亚马逊如何 GuardDuty 使用其数据源 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊如何 GuardDuty 使用其数据源

GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款第 2 节(“测试版和预览版”)的约束。

要检测Amazon环境中未经授权的意外活动,请 GuardDuty 分析和处理来自本主题中描述的来源的数据。 GuardDuty 使用这些数据源检测涉及以下Amazon资源类型的异常:IAM 访问密钥、EC2 实例、S3 存储桶和 Amazon EKS 资源。在从这些数据源传输到的过程中 GuardDuty,所有日志数据都经过加密。 GuardDuty 从这些日志中提取各种字段以进行分析和异常检测,然后丢弃日志。

下面各部分介绍如何 GuardDuty 使用每个支持的数据源。

重要

其他数据源在其他数据源中可能不可用Amazon Web Services 区域。有关更多信息,请参阅 区域和终端节点

Amazon CloudTrail 事件日志

Amazon CloudTrail为您提供账户的Amazon API 调用历史记录,包括使用Amazon管理控制台、Amazon软件开发工具包、命令行工具和某些Amazon服务进行的 API 调用。 CloudTrail 还允许您标识哪些用户和账户调用了支持服务的Amazon API CloudTrail、从中发出调用的源 IP 地址以及调用的发生时间。有关更多信息,请参阅Amazon CloudTrail用户指南。 GuardDuty 可以监控 S3 的 CloudTrail 管理事件和可选 CloudTrail 的数据事件。

启用后 GuardDuty,它会立即开始分析您的 CloudTrail 事件日志。它 CloudTrail 通过独立和重复的事件流直接使用 CloudTrail 管理和S3数据事件。 CloudTrail参加活动不收 GuardDuty 取额外费用。

GuardDuty 不会管理您的 CloudTrail 事件或以任何方式影响您的现有 CloudTrail 配置。要直接管理 CloudTrail 事件的访问和保留,您必须使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

如何 GuardDuty 处理Amazon CloudTrail全球事件

关于 GuardDuty CloudTrail 用作数据源的方式的另一个重要细节是 CloudTrail 全局事件的处理和处理。对于大多数服务,事件被记录在发生操作的区域。对于全球服务,例如 IAM、Amazon S3Amazon Security Token Service、Amazon S3 CloudFront、Amazon 和 Route 53,事件将传送到包含全球服务的任何跟踪,事件将事件传送到包含全球服务的任何跟踪,并将事件记录为发生在美国东部(弗吉尼亚北部)区域。有关更多信息,请参阅关于全球服务事件

GuardDuty 处理进入某个区域的所有事件,包括 CloudTrail 发送到所有区域的全球事件。这 GuardDuty 允许维护每个区域的用户和角色配置文件,并使其能够准确检测跨区域恶意使用的证书。

我们强烈建议您在所有支持的Amazon区域 GuardDuty 中启用。这样 GuardDuty 即使在您未积极使用的区域中,也可以生成有关未经授权或异常活动的调查结果。这还可以监 GuardDuty 视全球Amazon服务Amazon CloudTrail 的事件。如果 GuardDuty 未在所有支持的区域中启用,则其检测涉及全球服务的活动的能力就会降低。

Amazon CloudTrail管理事件

管理事件也称为控制平面事件。通过这些事件,可以了解对在您Amazon账户内的资源执行的管理操作。

以下是 GuardDuty监控的 CloudTrail 管理事件的示例:
  • 配置安全性(IAMAttachRolePolicy API 操作)

  • 配置传送数据的规则(Amazon EC2CreateSubnet API 操作)

  • 设置日志记录(Amazon CloudTrailCreateTrailAPI 操作)

Amazon CloudTrailS3 的数据事件

数据事件,也称为数据层面操作,可以了解对在资源上或在资源内执行的资源操作。它们通常是高容量的活动。

以下是 GuardDuty 可以监控的 S3 CloudTrail 数据事件示例:
  • GetObject API 操作

  • PutObject API 操作

  • ListObjects API 操作

  • DeleteObject API 操作

默认情况下,为新账户启用 S3 数据事件监控。但是,此数据源是可选的,可以随时为任何账户或地区启用或禁用。有关将 Amazon S3 配置为数据源的更多信息,请参阅亚马逊的Amazon S3 保护 GuardDuty

Kubernetes 审核日志

Kubernetes 审核日志捕获您的 Amazon EKS 集群中的顺序操作,包括来自用户的活动、使用 Kubernetes API 的应用程序和控制平面。审计日志记录是所有 Kubernetes 集群的组成部分。有关更多信息,请参阅 Kubernetes 文档中的审计

亚马逊 EKS 允许通过 EKS 控制平面日志功能将 Kubernetes 审核 CloudWatch 日志作为 Amazon Logs 摄取。当您在中启用 EKS 保护后 GuardDuty, GuardDuty会立即开始分析您的 Amazon EKS 资源的 Kubernetes 审核日志。它通过独立且重复的流日志流,审计日志事件审计日志事件来自 Amazon EKS 控制层面日志日志日志事件。此过程不需要任何额外的设置,也不影响您可能拥有的任何现有 Amazon EKS 控制平面日志配置。

