概念和术语 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

概念和术语

在您开始使用Amazon时 GuardDuty,您可以从了解其关键概念中受益。

账户

包含您的 AWS 资源的标准亚马逊 Web Services (AWS) 账户。您可以使用您的帐户登录 AWS 并启用 GuardDuty。

您也可以邀请其他账户在中启用您的 AWS 账户 GuardDuty 并与之建立关联 GuardDuty。如果您的邀请被接受,则您的账户将被指定为管理员 GuardDuty 账户,添加的账户将成为您的成员账户。然后,您可以代表他们查看和管理这些账户的 GuardDuty 调查结果。

管理员账户的用户可以配置 GuardDuty 、查看和管理他们自己的账户和所有成员账户的 GuardDuty调查结果。您最多可以拥有 10,000 个成员账户 GuardDuty。

成员账户的用户可以配置 GuardDuty 、查看和管理其账户中的 GuardDuty 调查结果(通过 GuardDuty 管理控制台或 GuardDuty API)。成员账户的用户不能查看或管理其他成员的账户中的结果。

一个 AWS 账户不能同时是 GuardDuty 管理员账户和成员账户。一个 AWS 账户只能接受一个成员资格邀请。接受成员资格邀请是可选的。

有关更多信息,请参阅 在 Amazon 中管理多个账户 GuardDuty

探测器

所有 GuardDuty 发现都与探测器相关联,探测器是代表 GuardDuty 服务的对象。探测器是一个区域实体,每个 AWS 区域 探测器都需要一个独特的探测 GuardDuty 器。当您在某个区域 GuardDuty 中启用时,将在该区域生成一个具有唯一 32 个字母数字 detectorID 的新探测器。detectorId 的格式为 12abc34d567e8fa901bc2d34e56789f0

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

注意

在多账户环境中,成员账户的所有结果都会汇总到管理员账户的检测器中。

某些 GuardDuty 功能是通过检测器配置的,例如配置 CloudWatch 事件通知频率以及启用或禁用 GuardDuty 要处理的可选数据源。

数据来源

一组数据的源或位置。检测 AWS 环境中未经授权或意外的活动。 GuardDuty 分析和处理来自 AWS CloudTrail 事件日志、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的数据事件、VPC 流日志、DNS 日志、EKS 审核日志、RDS 登录活动监控和 EBS 卷的数据。有关更多信息,请参阅 基础数据来源

功能

为您的 GuardDuty 保护计划配置的功能对象有助于检测 AWS 环境中未经授权或意外的活动。每个 GuardDuty 保护计划都配置相应的功能对象来分析和处理数据。一些功能对象包括 EKS 审计日志、RDS 登录活动监控和 EBS 卷。有关更多信息,请参阅 中的功能激活 GuardDuty

调查发现

由 GuardDuty 发现的潜在安全问题。有关更多信息,请参阅 了解亚马逊的 GuardDuty 调查结果

调查结果显示在 GuardDuty 控制台中,并包含对安全问题的详细描述。您还可以通过调用GetFindingsListFindingsAPI 操作来检索生成的调查结果。

您还可以通过 Amazon CloudWatch 活动查看您的 GuardDuty 发现。 GuardDuty CloudWatch 通过 HTTPS 协议将调查结果发送给亚马逊。有关更多信息,请参阅 使用 Amazon CloudWatch Events 创建对 GuardDuty 调查结果的自定义响应

扫描选项

启用 GuardDuty 恶意软件保护后,它允许您指定要扫描或跳过的 Amazon EC2 实例和亚马逊弹性块存储 (EBS) 卷。此功能允许您将与 EC2 实例和 EBS 卷关联的现有标签,添加到包含标签列表或排除标签列表中。系统会扫描与添加到包含标签列表的标签关联的资源是否存在恶意软件,而不会扫描那些添加到排除标签列表的资源。有关更多信息,请参阅 使用用户定义的标签扫描选项

快照保留

启用 GuardDuty 恶意软件防护后,它会提供在 AWS 账户中保留 EBS 卷快照的选项。 GuardDuty 根据您的 EBS 卷的快照生成副本 EBS 卷。只有当恶意软件防护扫描在副本 EBS 卷中检测到恶意软件时,您才能保留 EBS 卷的快照。如果在副本 EBS 卷中未检测到恶意软件,则无论快照保留期设置如何, GuardDuty 都会自动删除 EBS 卷的快照。有关更多信息,请参阅 快照保留

禁止规则

利用禁止规则,您可以创建非常具体的属性组合来隐藏发现结果。例如,您可以通过 GuardDuty 筛选器定义规则,仅Recon:EC2/Portscan从特定 VPC 中、运行特定 AMI 或具有特定 EC2 标签的实例中自动存档。此规则将导致自动从满足条件的实例存档端口扫描结果。但是,它仍然允许在 GuardDuty 检测到这些实例进行其他恶意活动(例如加密货币挖矿)时发出警报。

GuardDuty 管理员账户中定义的禁止规则适用于 GuardDuty 成员账户。 GuardDuty 成员账户无法修改禁止规则。

使用抑制规则, GuardDuty 仍会生成所有结果。禁止规则可禁止显示发现结果,并保留所有活动的完整、不可变的历史记录。

通常,禁止规则用于隐藏已确定为环境中误报的发现结果,并减少低值发现结果带来的噪点,让您可以专注于处理较大的威胁。有关更多信息,请参阅 抑制规则

可信 IP 列表

用于与您的 AWS 环境进行高度安全的通信的可信 IP 地址列表。 GuardDuty 不会根据可信 IP 列表生成调查结果。有关更多信息,请参阅 使用可信 IP 列表和威胁列表

威胁 IP 列表

已知恶意 IP 地址的列表。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据这些威胁列表生成调查结果。有关更多信息,请参阅 使用可信 IP 列表和威胁列表