Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

亚马逊 GuardDuty 控制

这些控制措施与 GuardDuty 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[GuardDuty.1] GuardDuty 应该启用

相关要求：PCI DSS v3.2.1/11.4、NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 RA-3(4)、NIST.800-53.r5 SA-11(1)、NIST.800-53.r5 SA-11(6)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SA-8(21)、NIST.800-53.r5 SA-8(25)、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-5(1)、NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800-53.r5 SI-4(2)、NIST.800-53.r5 SI-4(22)、NIST.800-53.r5 SI-4(25)、NIST.800-53.r5 SI-4(4)、NIST.800-53.r5 SI-4(5)。

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

Amazon Config 规则：guardduty-enabled-centralized

计划类型：定期

参数：无

此控件会检查您的 GuardDuty 账户和地区 GuardDuty 是否启用了 Amazon。

强烈建议您在所有支持的 Amazon 区域 GuardDuty 中启用。这样 GuardDuty 做可以生成有关未经授权或异常活动的调查结果，即使在您不经常使用的地区也是如此。这还 GuardDuty 允许监控全球 CloudTrail 事件， Amazon Web Services 例如 IAM。

修复

要修复此问题，请启用 GuardDuty。

有关如何启用 GuardDuty（包括 Amazon Organizations 如何使用管理多个账户）的详细信息，请参阅 Amazon GuardDuty 用户指南 GuardDuty中的入门指南。

[GuardDuty.2] 应该给 GuardDuty 过滤器加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::Filter

Amazon Config 规则：tagged-guardduty-filter（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件会检查 Amazon GuardDuty 筛选条件是否具有参数中定义的特定密钥的标签requiredTagKeys。如果过滤器没有任何标签键或者没有在参数中指定的所有密钥，则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果过滤器未使用任何密钥标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 Amazon 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 Amazon？ 在 IAM 用户指南中。

修复

要向 GuardDuty 筛选条件添加标签，请参阅 Amazon GuardDuty API 参考TagResource中的。

[GuardDuty.3] 应 GuardDuty 标记 IP 集

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::IPSet

Amazon Config 规则：tagged-guardduty-ipset（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 Amazon GuardDuty IPset 是否具有参数requiredTagKeys中定义的特定密钥的标签。如果 IPSet 没有任何标签密钥或参数requiredTagKeys中没有指定的所有密钥，则控件将失败。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果未使用任何密钥标记 IPSet，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 Amazon 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 Amazon？ 在 IAM 用户指南中。

修复

要向 GuardDuty IPset 添加标签，请参阅亚马逊 GuardDuty API 参考TagResource中的。

[GuardDuty.4] 应 GuardDuty 标记探测器

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::Detector

Amazon Config 规则：tagged-guardduty-detector（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 Amazon GuardDuty 探测器是否具有参数中定义的特定密钥的标签requiredTagKeys。如果探测器没有任何标签键或者没有在参数中指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则控件仅检查标签密钥是否存在，如果检测器未使用任何密钥标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 Amazon 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 Amazon？ 在 IAM 用户指南中。

修复

要向 GuardDuty 探测器添加标签，请参阅 Amazon GuardDuty API 参考TagResource中的。