GuardDuty Lambda 保护 - Amazon GuardDuty
Lambda 网络活动监控
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

GuardDuty Lambda 保护

当在您的 Amazon 环境中调用 Amazon Lambda 函数时,Lambda 保护可以帮助您识别潜在的安全威胁。启用 Lambda 防护后,GuardDuty 将开始监控 Lambda 网络活动日志。这包括来自您账户的所有 Lambda 函数的 Amazon VPC 流日志(包括不使用 VPC 网络的日志)以及调用 Lambda 函数时生成的日志。如果 GuardDuty 发现表明您的 Lambda 函数中存在潜在恶意代码段的可疑网络流量,GuardDuty 将生成一个或多个 Lambda 保护调查发现类型

30 天免费试用期

以下列表说明了 30 天免费试用期用于账户的方式:

  • 当您第一次在某个 Amazon Web Services 账户中为某个新区域启用 GuardDuty 时,您拥有 30 天免费试用期。在这种情况下,GuardDuty 还会启用 Lambda 防护,并且包含在免费试用期内。

  • 如果您已在使用 GuardDuty 并且首次决定启用 Lambda 防护,您的账户可以在该区域免费试用 Lambda 防护功能 30 天。

  • 您可以随时选择禁用任何区域的 Lambda 防护。

  • 在 30 天免费试用期内,您可以估算该账户在该区域的使用成本。30 天免费试用期结束后,Lambda 防护不会自动禁用。您的账户在该区域将开始产生使用成本。有关更多信息,请参阅 估算 GuardDuty 使用成本

Lambda 网络活动日志可能会发生变化,包括扩展到其他网络活动,例如通过调用 Lambda 函数生成的 DNS 查询数据。扩展到其他形式的网络活动监控,将增加 GuardDuty 为 Lambda 保护处理的数据量。这将直接影响 Lambda 保护的使用成本。每当 GuardDuty 开始监控其他网络活动日志时,都会在发布前至少 30 天向已开启 Lambda 保护的账户发出通知。

注意

Lambda 网络活动监控不包括 Lambda@Edge 函数的日志。

Lambda 网络活动监控

启用 Lambda 防护后,当调用与您的账户关联的 Lambda 函数时,GuardDuty 会监控生成的 Lambda 网络活动日志。这可以帮助您检测 Lambda 函数面临的潜在安全威胁。对于配置为使用 VPC 网络的 Lambda 函数,您无需为 Lambda for GuardDuty 创建的弹性网络接口(ENI)启用 VPC 流日志。GuardDuty 仅对 Lambda 网络活动日志数据量(以 GB 为单位)收费,这些数据是为生成调查发现而进行处理的。GuardDuty 通过应用智能筛选条件,并分析与威胁检测相关的 Lambda 网络活动日志子集来优化成本。

GuardDuty 不会管理您的 Lambda 网络活动日志(包括 VPC 和非 VPC 流日志),也不会使这些日志可在您的账户中访问。