什么是亚马逊 GuardDuty? - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是亚马逊 GuardDuty?

Amazon GuardDuty 是一项威胁检测服务,可持续监控、分析和处理您 AWS 环境中的 AWS 数据源和日志。 GuardDuty 使用威胁情报源(例如恶意 IP 地址和域名列表、文件哈希和机器学习 (ML) 模型)来识别 AWS 环境中的可疑活动和潜在的恶意活动。以下列表概述了 GuardDuty 可以帮助您检测的潜在威胁场景:

  • 凭据被泄露和泄露。 AWS

  • 可能导致勒索软件事件的数据泄露和破坏。Amazon Aurora 和 Amazon RDS 数据库支持的引擎版本中的异常登录事件模式表明存在异常行为。

  • 您的亚马逊弹性计算云 (AmazonEC2) 实例和容器工作负载中未经授权的加密采矿活动。

  • 您的亚马逊EC2实例和容器工作负载中存在恶意软件,您的亚马逊简单存储服务 (Amazon S3) 存储桶中存在新上传的文件。

  • 操作系统级、联网和文件事件,表明您的亚马逊 Elastic Kubernetes Service (Amazon) 集群、EKS亚马逊弹性容器服务 ECS (Amazon AWS Fargate )-任务以及亚马逊实例EC2和容器工作负载存在未经授权的行为。

以下视频概述了如何 GuardDuty 帮助您检测 AWS 环境中的威胁。

的特点 GuardDuty

以下是 Amazon GuardDuty 可以帮助您监控、检测和管理 AWS 环境中潜在威胁的一些主要方式。

持续监控特定的数据源和事件日志
  • 基础威胁检测 — 当您在 GuardDuty 中启用时 AWS 账户, GuardDuty会自动开始提取与该账户关联的基础数据源。这些数据源包括 AWS CloudTrail 管理事件、VPC流日志(来自 Amazon EC2 实例)和DNS日志。您无需启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty 有关更多信息,请参阅 GuardDuty 基础数据源

  • 以@@ 用例为重点的 GuardDuty 保护计划 — 为了增强威胁检测对 AWS 环境安全的可见性, GuardDuty 提供您可以选择启用的专用保护计划。保护计划可帮助您监控来自其他 AWS 服务的日志和事件。这些来源包括EKS审计日志、RDS登录活动、中的 Amazon S3 数据事件 CloudTrail、EBS卷、跨亚马逊EKS、亚马逊和亚马逊 ECS-Fargate 的运行时监控以及 Lambda 网络活动日志。EC2 GuardDuty在 “功能” 一词下整合这些日志和事件源。您可以随时在支持的 AWS 区域 中启用一个或多个专用保护计划。 GuardDuty 将根据您启用的保护计划开始监控、处理和分析活动。有关每项保护计划及其运作方式的更多信息,请参阅相应的保护计划文档。

    保护计划 描述

    S3 防护

    识别潜在的安全风险,例如您的 Amazon S3 存储桶中的数据泄露和破坏企图。

    EKS保护

    EKS审计日志监控会分析来自您的 Amazon EKS 集群的 Kubernetes 审计日志,以发现潜在的可疑和恶意活动。

    运行时监控

    监控和分析您的亚马逊EKS、亚马逊和亚马逊ECS(包括 AWS Fargate)上的操作系统级事件,以检测潜在的运行时威胁。EC2

    恶意软件防护 EC2

    通过扫描与您的 Amazon EC2 实例关联的 Amazon EBS 卷,检测可能存在的恶意软件。可以选择按需使用此功能。

    S3 恶意软件防护

    检测您的 Amazon S3 存储桶中新上传的对象中可能存在恶意软件。

    RDS保护

    分析和分析您的RDS登录活动,以了解受支持的 Amazon Aurora 和 Amazon RDS 数据库是否存在潜在的访问威胁。

    Lambda 保护

    监控 Lambda 网络活动日志(从VPC流日志开始),以检测对您的 AWS Lambda 函数的威胁。这些潜在威胁的示例包括加密挖矿和与恶意服务器通信。

    单独为 S3 启用恶意软件防护

    GuardDuty 无需启用 Amazon GuardDuty 服务,即可灵活地单独使用 S3 的恶意软件防护。有关开始使用仅适用于 S3 的恶意软件防护的更多信息,请参阅GuardDuty S3 的恶意软件防护。要使用所有其他保护计划,必须启用该 GuardDuty服务。

