本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon GuardDuty?
Amazon GuardDuty 是一種威脅偵測服務,可持續監控、分析和處理 AWS 環境中的特定 AWS 資料來源和日誌。 GuardDuty 使用威脅情報摘要,例如惡意 IP 位址和網域清單,以及機器學習 (ML) 模型來識別 AWS 環境中未預期且可能未經授權的活動。這包括下列問題:
-
權限提升、使用公開的認證,或與惡意 IP 位址和網域的通訊。
-
Amazon EC2 執行個體和容器工作負載上存在惡意軟體,以及 Amazon S3 儲存貯體中新上傳的檔案。
-
發現數據庫上不尋常的登錄事件模式。
例如, GuardDuty 可以偵測可能遭到入侵的 EC2 執行個體和提供惡意軟體或挖掘比特幣的容器工作負載 它也會監控 AWS 帳戶存取行為是否有潛在入侵的跡象,例如未經授權的基礎結構部署 — 部署在以前未使用過的區域中的執行個體,或建議變更密碼原則以降低密碼強度的異常 API 呼叫。
的功能 GuardDuty
GuardDuty 以下是 Amazon 協助您監控、偵測和管理 AWS 環境中潛在威脅的一些關鍵方法。
- 持續監控特定資料來源和事件記錄
-
-
自動監控基礎資料來源 — GuardDuty 在中啟用時 AWS 帳戶, GuardDuty 會自動開始擷取與該帳戶關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事 AWS CloudTrail 件、事件日誌、VPC 流程日誌 (來自 Amazon EC2 執行個體) 和 DNS 日誌。您不需要啟用其他任何項目,即可開始分析和處理這些資料來源,以產生相關聯的安全性發現項目。 GuardDuty 如需詳細資訊,請參閱 基礎資料來源。
-
啟用選用的 GuardDuty 保護方案 — 為了增強 AWS 環境安全狀態的可見性, GuardDuty 提供您可以選擇啟用的各種保護計劃。保護方案可協助您監控來自其他 AWS 服務的記錄檔和事件。這些來源包括 EKS 稽核日誌、RDS 登入活動、S3 日誌、EBS 磁碟區、執行階段監控和 Lambda 網路活動日誌。 GuardDuty將這些記錄檔和事件來源合併為「功能」一詞。您可以隨時在支援 AWS 區域 中啟用一或多個選擇性保護計劃。 GuardDuty 將根據您啟用的保護計劃開始監視、處理和分析活動。如需每個保護計劃及其運作方式的詳細資訊,請參閱對應的保護計劃文件。
注意
GuardDuty 提供靈活性,可以獨立使用 S3 的惡意軟體防護,而無需啟用 Amazon GuardDuty 服務。如需開始使用 S3 惡意程式碼防護的詳細資訊,請參閱GuardDuty S3 的惡意軟體防護。若要使用所有其他保護方案,您必須啟用該 GuardDuty 服務。
-
- 偵測惡意程式的存在並產生安全性發現
-
當 GuardDuty 偵測到與 AWS 資源相關聯的潛在安全威脅時,它會開始產生安全性發現項目,提供有關可能遭入侵資源的資訊。您可以探索生成範例問題清單並查看相關聯的調查結果詳細資訊。如需有關可能針對每個資源類型產生之安全性發現項目的完整清單 (如所識別) 的資訊 GuardDuty,請參閱調查結果類型。
- 管理產生的安全發現
-
您可能想要將 Amazon EventBridge 設定為在產 GuardDuty生發現項目時接收通知、使用建議的步驟來修復發現項目、篩選產生的發現項目以識別趨勢,或將發現結果匯出到 S3 儲存貯體。如需詳細資訊,請參閱 管理 GuardDuty 發現。
- 與相關的 AWS 安全服務整合
-
若要進一步協助您分析和調查 AWS 環境中的安全性趨勢,請考慮搭配使用下列 AWS 安全性相關服務。 GuardDuty
-
Amazon Detective ess — 此服務可協助您分析、調查並快速識別安全發現結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective ess 預先建立的資料彙總、摘要和內容可協助您分析和判斷潛在安全性問題的性質和程度。
如需有關一起使用 GuardDuty 和 Detective 的資訊,請參閱 GuardDuty 與 Amazon Detective 整合。要了解有關 Detective 的更多信息,請參閱 Amazon Detective 用戶指南。
-
AWS Security Hub— 此服務可讓您全面檢視 AWS 資源的安全狀態,並協助您根據安全性產業標準和最佳實務來檢查 AWS 環境。部分原因是從多個 AWS 服務 (包括 Amazon Macie) 和支援的 AWS 合作夥伴網路 (APN) 產品中使用、彙總、組織和優先順序排列您的安全發現結果。Security Hub 可協助您分析安全性趨勢,並識別 AWS 環境中最優先順序的安全性問題。
如需一起使用 GuardDuty 和 Security Hub 的詳細資訊,請參閱 GuardDuty 與整合 AWS Security Hub。若要進一步了解資訊 Security Hub,請參閱使AWS Security Hub 用者指南。
-
- 管理多帳戶環境
-
您可以使用 AWS Organizations (建議)或邀請方法來管理多帳戶 AWS 環境。如需詳細資訊,請參閱 管理多個 帳戶。
PCI DSS 合規
GuardDuty 支援商家或服務供應商處理、儲存和傳輸信用卡資料,並已通過驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何要求 AWS PCI 相容性 Package 的複本,請參閱 PCI DSS 等級