概念和術語 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

概念和術語

當您開始使用 Amazon 時 GuardDuty,您可以從了解其關鍵概念中獲益。

帳戶

包含 資源的標準 Amazon Web Services (AWS) 帳戶 AWS 。您可以使用 AWS 您的帳戶登入 並啟用 GuardDuty。

您也可以邀請其他 帳戶在 中啟用您的帳戶, GuardDuty 並建立與 AWS 您的帳戶的關聯 GuardDuty。如果接受您的邀請,您的帳戶會指定為管理員帳戶 GuardDuty ,而新增的帳戶會成為您的成員帳戶。然後,您可以代表這些帳戶檢視和管理其 GuardDuty 調查結果。

管理員帳戶使用者可以設定 , GuardDuty 以及檢視和管理其自己的帳戶及其所有成員帳戶的 GuardDuty 調查結果。如需管理員帳戶可管理的成員帳戶數目資訊,請參閱 GuardDuty 配額

成員帳戶的使用者可以設定 GuardDuty ,以及檢視和管理帳戶中的 GuardDuty 調查結果 (透過 GuardDuty 管理主控台或 GuardDuty API)。成員帳戶使用者無法查看或管理其他成員帳戶中的問題清單。

AWS 帳戶 不能同時是 GuardDuty 管理員帳戶和成員帳戶。只能 AWS 帳戶 接受一個成員資格邀請。接受成員邀請為選擇性。

如需詳細資訊,請參閱Amazon 中的多個帳戶 GuardDuty

偵測器

Amazon GuardDuty 是一項區域性服務。當您在特定 GuardDuty 中啟用 時 AWS 區域,您的 AWS 帳戶 會與偵測器 ID 建立關聯。此 32 個字元的英數 ID 對該區域中的帳戶是唯一的。例如,當您在不同區域中 GuardDuty 為相同帳戶啟用 時,您的帳戶將與不同的偵測器 ID 建立關聯。的格式 detectorId 為 12abc34d567e8fa901bc2d34e56789f0

管理 GuardDuty 調查結果和服務的所有調查結果、帳戶和動作都會 GuardDuty使用偵測器 ID 來執行API操作。

若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

注意

在多個帳戶環境中,成員帳戶的所有調查結果都會匯總到管理員帳戶的偵測器。

部分 GuardDuty 功能是透過偵測器設定,例如設定 CloudWatch 事件通知頻率,以及啟用或停用 的選用保護計畫 GuardDuty 以進行處理。

在 中使用惡意軟體防護 for S3 GuardDuty

當您在 GuardDuty 已啟用 的帳戶中啟用 Malware Protection for S3 時,啟用、編輯和停用受保護資源等 Malware Protection for S3 動作不會與偵測器 ID 相關聯。

當您未啟用 GuardDuty 並選擇威脅偵測選項 Malware Protection for S3 時,不會為您的帳戶建立偵測器 ID。

基礎資料來源

一組資料的原始來源或位置。若要偵測 AWS 環境中的未經授權或非預期活動。 GuardDuty 分析和處理來自 AWS CloudTrail 事件日誌、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的資料事件、VPC流程日誌、DNS日誌的資料,請參閱 GuardDuty 基礎資料來源

功能

為您的 GuardDuty 保護計畫設定的功能物件有助於偵測 AWS 環境中的未經授權或非預期活動。每個 GuardDuty 保護計畫都會設定對應的特徵物件來分析和處理資料。部分功能物件包括EKS稽核日誌、RDS登入活動監控、Lambda 網路活動日誌和EBS磁碟區。如需詳細資訊,請參閱中的保護計畫的特徵名稱 GuardDuty API

問題清單

GuardDuty 發現的潛在安全問題清單。如需詳細資訊,請參閱了解和產生 Amazon GuardDuty 調查結果

調查結果會顯示在 GuardDuty 主控台中,並包含安全問題的詳細說明。您也可以呼叫 GetFindings和 來擷取產生的調查結果 ListFindings API 操作。

