亚马逊的恶意软件保护 GuardDuty - Azon GuardDuty
了解恶意软件保护的工作原理 GuardDuty为独立账户配置 GuardDuty 恶意软件防护在多账户环境中配置 GuardDuty 恶意软件保护GuardDuty 恶意软件防护查找类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的恶意软件保护 GuardDuty

GuardDuty 恶意软件保护是亚马逊的一项增强功能 GuardDuty。 GuardDuty 识别已经被恶意软件入侵的资源或存在风险的资源。恶意软件保护支持 GuardDuty 检测可能是这种入侵来源的恶意软件。

启用恶意软件保护后,每当在 Amazon EC2 实例或容器工作负载上 GuardDuty 检测到可疑行为时, GuardDuty 恶意软件保护都会自动对连接到受影响的 EC2 实例或容器工作负载的 Amazon Elastic Block Store (EBS) 卷启动无代理扫描,检测恶意软件的存在。有关更多信息,请参阅 GuardDuty 启动恶意软件防护扫描的发现。 GuardDuty 恶意软件防护还允许您选择要扫描或跳过的资源。 GuardDuty 恶意软件保护可能不会对您选择排除在扫描范围之外的资源启动自动扫描。如果扫描检测到恶意软件,则可以在 GuardDuty 控制台中查看有关该威胁的详细恶意软件保护发现。

恶意软件保护是一项可选功能,旨在不影响资源的性能。您可以随时选择启动或停止任何帐户或可用Amazon Web Services 区域帐户的恶意软件保护功能。默认情况下,现有 GuardDuty 客户可以在 30 天的试用期内启用恶意软件防护。对于新 GuardDuty 帐户,恶意软件防护已启用并包含在 30 天试用期内。有关更多信息,请参阅 估算 GuardDuty 成本

了解恶意软件保护的工作原理 GuardDuty

GuardDuty 恶意软件保护会扫描并检测与可能受损的 Amazon EC2 实例和容器工作负载相关的 EBS 卷上的恶意软件。下图描述了恶意软件保护的工作原理 GuardDuty。

要启动对 EC2 容器和 EBS 卷的自动扫描,只需单击一下即可启用恶意软件防护。扫描在脱机状态下进行,不会影响性能。与其他 GuardDuty 发现类似,您可以通过与 Security Hub EventBridge、和 Detective 集成来查看恶意软件的发现。

为了响应 GuardDuty 检测到表明恶意软件的可疑和潜在恶意活动,恶意软件保护会创建关联 GuardDuty 到检测到此类活动的资源的相关 EBS 卷的快照,并与恶意软件保护服务帐户共享。接下来,恶意软件保护在服务帐户中使用这些快照创建加密副本 EBS 卷。

根据您的情况扫描选项,启动自动无代理扫描以检测恶意软件。扫描完成后, GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且您已开启该快照保留设置,则 EBS 卷的快照不会被删除,并会自动保留在您的Amazon账户中。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都不会被保留。原定设置情况下,快照保留设置处于停用状态。有关快照成本及其保留的信息,请参阅 Amazon EBS 定价

GuardDuty 将对其扫描的每个副本 EBS 卷最多保留一天,除非副本 EBS 卷出现服务中断或故障,并且其恶意软件扫描 GuardDuty 将在此时保留这样的 EBS 卷不超过七天。延长卷保留期是为了对中断或故障进行分类和解决。 GuardDuty 恶意软件保护将在中断或故障得到解决或延长的保留期到期后删除副本 EBS 卷。

注意

对于 GuardDuty 生成调查结果的每个 EC2 实例和容器工作负载, GuardDuty 恶意软件保护仅每 24 小时启动一次扫描。

其他信息

GuardDuty 支持未加密和使用客户管理的密钥加密的卷。如果您的 EBS 卷使用客户管理的密钥加密,则 GuardDuty 使用相同的密钥对副本 EBS 卷进行加密。对于未加密的 EBS 卷, GuardDuty 使用自己的密钥对副本 EBS 卷进行加密。 GuardDuty 恶意软件保护不会扫描使用 Amazon EBS 加密的 EBS 卷。 GuardDuty 恶意软件保护支持您的Amazon账户中的 EBS 卷和 VPC 流日志。 GuardDuty 不支持 ECS Fargate

启用恶意软件保护时,会自动为您的账户创建服务相关角色 (SLR)。有关更多信息,请参阅 为 GuardDuty 防护服务相关角色权限

恶意软件扫描完成后,您可以访问以下资源,深入了解发现的详细信息和相应的日志事件:

