概念和術語

開始使用 Amazon 時 GuardDuty，您可以從學習其關鍵概念中受益。

帳戶

包含您的 AWS 資源的標準 Amazon Web Services（AWS）帳戶。您可以使用您 AWS 的帳戶登錄並啟用 GuardDuty。

您也可以邀請其他帳戶在中啟用 GuardDuty 並與您的 AWS 帳戶建立關聯 GuardDuty。如果您的邀請被接受，您的帳戶將被指定為管理員 GuardDuty 帳戶，而新增的帳戶會成為您的成員帳戶。然後，您可以代表他們查看和管理這些帳戶的 GuardDuty 發現。

管理員帳戶的使用者可 GuardDuty 以設定及檢視和管理自己帳戶及其所有成員帳戶的 GuardDuty發現項目。您最多可以擁有 10,000 個會員帳戶 GuardDuty。

成員帳戶的使用者可以在其帳戶中設定 GuardDuty 及檢視和管理 GuardDuty 發現項目 (透過 GuardDuty 管理主控台或 GuardDuty API)。成員帳戶使用者無法查看或管理其他成員帳戶中的問題清單。

一個不 AWS 帳戶 能同時是 GuardDuty 管理員帳戶和成員帳戶。一個只 AWS 帳戶 能接受一個會員邀請。接受成員邀請為選擇性。

如需詳細資訊，請參閱 在 Amazon 管理多個帳戶 GuardDuty。

探测器

Amazon GuardDuty 是一個區域服務。當您在特定的 GuardDuty 中啟用 AWS 帳戶 時 AWS 區域，您將與檢測器 ID 相關聯。這個 32 個字元的英數字元識別碼對於您在該地區的帳戶而言是唯一 例如，當您 GuardDuty 為不同區域中的相同帳戶啟用時，您的帳戶將與不同的偵測器 ID 建立關聯。detectorId 的格式為 12abc34d567e8fa901bc2d34e56789f0。

有關管理 GuardDuty 發現項目和 GuardDuty服務的所有發現項目、帳戶和動作都會使用偵測器 ID 來執行 API 作業。

要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面，或運行 ListDetectorsAPI

注意

在多個帳戶環境中，成員帳戶的所有調查結果都會匯總到管理員帳戶的偵測器。

某些 GuardDuty 功能是透過偵測器設定的，例如設定 CloudWatch 事件通知頻率，以及啟用或停用 GuardDuty 要處理的選用保護計畫。

在內部使用 S3 的惡意軟體防護 GuardDuty

當您在啟用的帳戶中啟用 S3 的惡意軟體防護時，啟用、編輯和停用受保護資源之類的 S3 惡意軟體防護動作不會與偵測器 ID 相關聯。 GuardDuty

如果您未啟用 GuardDuty 並選擇適用於 S3 的威脅偵測選項惡意程式碼防護，則不會為您的帳戶建立偵測器 ID。

基礎資料來源

一組資料的原始來源或位置。偵測 AWS 環境中未經授權或未預期的活動。 GuardDuty 分析和處理來自 AWS CloudTrail 事件日誌、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 資料事件、VPC 流程日誌、DNS 日誌的資料，請參閱基礎資料來源。

功能

針對您的 GuardDuty 保護計劃設定的功能物件有助於偵測 AWS 環境中未經授權或非預期的活動。每個 GuardDuty 保護計畫都會規劃對應的圖徵物件，以分析和處理資料。部分功能物件包括 EKS 稽核記錄、RDS 登入活動監控、Lambda 網路活動記錄和 EBS 磁碟區。如需詳細資訊，請參閱 功能激活 GuardDuty。

問題清單

GuardDuty 發現的潛在安全問題清單。如需詳細資訊，請參閱 了解 Amazon GuardDuty 發現。

發現項目會顯示在 GuardDuty 主控台中，並包含安全性問題的詳細說明。您也可以呼叫GetFindings和 ListFindingsAPI 作業來擷取產生的發現項目。

您還可以通過 Amazon CloudWatch 事件查看您的 GuardDuty 發現。 GuardDuty CloudWatch 通過 HTTPS 協議將發現結果發送到 Amazon。如需詳細資訊，請參閱 使用 Amazon CloudWatch 活動建立自訂回應的 GuardDuty 發現項目。

