标识符。使用恶意软件防护计划资源对受保护资源执行 API 操作。

如果您为 Amazon S3 存储桶启用 S3 恶意软件防护，且其保护状态变为活动，则该存储桶被视为已受保护。

GuardDuty 仅支持将 S3 存储桶作为受保护资源。

与您的恶意软件防护计划资源关联的状态。为存储桶启用 S3 恶意软件防护后，此状态代表您的存储桶设置是否正确。

在 Amazon Simple Storage Service（Amazon S3）存储桶中可以使用前缀来整理存储。前缀是 S3 存储桶中对象的逻辑分组。有关更多信息，请参阅《Amazon S3 用户指南》中的组织和列出对象。

启用 GuardDuty EC2 恶意软件防护后，您可以指定要扫描或跳过的 Amazon EC2 实例和 Amazon Elastic Block Store（EBS）卷。此功能允许您将与 EC2 实例和 EBS 卷关联的现有标签，添加到包含标签列表或排除标签列表中。系统会扫描与添加到包含标签列表的标签关联的资源是否存在恶意软件，而不会扫描那些添加到排除标签列表的资源。有关更多信息，请参阅 使用用户定义的标签扫描选项。

启用 GuardDuty EC2 恶意软件防护后，您将拥有在 Amazon 账户中保留 EBS 卷快照的选项。GuardDuty 会根据 EBS 卷的快照生成副本 EBS 卷。只有当 EC2 恶意软件防护扫描在副本 EBS 卷中检测到恶意软件时，才能保留 EBS 卷的快照。如果在副本 EBS 卷中未检测到恶意软件，无论快照保留期设置如何，GuardDuty 都会自动删除 EBS 卷的快照。有关更多信息，请参阅 快照保留。

利用禁止规则，您可以创建非常具体的属性组合来隐藏发现结果。例如，您可以通过 GuardDuty 筛选条件定义规则，以便仅从特定 VPC 中运行特定 AMI，或具有特定 EC2 标签的实例自动存档 Recon:EC2/Portscan。此规则将导致自动从满足条件的实例存档端口扫描结果。但是，如果 GuardDuty 检测到那些进行其他恶意活动（例如加密货币挖矿）的实例，仍然允许发出警报。

GuardDuty 管理员账户中定义的抑制规则适用于 GuardDuty 成员账户。GuardDuty 成员账号无法修改抑制规则。

通过抑制规则，GuardDuty 仍会生成所有调查发现。禁止规则可禁止显示发现结果，并保留所有活动的完整、不可变的历史记录。

通常，禁止规则用于隐藏已确定为环境中误报的发现结果，并减少低值发现结果带来的噪点，让您可以专注于处理较大的威胁。有关更多信息，请参阅 GuardDuty 中的抑制规则。

可信 IP 地址列表，可与您的 Amazon 环境进行高度安全通信。GuardDuty 不会根据可信 IP 列表生成调查发现。有关更多信息，请参阅 使用实体列表和 IP 地址列表自定义威胁检测。

已知恶意 IP 地址的列表。除了因潜在可疑活动生成调查发现外，GuardDuty 还会根据这些威胁列表生成调查发现。有关更多信息，请参阅 使用实体列表和 IP 地址列表自定义威胁检测。