本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是亚马逊 GuardDuty?
Amazon GuardDuty 是一项威胁检测服务,可持续监控、分析和处理您 Amazon 环境中的 Amazon 数据源和日志。 GuardDuty 使用威胁情报源(例如恶意 IP 地址和域名列表、文件哈希和机器学习 (ML) 模型)来识别 Amazon 环境中的可疑活动和潜在的恶意活动。以下列表概述了 GuardDuty 可以帮助您检测的潜在威胁场景:
+ 凭据被泄露和泄露。 Amazon
+ 可能导致勒索软件事件的数据泄露和损毁。在支持的 Amazon Aurora 和 Amazon RDS 数据库引擎版本中,存在表明存在异常行为的异常登录事件模式。
+ Amazon Elastic Compute Cloud (Amazon EC2) 实例和容器工作负载中存在未经授权的加密币挖矿活动。
+ Amazon EC2 实例和容器工作负载,以及新上传到 Amazon Simple Storage Service(Amazon S3)存储桶中的文件中存在恶意软件。
+ 表明 Amazon Elastic Kubernetes Service(Amazon EKS)集群、Amazon Elastic Container Service(Amazon ECS)– Amazon Fargate 任务以及 Amazon EC2 实例和容器工作负载中有未经授权行为的操作系统级别、联网和文件事件。
以下视频概述了如何 GuardDuty 帮助您检测 Amazon 环境中的威胁。
**Topics**
+ [的特点 GuardDuty](#features-of-guardduty)
+ [PCI DSS 合规性](#guardduty-pci-dss-compliance)
+ [定价在 GuardDuty](guardduty-pricing.md)
+ [正在访问 GuardDuty](guardduty-access.md)
## 的特点 GuardDuty
以下是 Amazon GuardDuty 可以帮助您监控、检测和管理 Amazon 环境中潜在威胁的一些主要方式。
**持续监控特定的数据来源和事件日志**
+ **基础威胁检测** — 当您在 GuardDuty 中启用时 Amazon Web Services 账户, GuardDuty会自动开始提取与该账户关联的基础数据源。这些数据来源包括 Amazon CloudTrail 管理事件、VPC 流日志(来自 Amazon EC2 实例)和 DNS 日志。您无需启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty 有关更多信息,请参阅 [GuardDuty 基础数据源](guardduty_data-sources.md)。
+ **扩展威胁检测** — 此功能可检测跨越基础数据源、多种类型的 Amazon 资源和时间的多阶段攻击。 Amazon Web Services 账户您的账户中可能存在多个单独事件,这些事件本身并未构成明显的威胁。但是,当以表明可疑活动的顺序观察到这些事件时,会将其 GuardDuty识别为攻击序列。 GuardDuty 通过生成相关的攻击序列查找类型来通知您,以提供有关观察到的攻击序列的详细信息。
无需支付任何额外费用,扩展威胁检测在启用 Amazon Web Services 账户 时会自动为其启用 GuardDuty。此功能不需要您启用任何以使用案例为中心的防护计划。但是,为了提高您的 Amazon S3 资源的安全范围, GuardDuty 建议在您的账户中启用 S3 保护。这将有助于扩展威胁检测识别可能影响 Amazon S3 资源的多阶段攻击。
有关此功能的工作原理及其涵盖的威胁场景的更多信息,请参阅 [GuardDuty 扩展威胁检测](guardduty-extended-threat-detection.md)。
+ Use-case 有@@ **针对性的 GuardDuty 保护计划** — 为了增强威胁检测对 Amazon 环境安全的可见性, GuardDuty 提供您可以选择启用的专用保护计划。保护计划可帮助您监控来自其他 Amazon 服务的日志和事件。这些来源包括 EKS 审计日志、RDS 登录活动、中的 Amazon S3 数据事件 CloudTrail、EBS 卷、Amazon EKS、Amazon EC2 和亚马逊的运行时监控以及 Lambda 网络活动日志。 ECS-Fargate GuardDuty[在 “功能” 一词下整合这些日志和事件源。](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty-features-activation-model.html)您可以随时在支持的 Amazon Web Services 区域 中启用一个或多个专用保护计划。 GuardDuty 将根据您启用的保护计划开始监控、处理和分析活动。有关每个防护计划及其工作原理的更多信息,请参阅相应的防护计划文档。
[See the AWS documentation website for more details](http://docs.amazonaws.cn/guardduty/latest/ug/what-is-guardduty.html)
**单独启用 S3 恶意软件防护**
GuardDuty 无需启用 Amazon GuardDuty 服务,即可灵活地单独使用 S3 的恶意软件防护。有关开始仅使用 S3 恶意软件保护的更多信息,请参阅 [GuardDuty S3 的恶意软件防护](gdu-malware-protection-s3.md)。要使用所有其他保护计划,必须启用该 GuardDuty服务。
