操作方法 GuardDuty 使用其数据源 - 亚马逊 GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

操作方法 GuardDuty 使用其数据源

检测您的未授权和意外活动AWS环境、 GuardDuty 分析和处理来自本主题中描述的来源的数据。 GuardDuty 使用这些数据源来检测涉及以下内容的异常AWS资源类型:IAM 访问密钥、EC2 实例、S3 存储桶和 Amazon EKS 资源。在从这些数据源传输到时 GuardDuty,将对所有日志数据进行加密。 GuardDuty 将提取这些日志中的各种字段以进行分析和异常检测,然后丢弃日志。

下面几节介绍具体方法 GuardDuty 使用每个受支持的数据源。

AWS CloudTrail 事件日志

AWS CloudTrail为你提供了AWS您账户中的 API 调用,包括使用AWS管理控制台AWSSDK、命令行工具和某些AWS服务。 CloudTrail 还允许您识别哪些用户和账户呼叫AWS支持的服务的 API CloudTrail、发出调用的源 IP 地址和调用的发生时间。有关更多信息,请参阅 。AWS CloudTrail用户指南. GuardDuty 可以同时监视两者 CloudTrail 管理事件,以及(可选) CloudTrail S3 的数据事件。

当你启用 GuardDuty,它将立即开始分析 CloudTrail 事件日志。它消耗了 CloudTrail 管理和 S3 数据事件直接来自 CloudTrail 通过独立且重复的事件流。无需额外付费 GuardDuty 访问 CloudTrail 事件.

GuardDuty 不会管理您的 CloudTrail 事件或影响你现有的 CloudTrail 以任何方式配置。管理您的访问权限和保留 CloudTrail 直接事件,则必须使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅 。使用查看事件 CloudTrail 事件历史记录。

操作方法 GuardDuty 手柄AWS CloudTrail全球事件

关于方式的另一个重要细节 GuardDuty 使用 CloudTrail 作为数据源是处理和处理 CloudTrail 全球事件。对于大多数服务,事件被记录在发生操作的区域。对于 IAM 等全球服务,AWS Security Token Service、Amazon S3、Amaz CloudFront和 Route 53,事件将被传输到包括全球服务的任何跟踪,并且记录为在美国东部 (弗吉尼亚北部) 区域发生。有关更多信息,请参阅关于全球服务事件

GuardDuty 处理进入区域的所有事件,包括以下全球事件 CloudTrail发送到所有区域。这允许 GuardDuty 在每个区域维护用户和角色配置文件,并使其能够准确地检测在跨区域中被恶意使用的凭证。

我们强烈建议您启用 GuardDuty 总而言之AWS地区。这使得 GuardDuty 生成有关未授权或异常活动的结果,甚至在您未主动使用的区域中也可以。这也启用 GuardDuty 进行监控AWS CloudTrail 全球事件AWS服务。如果 GuardDuty 未在所有支持的区域中启用,则其检测涉及全球性服务的能力将会减弱。

AWS CloudTrail管理事件

管理事件也称为控制层面事件。这些事件提供对在资源上执行的管理操作的见解AWSaccount.

以下是示例如下 CloudTrail 管理事件 GuardDuty 显示器:
  • 配置安全性 (IAM)AttachRolePolicyAPI 操作)

  • 配置传送数据的规则 (Amazon EC2)CreateSubnetAPI 操作)

  • 设置日志记录 (AWS CloudTrail CreateTrailAPI 操作)

AWS CloudTrailS3 的数据事件

数据事件(也称为数据平面操作)提供对资源执行的或在资源内执行的资源操作的见解。它们通常是高容量活动。

以下是示例如下 CloudTrail S3 的数据事件 GuardDuty 可以监视:
  • GetObject API 操作

  • PutObject API 操作

  • ListObjects API 操作

  • DeleteObject API 操作

默认情况下会对新的账户启用 S3 数据事件监控。但是,此数据源是可选的,可以随时为任何账户或区域启用或禁用。有关配置 Amazon S3 作为数据源的更多信息,请参阅Amazon S3 rotection GuardDuty.

