什么是亚马逊 GuardDuty? - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是亚马逊 GuardDuty?

Amazon GuardDuty 是一项威胁检测服务,可持续监控您的 Amazon 环境中是否存在潜在的安全风险。 GuardDuty 分析和处理基础数据来源,例如 Amazon CloudTrail 管理事件、 Amazon CloudTrail 事件日志、VPC 流日志(来自 Amazon EC2 实例)和 DNS 日志。 GuardDuty 还提供来自其他 Amazon 服务的监控日志和事件。这些来源包括 Kubernetes 审计日志、RDS 登录活动、S3 日志、EBS 卷、运行时监控和 Lambda 网络活动日志。 GuardDuty在 “功能” 一词下整合这些日志和事件源。

GuardDuty 使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习 (ML) 模型来识别 Amazon 环境中意外、可能未经授权的恶意活动。这包括权限升级、使用暴露的凭证、与恶意 IP 地址、域名通信、Amazon EC2 实例和容器工作负载上存在恶意软件,或者发现数据库上存在异常登录事件模式等问题。

例如, GuardDuty 可以检测可能遭到入侵的 EC2 实例和容器工作负载,为恶意软件提供服务或挖掘比特币。它还会监控 Amazon 账户访问行为,以寻找潜在的入侵迹象,例如未经授权的基础设施部署(部署在以前从未使用过的区域中的实例,或者异常的 API 调用)更改密码策略以降低密码强度。

启用后, GuardDuty 可查看您 Amazon 环境的安全状况。当它识别出潜在的安全风险时,它会生成发现结果并提供更多细节。您也可以将 Amazon 设置 EventBridge 为在 GuardDuty 生成调查结果时接收通知。 GuardDuty 还建议了修复环境中指示性安全问题的步骤。

您可以将生成的调查结果导出到亚马逊简单存储服务 (Amazon S3) 存储桶。 GuardDuty 还与其他与 Amazon 安全相关的服务(例如 Amazon Security Hub 和 Amazon Detective)集成,这些服务可以进一步帮助您分析和调查环境中的安全趋势。

使用 GuardDuty

您可以通过以下任何一种方式使用 GuardDuty :

GuardDuty 控制台

https://console.aws.amazon.com/guardduty

控制台是一个基于浏览器的界面,可供访问和使用。 GuardDuty GuardDuty 控制台提供对您的 GuardDuty 账户、数据和资源的访问权限。

GuardDuty HTTPS AP

您可以使用 GuardDuty HTTPS API Amazon 以编程方式进行访问 GuardDuty ,该API允许您直接向服务发出 HTTPS 请求。如需了解更多信息,请参阅 GuardDuty API 参考

Amazon 软件开发工具包

Amazon 提供软件开发套件 (SDK),其中包括适用于各种编程语言和平台(Java、Python、Ruby、.NET、iOS、Android 等)的库和示例代码。软件开发工具包提供了一种便捷的方式来创建对的编程访问权限。 GuardDuty有关 Amazon 开发工具包的信息(包括如何下载及安装),请参阅适用于 Amazon Web Services 的工具

的定价 GuardDuty

GuardDuty 首次使用时,每个 Amazon 区域的每个 Amazon 账户都有30天的免费试用期。有关更多信息,请参阅定价

支持的 Amazon 区域

有关您可以启用的 Amazon 区域的信息 GuardDuty,请参阅区域和端点