了解 Amazon GuardDuty 發現 - Amazon GuardDuty
GuardDuty 發現項目的嚴重程度GuardDuty 尋找彙總尋找和分析 GuardDuty發現項目

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 Amazon GuardDuty 發現

發 GuardDuty 現項目代表在您的網路中偵測到的潛在安全性問題。 GuardDuty每當偵測到您 AWS 環境中的未預期和潛在惡意活動時,就會產生發現結果。

您可以在 GuardDuty 主控台的 [ GuardDuty 發現項目] 頁面上檢視及管理現項目,或使用 AWS CLI 或 API 作業。如需可用於管理調查結果的方法概觀,請參閱管理 Amazon GuardDuty 發現

主題:

調查結果詳細資訊

瞭解 GuardDuty 發現項目中可用的資料類型。

範例問題清單

瞭解如何產生範例發現項目以進行測試或進一步瞭解 GuardDuty。

GuardDuty 調查結果格式

瞭解 GuardDuty 尋找類型的格式,以及追蹤的不同威脅目的 GuardDuty。

調查結果類型

依類型檢視和搜尋所有可用的搜 GuardDuty 尋結果。每個調查結果類型項目都包含該調查結果的說明,以及修復的秘訣和建議。

GuardDuty 發現項目的嚴重程度

每個 GuardDuty 發現項目都有指定的嚴重性等級和價值,這些值會反映發現項目可能對您的網路造成的潛在風險,由我們的安全工程師決定。嚴重性值可能落在 1.0 到 8.9 範圍內的任何位置,值越高,表示安全風險越大。為了協助您判斷發現項目所反白的潛在安全性問題的回應,請將此範圍劃 GuardDuty 分為「高」、「中」和「低」嚴重性層級。

注意

值 0 和介於 9.0 到 10.0 目前預留供日後使用。

以下是 GuardDuty發現項目目前定義的嚴重性層級和值,以及各項的一般建議:

嚴重性等級 值範圍

7.0-8.9

「高」嚴重性等級表示有問題的資源 (EC2 執行個體或一組 IAM 使用者登入憑證) 遭到入侵,且目前正用於未經授權的用途。

建議您將任何「高」嚴重性的調查結果安全問題視為優先處理,並立即採取修復步驟,以防止進一步未經授權使用您的資源。例如,清除您的 EC2 執行個體或將其終止,或輪換 IAM 憑證。如需詳細資訊,請參閱修復步驟

中性

4.0

「中」嚴重性等級表示與正常觀察到的行為不同的可疑活動,視您的使用案例而定,可能表示資源遭受入侵。

我們建議您儘早調查相關資源。修復步驟會因資源和「調查結果」系列而有所不同,但一般來說,您應該要確認活動已獲授權,且符合您的使用案例。如果您無法確定原因或無法確認活動是否已獲授權,則應該將資源視為已遭到入侵,並遵循修復步驟來保護資源的安全。

以下是審查「中」嚴重性等級調查結果的一些注意事項:

  • 檢查授權使用者是否安裝了變更資源行為的新軟體 (例如,允許高於正常流量,或啟用了新連接埠上的通訊)。

  • 檢查授權使用者是否已變更控制面板設定,例如,修改安全群組設定。

  • 在相關資源上執行防毒掃描,以偵測未經授權的軟體。

  • 驗證連接至相關 IAM 角色、使用者、群組或憑證組的許可。這些可能需要變更或輪換。

1.0 - 3.9

「低」嚴重性等級表示嘗試進行的可疑活動未危及您的網路,例如連接埠掃描或入侵嘗試失敗。

沒有立即建議採取的動作,但這項資訊值得注意,因為這可能表示有人正在尋找您網路中的弱點。

GuardDuty 尋找彙總

所有發現項目都是動態的,這意味著,如果 GuardDuty 偵測到與相同安全性問題相關的新活動,它將以新資訊更新原始發現項目,而不是產生新的發現項目。此行為可讓您確定持續發生的問題,而不需要查看多份類似的報告,並減少您已注意到的安全問題所帶來的整體雜訊。

例如,對於 UnauthorizedAccess:EC2/SSHBruteForce 調查結果,對您的執行個體的多次存取嘗試將彙總到同一個調查結果 ID,這會增加調查結果詳細資訊中的計數。這是因為調查結果代表執行個體的單一安全問題,表示執行個體上的 SSH 連接埠未針對此類活動進行適當地保護。不過,如果 GuardDuty偵測到針對您環境中新執行個體的 SSH 存取活動,則會建立具有唯一尋找 ID 的新發現項目,以提醒您新資源存在安全性問題的事實。

彙總調查結果時,系統會使用該活動最近一次出現的資訊來進行更新。這表示在上述範例中,如果您的執行個體是新執行者嘗試執行暴力密碼破解的目標,將會更新調查結果詳細資訊,以反映最新來源的遠端 IP,而且將取代舊的資訊。有關個別活動嘗試的完整資訊仍會顯示在您的 CloudTrail或 VPC 流程記錄中。

警 GuardDuty 示產生新搜尋結果而非彙總現有發現項目的條件,取決於搜尋結果型態。每種調查結果類型的彙總條件由我們的安全工程師決定,為您提供帳戶內不同安全問題的最佳概觀。

尋找和分析 GuardDuty發現項目

使用下列程序來檢視和分析您的 GuardDuty 發現項目。

  1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

  2. 選擇調查結果,然後選取特定的調查結果以檢視其詳細資訊。

    根據調查結果類型、涉及的資源以及活動性質,每個調查結果的詳細資訊都會有所不同。如需可用調查結果欄位的詳細資訊,請參閱 調查結果詳細資訊

  3. (選用) 若要封存或下載調查結果,請從您的調查結果清單中選取對應調查結果,然後選擇動作選單。然後選擇 封存

    目前下拉式清單中選擇已封存,即可檢視已封存的調查結果。

    目前在 GuardDuty 成員帳戶中的 GuardDuty 使用者無法封存發現項目。

    重要

    如果您使用了上述程序手動封存了調查結果,則所有後續出現的此調查結果 (在封存完成後產生的) 將新增到目前的調查結果清單中。若之後不想在目前清單中再看到此調查結果,您可以將其設為自動封存。如需詳細資訊,請參閱 隱藏規則

  4. (選用) 若要下載調查結果,請從清單中選取調查結果,然後選擇動作功能表。然後選擇 匯出。當您匯出 調查結果時,您可以查看其完整的 JSON 文件。

    注意

    在某些情況下 GuardDuty ,意識到某些發現是誤報後,他們已經產生。 GuardDuty 在發現項目的 JSON 中提供 [信賴度] 欄位,並將其值設定為零。這種方式可以 GuardDuty 讓您知道您可以安全地忽略此類發現。