開始使用 GuardDuty

本教學課程提供的實際操作簡介 GuardDuty。以獨立帳戶或 GuardDuty 管理員身分啟用 GuardDuty 的最低需求，請參閱步驟 1。 AWS Organizations 步驟 2 到 5 涵蓋了使用建議的其他功能， GuardDuty 以充分利用您的發現。

開始之前

GuardDuty 是一基礎資料來源種威脅偵測服務，用於監控 AWS CloudTrail 事件日誌、 AWS CloudTrail 管理事件、Amazon VPC 流程日誌和 DNS 日誌。 GuardDuty 只有在個別啟用時，才會分析與其保護類型相關聯的功能。這些功能包括 Kubernetes 稽核日誌、RDS 登入活動、S3 日誌、EBS 磁碟區、執行期監控和 Lambda 網路活動日誌。使用這些資料來源和功能 (如果已啟用)，為您的帳戶 GuardDuty 產生安全性發現項目。

啟用之後 GuardDuty，它會開始監視您的環境。您可以隨 GuardDuty 時停用任何地區的任何帳號。這將停 GuardDuty 止處理基礎資料來源和任何個別啟用的功能。

您不需要明確啟用任何基礎資料來源。Amazon 直接從這些服務中 GuardDuty 提取獨立的資料串流。對於新 GuardDuty 帳戶，預設會啟用中支援的所有可用 AWS 區域 保護類型，並包含在 30 天免費試用期內。您可以選擇不啟用任何或所有保護類型。如果您是現有 GuardDuty 客戶，則可以選擇啟用您的任何或所有可用的保護計劃 AWS 區域。如需詳細資訊，請參閱中與每個保護類型相關聯的功能 GuardDuty。

啟用時 GuardDuty，請考慮下列項目：

• GuardDuty 是區域服務，表示您在此頁面上遵循的任何組態程序都必須在您要監視的每個區域中重複執行 GuardDuty。

  我們強烈建議您 GuardDuty 在所有支援的 AWS 區域中啟用。這可讓 GuardDuty 您產生關於未經授權或不尋常活動的發現，即使在您未主動使用的區域中也是如此。這也可 GuardDuty 以監控全球 AWS 服務 (例如 IAM) 的 AWS CloudTrail 事件。如果 GuardDuty 未在所有支援的區域中啟用，則會降低偵測涉及全域服務的活動的能力。如需可用區域的完整清 GuardDuty 單，請參閱區域與端點。

• 任何在 AWS 帳戶中具有管理員權限的使用者都可以啟用 GuardDuty，但是，遵循最低權限的安全性最佳實務，建議您建立 IAM 角色、使用者或群組來 GuardDuty 專門管理。如需啟用所需權限的詳細資訊， GuardDuty 請參閱啟用 GuardDuty 的必要許可。

• 當您第一 GuardDuty 次在任何時間啟用時 AWS 區域，依預設，它也會啟用該區域支援的所有可用防護類型，包括惡意程式碼防護。 GuardDuty 為您的帳戶建立服務連結角色。AWSServiceRoleForAmazonGuardDuty此角色包括權限和信任原則，可讓 GuardDuty 您直接從中使用和分析事件，基礎資料來源以產生安全性發現項目。惡意軟體防護會為您的帳戶建立另一個名為 AWSServiceRoleForAmazonGuardDutyMalwareProtection 的服務連結角色。此角色包括允許惡意程式碼防護執行無代理程式掃描以偵測帳戶中的惡意程式碼的 GuardDuty 權限和信任策略。它 GuardDuty 允許在您的帳戶中創建 EBS 磁碟區快照，並與 GuardDuty 服務帳戶共享該快照。如需詳細資訊，請參閱 服務連結角色權限 GuardDuty。如需有關服務連結角色的詳細資訊，請參閱使用服務連結角色。

• 當您在任何地區首次啟用 GuardDuty 時，您的 AWS 帳戶將自動註冊該區域的 30 天 GuardDuty 免費試用。

第 1 步：啟用 Amazon GuardDuty

使用的第一步 GuardDuty 是在您的帳戶中啟用它。啟用後， GuardDuty將立即開始監控當前區域中的安全威脅。

如果您想要以管理員 GuardDuty 身分管理組織內其他帳戶的 GuardDuty 發現項目，您必須新增成員帳戶並 GuardDuty 為其啟用。選擇一個選項以了解如何 GuardDuty 為您的環境啟用。

