本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
GuardDuty 會動態更新產生的調查結果。如果 GuardDuty 偵測到與相同安全問題相關的新活動,則 GuardDuty 會使用最新詳細資訊更新原始調查結果,而不是建立新的調查結果。此行為可讓您識別任何持續發生的問題,而無需查看多個類似的報告,並減少已知安全問題的整體問題清單數量。
例如,對於UnauthorizedAccess:EC2/SSHBruteForce調查結果,針對執行個體的多次存取嘗試將彙總至相同的調查結果 ID,增加調查結果詳細資訊中的計數編號。這是因為調查結果代表執行個體的單一安全問題,表示執行個體上的 SSH 連接埠未針對此類活動進行適當地保護。不過,如果 GuardDuty 偵測到以環境中新執行個體為目標的 SSH 存取活動,它會建立一個具有唯一調查結果 ID 的新調查結果,以提醒您發生與新資源相關聯的安全問題。
彙總問題清單時,會以該活動最新出現的資訊進行更新。這表示在上述範例中,如果您的執行個體是新執行者嘗試執行暴力密碼破解的目標,將會更新調查結果詳細資訊,以反映最新來源的遠端 IP,而且將取代舊的資訊。您的 CloudTrail 日誌或 VPC 流程日誌中仍會提供個別活動嘗試的完整資訊。
提醒 GuardDuty 產生新調查結果而不是彙總現有調查結果的條件,取決於調查結果類型。每個問題清單類型的彙總條件由我們的安全工程師決定,以提供帳戶中不同安全問題的概觀。
當 GuardDuty 在您的帳戶中產生攻擊序列調查結果類型時,只有當 GuardDuty 在帳戶中以相同序列識別類似的訊號時,才會彙總調查結果。否則,GuardDuty 會產生另一個攻擊序列。
