Amazon GuardDuty 中的概念和關鍵術語

焦點模式

Amazon GuardDuty 中的概念和關鍵術語 - Amazon GuardDuty

開始使用 Amazon GuardDuty 時，您可以從了解其概念和相關關鍵術語中受益。

帳戶

包含 AWS 資源的標準 Amazon Web Services (AWS) 帳戶。您可以使用 AWS 帳戶登入，並啟用 GuardDuty。

您也可以邀請其他帳戶啟用 GuardDuty，並與您在 GuardDuty 中的 AWS 帳戶建立關聯。如果您的邀請被接受，您的帳戶會指定為管理員帳戶 GuardDuty 帳戶，而新增的帳戶會成為您的成員帳戶。然後您便可代表他們檢視和管理這些帳戶的 GuardDuty 調查結果。

管理員帳戶使用者可以設定 GuardDuty，並可檢視並管理自己和所有成員帳戶的 GuardDuty 調查結果。如需管理員帳戶可管理的成員帳戶數量資訊，請參閱 GuardDuty 配額。

成員帳戶使用者可以設定 GuardDuty，並可透過 GuardDuty 管理主控台或 GuardDuty API 來檢視和管理成員帳戶的 GuardDuty 調查結果。成員帳戶使用者無法查看或管理其他成員帳戶中的問題清單。

AWS 帳戶不能同時是 GuardDuty 管理員帳戶和成員帳戶。只能 AWS 帳戶接受一個成員邀請。接受成員邀請為選擇性。

如需詳細資訊，請參閱Amazon GuardDuty 中的多個帳戶。

攻擊序列

攻擊序列是多個事件的相互關聯，如 GuardDuty 所觀察，這些事件以符合可疑活動模式的特定序列發生。GuardDuty 會使用其延伸威脅偵測功能來偵測您帳戶中跨越基礎資料來源、 AWS 資源和時間軸的這些多階段攻擊。

以下清單簡要說明與攻擊序列相關聯的關鍵術語：

指標 – 提供一系列事件為何與潛在可疑活動相符的資訊。
訊號 – 訊號是 GuardDuty 觀察到的 API 活動，或帳戶中已偵測到的 GuardDuty 調查結果。GuardDuty 會關聯您帳戶中特定序列中觀察到的事件，以識別攻擊序列。

您的帳戶中有事件無法表示潛在威脅。GuardDuty 會將它們視為弱訊號。不過，當在與潛在可疑活動建立關聯的特定序列中觀察到弱訊號和 GuardDuty 調查結果時，GuardDuty 會產生攻擊序列調查結果。
端點 – 威脅行為者可能用於攻擊序列的網路端點相關資訊。

偵測器

Amazon GuardDuty 是區域服務。當您在特定中啟用 GuardDuty 時 AWS 區域，您的 AWS 帳戶會與偵測器 ID 建立關聯。這個 32 個字元的英數 ID 對該區域中的帳戶是唯一的。例如，當您為不同區域中的相同帳戶啟用 GuardDuty 時，您的帳戶將與不同的偵測器 ID 建立關聯。detectorId 的格式為 12abc34d567e8fa901bc2d34e56789f0。

有關管理問題清單和 GuardDuty 服務的所有 GuardDuty 問題清單、帳戶和動作都會使用偵測器 ID 來執行 API 操作。

若要尋找detectorId您帳戶和目前區域的，請參閱 https://console.aws.amazon.com/guardduty/：//www.healthnet.com 中的設定頁面，或執行 ListDetectors API。

注意

在多個帳戶環境中，成員帳戶的所有調查結果都會匯總到管理員帳戶的偵測器。

部分 GuardDuty 功能是透過偵測器設定，例如設定 CloudWatch Events 通知頻率，以及啟用或停用 GuardDuty 處理的選用保護計畫。

在 GuardDuty 中使用 S3 的惡意軟體防護

當您在啟用 GuardDuty 的帳戶中啟用 S3 惡意軟體防護時，例如啟用、編輯和停用受保護資源的 S3 惡意軟體防護動作不會與偵測器 ID 相關聯。

當您未啟用 GuardDuty 並選擇威脅偵測選項惡意軟體防護 S3 時，不會為您的帳戶建立偵測器 ID。

基礎資料來源

一組資料的原始來源或位置。偵測您 AWS 環境中未經授權或非預期的活動。GuardDuty 會分析和處理來自 AWS CloudTrail 事件日誌、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的資料事件、VPC 流程日誌、DNS 日誌的資料，請參閱 GuardDuty 基礎資料來源。