GuardDuty 如果您没有为 Amazon EKS 启用 Kubernetes 审核日志,则不会管理您的 Amazon EKS 控制平面日志,也无法在您的账户中访问 Kubernetes 审核日志。要管理对 Kubernetes 审核日志的访问和保留,您必须配置 Amazon EKS 控制平面日志记录功能。有关更多信息,请参阅 Amazon EKS 文档中的启用和禁用控制层面日志

默认情况下,Kubernetes 审核日志监控处于启用状态,所有新 GuardDuty 账户均处于启用状态。但是,此数据源是可选的,可以随时为任何账户或区域启用或禁用。有关将 Kubernetes 审核日志配置为数据源的更多信息,请参阅亚马逊的 EKS 保护 GuardDuty

VPC 流日志

Amazon VPC 的 VPC 流日志功能捕获有关传入和传出您环境内网络接口的 IP 流量的信息。

启用后 GuardDuty,它会立即开始分析您的 VPC 流日志数据。它通过独立且重复的流日志流直接从 VPC 流日志功能中使用 VPC 流日志事件。此过程不会影响您可能拥有的任何现有流日志配置。

GuardDuty 不会管理您的流日志,也不会在您的账户中将其设为可访问。要管理流日志的访问和保留,您必须配置 VPC 流日志功能。

无需额外付费, GuardDuty 即可访问流日志。 GuardDuty 仅对生成调查结果所处理的流日志数据量(以 GB 为单位)收费。 GuardDuty 通过应用智能过滤器和分析与威胁检测相关的流日志子集来优化成本。但是,在您的账户中启用流日志以保留或使用属于现有定价范围。

DNS 日志

如果您对 Amazon EC2 实例使用Amazon DNS 解析器(默认设置),则 GuardDuty 可以通过内部 DNS 解析器访问和处理您的请求和响应Amazon DNS 日志。如果您使用其他 DNS 解析器,例如 OpenDNS 或 GoogleDNS,或者您设置了自己的 DNS 解析器,则 GuardDuty 无法访问和处理来自此数据源的数据。

启用后 GuardDuty,它会立即开始分析来自独立数据流的 DNS 日志。此数据流与通过 Route 53 Resolver 查询记录功能提供的数据是分开的。此功能的配置不会影响 GuardDuty分析。

Elastic Block Store (EBS)

GuardDuty 恶意软件保护会扫描并检测连接到您的 Amazon EC2 实例的 Amazon EBS 卷上的恶意软件。

当 GuardDuty 生成指示 EC2 实例或容器工作负载中存在恶意软件的调查结果并且您已启用恶意软件保护时, GuardDuty 将在您的账户中创建连接到可能受影响的 EC2 实例或容器工作负载的 EBS 卷的快照。使用 GuardDuty 通过配置的权限 GuardDuty 恶意软件保护服务相关角色权限, GuardDuty 将在的服务帐户中从该快照创建加密副本 EBS 卷。 GuardDuty GuardDuty 然后将扫描副本 EBS 卷中是否有恶意软件。

注意

GuardDuty 恶意软件保护不扫描使用 Amazon EBS 加密加密的 EBS 卷。有关更多信息,请参阅 恶意软件保护的工作原理 GuardDuty

扫描完成后, GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且您已开启该快照保留设置,则您的 EBS 卷的快照不会被删除,而是会自动保留在您的Amazon账户中。如果未发现恶意软件,则无论快照保留设置如何,都不会保留 EBS 卷的快照。

GuardDuty 将保留其扫描的每个副本 EBS 卷最多保留一天,除非副本 EBS 卷出现服务中断或故障,并且其恶意软件扫描 GuardDuty 将保留这样的 EBS 卷不超过七天。延长保留期是为了对停机或故障进行分类和解决。 GuardDuty 恶意软件保护将在中断或故障得到解决后或延长的保留期到期后删除副本 EBS 卷。

RDS 登录活动监控

RDS 登录活动可捕获支持的Amazon Aurora在您的Amazon环境中成功和失败的登录尝试。为了帮助您保护数据库, GuardDuty RDS Protection 会持续监控登录活动中是否存在潜在的可疑登录尝试。例如,攻击者可能试图通过猜测 Amazon Aurora 数据库的密码来暴力访问该数据库。

启用 RDS 保护功能后, GuardDuty 会自动开始直接从 Aurora 服务监控数据库的 RDS 登录活动。如果有异常登录行为的迹象,则 GuardDuty 会生成包含有关可能遭到入侵的数据库详细信息的调查结果。当您首次启用 RDS 保护或拥有新创建的数据库实例时,需要一段学习时间来确定正常行为的基准。因此,新启用或新创建的数据库实例可能在长达两周的时间内不会发现相关的异常登录信息。

RDS 保护功能不需要任何额外的设置;它不会影响您现有的 Amazon Aurora 数据库配置。 GuardDuty 不管理您支持的数据库或 RDS 登录活动,也不会向您提供 RDS 登录活动。

如果您选择在新成员账户加入您的组织时为其自动启用 RDS 保护功能,则此操作会自动 GuardDuty 为这些新成员账户启用。有关将 RDS 登录活动监控配置为数据源的更多信息,请参阅GuardDuty RDS 保护