GuardDuty 查找聚合

GuardDuty 动态更新生成的调查结果。如果 GuardDuty 检测到与相同安全问题相关的新活动，则 GuardDuty 不会创建新的调查结果，而是使用最新的详细信息更新原始调查结果。此行为允许您识别任何持续存在的问题，而无需浏览多个相似的报告，并减少了已知安全问题的发现总量。

例如，对于 UnauthorizedAccess:EC2/SSHBruteForce 发现，针对您的实例的多次访问尝试将汇总到相同的查找 ID，从而增加调查结果详细信息中的计数数量。这是因为该发现代表了一个安全问题，该实例表明该实例上的SSH端口没有得到适当的保护，无法抵御此类活动。但是，如果在您的环境中 GuardDuty 检测到针对新实例的SSH访问活动，它将创建一个带有唯一查找 ID 的新发现，提醒您存在与新资源相关的安全问题。

汇总发现后，会使用该活动最近发生的信息对其进行更新。这意味着，在上面的示例中，如果您的实例是新攻击者的暴力攻击目标，则调查发现的详细信息将会更新，以反映最新源的远程 IP 信息，并且旧信息将被替换。您的 CloudTrail日志或VPC流日志中仍将提供有关个人活动尝试的完整信息。

提醒 GuardDuty 生成新查找结果而不是汇总现有查找结果的标准取决于查找结果类型。每种发现类型的汇总标准由我们的安全工程师确定，以概述您账户中的不同安全问题。

在您的账户中 GuardDuty 生成攻击序列查找类型时，只有当您在账户中 GuardDuty 识别出相同序列中的相似信号时，才会汇总搜索结果。否则， GuardDuty 将生成另一个攻击序列。