您也可以透過 Amazon CloudWatch events. GuardDuty sends CloudWatch HTTPS通訊協定將 GuardDuty 調查結果傳送至 Amazon。如需詳細資訊,請參閱使用 Amazon CloudWatch Events 建立對 GuardDuty 調查結果的自訂回應

IAM 角色

這是具有掃描 S3 物件所需許可IAM的角色。啟用標記掃描的物件時,IAM PassRole 許可有助於將標籤 GuardDuty 新增至掃描的物件。

惡意軟體防護計劃資源

為儲存貯體啟用 Malware Protection for S3 之後, 會為EC2計劃資源 GuardDuty 建立 Malware Protection。此資源與EC2計劃 ID 的惡意軟體防護相關聯,這是受保護儲存貯體的唯一識別符。使用惡意軟體防護計劃資源對受保護的資源執行API操作。

受保護儲存貯體 (受保護的資源)

當您為此儲存貯體啟用 Malware Protection for S3 及其保護狀態變更為 Active 時,Amazon S3 儲存貯體會被視為受保護。 S3

GuardDuty 僅支援 S3 儲存貯體做為受保護的資源。

保護狀態

與您的惡意軟體防護計劃資源相關聯的狀態。為儲存貯體啟用 Malware Protection for S3 後,此狀態表示儲存貯體是否已正確設定。

S3 物件字首

在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中,您可以使用字首來組織儲存。字首是 S3 儲存貯體中物件的邏輯分組。如需詳細資訊,請參閱 Amazon S3 使用者指南 中的整理和列出物件

掃描選項

EC2 啟用 的 GuardDuty 惡意軟體防護時,可讓您指定要掃描或略過的 Amazon EC2執行個體和 Amazon Elastic Block Store(EBS) 磁碟區。此功能可讓您將與EC2執行個體和EBS磁碟區相關聯的現有標籤新增至包含標籤清單或排除標籤清單。系統會掃描與您新增至包含標籤清單的標籤相關聯的資源是否含有惡意軟體,不會掃描新增至排除標籤清單的資源。如需詳細資訊,請參閱具有使用者定義標籤的掃描選項

快照保留

EC2 啟用 GuardDuty 的惡意軟體防護時,它提供將EBS磁碟區的快照保留在 AWS 帳戶中的選項。 EBS會根據磁碟區的快照 GuardDuty 產生複本EBS磁碟區。只有在 EC2掃描的惡意軟體防護偵測到複本EBS磁碟區中的惡意軟體時,您才能保留磁碟EBS區的快照。如果在複本EBS磁碟區中未偵測到惡意軟體, GuardDuty 會自動刪除磁碟EBS區的快照,無論快照保留設定為何。如需詳細資訊,請參閱快照保留

禁止規則

隱藏規則可讓您建立非常特定的屬性組合以隱藏問題清單。例如,您可以透過 GuardDuty 篩選條件定義規則,以僅Recon:EC2/Portscan從特定 中的執行個體自動封存VPC、執行特定 AMI或使用特定EC2標籤。此規則會造成符合條件的執行個體連接埠掃描問題清單被自動封存。不過,如果 GuardDuty 偵測到執行其他惡意活動的執行個體,例如加密貨幣挖掘,仍然允許提醒。

GuardDuty 管理員帳戶中定義的隱藏規則適用於 GuardDuty 成員帳戶。 GuardDuty 成員帳戶無法修改禁止規則。

透過抑制規則, GuardDuty 仍然會產生所有調查結果。隱藏規則可抑制問題清單,同時保持所有活動歷史記錄完整不變。

一般來說,隱藏規則是用來隱藏您判定為環境誤判的問題清單,並減少低價值問題清單的雜訊,讓您可以專注於較大的威脅。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

信任 IP 清單

可信任 IP 地址清單,可與您的 AWS 環境進行高度安全的通訊。 GuardDuty 不會根據可信任 IP 清單產生調查結果。如需詳細資訊,請參閱使用信任 IP 清單和威脅清單

威脅 IP 清單

已知惡意 IP 地址的清單。除了因為潛在可疑活動產生調查結果之外, GuardDuty 也會根據這些威脅清單產生調查結果。如需詳細資訊,請參閱使用信任 IP 清單和威脅清單