了解亚马逊的 GuardDuty 调查结果 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解亚马逊的 GuardDuty 调查结果

GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款第 2 节(“测试版和预览版”)的约束。

GuardDuty 发现代表在您的网络中检测到的潜在安全问题。 GuardDuty每当它在您的Amazon环境中检测到意外和潜在的恶意活动时,都会生成调查结果。

您可以在 GuardDuty 控制台的 “ GuardDuty 调查结果” 页面上查看和管理您的调查结果,也可以使用Amazon CLI或 API 操作。有关管理调查结果的方式的概述,请参阅管理亚马逊的 GuardDuty 调查结果

话题:

结果详细信息

了解 GuardDuty 调查结果中可用的数据类型。

示例发现结果

了解如何生成示例调查结果以测试或更好地理解 GuardDuty。

GuardDuty 查找格式

了解 GuardDuty 发现类型的格式以及跟踪的不同威胁目的 GuardDuty。

查找类型

按类型查看和搜索所有可用的搜索 GuardDuty 结果。每个发现类型条目都包含对该发现的解释以及补救提示和建议。

GuardDuty 调查结果的严重性级别

每项 GuardDuty 调查结果都有指定的严重性级别和值,反映了我们的安全工程师确定的调查结果可能给您的网络带来的潜在风险。严重性值可以为介于 0.1 和 8.9 之间的任何值,该值越高,安全风险就越大。为了帮助您确定对调查结果突出显示的潜在安全问题的响应,请将该范围 GuardDuty 分为 “高”、“中” 和 “低” 严重性级别。

注意

值 0 和 9.0 到 10.0 当前被预留以供未来使用。

以下是当前为 GuardDuty 调查结果定义的严重性级别和值以及每个调查结果的一般建议:

严重性级别为 值范围

8.9 - 7.0

“高” 严重性级别表示相关资源(一个 EC2 实例或一组 IAM 用户证书)遭到入侵并被积极用于未经授权的目的。

我们建议您优先处理任何“高”严重性的调查结果安全问题,并立即采取补救措施,以防止对您的资源进行其他未经授权的使用。例如,清理您的 EC2 实例或将其终止,或者轮换 IAM 证书。有关更多详细信息,请参阅补救措施

中等

6.9 - 4.0

“中”严重性级别表示偏离正常观察到的行为的可疑活动,根据您的使用案例,可能指示资源被盗用。

我们建议您尽可能早调查牵涉的资源。补救措施因资源和调查结果系列而异,但通常情况下,您应寻求确认活动是否已获得授权并与您的使用案例一致。如果您无法确定原因或无法确认活动已获得授权,则应考虑资源受损,并按照补救步骤保护资源。

查看“中”严重性级别的调查结果时,需要注意以下事项:

  • 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。

  • 检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。

  • 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。

  • 验证关联的 IAM 角色、用户、群组或证书集的权限。可能需要更改或轮换它们。

3.9 - 1.0

“低”严重性级别表示尝试进行的可疑活动未危及您的网络,例如端口扫描或失败的入侵尝试。

不需要立即采取行动,但此信息值得注意,因为它可能表明有人正在寻找网络中的弱点。

GuardDuty 查找聚合

所有发现结果都是动态的,这意味着,如果 GuardDuty 检测到与同一安全问题相关的新活动,它将使用新信息更新原始调查结果,而不是生成新的调查结果。这种行为使您可以识别持续存在的问题,而无需查看多个相似的报告,并减少了您已经意识到的安全问题带来的总体干扰。

例如,对于UnauthorizedAccess:EC2/SSHBruteForce查找,针对您的实例的多次访问尝试将汇总到同一个查找结果 ID,从而增加查找结果详细信息中的次数。这是因为该调查结果表示实例的安全问题,指示未针对此类活动正确保护实例上的 SSH 端口。但是,如果 GuardDuty 检测到针对环境中的新实例的 SSH 访问活动,它将创建具有唯一调查结果 ID 的新调查结果,以提醒您存在与新资源关联的安全问题。

汇总调查结果后,会使用该活动最新发生的信息对其进行更新。这意味着,在上面的示例中,如果您的实例是来自新参与者的暴力攻击的目标,则搜索结果详细信息将更新以反映最新来源的远程 IP,并且将替换较旧的信息。有关个人活动尝试的完整信息仍将在您 CloudTrail或 VPC 流日志中提供。

GuardDuty 提醒生成新调查结果而不是汇总现有发现结果的标准取决于查找结果类型。每种调查结果类型的聚合标准均由我们的安全工程师确定,以便为您提供账户中各种安全问题的最佳概述。

定位和分析 GuardDuty调查结果

可以按照以下步骤查看和分析您的 GuardDuty 发现。

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 选择 Findings (调查结果),然后选择一个特定的调查结果以查看其详细信息。

    每个发现的详细信息将根据调查结果类型、所涉及的资源和活动的性质而有所不同。有关可用的调查结果字段的更多信息,请参阅结果详细信息

  3. (可选)如果要存档调查结果,请从调查结果列表中将其选中,然后选择 “操作” 菜单。然后选择 Archive (存档)

    从 “当” 下拉列表中选择 “已存档”,可以查看存档的调查结果。

    目前,来自 GuardDuty 成员帐户的 GuardDuty 用户无法存档调查结果。

    重要

    如果您使用上述过程将调查结果手动存档,此调查结果的所有后续匹配项(存档完成后生成)将添加到当前调查结果的列表。如果您永远不希望在当前列表中看到此调查结果,可以将它自动存档。有关更多信息,请参阅 黑名单

  4. (可选)要下载一个调查结果,请从调查结果列表中选择该调查结果,然后选择 Actions (操作) 菜单。然后选择 Export (导出)。当您 Export (导出) 调查结果时,可以查看其完整 JSON 文档。

    注意

    在某些情况下,在生成某些发现后, GuardDuty 就会意识到这些发现是误报。 GuardDuty 在调查结果的 JSON 中提供可度字段,并将其值设置为零。这样 GuardDuty 可以让你知道你可以放心地忽略这些发现。