IAM PassRole

這是具有掃描 S3 物件所需許可的 IAM 角色。啟用標記掃描物件時， PassRole IAM 許可有助於 GuardDuty 將標籤新增至掃描的物件。

惡意程式碼防護計劃

為儲存貯體啟用 S3 的惡意軟體保護後，為 EC2 計劃資源 GuardDuty 建立惡意軟體保護。此資源與 EC2 計劃 ID 的惡意軟體防護相關聯，這是受保護值區的唯一識別碼。使用惡意程式碼防護計劃資源，在受保護的資源上執行 API 作業。

受保護的桶（受保護的資源）

當您為此儲存貯體啟用 S3 的惡意軟體保護，且其保護狀態變更為「作用中」時，Amazon S3 儲存貯體會被視為受到保護。

GuardDuty 僅支援 S3 儲存貯體做為受保護的資源。

防護狀態

與您的惡意程式碼防護計劃資源相關聯的狀態。為儲存貯體啟用 S3 的惡意軟體防護後，此狀態會顯示儲存貯體是否設定正確。

S3 物件前置詞

在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中，您可以使用前置字元來組織儲存。前置詞是 S3 儲存貯體中物件的邏輯分組。如需詳細資訊，請參閱 Amazon S3 使用者指南中的組織和列出物件。

掃描選項

啟用適用於 EC2 的 GuardDuty 惡意程式碼保護時，您可以指定要掃描或略過哪些 Amazon EC2 執行個體和 Amazon 彈性區塊存放區 (EBS) 磁碟區。此功能可讓您將與 EC2 執行個體和 EBS 磁碟區相關聯的現有標籤新增至包含標籤清單或排除標籤清單。系統會掃描與您新增至包含標籤清單的標籤相關聯的資源是否含有惡意軟體，不會掃描新增至排除標籤清單的資源。如需詳細資訊，請參閱 具有使用者定義標籤的掃描選項。

快照保留

啟用 EC2 的 GuardDuty 惡意軟體保護後，它會提供在 AWS 帳戶中保留 EBS 磁碟區快照的選項。 GuardDuty 根據 EBS 磁碟區的快照產生複本 EBS 磁碟區。僅當 EC2 掃描的惡意軟體防護偵測到複本 EBS 磁碟區中的惡意軟體時，您才能保留 EBS 磁碟區的快照。如果複本 EBS 磁碟區中未偵測到惡意程式碼，則不論快照保留設定為何，都 GuardDuty 會自動刪除 EBS 磁碟區的快照。如需詳細資訊，請參閱 快照保留。

抑制規則

隱藏規則可讓您建立非常特定的屬性組合以隱藏問題清單。例如，您可以透過 GuardDuty 篩選器定義規則，以僅Recon:EC2/Portscan從特定 VPC 中的那些執行個體、執行特定 AMI 或使用特定 EC2 標籤自動存檔。此規則會造成符合條件的執行個體連接埠掃描問題清單被自動封存。但是，如果 GuardDuty 檢測到執行其他惡意活動（例如加密貨幣挖掘）的實例，它仍然允許發出警報。

在 GuardDuty 管理員帳戶中定義的隱藏規則適用於 GuardDuty 成員帳戶。 GuardDuty 成員帳戶無法修改隱藏規則。

使用抑制規則， GuardDuty 仍會產生所有發現項目。隱藏規則可抑制問題清單，同時保持所有活動歷史記錄完整不變。

一般來說，隱藏規則是用來隱藏您判定為環境誤判的問題清單，並減少低價值問題清單的雜訊，讓您可以專注於較大的威脅。如需詳細資訊，請參閱 隱藏規則。

信任 IP 清單

信任 IP 位址清單，可與您的 AWS 環境進行高度安全的通訊。 GuardDuty 不會根據信任的 IP 清單產生發現項目。如需詳細資訊，請參閱 使用信任 IP 清單和威脅清單。

威脅 IP 清單

已知惡意 IP 地址的清單。除了由於潛在可疑活動而產生發現項目之外， GuardDuty 還會根據這些安全威脅清單產生發現項目。如需更多詳細資訊，請參閱 使用信任 IP 清單和威脅清單。