基础数据来源 - Amazon GuardDuty
Amazon CloudTrail 事件日志Amazon CloudTrail 管理事件Amazon VPC 流日志DNS 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基础数据来源

GuardDuty 使用基础数据源来检测与已知恶意域和 IP 地址的通信并识别异常行为。从这些源传输到时 GuardDuty,所有日志数据都经过加密。 GuardDuty从这些日志源中提取各种字段以进行性能分析和异常检测,然后丢弃这些日志。

以下各节介绍如何 GuardDuty 使用每种支持的数据源。 GuardDuty 在中启用后 Amazon Web Services 账户, GuardDuty 会自动开始监视这些日志源。

Amazon CloudTrail 事件日志

Amazon CloudTrail 为您提供账户的 Amazon API 调用历史记录,包括使用、 Amazon 软件开发工具包 Amazon Web Services Management Console、命令行工具和某些 Amazon 服务进行的 API 调用。 CloudTrail 还可以帮助您确定哪些用户和账户为支持的服务调用了 Amazon API CloudTrail、调用调用的源 IP 地址以及调用调用的时间。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的什么是 Amazon CloudTrail

GuardDuty 还会监视 CloudTrail 管理事件。启用后 GuardDuty,它会直接 CloudTrail 通过独立且重复的事件流开始使用 CloudTrail 管理事件,并分析您的 CloudTrail 事件日志。 GuardDuty 访问中记录的事件时,无需支付额外费用。 CloudTrail

GuardDuty 不会管理您的 CloudTrail 事件或影响您的现有 CloudTrail 配置。同样,您的 CloudTrail 配置不会影响事件 GuardDuty 日志的使用和处理方式。要管理 CloudTrail 事件的访问和保留,请使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的使用 CloudTrail 事件历史查看事件

如何 GuardDuty 处理 Amazon CloudTrail 全球事件

对于大多数 Amazon 服务, CloudTrail 事件都记录在创建 Amazon Web Services 区域 地点。对于诸如 Amazon Identity and Access Management (IAM)、(Amazon STS)、亚马逊简单存储服务 Amazon Security Token Service (Amazon S3)、Amazon 和 A CloudFront mazon Route 53(Route 53)之类的全球服务,事件仅在事件发生的地区生成,但具有全球意义。

使用具有安全价值(例如网络配置或用户权限)的 CloudTrail 全球服务事件时,它会在您启 GuardDuty 用的每个区域复制这些事件并对其进行处理。 GuardDuty此行为有助于 GuardDuty 维护每个区域的用户和角色资料,这对于检测异常事件至关重要。

我们强烈建议您在所有已启 Amazon Web Services 区域 用的选项 GuardDuty 中启用 Amazon Web Services 账户。这有助于 GuardDuty 生成有关未经授权或异常活动的调查结果,即使在您可能未积极使用的地区也是如此。

Amazon CloudTrail 管理事件

管理事件也称为控制面板事件。这些事件可让您深入了解对 Amazon 账户中的资源执行的管理操作。

以下是 GuardDuty监控的 CloudTrail 管理事件的示例:

  • 配置安全性(IAM AttachRolePolicy API 操作)

  • 配置路由数据规则(Amazon EC2 CreateSubnet API 操作)

  • 设置日志记录(Amazon CloudTrail CreateTrailAPI 操作)

Amazon VPC 流日志

Amazon VPC 的 VPC 流日志功能可捕获有关您环境中连接至亚马逊弹性计算云 (Amazon EC2) 实例的网络接口的 IP 流量的信息。 Amazon

启用后 GuardDuty,它会立即开始分析来自您账户中的 Amazon EC2 实例的 VPC 流日志。通过独立且重复的流日志流,直接从 VPC 流日志功能使用 VPC 流日志事件。此过程不会影响任何现有的流日志配置。

GuardDuty Lambda 保护

Lambda 保护是亚马逊的一项可选增强功能。 GuardDuty目前,Lambda 网络活动监控包括来自您账户所有 Lambda 函数的 Amazon VPC 流日志,甚至包括那些不使用 VPC 网络的日志。为了保护您的 Lambda 函数免受潜在的安全威胁,您需要在账户中配置 Lambda 保护。 GuardDuty 有关更多信息,请参阅 GuardDuty Lambda 保护

GuardDuty 运行时监控

如果您在 EKS 运行时监控或 EC2 实例的运行时监控中管理安全代理(手动或通过 GuardDuty),并且GuardDuty 目前部署在 Amazon EC2 实例上并收集的运行时事件类型从该实例接收安全代理, GuardDuty 则不会向您 Amazon Web Services 账户 收取分析来自此 Amazon EC2 实例的 VPC 流日志的费用。这有助于 GuardDuty 避免账户中的双重使用成本。

GuardDuty 不会管理您的流程日志,也无法在您的账户中访问这些日志。要管理对流日志的访问和保留,您必须配置 VPC 流日志功能。

DNS 日志

如果您对 Amazon EC2 实例使用 Amazon DNS 解析器(默认设置),则 GuardDuty 可以通过内部 DNS 解析器访问和处理您的请求和响应 DN Amazon S 日志。如果您使用其他 DNS 解析器(例如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析器, GuardDuty 则无法访问和处理来自此数据源的数据。

启用后 GuardDuty,它会立即开始分析来自独立数据流的 DNS 日志。该数据流与通过 Route 53 解析程序查询日志记录功能提供的数据是分开的。此功能的配置不会影响 GuardDuty分析。

注意

GuardDuty 不支持监控启动的 Amazon EC2 实例的 DNS 日志, Amazon Outposts 因为 Amazon Route 53 Resolver 查询日志功能在该环境中不可用。