Amazon GuardDuty 如何使用其数据源 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon GuardDuty 如何使用其数据源

检测您的中未经授权和意外的活动AWS环境,GuardDuty 分析和处理来源的数据AWS CloudTrail用于检测涉及以下的异常事件日志、VPC 流日志和 DNS 日志,以检测涉及以下的异常AWS资源类型:IAM 访问密钥、EC2 实例和 S3 存储桶。在从这些数据源传输到 GuardDuty 时,将对所有日志数据进行加密。GuardDuty 提取这些日志中的各种字段以进行分析和异常检测,然后丢弃日志。

以下各节介绍 GuardDuty 如何使用每个受支持的数据源的详细信息。

AWS CloudTrail事件日志

AWS CloudTrail 为您提供账户的 AWS API 调用历史记录,包括使用 AWS 管理控制台、AWS 开发工具包、命令行工具和更高级别的 AWS 服务进行的 API 调用。CloudTrail 还允许您识别哪些用户和账户调用了AWS适用于支持 CloudTrail 的服务的 API、调用的源 IP 地址以及调用发生时间。有关更多信息,请参阅 AWS CloudTrail 用户指南。GuardDuty 可以监控 CloudTrail 管理事件,也可以选择监控 S3 的 CloudTrail 数据事件。

当您启用 GuardDuty 时,它将立即开始分析 CloudTrail 事件日志。它通过独立且重复的事件流,直接从 CloudTrail 使用 CloudTrail 管理和 S3 数据事件。GuardDuty 访问 CloudTrail 事件不产生额外费用。

无论如何,GuardDuty 不管理您的 CloudTrail 事件,也不会影响现有的 CloudTrail 配置。要直接管理对 CloudTrail 事件的访问和保留,您必须使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

GuardDuty 如何处理AWS CloudTrail全球事件

关于 GuardDuty 将 CloudTrail 用作数据源的另一个重要的详细信息是处理 CloudTrail 全球事件。对于大多数服务,事件被记录在发生操作的区域。对于全球服务,例如AWSIAM,AWS将传输到包括全球服务 Route 53 任何跟踪,并且记录为在美国东部 (弗吉尼 Amazon CloudFront 北部) 区域发生。有关更多信息,请参阅关于全球服务事件

GuardDuty 处理进入区域的所有事件,包括 CloudTrail 发送到所有区域的全球事件。这允许 GuardDuty 在每个区域维护用户和角色配置文件,并使其能够准确地检测在跨区域中被恶意使用的凭证。

我们强烈建议您在所有支持的情况下启用 GuardDutyAWS地区。这使 GuardDuty 能够生成有关未授权或异常活动的结果,甚至在您未主动使用的区域中也是如此。这也使 GuardDuty 能够监控AWS适用于全球 CloudTrail 事件AWS服务。如果未在所有支持的区域中启用 GuardDuty,则其检测涉及全球性服务的能力将会减弱。

AWS CloudTrail管理事件

管理事件也称为控制平面事件,提供对在您的资源上执行的管理操作的见解。AWSaccount. 下面是 GuardDuty 可以处理的 CloudTrail 管理事件的一些示例:

以下是 GuardDuty 监控的 CloudTrail 管理事件的示例:
  • 配置安全性(IAM AttachRolePolicy API 操作)

  • 配置传送数据的规则 (Amazon EC2 CreateSubnet API 操作)

  • 设置日志记录 (AWS CloudTrailCreateTrail API 操作)

AWS CloudTrailS3 数据事件

数据事件(也称为数据平面操作)提供对资源执行的或在资源内执行的资源操作的见解。它们通常是高容量活动。

以下是 GuardDuty 可以监控的 CloudTrail S3 数据事件的示例:

getObject、ListObjects、DeleteObject 和 PutObject API 操作。

默认情况下,从 GuardDuty 开始的新账户启用 S3 数据事件监控。在 S3 数据事件监控之前已经开始使用 GuardDuty 的账户必须选择加入才能启用此数据源。此数据源是可选的,可以随时为任何账户或区域启用或禁用此数据源。有关将 S3 配置为数据源的更多信息,请参阅。Amazon S3 保护.

VPC 流日志

VPC Flow Logs 捕获有关在您的 VPC 中传入和传出 Amazon EC2 网络接口的 IP 流量的信息。有关更多信息,请参阅 VPC 流日志

当您启用 GuardDuty 时,它将立即开始分析 VPC 流日志数据。它通过流日志的独立且重复性的流,直接从 VPC Flow Logs 功能使用 VPC Flow Logs 事件。此过程不会影响您可能拥有的任何现有流日志配置。

GuardDuty 不会管理您的流日志,也不会使其在您的账户中可访问。要管理流日志的访问和保留,您必须配置 VPC Flow Logs 功能。

GuardDuty 访问流日志不产生额外费用。不过,启用流日志以进行保留或在您的账户中使用需要遵循现有定价。有关更多信息,请参阅 VPC 流日志

DNS 日志

如果您使用AWSDNS 解析程序适用于您的 EC2 实例 (默认设置),则 GuardDuty 可以通过内部访问和处理您的请求和响应 DNS 日志。AWSDNS 解析程序。如果您使用的是第三方 DNS 解析程序 (例如 OpenDNS 或 GoogleDNS),或者您设置了自己的 DNS 解析程序,则 GuardDuty 将无法访问和处理来自此数据源的数据。

启用 GuardDuty 后,它会立即开始从独立的数据流中分析 DNS 日志。此数据流与通过Route 53 Resolver 查询日志记录功能,此功能的配置不会影响 GuardDuty 分析。