概念和术语 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

概念和术语

当您开始使用 Amazon GuardDuty 时,了解其关键概念会很有用。

账户

包含您的 Amazon 资源的标准 Amazon Web Services (Amazon) 账户。您可以登录到Amazon与您的帐户并启用 “GuardDuty 能。

您还可以邀请其他账户启用 GuardDuty 并与您的Amazon帐户在 GuardDuty 值班。如果您的邀请被接受,则您的账户将指定为管理员GuardDuty 帐户,并添加的帐户将成为您的member账户。然后您可以代表成员账户查看和管理这些账户的 GuardDuty 结果。

管理员账户的用户可以在自己的账户及其所有成员账户中配置 GuardDuty,并能查看和管理 GuardDuty 结果。您的 GuardDuty 中最多可以有 5000 个成员账户。

成员账户的用户可以在其自己的账户中配置 GuardDuty,并能查看和管理 GuardDuty 结果 (通过 GuardDuty 管理控制台或 GuardDuty API)。成员账户的用户不能查看或管理其他成员的账户中的结果。

一个Amazon账户不能同时是 GuardDuty 管理员和成员账户。一个 Amazon 账户只能接受一个成员资格邀请。接受成员资格邀请是可选的。

有关更多信息,请参阅在 Amazon GuardDuty 中管理多个账户 Amazon服务与 GuardDuty 的集成

探测器

所有 GuardDuty 调查结果都与一个探测器关联,后者是表示 GuardDuty 服务的对象。探测器是一个区域实体,GuardDuty 运行的每个区域都需要一个独特的探测器。在某个区域中启用 GuardDuty 后,将在该区域中生成一个具有唯一的 32 位字母数字探测器 ID 的新探测器。探测器 ID 的格式如下所示:

12abc34d567e8fa901bc2d34e56789f0

您可以在控制台中从 Settings (设置) 窗格中查找当前区域的探测器 ID,也可以使用 ListDetectors API 以编程方式进行查找。

注意

在多个账户环境中,成员账户的所有调查结果汇总到管理员账户的探测器。

某些 GuardDuty 功能是通过检测器配置的,例如配置 CloudWatch 事件通知频率以及启用或禁用可选数据源以供 GuardDuty 处理。

数据源

一组数据的源或位置。若要检测未经授权的和意外的活动Amazon环境中的数据,GuardDuty 分析和处理来自Amazon CloudTrail事件日志、VPC 流日志和 DNS 日志。有关更多信息,请参阅Amazon GuardDuty 如何使用其数据源

结果

由 GuardDuty 发现的潜在安全问题。有关更多信息,请参阅了解 Amazon GuardDuty 结果

结果显示在 GuardDuty 控制台中,包含安全问题的详细说明。您还可以通过调用 GetFindingsListFindings API 操作来检索生成的调查结果。

您还可以通过 Amazon CloudWatch 事件查看 GuardDuty 结果。GuardDuty 通过 HTTPS 协议将结果发送到 Amazon CloudWatch。有关更多信息,请参阅使用 Amazon CloudWatch Events 创建自定义响应 GuardDuty 调查结果

禁止规则

利用禁止规则,您可以创建非常具体的属性组合来隐藏发现结果。例如,您可以通过 GuardDuty 筛选器定义一个规则,以便自动存档Recon:EC2/Portscan仅从特定 VPC 中的实例中的实例运行特定 AMI 或者使用特定的 EC2 标记。此规则将导致自动从满足条件的实例存档端口扫描结果。但是,它仍然允许在 GuardDuty 检测到执行其他恶意活动(例如,加密货币挖矿)的实例时发出警告。

GuardDuty 管理员账户中定义的禁止规则适用于 GuardDuty 成员账户。GuardDuty 成员账户无法修改禁止规则。

使用禁止规则,GuardDuty 仍能生成所有结果。禁止规则可禁止显示发现结果,并保留所有活动的完整、不可变的历史记录。

通常,禁止规则用于隐藏已确定为环境中误报的发现结果,并减少低值发现结果带来的噪点,让您可以专注于处理较大的威胁。有关更多信息,请参阅 禁止规则

可信 IP 列表

一个可信 IP 地址列表,用于为您的Amazon环境。GuardDuty 不根据可信 IP 列表生成结果。有关更多信息,请参阅使用可信 IP 列表和威胁列表

威胁列表

已知恶意 IP 地址的列表。GuardDuty 将根据威胁列表生成结果。有关更多信息,请参阅使用可信 IP 列表和威胁列表