Standalone account environment

1. 請在以下位置開啟 GuardDuty 主控台 https://console.aws.amazon.com/guardduty/

2. 選擇開始使用。

3. 選擇「啟用」 GuardDuty。

Multi-account environment

重要

作為此程序的先決條件，您必須與您要管理的所有帳戶位於同一個組織中，並具有 AWS Organizations 管理帳戶的存取權，才能在組織 GuardDuty 內委派管理員。委派管理員時可能需要其他許可，如需詳細資訊，請參閱指定委派 GuardDuty 管理員帳戶所需的權限。

若要指定委派的 GuardDuty 管理員帳戶

1. 使用管理帳戶開啟 AWS Organizations 主控台，網址為 https://console.aws.amazon.com/organizations/。

2. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

   您的帳戶 GuardDuty 已啟用？

   • 如果尚 GuardDuty 未啟用，您可以選取 [開始使用]，然後在 [歡迎使用] GuardDuty 頁面上指定 GuardDuty 委派的管理員。

   • 如果啟 GuardDuty 用，您可以在「設定」 頁面上指定 GuardDuty 委派管理員。

3. 輸入您要指定為組織 GuardDuty 委派管理員之帳戶的十二位數 AWS 帳號 ID，然後選擇 [委派]。

   注意

   如果尚 GuardDuty 未啟用，則指定委派管理員將 GuardDuty 為您目前區域中的該帳戶啟用。

新增成員帳戶

此程序涵蓋透過將成員帳戶新增至 GuardDuty 委派管理員帳戶 AWS Organizations。此外，也有透過邀請新增成員的選項。若要進一步瞭解關聯成員的兩種方法 GuardDuty，請參閱在 Amazon 管理多個帳戶 GuardDuty。

1. 登入委派管理員帳戶

2. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

3. 在導覽窗格中，選擇設定，然後選擇帳戶。

   帳戶資料表會顯示組織中的所有帳戶。

4. 選取帳戶 ID 旁邊的方塊，以選擇您要新增為成員的帳戶。然後從動作選單中選取新增成員。

   提示

   您可以開啟自動啟用功能，自動將新帳戶新增為成員；不過，這僅適用於在啟用該功能之後加入組織的帳戶。

步驟 2：產生範例調查結果並探索基本操作

當 GuardDuty 發現安全問題時，它會產生一個發現。發 GuardDuty 現項目是包含與該唯一安全性問題相關詳細資料的資料集。調查結果的詳細資訊可用來協助您調查問題。

GuardDuty 支援使用預留位置值產生範例發現項目，這些預留位置值可用來測試 GuardDuty 功能並熟悉發現項目，然後再需要回應由發現的真實安全性問題。 GuardDuty請遵循下列指南，針對中可用的每個發現項目類型產生搜尋結果範例 GuardDuty，以取得產生搜尋結果範例的其他方式，包括在您的帳戶中產生模擬安全性事件，請參閱範例問題清單。

建立和探索範例調查結果

1. 在導覽窗格中，選擇設定。

2. 在設定頁面的調查結果範例下，選擇產生調查結果範例。

3. 在瀏覽窗格中，選擇 [摘要] 以檢視 AWS 環境中產生之發現項目的相關見解。如需有關「摘要」儀表板中元件的詳細資訊，請參閱「摘要」儀表板。

4. 在導覽窗格中，選擇調查結果。此調查結果範例會顯示在目前調查結果頁面上，並有字首 [SAMPLE]。

5. 從清單中選取一個調查結果，以顯示該調查結果的詳細資訊。

   1. 您可以檢閱調查結果詳細資訊窗格中的不同資訊欄位。不同類型的調查結果可以有不同的欄位。如需有關所有調查結果類型中可用欄位的詳細資訊，請參閱調查結果詳細資訊。您可以從詳細資訊窗格執行下列動作：

      • 選取窗格頂端的調查結果 ID，以開啟調查結果的完整 JSON 詳細資訊。您也可以從此面板下載完整的 JSON 檔案。JSON 包含一些未納入主控台檢視中的其他資訊，也是其他工具和服務可擷取的格式。

      • 檢視受影響的資源區段。根據真正的發現，此處的資訊將協助您識別帳戶中應進行調查的資源，並包含 AWS Management Console 適當資源的連結。

      • 選取 + 或 - 鏡子圖示，為該詳細資訊建立包含或排除篩選條件。如需有關調查結果篩選條件的詳細資訊，請參閱篩選問題清單。

6. 封存您的所有範例調查結果

   1. 選取清單頂端的核取方塊，以選取所有調查結果。

   2. 取消選取要保留的任何調查結果。

   3. 選取動作選單，然後選取封存以隱藏範例調查結果。

      注意

      若要檢視已封存的調查結果，請依次選取目前與已封存，以切換調查結果檢視。

步驟 3：設定將 GuardDuty 發現結果匯出至 Amazon S3 儲存貯體

GuardDuty 建議您設定設定以匯出發現項目，因為它可讓您將發現項目匯出到 S3 儲存貯體，以便在 GuardDuty 90 天保留期之後進行無限期儲存。這可讓您保留發現項目的記錄，或追蹤 AWS 環境中一段時間內的問題。此處概述的程序會逐步引導您設定新的 S3 儲存貯體，並建立新的 KMS 金鑰，以便從主控台內加密調查結果。如需相關詳細資訊，包括如何使用自己現有的儲存貯體或其他帳戶中的儲存貯體，請參閱匯出調查結果。