为独立账户配置 GuardDuty 恶意软件防护

对于与关联的账户Amazon Organizations,您可以通过控制台设置自动执行此过程,如下一节所述。

在添加恶意软件防护 GuardDuty 之前使用的帐户可以通过控制台 GuardDuty 进行配置来启用此功能。

启用或禁用恶意软件保护

请在下面选择您的访问方法,以获取有关为独立帐户启用和禁用恶意软件防护的说明。

Console

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

  2. 在导航窗格的 “设置” 下,选择 “恶意软件防护”。

  3. 恶意软件防护窗格列出了您账户的恶意软件防护的当前状态。您可以随时启用或禁用它,方法是分别选择 “用” 或 “禁用”,然后确认您的选择。

API

  • 使用您自己的区域检测器 ID 运行 updateDetectorAPI 操作,并将dataSources对象传递EbsVolumestruefalse

    您还可以通过运行以下AmazonAmazon CLI命令来使用命令行工具启用或禁用恶意软件保护。确保使用您自己的有效探测器 ID

    注意

    以下示例代码启用恶意软件防护。要将其禁用,请将其true替换为false

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,或者使用 ListDetectorsAPI。

     aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

在多账户环境中配置 GuardDuty 恶意软件保护

在多账户环境中,只有 GuardDuty 管理员帐户可以配置恶意软件防护。 GuardDuty管理员帐户可以为其成员帐户启用或禁用恶意软件防护的使用。管理员为成员帐户配置 GuardDuty 恶意软件保护后,该成员帐户将遵循管理员帐户设置,无法通过控制台修改这些设置。 GuardDuty 在Amazon Organizations支持下管理其成员帐户的管理员帐户可以选择在组织中所有现有和新帐户上自动启用恶意软件防护。有关更多信息,请参阅 使用管理 GuardDuty 账户Amazon Organizations

建立可信访问以启用恶意软件防护

如果 GuardDuty 委派的管理员与组织中的管理帐户不同,则管理帐户必须为其组织启用恶意软件保护功能。这样,委派的管理员就可以创建通过管理的内部成员帐户Amazon Organizations。为 GuardDuty 防护服务相关角色权限

注意

在指定 GuardDuty 委派管理员之前,请参阅 GuardDuty委派管理员的重要注意事项

选择您的访问方法,允许 GuardDuty 委派管理员为成员帐户启用恶意软件防护。

Console

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

    要登录,请使用Amazon Organizations企业的管理账户登录。

  2. 在导航窗格中,选择 Settings (设置)

    1. 如果您尚未指定委派管理员,那么:

      “设置” 页面的 “委派管理员” 下account ID,输入要指定用于管理组织中 GuardDuty 策略的 12 位数字。选择 Delegate (委派)

      1. 如果您已经指定了与管理账号不同的委托管理员,那么:

        “设置” 页上的 “委派管理员” 下,打开 “权限” 设置。此操作将允许委派的管理员向成员帐户附加相关权限,并在这些成员帐户中启用恶意软件防护。

      2. 如果您已经指定了与管理帐户相同的委托管理员,则可以直接为成员帐户启用恶意软件防护。有关更多信息,请参阅 自动为所有组织成员账户启用恶意软件防护

      提示

      如果委派的管理员与您的管理帐户不同,则必须向委派的管理员提供权限,以允许为成员帐户启用恶意软件保护。

  4. 如果您想允许委派管理员为其他地区的成员帐户启用恶意软件防护,请更改您的Amazon区域,然后重复上述步骤。

API

  1. 使用管理账户凭证,运行以下命令:

    aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com

  2. 可选:要为非委派管理员的管理帐户启用恶意软件保护,管理帐户将首先在其帐户中为 GuardDuty 防护服务相关角色权限明确创建,然后启用委派管理员提供的恶意软件保护,类似于任何其他成员帐户。

    aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com

  3. 您已在当前选定的Amazon区域中指定了委托管理员。如果您已将某个账户指定为某个区域的委托管理员,则该账户必须是您在所有其他区域的委托管理员。对所有其他区域重复上述步骤。

