了解亚马逊的 GuardDuty 调查结果 - Amazon GuardDuty
GuardDuty 调查结果的严重性级别GuardDuty 查找聚合查找和分析 GuardDuty调查结果
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解亚马逊的 GuardDuty 调查结果

GuardDuty 发现的结果代表在您的网络中检测到的潜在安全问题。 GuardDuty每当它在您的 Amazon 环境中检测到意外和潜在的恶意活动时,都会生成调查结果。

您可以在 GuardDuty 控制台的 “ GuardDuty 调查结果” 页面上或使用 Amazon CLI 或 API 操作来查看和管理您的调查结果。有关管理调查发现的方法概述,请参阅 管理亚马逊 GuardDuty 调查结果

主题:

调查发现详细信息

了解 GuardDuty 调查结果中可用的数据类型。

示例发现结果

学习如何生成样本调查结果以进行测试或更好地理解 GuardDuty。

GuardDuty 查找格式

了解 GuardDuty 发现类型的格式以及跟踪的不同威胁目的 GuardDuty。

调查发现类型

按类型查看和搜索所有可用的 GuardDuty 查找结果。每个调查发现类型条目都包括该调查发现的说明以及补救的提示和建议。

GuardDuty 调查结果的严重性级别

根据我们的安全工程师的决定,每个 GuardDuty 发现都有指定的严重级别和值,反映了该发现可能给您的网络带来的潜在风险。严重性值可以是介于 1.0 和 8.9 之间的任何值,值越高,安全风险就越大。为了帮助您确定对调查结果中突出显示的潜在安全问题的应对措施,请将此范围 GuardDuty 分为 “高”、“中” 和 “低” 严重级别。

注意

值 0 以及介于 9.0 和 10.0 之间的值表示保留以供将来使用。

以下是目前为 GuardDuty调查结果定义的严重程度和值,以及每种严重程度的一般建议:

严重性级别 值范围

7.0-8.9

“高”严重性级别表示相关资源(某个 EC2 实例或一组 IAM 用户登录凭证)已泄露,并且正在被主动用于未经授权的目的。

我们建议您优先处理任何“高”严重性的调查发现安全问题,并立即采取补救措施,以防止对您的资源进行其他未经授权的使用。例如,清理或终止您的 EC2 实例,或者轮换 IAM 凭证。有关更多详细信息,请参阅补救措施

中等

4.0-6.9

“中”严重性级别表示偏离正常观察到的行为的可疑活动,根据您的使用案例,可能指示资源被盗用。

我们建议您尽可能早调查牵涉的资源。补救措施因资源和调查发现系列而异,但通常情况下,您应寻求确认活动是否已获得授权并与您的使用案例一致。如果您无法确定原因,或者无法确认该活动是否得到授权,则应考虑资源已泄露,并采取补救措施来保护资源。

查看“中”严重性级别的调查发现时,需要注意以下事项:

  • 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。

  • 检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。

  • 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。

  • 验证附加到相关 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。

1.0-3.9

“低”严重性级别表示尝试进行的可疑活动未危及您的网络,例如端口扫描或失败的入侵尝试。

不需要立即采取行动,但此信息值得注意,因为它可能表明有人正在寻找网络中的弱点。

GuardDuty 查找聚合

所有发现都是动态的,这意味着,如果 GuardDuty 检测到与相同安全问题相关的新活动,它将使用新信息更新原始发现结果,而不是生成新的发现。此行为可使您能够识别正在发生的问题,而无需浏览多个类似报告,并减少来自您已发现的安全问题的总体噪音。

例如,对于 UnauthorizedAccess:EC2/SSHBruteForce 调查发现,针对实例的多次访问尝试将聚合到同一调查发现 ID,从而增加调查发现详细信息中的计数。这是因为该调查发现表示实例的安全问题,指示未针对此类活动正确保护实例上的 SSH 端口。但是,如果在您的环境中 GuardDuty检测到针对新实例的 SSH 访问活动,它将创建一个带有唯一查找 ID 的新发现,提醒您存在与新资源相关的安全问题。

聚合调查发现后,系统会根据该活动最近一次发生的信息进行更新。这意味着,在上面的示例中,如果您的实例是新攻击者的暴力攻击目标,则调查发现的详细信息将会更新,以反映最新源的远程 IP 信息,并且旧信息将被替换。有关个人活动尝试的完整信息仍可在您的 CloudTrail或 VPC 流日志中找到。

提醒 GuardDuty 生成新查找结果而不是汇总现有查找结果的标准取决于查找结果类型。每种调查发现类型的聚合标准均由我们的安全工程师确定,以便为您提供账户中各种安全问题的最佳概述。

查找和分析 GuardDuty调查结果

使用以下步骤查看和分析您的 GuardDuty 发现。

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 选择 调查结果,然后选择一个特定的调查发现以查看其详细信息。

    每个调查发现的详细信息因调查发现类型、涉及的资源和活动的性质而异。有关可用的调查发现字段的更多信息,请参阅调查发现详细信息

  3. (可选)如果要存档某个调查发现,请从调查发现列表中选择该调查发现,然后选择操作菜单。然后选择 Archive (存档)

    当前下拉菜单中选择存档,即可查看存档的调查发现。

    目前,来自 GuardDuty 成员账户的 GuardDuty 用户无法存档调查结果。

    重要

    如果您使用上述过程将调查发现手动存档,此调查发现的所有后续匹配项(存档完成后生成)将添加到当前调查发现的列表。如果您永远不希望在当前列表中看到此调查发现,可以将其自动存档。有关更多信息,请参阅 抑制规则

  4. (可选)要下载一个调查发现,请从调查发现列表中选择该调查发现,然后选择 操作 菜单。然后选择 Export (导出)。当您 Export (导出) 调查结果时,可以查看其完整 JSON 文档。

    注意

    在某些情况下,在某些发现生成后 GuardDuty 就会意识到这些发现是误报。 GuardDuty 在查找结果的 JSON 中提供置度字段,并将其值设置为零。这样 GuardDuty 可以让你知道你可以放心地忽略这些发现。