Amazon 的方式GuardDuty使用其数据源 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的方式GuardDuty使用其数据源

检测您的中未经授权和意外的活动Amazon环境GuardDuty分析和处理来自本主题中描述的来源的数据。GuardDuty使用这些数据源来检测涉及以下内容的异常Amazon资源类型:Amazon 访问密钥、EC2 实例、S3 存储桶和 Amazon EKS 资源。在从这些数据源传输到 GuardDuty 时,将对所有日志数据进行加密。GuardDuty 将提取这些日志中的各种字段以进行分析和异常检测,然后丢弃日志。

以下各节介绍的方式:GuardDuty使用每个支持的数据源。

Amazon CloudTrail 事件日志

Amazon CloudTrail为你提供历史Amazon针对您账户的 API 调用,包括使用Amazon管理控制台AmazonSDK、命令行工具以及某些Amazon服务。此外,CloudTrail 还使您可以确定哪些用户和账户为支持 Amazon 的服务调用了 CloudTrail API、调用方的 IP 地址和调用的发生时间。有关更多信息,请参阅《Amazon CloudTrail 用户指南》。GuardDuty可以监控两者CloudTrail管理事件,也可以选择CloudTrail适用于 S3 的数据事件。

启用时GuardDuty,它立即开始分析CloudTrail事件日志。它使用CloudTrail直接来自管理和 S3 数据事件CloudTrail通过独立和重复的活动流。无需额外付费GuardDuty访问CloudTrail事件.

GuardDuty不会管理您的CloudTrail事件或影响你现有的CloudTrail以任何方式配置。管理您的访问和保留CloudTrail事件你必须直接使用CloudTrail服务控制台或 API。有关更多信息,请参阅使用查看事件CloudTrail事件历史记录。

如何GuardDutyHandles (句柄)Amazon CloudTrail全球事件

关于方式的另一个重要细节GuardDuty使用CloudTrail作为数据源,是处理CloudTrail全球事件。对于大多数服务,事件被记录在发生操作的区域。对于 IAM 之类的全球服务,Amazon Security Token Service、Amazon S3、AmazonCloudFront和 Route 53 之类的事件将被传输到包括全球服务的任何跟踪,并且记录为在美国东部 (弗吉尼亚北部) 区域发生。有关更多信息,请参阅关于全球服务事件

GuardDuty 处理进入区域的所有事件,包括 CloudTrail 发送到所有区域的全球事件。这允许GuardDuty以维护每个区域的用户和角色配置文件,并使其能够准确地检测在跨区域中被恶意使用的凭证。

我们强烈建议您启用GuardDuty支持Amazon地区。这样,GuardDuty 就可以生成有关未授权或异常活动的结果,甚至在您未主动使用的区域中也是如此。这也可以GuardDuty进行监控Amazon CloudTrail全球事件Amazon服务。如果未在所有支持的区域中启用 GuardDuty,则其检测涉及全球性服务的能力将会减弱。

Amazon CloudTrail管理事件

管理事件也称为控制层面事件。这些事件提供对在您的资源上执行的管理操作的见解。Amazonaccount.

示例如下CloudTrail管理事件GuardDuty显示器:
  • 配置安全性 (IAMAttachRolePolicy )API 操作

  • 配置传送数据的规则 (Amazon EC2)CreateSubnet)API 操作

  • 设置日志记录 (Amazon CloudTrail CreateTrail)API 操作

Amazon CloudTrailS3 数据事件

数据事件(也称为数据层面操作)提供对资源执行的或在资源内执行的资源操作的见解。它们通常是高容量活动。

示例如下CloudTrailS3 数据事件GuardDuty可以监控:
  • GetObject API 操作

  • PutObject API 操作

  • ListObjects API 操作

  • DeleteObject API 操作

默认情况下会对新账户启用 S3 数据事件监控。但是,此数据源是可选的,可以随时为任何账户或区域启用或禁用。有关将 Amazon S3 配置为数据源的更多信息,请参阅Amazon GuardDuty 中的 Amazon S3 保护.

Kubernetes 审核日志

Kubernetes 审核日志可捕获 Amazon EKS 集群中的顺序操作,包括来自用户的活动、使用 Kubernetes API 的应用程序以及控制平面。审计日志记录是所有 Kubernetes 集群的一个组成部分。要了解更多信息,请参阅审核在 Kubernetes 文档中。

亚马逊 EKS 允许 Kubernetes 审核日志作为亚马逊提取CloudWatch通过记录EKS 控制层面记录功能。当您在中启用 Kubernetes 保护时GuardDuty、GuardDuty立即开始分析您的 Amazon EKS 资源的 Kubernetes 审核日志。它通过流日志的独立且重复性的流,直接从 Amazon ES 控制平面记录功能使用审核日志事件。此过程不需要任何额外设置或影响您可能拥有的任何现有 Amazon EKS 控制层面日志记录配置。

GuardDuty如果您尚未为 Amazon EKS 启用 Kubernetes 审计日志,则不会管理您的 Amazon EKS 控制平面日志,也不会在您的账户中访问 Kubernetes 审核日志。要管理对 Kubernetes 审核日志的访问和保留,您必须配置 Amazon EKS 控制层面日志记录功能。有关更多信息,请参阅 。启用和禁用控制层面日志在 Amazon EKS 文档中。

默认情况下启用 Kubernetes 审核日志监控GuardDuty账户。但是,此数据源是可选的,可以随时为任何账户或区域启用或禁用。有关配置 Kubernetes 审核日志记录数据源的更多信息,请参阅Amazon GuardDuty 中的 Kubernetes 保护.

VPC 流日志

Amazon VPC 的 VPC Flow Logs 功能捕获有关在您的环境内传入和传出网络接口的 IP 流量的信息。

当您启用 GuardDuty 时,它将立即开始分析 VPC 流日志数据。它通过流日志的独立且重复性的流,直接从 VPC Flow Logs 功能使用 VPC Flow Logs 事件。此过程不会影响您可能拥有的任何现有流日志配置。

GuardDuty 不会管理您的流日志,也不会使其在您的账户中可访问。要管理流日志的访问和保留,您必须配置 VPC 流日志功能。

GuardDuty 访问流日志不产生额外费用。不过,启用流日志以进行保留或在您的账户中使用需要遵循现有定价。有关更多信息,请参阅 VPC 流日志

DNS 日志

如果您使用Amazon然后,您的 Amazon EC2 实例的 DNS 解析器(默认设置)GuardDuty可以通过内部访问和处理您的请求和响应 DNS 日志AmazonDNS 解析程序。如果您使用其他 DNS 解析程序(例如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析程序,则GuardDuty无法访问和处理来自此数据源的数据。

启用时GuardDuty,它将立即开始从独立的数据流分析 DNS 日志。此数据流与通过Route 53 Resolver 查询日志记录功能。此功能的配置不起作用GuardDuty分析。