基礎資料來源 - Amazon GuardDuty
AWS CloudTrail 事件記錄AWS CloudTrail 管理事件VPC 流量日誌DNS 日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基礎資料來源

GuardDuty 使用基礎資料來源偵測與已知惡意網域和 IP 位址的通訊,並識別異常行為。從這些來源傳輸到時 GuardDuty,所有記錄資料都會加密。 GuardDuty從這些記錄來源擷取各種欄位以進行分析和異常偵測,然後捨棄這些記錄檔。

以下各節說明如何 GuardDuty 使用每個受支援的資料來源。當您 GuardDuty 在中啟用時 AWS 帳戶, GuardDuty 會自動開始監視這些記錄來源。

AWS CloudTrail 事件記錄

AWS CloudTrail 為您的帳戶提供 AWS API 呼叫的歷史記錄,包括使用、 AWS SDK AWS Management Console、命令列工具和特定 AWS 服務進行的 API 呼叫。 CloudTrail 也可協助您識別哪些使用者和帳戶針對支援的服務叫用 AWS API CloudTrail、呼叫呼叫的來源 IP 位址,以及呼叫呼叫的時間。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的 What is AWS CloudTrail

GuardDuty 也會監控 CloudTrail 管理事件。當您啟用時 GuardDuty,它會開始直接 CloudTrail 透過獨立且重複的事件串流使用 CloudTrail 管理事件,並分析您的 CloudTrail 事件記錄。存取中記錄的事件時不會收 GuardDuty 取額外費用 CloudTrail。

GuardDuty 不會管理您的 CloudTrail 事件,也不會影響您現有的 CloudTrail 組態。同樣地,您的 CloudTrail 配置不會影響 GuardDuty 消耗和處理事件日誌的方式。若要管理 CloudTrail 事件的存取和保留,請使用 CloudTrail 服務主控台或 API。如需詳細資訊,請參閱AWS CloudTrail 使用指南中的檢視具有 CloudTrail 事件歷程記錄的事件

如何 GuardDuty 處理 AWS CloudTrail 全球事件

對於大多數 AWS 服務而言, CloudTrail 事件會記錄 AWS 區域 在建立事件的位置。對於全球服務,例如 AWS Identity and Access Management (IAM)、 AWS Security Token Service (AWS STS)、Amazon 簡單儲存服務 (Amazon S3) CloudFront、Amazon 和亞馬遜路線 53 (Route 53),事件只會在發生這些事件的區域產生,但它們具有全球意義。

當使用具有安 CloudTrail 全性值的全域服務事件 (例如網路組態或使用者權限) 時,它 GuardDuty 會複寫這些事件,並在您已啟用 GuardDuty的每個區域中處理這些事件。此行為有助於 GuardDuty 維護每個區域中的使用者和角色設定檔,這對於偵測異常事件至關重要。

我們強烈建議您啟 GuardDuty 用所 AWS 區域 有已為您啟用的 AWS 帳戶. 這有助於 GuardDuty 產生有關未經授權或不尋常活動的發現,即使在您可能未主動使用的區域中也是如此。

AWS CloudTrail 管理事件

管理事件也稱為控制平面事件。這些事件可針對您 AWS 帳戶中的資源執行的管理作業提供深入分析。

以下是 GuardDuty監視的 CloudTrail 管理事件範例:

  • 設定安全性 (IAM AttachRolePolicyAPI 操作)

  • 設定路由資料規則 (Amazon EC2 CreateSubnet API 操作)

  • 設定記錄 (AWS CloudTrail CreateTrailAPI 作業)

VPC 流量日誌

Amazon VPC 的 VPC 流量日誌功能可擷取環境內連接至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的網路界面進出 IP 流量的相關資 AWS 訊。

啟用後 GuardDuty,它會立即開始分析帳戶內 Amazon EC2 執行個體的 VPC 流程日誌。它會透獨立且重複的流量日誌串流直接從 VPC 流量日誌功能取用 VPC 流量日誌事件。此程序不會影響任何現有的流量日誌組態。

GuardDuty Lambda 護

Lambda 保護是 Amazon 的可選增強功能 GuardDuty。目前,Lambda 網路活動監控包括來自您帳戶所有 Lambda 函數的 Amazon VPC 流量日誌,甚至包含不使用 VPC 網路的日誌。為了保護 Lambda 函數免受潛在的安全威脅,您需要在 GuardDuty 帳戶中設定 Lambda 保護。如需詳細資訊,請參閱 GuardDuty Lambda 護

GuardDuty 運行時監控

當您在 EKS 執行個體或 EC2 執行個體的執行階段監控中管理安全代理程式 (無論GuardDuty 是手動或透過 GuardDuty),且目前部署在 Amazon EC2 執行個體並收集的執行期事件類型從此執行個體接收,則不 GuardDuty 會 AWS 帳戶 針對此 Amazon EC2 執行個體的 VPC 流程日誌分析收費。這有助於 GuardDuty 避免帳戶中的雙重使用成本。

GuardDuty 不會管理您的流量記錄,也無法在您的帳戶中存取它們。若要管理流量日誌的存取和保留,您必須設定 VPC 流量日誌功能。

DNS 日誌

如果您對 Amazon EC2 執行個體使用 AWS DNS 解析器 (預設設定),則 GuardDuty 可以透過內部 DNS 解析器存取和處理您的請求和回應 AWS DNS 日誌。如果您使用其他 DNS 解析器(例如 OpenDNS 或 GoogleDNS),或者如果您設置了自己的 DNS 解析器,則 GuardDuty 無法訪問和處理來自此數據源的數據。

當您啟用時 GuardDuty,它會立即開始從獨立的資料串流分析您的 DNS 記錄。此資料串流與透過 Route 53 解析器查詢日誌記錄功能提供的資料分開。此特徵的組態不會影響 GuardDuty分析。

注意

GuardDuty 不支援監控啟動之 Amazon EC2 執行個體的 DNS 日誌, AWS Outposts 因為 Amazon Route 53 Resolver 查詢記錄功能在該環境中無法使用。