概念和术语

在您开始使用Amazon时 GuardDuty，您可以从了解其关键概念中受益。

账户

包含您的 AWS 资源的标准亚马逊 Web Services (AWS) 账户。您可以使用您的帐户登录 AWS 并启用 GuardDuty。

您也可以邀请其他账户在中启用您的 AWS 账户 GuardDuty 并与之建立关联 GuardDuty。如果您的邀请被接受，则您的账户将被指定为管理员 GuardDuty 账户，添加的账户将成为您的成员账户。然后，您可以代表他们查看和管理这些账户的 GuardDuty 调查结果。

管理员账户的用户可以配置 GuardDuty 、查看和管理他们自己的账户和所有成员账户的 GuardDuty调查结果。您最多可以拥有 10,000 个成员账户 GuardDuty。

成员账户的用户可以配置 GuardDuty 、查看和管理其账户中的 GuardDuty 调查结果（通过 GuardDuty 管理控制台或 GuardDuty API）。成员账户的用户不能查看或管理其他成员的账户中的结果。

AWS 账户 不能同时是 GuardDuty 管理员账户和成员账户。 AWS 账户 只能接受一份会员邀请。接受成员资格邀请是可选的。

有关更多信息，请参阅 在 Amazon 中管理多个账户 GuardDuty。

探测器

Amazon GuardDuty 是一项区域性服务。当你在特定的 GuardDuty 中启用时 AWS 区域，你 AWS 账户 就会与探测器 ID 相关联。此 32 个字符的字母数字 ID 是您在该地区的账户所独有的。例如，当你 GuardDuty 为不同地区的同一个账户启用时，你的账户将与不同的探测器 ID 相关联。detectorId 的格式为 12abc34d567e8fa901bc2d34e56789f0。

与管理 GuardDuty 调查结果和 GuardDuty服务有关的所有发现、账户和操作都使用探测器 ID 来运行 API 操作。

要查找您的账户和当前区域的，请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面，或者运行 ListDetectorsAPI detectorId

注意

在多账户环境中，成员账户的所有结果都会汇总到管理员账户的检测器中。

某些 GuardDuty 功能是通过探测器配置的，例如配置 CloudWatch 事件通知频率，以及启用或禁用 GuardDuty 要处理的可选保护计划。

在 S3 中使用恶意软件防护 GuardDuty

当您在已启用 S3 的账户中启用恶意软件防护时，S3 的恶意软件防护操作（例如启用、编辑和禁用受保护的资源）与检测器 ID 无关。 GuardDuty

如果您未启用 GuardDuty 并选择威胁检测选项 “适用于 S3 的恶意软件防护”，则不会为您的账户创建检测器 ID。

基础数据源

一组数据的源或位置。检测 AWS 环境中未经授权或意外的活动。 GuardDuty 分析和处理来自 AWS CloudTrail 事件日志、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的数据事件、VPC 流日志、DNS 日志的数据，请参阅基础数据来源。

特征

为您的 GuardDuty 保护计划配置的功能对象有助于检测 AWS 环境中未经授权或意外的活动。每个 GuardDuty 保护计划都配置相应的功能对象来分析和处理数据。一些功能对象包括 EKS 审计日志、RDS 登录活动监控、Lambda 网络活动日志和 EBS 卷。有关更多信息，请参阅 中的功能激活 GuardDuty。

调查发现

由 GuardDuty 发现的潜在安全问题。有关更多信息，请参阅 了解亚马逊的 GuardDuty 调查结果。

调查结果显示在 GuardDuty 控制台中，并包含对安全问题的详细描述。您还可以通过调用GetFindings和 ListFindingsAPI 操作来检索生成的调查结果。

您还可以通过 Amazon CloudWatch 活动查看您的 GuardDuty 发现。 GuardDuty CloudWatch 通过 HTTPS 协议将调查结果发送给亚马逊。有关更多信息，请参阅 使用 Amazon CloudWatch Events 创建对 GuardDuty 调查结果的自定义响应。

