本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty 基础数据来源
GuardDuty 使用基础数据来源来检测与已知恶意域和 IP 地址的通信,并识别可能异常的行为和未经授权的活动。在从这些来源传输到 GuardDuty 的过程中,所有日志数据都经过加密。GuardDuty 从这些日志源中提取各种字段以进行分析和异常检测,然后丢弃日志。
首次在某个区域启用 GuardDuty 时,您的 30 天免费试用期包含对所有基础数据来源的威胁检测。在此免费试用期间,您可以监控按每个基础数据来源细分的估计每月使用情况。作为委派 GuardDuty 管理员账户,您可以查看预估月度使用成本,按属于您的组织并启用了 GuardDuty 的每个成员账户细分。30 天试用期结束后,您可以使用 Amazon Billing 来获取有关使用成本的信息。
当 GuardDuty 访问来自这些基础数据来源的事件和日志时,不会产生额外成本。
当您在 Amazon Web Services 账户中启用 GuardDuty 后,将会自动开始监控以下章节介绍的日志来源。您无需启用其他任何功能,GuardDuty 即可开始分析和处理这些数据来源,生成相关的安全调查发现。
Amazon CloudTrail 管理事件
Amazon CloudTrail 为您提供账户的 Amazon API 调用历史记录,包括使用 Amazon Web Services Management Console、Amazon SDK、命令行工具和某些 Amazon 服务进行的 API 调用。CloudTrail 还可以帮助您确定,哪些用户和账户为支持 CloudTrail 的服务调用了 Amazon API、调用的源 IP 地址以及调用的时间。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的什么是 Amazon CloudTrail。
GuardDuty 可监控 CloudTrail 管理事件,也称为控制面板事件。这些事件可让您深入了解对 Amazon Web Services 账户中的资源执行的管理操作。
以下是 GuardDuty 监控的 CloudTrail 管理事件示例:
-
配置安全性(IAM
AttachRolePolicy
API 操作) -
配置路由数据规则(Amazon EC2
CreateSubnet
API 操作) -
设置日志记录(Amazon CloudTrail
CreateTrail
API 操作)
启用 GuardDuty 后,会开始通过独立和重复的事件流,直接从 CloudTrail 中使用 CloudTrail 管理事件,并分析 CloudTrail 事件日志。
GuardDuty 不会管理 CloudTrail 事件,也不会影响现有的 CloudTrail 配置。同样,您的 CloudTrail 配置不会影响 GuardDuty 使用和处理事件日志的方式。要管理 CloudTrail 事件的访问和保留,请使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的使用 CloudTrail 事件历史记录查看事件。
GuardDuty 如何处理 Amazon CloudTrail 全球事件
对于大多数 Amazon 服务,CloudTrail 事件记录在创建事件的 Amazon Web Services 区域 中。对于 Amazon Identity and Access Management(IAM)、Amazon Security Token Service(Amazon STS)、Amazon Simple Storage Service(Amazon S3)、Amazon CloudFront 和 Amazon Route 53(Route 53)等全球服务,事件仅在其发生的区域生成,但具有全球意义。
当 GuardDuty 使用具有安全值(如网络配置或用户权限)的 CloudTrail 全球服务事件时,会复制这些事件并在您启用 GuardDuty 的每个区域中处理这些事件。此行为有助于 GuardDuty 维护每个区域中的用户和角色配置文件,这对于检测异常事件至关重要。
我们强烈建议您在为 Amazon Web Services 账户 启用的所有区域中启用 Amazon Web Services 区域。这有助于 GuardDuty 生成有关未经授权或异常活动的调查发现,即使在您可能未主动使用的区域中也是如此。
Amazon VPC 流日志
Amazon VPC 的 VPC 流日志功能可捕获有关进出网络接口的 IP 流量信息,该网络接口附加至 Amazon 环境中的 Amazon Elastic Compute Cloud(Amazon EC2)实例。
启用 GuardDuty 后,会立即开始分析您账户中 Amazon EC2 实例的 VPC 流日志。通过独立且重复的流日志流,直接从 VPC 流日志功能使用 VPC 流日志事件。此过程不会影响任何现有的流日志配置。
- Lambda 保护
-
Lambda 保护是 Amazon GuardDuty 的一项可选增强功能。目前,Lambda 网络活动监控包括来自您账户所有 Lambda 函数的 Amazon VPC 流日志,甚至包括那些不使用 VPC 网络的日志。为了保护您的 Lambda 函数免受潜在的安全威胁,您需要在 GuardDuty 账户中配置 Lambda 保护。有关更多信息,请参阅 Lambda 保护。
- GuardDuty 运行时监控
当您在 EKS 运行时监控或 EC2 实例运行时监控中管理安全代理(手动或通过 GuardDuty),而 GuardDuty 目前部署在 Amazon EC2 实例上并接收从该实例收集的运行时事件类型时,GuardDuty 不会因分析来自此 Amazon EC2 实例的 VPC 流日志而向您的 Amazon Web Services 账户收取费用。这有助于 GuardDuty 避免在账户中产生双重使用成本。
GuardDuty 不会管理您的流日志,也不会在您的账户中提供这些日志。要管理对流日志的访问和保留,您必须配置 VPC 流日志功能。
Route53 Resolver DNS 查询日志
如果您为 Amazon EC2 实例使用 Amazon DNS 解析程序(默认设置),则 GuardDuty 可以通过内部 Amazon DNS 解析程序访问和处理您的请求并响应 Route53 Resolver DNS 查询日志。如果您使用其他 DNS 解析程序(如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析程序,则 GuardDuty 无法访问和处理来自此数据来源的数据。
启用 GuardDuty 后,将会立即开始分析来自独立数据流的 Route53 Resolver DNS 查询日志。该数据流与通过 Route 53 解析程序查询日志记录功能提供的数据是分开的。此功能的配置不会影响 GuardDuty 分析。
注意
GuardDuty 不支持监控在 Amazon Outposts 上启动的 Amazon EC2 实例的 DNS 日志,因为该环境中没有 Amazon Route 53 Resolver 查询日志记录功能。