什么是亚马逊 GuardDuty? - Amazon GuardDuty
的特点 GuardDutyPCI DSS 合规性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是亚马逊 GuardDuty?

Amazon GuardDuty 是一项威胁检测服务,可持续监控、分析和处理您 Amazon 环境中的特定 Amazon 数据源和日志。 GuardDuty 使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习 (ML) 模型来识别 Amazon 环境中意外且可能未经授权的活动。这包括以下问题:

  • 权限升级、使用暴露的凭据或与恶意 IP 地址和域进行通信。

  • 您的 Amazon EC2 实例和容器工作负载上存在恶意软件,Amazon S3 存储桶中存在新上传的文件。

  • 在数据库中发现异常的登录事件模式。

例如, GuardDuty 可以检测可能遭到入侵的 EC2 实例和容器工作负载,为恶意软件提供服务或挖掘比特币。它还会监控 Amazon 账户访问行为以寻找潜在的入侵迹象,例如未经授权的基础设施部署(部署在以前从未使用过的区域中的实例),或者建议更改密码策略以降低密码强度的异常 API 调用。

内容

的特点 GuardDuty

以下是 Amazon GuardDuty 可以帮助您监控、检测和管理 Amazon 环境中潜在威胁的一些主要方式。

持续监控特定的数据源和事件日志

  • 自动监控基础数据源 — GuardDuty 在中启用后 Amazon Web Services 账户, GuardDuty 会自动开始提取与该账户关联的基础数据源。这些数据源包括 Amazon CloudTrail 管理事件、 Amazon CloudTrail 事件日志、VPC 流日志(来自 Amazon EC2 实例)和 DNS 日志。您无需启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty 有关更多信息,请参阅 基础数据来源

  • 启用可选 GuardDuty 保护计划-为了增强对 Amazon 环境安全状况的可见性, GuardDuty 提供了各种保护计划供您选择启用。保护计划可帮助您监控来自其他 Amazon 服务的日志和事件。这些来源包括 EKS 审计日志、RDS 登录活动、S3 日志、EBS 卷、运行时监控和 Lambda 网络活动日志。 GuardDuty在 “功能” 一词下整合这些日志和事件源。您可以随时在支持的 Amazon Web Services 区域 中启用一个或多个可选保护计划。 GuardDuty 将根据您启用的保护计划开始监控、处理和分析活动。有关每个保护计划及其运作方式的更多信息,请参阅相应的保护计划文档。

    注意

    GuardDuty 无需启用 Amazon GuardDuty 服务,即可灵活地单独使用 S3 的恶意软件防护。有关开始使用仅适用于 S3 的恶意软件防护的更多信息,请参阅GuardDuty S3 的恶意软件防护。要使用所有其他保护计划,必须启用该 GuardDuty 服务。

检测恶意软件的存在并生成安全调查结果

当 GuardDuty 检测到与您的 Amazon 资源相关的潜在安全威胁时,它会开始生成安全调查结果,以提供有关可能受到威胁的资源的信息。您可以探索生成示例发现结果并查看关联的调查发现详细信息。有关可能针对所标识的每种资源类型生成的安全发现的完整列表的信息 GuardDuty,请参阅调查发现类型

管理生成的安全调查结果

您可能需要将 Amazon 设置 EventBridge 为在 GuardDuty生成调查结果时接收通知,使用推荐的步骤修复调查结果,筛选生成的调查结果以确定趋势,或者将结果导出到 S3 存储桶。有关更多信息,请参阅 管理 GuardDuty 调查结果

与相关 Amazon 安全服务集成

为了进一步帮助您分析和调查 Amazon 环境中的安全趋势,请考虑将以下 Amazon 与安全相关的服务与 GuardDuty结合使用。

  • Amazon Detective — 此服务可帮助您分析、调查并快速确定安全发现或可疑活动的根本原因。Detective 会自动从您的 Amazon 资源中收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 预建的数据聚合、摘要和上下文可帮助您分析和确定潜在安全问题的性质和程度。

    有关同时使用 GuardDuty 和 Detective 的信息,请参阅 GuardDuty 与 Amazon Detective 集成。要了解有关 Detective 的更多信息,请参阅 Amazon Detective 用户指南

  • Amazon Security Hub— 此服务可让您全面了解 Amazon 资源的安全状态,并帮助您根据安全行业标准和最佳实践检查您的 Amazon 环境。其部分原因是使用、汇总、整理来自多种 Amazon 服务(包括 Amazon Macie)和 Amazon 支持的合作伙伴网络 (APN) 产品的安全调查结果,并对其进行优先排序。Security Hub 可帮助您分析安全趋势,确定 Amazon 环境中优先级最高的安全问题。

    有关同时使用 GuardDuty 和 Security Hub 的信息,请参阅 GuardDuty 与集成 Amazon Security Hub。要了解有关 Security Hub 的更多信息,请参阅 Amazon Security Hub 用户指南

管理多账户环境

您可以使用 Amazon Organizations (推荐)或邀请方式管理多账户 Amazon 环境。有关更多信息,请参阅 管理多个账户

PCI DSS 合规性

GuardDuty 支持商家或服务提供商处理、存储和传输信用卡数据,并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何申请 PCI Compliance Package 的副本,请参阅 Amazon PCI DSS 第 1 级。