IAM PassRole

这是具有扫描 S3 对象所需权限的 IAM 角色。启用标记扫描对象后，IAM PassRole 权限有助于为扫描对象 GuardDuty 添加标签。

恶意软件防护计划资源

为存储桶启用 S3 的恶意软件防护后， GuardDuty 为 EC2 计划资源创建恶意软件防护。此资源与 EC2 恶意软件防护计划 ID 相关联，后者是受保护存储桶的唯一标识符。使用恶意软件防护计划资源对受保护的资源执行 API 操作。

受保护的存储桶（受保护的资源）

如果您为 Amazon S3 存储桶启用 S3 恶意软件防护，且其保护状态更改为 “活动”，则该存储桶被视为已受到保护。

GuardDuty 仅支持 S3 存储桶作为受保护资源。

保护状态

与您的恶意软件防护计划资源关联的状态。为存储桶启用 S3 恶意软件防护后，此状态表示您的存储桶设置是否正确。

S3 对象前缀

在亚马逊简单存储服务 (Amazon S3) Service 存储桶中，您可以使用前缀来组织存储。前缀是 S3 存储桶中对象的逻辑分组。有关更多信息，请参阅 Amazon S3 用户指南中的组织和列出对象。

扫描选项

启用 EC2 GuardDuty 恶意软件保护后，它允许您指定要扫描或跳过的 Amazon EC2 实例和亚马逊弹性块存储 (EBS) 卷。此功能允许您将与 EC2 实例和 EBS 卷关联的现有标签，添加到包含标签列表或排除标签列表中。系统会扫描与添加到包含标签列表的标签关联的资源是否存在恶意软件，而不会扫描那些添加到排除标签列表的资源。有关更多信息，请参阅 使用用户定义的标签扫描选项。

快照保留期

启用 EC2 GuardDuty 恶意软件防护后，它提供了在 AWS 账户中保留 EBS 卷快照的选项。 GuardDuty 根据您的 EBS 卷的快照生成副本 EBS 卷。只有当 EC2 恶意软件防护扫描检测到副本 EBS 卷中的恶意软件时，您才能保留 EBS 卷的快照。如果在副本 EBS 卷中未检测到恶意软件，则无论快照保留期设置如何， GuardDuty 都会自动删除 EBS 卷的快照。有关更多信息，请参阅 快照保留。

抑制规则

利用禁止规则，您可以创建非常具体的属性组合来隐藏发现结果。例如，您可以通过 GuardDuty 筛选器定义规则，仅Recon:EC2/Portscan从特定 VPC 中、运行特定 AMI 或具有特定 EC2 标签的实例中自动存档。此规则将导致自动从满足条件的实例存档端口扫描结果。但是，它仍然允许在 GuardDuty 检测到这些实例进行其他恶意活动（例如加密货币挖矿）时发出警报。

GuardDuty 管理员账户中定义的禁止规则适用于 GuardDuty 成员账户。 GuardDuty 成员账户无法修改禁止规则。

使用抑制规则， GuardDuty 仍会生成所有调查结果。禁止规则可禁止显示发现结果，并保留所有活动的完整、不可变的历史记录。

通常，禁止规则用于隐藏已确定为环境中误报的发现结果，并减少低值发现结果带来的噪点，让您可以专注于处理较大的威胁。有关更多信息，请参阅 抑制规则。

可信 IP 列表

可信 IP 地址列表，用于与您的 AWS 环境进行高度安全的通信。 GuardDuty 不会根据可信 IP 列表生成调查结果。有关更多信息，请参阅 使用可信 IP 列表和威胁列表。

威胁 IP 列表

已知恶意 IP 地址的列表。除了由于可能存在可疑活动而生成发现结果外， GuardDuty 还会根据这些威胁列表生成调查结果。有关更多信息，请参阅 使用可信 IP 列表和威胁列表。