設定 S3 匯出調查結果選項

1. 若要加密發現項目，您需要具有允許 GuardDuty 使用該金鑰進行加密的原則的 KMS 金鑰。下列步驟將協助您建立新的 KMS 金鑰。如果您使用其他帳戶的 KMS 金鑰，則需要登入擁有 AWS 帳戶 該金鑰的金鑰來套用金鑰原則。KMS 金鑰和 S3 儲存貯體必須位於同一區域。不過，您可以針對要匯出調查結果的每個區域，使用此相同的儲存貯體和金鑰對。

   1. 請在以下位置開啟 AWS KMS 主控台。 https://console.aws.amazon.com/kms

   2. 若要變更 AWS 區域，請使用頁面右上角的「地區」選取器。

   3. 在導覽窗格中，選擇 Customer managed keys (客戶受管金鑰)。

   4. 選擇建立金鑰。

   5. 在金鑰類型下選擇對稱，然後選擇下一步。

      注意

      如需有關建立 KMS 金鑰的詳細步驟，請參閱《AWS Key Management Service 開發人員指南》中的 Creating keys。

   6. 提供金鑰的別名，然後選擇下一步。

   7. 選擇下一步，然後再次選擇下一步以接受預設的管理和使用許可。

   8. 檢閱組態後，選擇完成來建立金鑰。

   9. 在客戶自管金鑰頁面上，選擇您的金鑰別名。

   10. 在金鑰政策索引標籤中，選擇切換為政策檢視。

   11. 選擇 [編輯]，然後將下列金鑰原則新增至您的 KMS 金鑰，以授與金鑰的 GuardDuty 存取權。此陳述式只 GuardDuty 允許使用您新增此原則的索引鍵。編輯金鑰政策時，請確定 JSON 語法有效。如果您在最終陳述式之前新增陳述式，則必須在右括號後加上逗號。

       {    
           "Sid": "AllowGuardDutyKey",
           "Effect": "Allow",
           "Principal": {
               "Service": "guardduty.amazonaws.com"
           },
           "Action": "kms:GenerateDataKey",
           "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
           "Condition": {
               "StringEquals": {
                   "aws:SourceAccount": "111122223333",
                   "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
               }
           }
       }

       使用您的 KMS 金鑰的區域取代 Region1。將 444455556666 取代為擁有 KMS 金鑰的 AWS 帳戶 。將 KMS 取代為您選擇KeyId用於加密的 KMS 金鑰的金鑰識別碼。若要識別所有這些值 (區域和金鑰識別碼)，請檢視 KMS 金鑰的 ARN。 AWS 帳戶若要找出金鑰 ARN，請參閱 Finding the key ID and ARN。

       同樣地，請使用該帳戶取代 111122223333。 AWS 帳戶 GuardDuty 將「區域 2」取代為帳戶的「區域」 GuardDuty 。將 SourceDetectorID 取代為區域 2 GuardDuty 帳戶的偵測器 ID。

       要查找您detectorId的帳戶和當前區域的，請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的 「設置」 頁面。

   12. 選擇儲存。

2. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

3. 在導覽窗格中，選擇設定。

4. 在調查結果匯出選項下，選擇立即設定。

5. 選擇新儲存貯體。提供 S3 儲存貯體的唯一名稱。

6. (選用) 您可以透過產生範例調查結果來測試新的匯出設定。在導覽窗格中，選擇設定。

7. 在範例調查結果下，選擇產生範例調查結果。新的範例發現項目會在最多五分鐘內顯示為 S3 儲存貯體 GuardDuty 中建立的項目。

步驟 4：設定透過 SNS GuardDuty 尋找警示

GuardDuty 與 Amazon 整合 EventBridge，可用於將發現結果資料傳送到其他應用程式和服務以進行處理。透過將尋找事件連接到 AWS Lambda 功能、Amazon EC2 系統管理員自動化、Amazon Simple Notification Service (SNS) 等目標，您可以使 GuardDuty 用發現結果啟動自動回應。 EventBridge

