了解 Amazon GuardDuty 结果 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Amazon GuardDuty 结果

GuardDuty 查找结果表示在您的网络中检测到的潜在安全问题。GuardDuty 在您的AWS环境。

您 GuardDuty 在结果页面,或通过使用 GuardDuty 护命令 CLI 或 API 操作进行操作。有关管理结果的方法的概述,请参阅Amazon GuardDuty 调查结果.

主题:

查找详细信息

了解 GuardDuty 调查结果中的可用数据类型。

示例发现结果

了解如何生成示例调查结果以测试或更好地理解 GuardDuty。

GuardDuty 调查结果格式

了解 GuardDuty 调查结果类型的格式以及 GuardDuty 跟踪的各种威胁目的。

调查结果类型

按类型查看和搜索所有可用的 GuardDuty 调查结果。每个调查结果类型条目都包括该调查结果的说明以及修复提示和建议。

GuardDuty 结果的严重性级别

每个 GuardDuty 调查结果都有一个指定的严重性级别和值,可反映调查结果给您的网络带来的潜在风险,这些风险由我们的安全工程师确定。严重性值可以为介于 0.1 和 8.9 之间的任何值,该值越高,安全风险就越大。为了帮助您确定对调查结果突出显示的潜在安全问题的响应,GuardDuty 将此范围分为 “高”、“中” 和 “低” 严重性级别。

注意

值 0 和 9.0 到 10.0 当前被预留以供未来使用。

以下是当前为 GuardDuty 结果定义的严重性级别和值以及每个调查结果的一般建议:

严重性级别 值范围

8.9 - 7.0

“高” 安全性级别表示涉及的资源(EC2 实例或一组 IAM 用户凭证)已遭盗用,并正大量用于未经授权用途。

我们建议您优先处理任何“高”严重性的调查结果安全问题,并立即采取补救措施,以防止对您的资源进行其他未经授权的使用。例如,清除您的 EC2 实例或终止该实例,或轮换 IAM 凭证。有关更多详细信息,请参阅补救措施

6.9 - 4.0

“中”严重性级别表示偏离正常观察到的行为的可疑活动,根据您的使用案例,可能指示资源被盗用。

我们建议您尽可能早调查牵涉的资源。补救措施因资源和调查结果系列而异,但通常情况下,您应寻求确认活动是否已获得授权并与您的使用案例一致。如果您无法确定原因或确认活动已获授权,则应将资源视为受损,并遵循修复步骤来保护资源。

查看“中”严重性级别的调查结果时,需要注意以下事项:

  • 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。

  • 检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。

  • 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。

  • 验证附加到所牵涉的 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。

3.9 - 1.0

“低”严重性级别表示尝试进行的可疑活动未危及您的网络,例如端口扫描或失败的入侵尝试。

不需要立即采取行动,但此信息值得注意,因为它可能表明有人正在寻找网络中的弱点。

GuardDuty 调查结果聚合

所有调查结果都是动态的,这意味着,如果 GuardDuty 检测到与同一安全问题相关的新活动,它将使用新信息更新原始调查结果,而不是生成新的调查结果。此行为可让您识别持续存在的问题,而无需浏览多个类似报告,并减少来自您已发现的安全问题的总体噪音。

例如,对于 UnauthorizedAccess:EC2/SSHBruteForce 调查结果,针对您的实例进行的多次访问尝试将聚合到相同的调查结果 ID 中,从而增加调查结果详细信息中的计数。这是因为该调查结果表示实例的安全问题,指示未针对此类活动正确保护实例上的 SSH 端口。但是,如果 GuardDuty 检测到针对环境中的新实例的 SSH 访问活动,它将创建具有唯一调查结果 ID 的新调查结果,以提醒您存在与新资源关联的安全问题。

在聚合调查结果时,它将使用该活动最近发生的信息进行更新。这意味着,在上述示例中,如果您的实例是来自新角色的暴力尝试的目标,则调查结果详细信息将更新以反映最新源的远程 IP,并将替换旧信息。有关单个活动尝试的完整信息仍将包含在 CloudTrail 或 VPC 流日志中。

提醒 GuardDuty 生成新调查结果而不是聚合现有调查结果的标准取决于调查结果类型。每种调查结果类型的聚合标准均由我们的安全工程师确定,以便为您提供账户中各种安全问题的最佳概述。

查找和分析 GuardDuty 查结果

使用以下过程查看和分析您的 GuardDuty 结果。

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 选择 Findings (调查结果),然后选择一个特定的调查结果以查看其详细信息。

    每个调查结果的详细信息将因调查结果类型、涉及的资源和活动的性质而异。有关可用的调查结果字段的更多信息,请参阅查找详细信息

  3. (可选)如果要存档某个调查结果,请从调查结果列表中选择该调查结果,然后选择操作菜单。然后选择 Archive (存档)

    存档的调查结果可通过选择已存档来自 的最新下拉菜单。

    GuardDuty 成员账户中的目前,GuardDuty 用户无法存档调查结果。

    重要

    如果您使用上述过程将调查结果手动存档,此调查结果的所有后续匹配项(存档完成后生成)将添加到当前调查结果的列表。如果您永远不希望在当前列表中看到此调查结果,可以将它自动存档。有关更多信息,请参阅禁止规则

  4. (可选)要下载一个调查结果,请从调查结果列表中选择该调查结果,然后选择 Actions (操作) 菜单。然后选择 Export (导出)。当您 Export (导出) 调查结果时,可以查看其完整 JSON 文档。

    注意

    当且仅当 GuardDuty 调查结果的置信度设置为 0 时,才会在信心字段显示在完整调查结果 JSON 中。存在信心字段设置为 0,表示此 GuardDuty 调查结果是一个误报。