功能

為 GuardDuty 保護計劃設定的功能物件有助於偵測 AWS 您環境中未經授權的或未預期活動。每個 GuardDuty 保護計畫都會設定對應的功能物件來分析和處理資料。部分功能物件包括 EKS 稽核日誌、RDS 登入活動監控、Lambda 網路活動日誌和 EBS 磁碟區。如需詳細資訊，請參閱GuardDuty API 中保護方案的功能名稱。

問題清單

GuardDuty 發現的潛在安全問題。如需詳細資訊，請參閱了解和產生 Amazon GuardDuty 調查結果。

調查結果會顯示在 GuardDuty 主控台中，並包含該安全問題的詳細描述。您也可以透過呼叫 GetFindings 和 ListFindings API 操作來擷取產生的調查結果。

您也可以透過 Amazon CloudWatch Events 查看您的 GuardDuty 調查結果。GuardDuty 會透過 HTTPS 通訊協定將問題清單傳送至 Amazon CloudWatch。如需詳細資訊，請參閱使用 Amazon EventBridge 處理 GuardDuty 問題清單。

IAM 角色

這是具有掃描 S3 物件所需許可的 IAM 角色。啟用標記掃描的物件時，IAM PassRole 許可可協助 GuardDuty 將標籤新增至掃描的物件。

惡意軟體防護計劃資源

為儲存貯體啟用 S3 的惡意軟體防護後，GuardDuty 會建立 EC2 計劃的惡意軟體防護資源。此資源與惡意軟體防護 EC2 計劃 ID 相關聯，這是受保護儲存貯體的唯一識別符。使用惡意軟體防護計劃資源，對受保護的資源執行 API 操作。

受保護的儲存貯體（受保護的資源）

當您為此儲存貯體啟用惡意軟體防護 S3，且其保護狀態變更為作用中時，Amazon S3 S3 儲存貯體會被視為受保護。

GuardDuty 僅支援 S3 儲存貯體做為受保護的資源。

保護狀態

與惡意軟體防護計劃資源相關聯的狀態。在您為儲存貯體啟用 S3 的惡意軟體防護後，此狀態表示您的儲存貯體是否已正確設定。

S3 物件字首

在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中，您可以使用字首來組織儲存。字首是 S3 儲存貯體中物件的邏輯分組。如需詳細資訊，請參閱《Amazon S3 使用者指南》中的組織和列出物件。

掃描選項

啟用 EC2 的 GuardDuty 惡意軟體防護時，可讓您指定要掃描或略過的 Amazon EC2 執行個體和 Amazon Elastic Block Store (EBS) 磁碟區。此功能可讓您將與 EC2 執行個體和 EBS 磁碟區相關聯的現有標籤新增至包含標籤清單或排除標籤清單。系統會掃描與您新增至包含標籤清單的標籤相關聯的資源是否含有惡意軟體，不會掃描新增至排除標籤清單的資源。如需詳細資訊，請參閱具有使用者定義標籤的掃描選項。

快照保留

啟用 EC2 的 GuardDuty 惡意軟體防護時，它提供一個選項，可讓您在 AWS 帳戶中保留 EBS 磁碟區的快照。GuardDuty 會根據 EBS 磁碟區的快照產生複本 EBS 磁碟區。只有當 EC2 的惡意軟體防護掃描在複本 EBS 磁碟區中偵測到惡意軟體時，您才能保留 EBS 磁碟區的快照。如果在複本 EBS 磁碟區中未偵測到惡意軟體，GuardDuty 會自動刪除 EBS 磁碟區的快照，不論快照保留設定為何。如需詳細資訊，請參閱快照保留。

隱藏規則

隱藏規則可讓您建立非常特定的屬性組合以隱藏問題清單。例如，您可以透過 GuardDuty 篩選條件定義規則，以便僅從那些在特定 VPC 中、執行特定 AMI 或具備特定 EC2 標籤的執行個體自動封存 Recon:EC2/Portscan。此規則會造成符合條件的執行個體連接埠掃描問題清單被自動封存。不過，如果 GuardDuty 偵測到那些執行個體正在執行其他惡意活動 (例如加密貨幣採礦)，則仍會允許發出提醒。

GuardDuty 管理員帳戶中定義的隱藏規則適用於 GuardDuty 成員帳戶。GuardDuty 成員帳戶無法修改隱藏規則。

使用隱藏規則時，GuardDuty 仍會產生所有調查結果。隱藏規則可抑制問題清單，同時保持所有活動歷史記錄完整不變。

一般來說，隱藏規則是用來隱藏您判定為環境誤判的問題清單，並減少低價值問題清單的雜訊，讓您可以專注於較大的威脅。如需詳細資訊，請參閱GuardDuty 中的隱藏規則。

信任 IP 清單