在此範例中，您將建立 SNS 主題作為 EventBridge 規則的目標，然後使用 EventBridge 建立從中擷取發現項目資料的規則 GuardDuty。產生的規則會將調查結果詳細資訊轉寄至某個電子郵件地址。若要了解如何將調查結果傳送至 Slack 或 Amazon Chime，以及如何修改傳送的調查結果提醒類型，請參閱設定 Amazon SNS 主題和端點。

建立調查結果提醒的 SNS 主題

1. 在 https://console.aws.amazon.com/sns/v3/home 開啟 Amazon SNS 主控台。

2. 在導覽窗格中，選擇主題。

3. 選擇建立主題。

4. 針對類型，選取標準。

5. 對於名稱，輸入 GuardDuty。

6. 選擇建立主題。新主題的主題詳細資訊隨即開啟。

7. 在訂閱區段中，選擇建立訂閱。

8. 對於通訊協定，選擇電子郵件。

9. 對於端點，輸入將通知傳送到的收件電子郵件地址。

10. 選擇建立訂閱。

    建立訂閱後，您必須透過電子郵件確認訂閱。

11. 若要檢查訂閱訊息，請前往您的電子郵件收件匣，然後在訂閱訊息中選擇確認訂閱。

    注意

    若要檢查電子郵件確認狀態，請前往 SNS 主控台並選擇訂閱。

若要建立 EventBridge 規則以擷取 GuardDuty 發現項目並設定其格式

1. 請在以下位置開啟 EventBridge 主控台。 https://console.aws.amazon.com/events/

2. 在導覽窗格中，選擇規則。

3. 選擇建立規則。

4. 輸入規則的名稱和描述。

   在同一個區域和同一個事件匯流排上，規則不能與另一個規則同名。

5. 針對事件匯流排選擇預設值。

6. 針對規則類型選擇具有事件模式的規則。

7. 選擇下一步。

8. 在事件來源，選擇 AWS 事件。

9. 針對事件模式，選擇事件模式表單。

10. 在事件來源欄位中，選擇 AWS 服務。

11. 在AWS 服務中選擇 GuardDuty。

12. 對於「事件型態」，請選擇「GuardDuty搜尋

13. 選擇下一步。

14. 在目標類型欄位中，選擇 AWS 服務。

15. 針對選取目標，選擇 SNS 主題，然後針對主題，選擇您先前建立之 SNS 主題的名稱。

16. 在其他設定區段中，針對設定目標輸入，選擇輸入轉換器。

    新增輸入轉換器會 GuardDuty 將從傳送的 JSON 尋找資料格式化為人類可讀的訊息。

17. 選擇設定輸入轉換器。

18. 在目標輸入轉換器區段中，針對輸入路徑，貼上下列程式碼：

    
    {
      "severity": "$.detail.severity",
      "Finding_ID": "$.detail.id",
      "Finding_Type": "$.detail.type",
      "region": "$.region",
      "Finding_description": "$.detail.description"
    }
                                

19. 若要格式化電子郵件，對於範本，貼上下列程式碼，並確定以紅色取代為適合您地區的值的文字：

    
    "You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
    "Finding Description:"
    "Finding_Description."
    "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"
    

20. 選擇確認。

21. 選擇下一步。

22. (選用) 為規則輸入一或多個標籤。如需詳細資訊，請參閱 Amazon EventBridge 使用者指南中的 Amazon EventBridge 標籤。

23. 選擇下一步。

24. 檢閱規則的詳細資訊，然後選擇建立規則。

25. (選用) 使用步驟 2 中的程序產生範例調查結果，以測試新規則。您將收到每個產生的範例調查結果的電子郵件。

後續步驟

當您繼續使用時 GuardDuty，您將瞭解與您的環境相關的發現項目類型。每當收到新調查結果時，您都可以從調查結果詳細資訊窗格中的調查結果說明中，選取進一步了解，或在 調查結果類型 中搜尋調查結果名稱，以尋找資訊，包括有關該調查結果的修復建議。

下列功能可協助您進行調整，以 GuardDuty 便為您的 AWS 環境提供最相關的發現項目：

• 若要根據特定條件 (例如執行個體 ID、帳戶 ID、S3 儲存貯體名稱等) 輕鬆排序發現項目，您可以在中建立並儲存篩選器 GuardDuty。如需詳細資訊，請參閱 篩選問題清單。

• 如果您收到環境中預期行為的調查結果，您可以根據使用隱藏規則定義的條件，自動將調查結果封存。

• 若要防止從受信任 IP 子集產生發現項目，或是讓 GuardDuty 監控 IP 超出正常監控範圍，您可以設定受信任 IP 和威脅清單。