**管理多账户环境**
您可以使用 Amazon Organizations (推荐)或旧版邀请方法来管理多账户 Amazon 环境。有关更多信息,请参阅 [里面有多个账户 GuardDuty](guardduty_accounts.md)。
**针对检测到的威胁生成安全调查发现**
当 GuardDuty 检测到与您的 Amazon 资源相关的潜在安全威胁时,它会开始生成安全调查结果,以提供有关可能受到威胁的资源的信息。 GuardDuty 在您的账户中启用后,生成[示例发现结果](sample_findings.md)以查看关联的[调查发现详细信息](guardduty_findings-summary.md)。有关安全调查发现的完整列表,请参阅 [GuardDuty 查找类型](guardduty_finding-types-active.md)。
借 GuardDuty助,您还可以使用生成特定 GuardDuty 安全发现结果的测试脚本来了解如何查看和响应 GuardDuty 调查结果。有关更多信息,请参阅 [专用账户中的测试 GuardDuty 结果](guardduty_findings-scripts.md)。
**评估和管理安全调查发现**
GuardDuty 整合各个账户的安全调查结果,并在控制台的 “摘要” 控制面板中显示结果。 GuardDuty 您也可以通过 Amazon Security Hub CSPM API Amazon Command Line Interface、或 Amazon SDK 检索调查结果。通过全面了解您当前的安全状态,您可以识别趋势和潜在的问题,并采取必要的补救措施。有关更多信息,请参阅 [管理 GuardDuty 调查结果](findings_management.md)。
**与相关 Amazon 安全服务集成**
为了进一步帮助您分析和调查 Amazon 环境中的安全趋势,请考虑将以下 Amazon 与安全相关的服务与 GuardDuty结合使用。
+ **Amazon Security Hub CSPM**— 此服务可让您全面了解 Amazon 资源的安全状态,并帮助您根据安全行业标准和最佳实践检查您的 Amazon 环境。其部分原因是使用、汇总、整理来自多种 Amazon 服务(包括 Amazon Macie)和 Amazon 支持的合作伙伴网络 (APN) 产品的安全调查结果,并对其进行优先排序。Security Hub CSPM 可帮助您分析安全趋势并确定环境中优先级最高的安全问题。 Amazon
有关同时使用 GuardDuty 和 Security Hub CSPM 的信息,请参阅。[GuardDuty 与集成 Amazon Security Hub CSPM](guardduty_integrations.md#gd-securityhub)要了解有关 Security Hub CSPM 的更多信息,请参阅《[Amazon Security Hub 用户](https://docs.amazonaws.cn/securityhub/latest/userguide/what-is-securityhub.html)指南》。
+ **Amazon Detective**:该服务可帮助您分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 会自动从您的 Amazon 资源中收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 的预构建数据聚合、摘要和上下文有助于分析和确定潜在安全问题的性质和范围。
有关同时使用 GuardDuty 和 Detective 的信息,请参阅[GuardDuty 与 Amazon Detective 集成](guardduty_integrations.md#gd-detective)。要了解有关 Detective 的更多信息,请参阅 [Amazon Detective 用户指南](https://docs.amazonaws.cn/detective/latest/userguide/what-is-detective.html)。
+ **Amazon EventBridge** — 该服务可帮助您近乎实时地接收通知并对 GuardDuty 安全发现作出回应。 GuardDuty 当发现结果发生变化时会创建事件。您可以选择接收通知的频率 EventBridge。有关更多信息,请参阅《[亚马逊 EventBridge 用户指南》 EventBridge中的 “什么是](https://docs.amazonaws.cn/eventbridge/latest/userguide/eb-what-is.html)*亚马逊*”。
## PCI DSS 合规性
GuardDuty 支持商家或服务提供商处理、存储和传输信用卡数据,并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何申请 PCI Compliance Package 的副本,请参阅 Amazon [PCI](https://www.amazonaws.cn/compliance/pci-dss-level-1-faqs/) DSS 第 1 级。
有关更多信息,请参阅*Amazon 安全博客*中的[新第三方测试 GuardDuty 将 Amazon 与网络入侵检测系统进行了比较](https://www.amazonaws.cn/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)。