自动为所有组织成员账户启用恶意软件防护

注意

此功能仅适用于通过注册的 GuardDuty 成员的管理员Amazon Organizations。

您可以为组织中的所有成员帐户启用 GuardDuty 恶意软件防护。

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

  2. 在导航窗格的 “设置” 下,选择 “恶意软件防护”。

  3. GuardDuty 恶意软件防护列出了管理员帐户和成员帐户的 GuardDuty 恶意软件保护的当前状态。

  4. 选择 “启用” 以使用管理员帐户启动恶意软件保护服务。

  5. 选择 “全部启用”,只需单击一下即可对所有成员帐户启用恶意软件防护,然后确认您的选择。然后,控制台将显示成功启用的成员账户的数量。

    启用后,您可以通过左侧导航窗格中的 “帐户” 管理成员账户。

注意

此操作还启用 “自动启用” 功能,可自动为组织内的future 成员帐户启用 GuardDuty 恶意软件防护。

有选择地为成员帐户启用或禁用 GuardDuty 恶意软件防护

注意

此功能仅适用于通过注册的 GuardDuty 成员的管理员Amazon Organizations。

请在下面选择您的访问方法,以获取有关有选择地为成员帐户启用和禁用恶意软件防护的说明。

Console

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

  2. 在导航窗格中的 Settings 下,选择 Accounts

    注意

    在 “帐户” 表中,查看 “恶意软件保护” 列。绿色复选标记图标表示恶意软件防护已启用,蓝色短划线图标表示已禁用。如果此列为空白,则该帐户没有资格获得恶意软件保护。您也可以按 “启用” 或 “用” 进行筛选。

  3. 选择要为其配置恶意软件保护的帐户。从 “操作” 菜单中选择 “启用恶意软件防护” 或 “禁用恶意软件保护”,然后确认您的选择以更改所选帐户的设置。表格将自动更新以显示您的更改。

API

要有选择地为您的成员帐户启用或禁用 GuardDuty 恶意软件防护,请使用您自己的检测器 ID 运行 updateMemberDetectorsAPI 操作。以下示例显示了如何为单个成员账户启用恶意软件保护。要将其禁用,请将其true替换为false

你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,或者使用 ListDetectorsAPI。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
注意

您还可以传递以空格分隔的账户 ID 列表。

成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。

为组织中新添加的帐户配置恶意软件保护

在选择 “启用” 或 “禁用恶意软件保护” GuardDuty 之前,必须启用新添加的成员帐户。有关更多信息,请参阅 步骤 3 – 接受邀请

受邀请管理的成员账户可以为其账户手动配置 GuardDuty 恶意软件防护。请在下面选择您的访问方法,以获取有关如何查看账户恶意软件防护当前状态的说明。

Console

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

  2. 在导航窗格中的 Settings 下,选择 Accounts

  3. 选择 “自动启用” 并查看恶意软件防护的状态。

  4. 您可以为新成员帐户启用禁用恶意软件防护。

  5. 选择 Update Sets (更新设置),确认选择。

API
重要

默认情况下,会自动为新探测器启用恶意软件保护。

如果您是 GuardDuty 管理员首次在新帐户上启用 GuardDuty 恶意软件防护,并且不想在默认情况下启用恶意软件防护,则可以通过使用可选dataSources对象修改 createDetectorAPI 操作来将其禁用。以下示例使用启用禁Amazon CLI用了恶意软件保护的新 GuardDuty 检测器。

aws guardduty create-detector --enable --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":false}}}'

为组织中通过邀请管理的现有帐户启用恶意软件防护

必须在成员账户中创建 GuardDuty 恶意软件保护服务相关角色 (SLR)。管理员无法在不受管理的成员帐户中启用恶意软件保护功能Amazon Organizations。

目前,您可以通过 https://console.aws.amazon.com/guardduty/ 控制台执行以下步骤,为现有成员账户启用恶意软件防护。

Console

  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 控制台。

  2. 在您的管理员帐户中,选择导航窗格中的帐户

  3. 选择想要启用恶意软件防护的成员帐户,然后选择操作

  4. 选择取消关联成员

  5. 在您的成员帐户中,在导航窗格的 “设置” 下选择 “恶意软件防护”。

  6. 选择 “启用恶意软件保护”。 GuardDuty 将为会员账户创建 SLR。有关 SLR 的更多信息,请参阅为 GuardDuty 防护服务相关角色权限

  7. 在管理员帐户中,在导航窗格的 “设置” 下选择 “帐户”。

  8. 选择需要重新添加到组织的成员账户。

  9. 选择 “操作”,然后选择 “添加成员”。

API

  1. 使用管理员帐户在想要启用恶意软件防护的成员帐户上运行 DisassociateMembersAPI。

  2. 使用您的成员帐户调用UpdateDetector以启用恶意软件防护。

    你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,或者使用 ListDetectorsAPI。

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'

  3. 使用管理员帐户运行 CreateMembersAPI 将成员重新添加到组织中。

GuardDuty 恶意软件防护查找类型

恶意软件保护会根据 GuardDuty 检测到的发现结果生成以下调查结果。这些恶意软件防护发现只能为启用此功能的帐户生成。