的功能 GuardDutyPCI DSS 合規

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 Amazon GuardDuty?

Amazon GuardDuty 是一種威脅偵測服務,可持續監控、分析和處理 AWS 環境中的特定 AWS 資料來源和日誌。 GuardDuty 使用威脅情報摘要,例如惡意 IP 位址和網域清單,以及機器學習 (ML) 模型來識別 AWS 環境中未預期且可能未經授權的活動。這包括下列問題:

  • 權限提升、使用公開的認證,或與惡意 IP 位址和網域的通訊。

  • Amazon EC2 執行個體和容器工作負載上存在惡意軟體,以及 Amazon S3 儲存貯體中新上傳的檔案。

  • 發現數據庫上不尋常的登錄事件模式。

例如, GuardDuty 可以偵測可能遭到入侵的 EC2 執行個體和提供惡意軟體或挖掘比特幣的容器工作負載 它也會監控 AWS 帳戶存取行為是否有潛在入侵的跡象,例如未經授權的基礎結構部署 — 部署在以前未使用過的區域中的執行個體,或建議變更密碼原則以降低密碼強度的異常 API 呼叫。

目錄

的功能 GuardDuty

GuardDuty 以下是 Amazon 協助您監控、偵測和管理 AWS 環境中潛在威脅的一些關鍵方法。

持續監控特定資料來源和事件記錄

  • 自動監控基礎資料來源 — GuardDuty 在中啟用時 AWS 帳戶, GuardDuty 會自動開始擷取與該帳戶關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事 AWS CloudTrail 件、事件日誌、VPC 流程日誌 (來自 Amazon EC2 執行個體) 和 DNS 日誌。您不需要啟用其他任何項目,即可開始分析和處理這些資料來源,以產生相關聯的安全性發現項目。 GuardDuty 如需詳細資訊,請參閱 基礎資料來源

  • 啟用選用的 GuardDuty 保護方案 — 為了增強 AWS 環境安全狀態的可見性, GuardDuty 提供您可以選擇啟用的各種保護計劃。保護方案可協助您監控來自其他 AWS 服務的記錄檔和事件。這些來源包括 EKS 稽核日誌、RDS 登入活動、S3 日誌、EBS 磁碟區、執行階段監控和 Lambda 網路活動日誌。 GuardDuty將這些記錄檔和事件來源合併為「功能」一詞。您可以隨時在支援 AWS 區域 中啟用一或多個選擇性保護計劃。 GuardDuty 將根據您啟用的保護計劃開始監視、處理和分析活動。如需每個保護計劃及其運作方式的詳細資訊,請參閱對應的保護計劃文件。

    注意

    GuardDuty 提供靈活性,可以獨立使用 S3 的惡意軟體防護,而無需啟用 Amazon GuardDuty 服務。如需開始使用 S3 惡意程式碼防護的詳細資訊,請參閱GuardDuty S3 的惡意軟體防護。若要使用所有其他保護方案,您必須啟用該 GuardDuty 服務。

偵測惡意程式的存在並產生安全性發現

當 GuardDuty 偵測到與 AWS 資源相關聯的潛在安全威脅時,它會開始產生安全性發現項目,提供有關可能遭入侵資源的資訊。您可以探索生成範例問題清單並查看相關聯的調查結果詳細資訊。如需有關可能針對每個資源類型產生之安全性發現項目的完整清單 (如所識別) 的資訊 GuardDuty,請參閱調查結果類型

管理產生的安全發現

您可能想要將 Amazon EventBridge 設定為在產 GuardDuty生發現項目時接收通知、使用建議的步驟來修復發現項目、篩選產生的發現項目以識別趨勢,或將發現結果匯出到 S3 儲存貯體。如需詳細資訊,請參閱 管理 GuardDuty 發現

與相關的 AWS 安全服務整合

若要進一步協助您分析和調查 AWS 環境中的安全性趨勢,請考慮搭配使用下列 AWS 安全性相關服務。 GuardDuty

  • Amazon Detective ess — 此服務可協助您分析、調查並快速識別安全發現結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective ess 預先建立的資料彙總、摘要和內容可協助您分析和判斷潛在安全性問題的性質和程度。

    如需有關一起使用 GuardDuty 和 Detective 的資訊,請參閱 GuardDuty 與 Amazon Detective 整合。要了解有關 Detective 的更多信息,請參閱 Amazon Detective 用戶指南

  • AWS Security Hub— 此服務可讓您全面檢視 AWS 資源的安全狀態,並協助您根據安全性產業標準和最佳實務來檢查 AWS 環境。部分原因是從多個 AWS 服務 (包括 Amazon Macie) 和支援的 AWS 合作夥伴網路 (APN) 產品中使用、彙總、組織和優先順序排列您的安全發現結果。Security Hub 可協助您分析安全性趨勢,並識別 AWS 環境中最優先順序的安全性問題。

    如需一起使用 GuardDuty 和 Security Hub 的詳細資訊,請參閱 GuardDuty 與整合 AWS Security Hub。若要進一步了解資訊 Security Hub,請參閱使AWS Security Hub 用者指南

管理多帳戶環境

您可以使用 AWS Organizations (建議)或邀請方法來管理多帳戶 AWS 環境。如需詳細資訊,請參閱 管理多個 帳戶

PCI DSS 合規

GuardDuty 支援商家或服務供應商處理、儲存和傳輸信用卡資料,並已通過驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何要求 AWS PCI 相容性 Package 的複本,請參閱 PCI DSS 等級 1。