Kubernetes 审核日志

Kubernetes 审核日志会捕获您的 Amazon EKS 集群中的顺序操作,包括来自用户、使用 Kubernetes API 的应用程序和控制平面的活动。审核日志记录是所有 Kubernetes 集群的组成部分。有关更多信息,请参阅 Kubernetes 文档中的审计

亚马逊 EKS 允许将 Kubernetes 审核日志作为亚马逊进行摄取 CloudWatch 通过日志EKS 控制层面日志记录功能。当你在中启用 Kubernetes 保护时 GuardDuty、 GuardDuty立即开始分析你的亚马逊 EKS 资源的 Kubernetes 审核日志。它通过流日志的独立且重复性的流,直接从 Amazon EKS 控制平面记录功能使用 Amazon EKS 事件。此过程不需要任何其他设置,也不会影响您可能拥有的任何现有 Amazon EKS 控制平面日志配置。

GuardDuty 不会管理您的 Amazon EKS 控制平面日志记录,也无法在您的账户中访问 Kubernetes 审核日志(如果您尚未为 Amazon EKS 启用 Kubernetes 审核日志)。要管理 Kubernetes 审核日志的访问和保留,您必须配置 Amazon EKS EKS 控制平面记录功能。有关更多信息,请参阅 。启用和禁用控制层面日志在Amazon EKS 文档中。

默认情况下,Kubernetes 审核日志监控处于启用状态 GuardDuty 账户。但是,此数据源是可选的,可以随时为任何账户或区域启用或禁用。有关配置 Kubernetes 审核日志配置为数据源的更多信息,请参阅Amazon 中的 Kubernetes 保护 GuardDuty.

VPC 流日志

Amazon VPC 的 VPC Flow Logs 功能捕获有关在您环境中传入和传出网络接口的 IP 流量的信息。

当你启用 GuardDuty,它将立即开始分析 VPC 流日志数据。它通过流日志的独立且重复性的流,直接从 VPC Flow Logs 功能使用 VPC Flow Logs 事件。此过程不会影响您可能拥有的任何现有流日志配置。

GuardDuty 不会管理您的流日志,也不会使其在您的账户中可访问。要管理流日志的访问和保留,您必须配置 VPC Flow Logs 功能。

无需额外付费 GuardDuty 访问流日志。不过,启用流日志以进行保留或在您的账户中使用需要遵循现有定价。有关更多信息,请参阅 。使用 VPC 流日志记录 IP 流量VPC 用户指南.

DNS 日志

如果您使用AWS然后,您的 Amazon EC2 实例的 DNS 解析器(默认设置) GuardDuty 可以通过内部访问和处理您的请求和响应 DNS 日志AWSDNS 解析程序。如果您使用的是其他 DNS 解析程序 (例如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析程序,则 GuardDuty 无法访问和处理来自此数据源的数据。

当你启用 GuardDuty,它将立即开始从流数据分析 DNS 日志。此数据流与通过Route 53 解析程序查询日志记录功能。此功能的配置不起作用 GuardDuty分析。

Elastic Block Storing (EBS)

GuardDuty 恶意软件防护扫描并检测恶意软件Amazon EBS 卷附加到您的 Amazon EC2 实例。

何时 GuardDuty 生成指示 EC2 实例或容器工作负载中存在恶意软件的调查结果,并且您已启用恶意软件防护, GuardDuty 将创建附加到账户中可能受影响的 EC2 实例或容器工作负载的 EBS 卷的快照。使用预配的权限 GuardDuty 通过的服务相关角色权限 GuardDuty Malware、 GuardDuty 将在中从该快照创建加密副本 EBS 卷 GuardDuty的服务账户。 GuardDuty 然后将扫描副本 EBS 卷中是否有恶意软件。

注意

GuardDuty 恶意软件防护不会扫描使用加密的 EBS 卷Amazon EBS 加密. 有关更多信息,请参阅 了解恶意软件防护的工作原理 GuardDuty

扫描完成后, GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且你已经开启了快照保留设置时,EBS 卷的快照不会被删除,而是会自动保留在AWSaccount. 如果未发现恶意软件,则无论快照保留设置如何,都不会保留 EBS 卷的快照。

GuardDuty 将保留其扫描的每个副本 EBS 卷最长一天,除非副本 EBS 卷及其恶意软件扫描出现服务中断或故障(此时) GuardDuty 将这样的 EBS 卷保留不超过七天。延长保留期是为了分类和解决中断或故障。 GuardDuty 恶意软件防护将在中断或故障得到解决或延长保留期结束后删除副本 EBS 卷。