Amazon GuardDuty 功能

GuardDuty 为您提供准确的账户盗用威胁检测，如果您没有以近乎实时的方式持续监控相关因素，可能难以快速发现这种情况。GuardDuty 可检测出账户盗用的迹象，例如在一天之中的非典型时间从异常地理位置访问 AWS 资源。对于编程 AWS 账户，GuardDuty 能够检查异常 API 调用，例如试图通过禁用 CloudTrail 日志记录或从恶意 IP 地址创建数据库快照掩盖账户活动。

GuardDuty 可持续监控和分析您的 AWS 账户以及 CloudTrail、VPC 流日志和 DNS 日志中的工作负载事件数据。在 GuardDuty 中，无需部署和维护额外的安全软件或基础设施即可实现基本保护。通过将您的所有 AWS 账户关联在一起，您可以汇总威胁检测，而不是针对每个账户逐一操作。此外，您无需从多个账户收集、分析和关联大量 AWS 数据。可以重点关注如何快速响应、如何保护组织安全，并继续在 AWS 中扩展和创新。

GuardDuty 可帮助您访问专门针对云服务开发和优化的内置检测技术。AWS 安全持续维护和改进这些检测算法。主要检测类别包括：

• 侦察：表明攻击者在进行侦察的活动，例如 API 活动异常、可疑的数据库登录尝试、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
• 实例盗用：表明存在实例盗用的活动，例如加密货币挖矿、后门命令和控制（C&C）活动、Amazon EC2 的运行时活动、使用域名生成算法（DGA）的恶意软件、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
• 账户盗用：表明存在账户盗用的常见形式包括：来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施、凭证盗用、可疑的数据库登录活动以及来自已知恶意 IP 地址的 API 调用。
• 存储桶入侵：表明存在存储桶入侵的活动，例如表明凭证滥用的可疑数据访问模式、来自远程主机的异常 Amazon S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问，以及用户为在 S3 存储桶中检索数据而进行的 API 调用，该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件（例如 GetObject、ListObjects、DeleteObject），以检测您所有 Amazon S3 存储桶中的可疑活动。
• 恶意软件检测：当发现表明 EC2 实例或容器工作负载中存在恶意软件的可疑行为时，GuardDuty 就开始恶意软件扫描。GuardDuty 生成挂载到 EC2 实例或容器工作负载等的 Amazon EBS 卷的临时副本，并扫描这些卷副本是否存在木马、蠕虫、加密矿工、rootkit、自动程序和更多威胁，它们可能会被用于盗用工作负载、将资源重新用于恶意用途，以及获得对数据的未经授权访问。GuardDuty 恶意软件防护生成情景化的检测结果，可用于验证可疑行为的来源。这些检测结果可以传送给适当的管理员，并发起自动修复。
• 容器盗用：通过分析其 EKS 审计日志和 Amazon EKS 或 Amazon ECS 中的容器运行时活动，对 Amazon EKS 集群进行持续监控和分析，从而检测出容器工作负载中可能存在的恶意或可疑行为。

以下是 GuardDuty 调查发现类型的完整列表。

GuardDuty 提供三种严重性级别（低、中和高），以帮助客户确定他们对潜在威胁的响应顺序。“低”严重性级别表示已在损坏您的资源之前被阻止的可疑或恶意活动。“中”严重性级别表示存在可疑活动。例如大量流量返回到隐藏在 Tor 网络后的远程主机，或者活动偏离了通常观察到的行为。“高” 严重性级别表示涉及的资源（例如，EC2 实例或一组 IAM 用户凭证）已损坏，并正被用于未经授权的用途。

GuardDuty 提供 HTTPS API 和命令行界面（CLI）工具，并与 Amazon EventBridge 集成，以支持对安全调查发现的自动安全响应。例如，您可以通过将 EventBridge 用作事件源来调用 Lambda 函数，以自动化响应工作流。

GuardDuty 旨在根据 AWS 账户、工作负载和数据内的总体活动级别自动管理资源利用率。GuardDuty 仅在需要时增加检测容量，并在不需要容量时降低利用率。您就拥有了一个经济高效的架构，以您在最大限度地降低开支的同时维持您需要的安全处理能力。在使用时，您只需为您使用的检测容量付费。无论规模大小，GuardDuty 都能为您提供大规模安全性。

只需在 AWS 管理控制台中执行一项操作或调用一次 API，您就可以在单个账户上激活 GuardDuty。只需在控制台上单击几下，您就可以在多个账户上激活 GuardDuty。GuardDuty 通过与 AWS Organizations 集成以及 GuardDuty 内的原生功能支持多个账户。启用后，GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。

GuardDuty 为您的 AWS 计算资产中的容器工作负载提供原本难以实现且非常复杂的全面保护。无论您是在 Amazon EC2 上运行具有服务器级控制能力的工作负载，还是使用 AWS Fargate 在 Amazon ECS 上运行无服务器现代应用程序工作负载，GuardDuty 都会检测潜在的恶意和可疑活动，通过运行时监控为您提供容器级上下文，并帮助您识别整个 AWS 环境中容器工作负载的安全覆盖缺口。