管理多账户环境

您可以使用 AWS Organizations (推荐)或旧版邀请方法来管理多账户 AWS 环境。有关更多信息,请参阅 里面有多个账户 GuardDuty

针对检测到的威胁生成安全调查结果

当 GuardDuty 检测到与您的 AWS 资源相关的潜在安全威胁时,它会开始生成安全调查结果,以提供有关可能受到威胁的资源的信息。 GuardDuty 在您的账户中启用后,生成示例发现结果以查看关联的调查发现详细信息。有关安全发现的完整列表,请参阅GuardDuty 查找类型

借 GuardDuty助,您还可以使用生成特定 GuardDuty 安全发现结果的测试脚本来了解如何查看和响应 GuardDuty 调查结果。有关更多信息,请参阅 专用账户中的测试 GuardDuty 结果

评估和管理安全调查结果

GuardDuty 整合各个账户的安全调查结果,并在控制台的 “摘要” 仪表板中显示结果。 GuardDuty 您也可以通过 AWS Security Hub API AWS Command Line Interface、或检索搜索结果 AWS SDK。通过对当前安全状态的全面了解,您可以识别趋势和潜在问题,并采取必要的补救措施。有关更多信息,请参阅 管理 GuardDuty 调查结果

与相关 AWS 安全服务集成

为了进一步帮助您分析和调查 AWS 环境中的安全趋势,请考虑将以下 AWS 与安全相关的服务与 GuardDuty结合使用。

  • AWS Security Hub— 此服务可让您全面了解 AWS 资源的安全状态,并帮助您根据安全行业标准和最佳实践检查您的 AWS 环境。其部分原因是使用、汇总、整理来自多种 AWS 服务(包括 Amazon Macie)和 AWS 支持的合作伙伴网络 APN () 产品的安全调查结果,并对其进行优先排序。Security Hub 可帮助您分析安全趋势,确定 AWS 环境中优先级最高的安全问题。

    有关同时使用 GuardDuty 和 Security Hub 的信息,请参阅 GuardDuty 与集成 AWS Security Hub。要了解有关 Security Hub 的更多信息,请参阅 AWS Security Hub 用户指南

  • Amazon Detective — 此服务可帮助您分析、调查并快速确定安全发现或可疑活动的根本原因。Detective 会自动从您的 AWS 资源中收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 预建的数据聚合、摘要和上下文可帮助您分析和确定潜在安全问题的性质和程度。

    有关同时使用 GuardDuty 和 Detective 的信息,请参阅 GuardDuty 与 Amazon Detective 集成。要了解有关 Detective 的更多信息,请参阅 Amazon Detective 用户指南

  • Amazon EventBridge — 该服务可帮助您近乎实时地接收通知并对 GuardDuty 安全发现作出回应。 GuardDuty 当发现结果发生变化时会创建事件。您可以选择接收通知的频率 EventBridge。有关更多信息,请参阅《亚马逊 EventBridge 用户指南》 EventBridge中的 “什么是亚马逊”。

PCIDSS合规性

GuardDuty 支持商家或服务提供商处理、存储和传输信用卡数据,并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关更多信息 PCIDSS,包括如何索取 Compliance Packag AWS PCI e 的副本,请参阅PCIDSS级别 1

有关更多信息,请参阅AWS 安全博客中的新第三方测试 GuardDuty 将 Amazon 与网络入侵检测系统进行了比较