本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon GuardDuty?
Amazon GuardDuty 是一種威脅偵測服務,可持續監控、分析和處理 AWS 您環境中 AWS 的資料來源和日誌。 GuardDuty 會使用威脅情報摘要,例如惡意 IP 地址和網域清單、檔案雜湊和機器學習 (ML) 模型,來識別 AWS 環境中的可疑和潛在惡意活動。下列清單提供 GuardDuty 可協助您偵測潛在威脅案例的概觀:
-
遭入侵和洩露的 AWS 登入資料。
-
可能導致勒索軟體事件的資料外傳和銷毀。支援引擎版本的 Amazon Aurora 和 Amazon RDS 資料庫中的登入事件異常模式,表示異常行為。
-
Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載中未經授權的加密挖掘活動。
-
Amazon EC2執行個體和容器工作負載中存在惡意軟體,以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體中新上傳的檔案。
-
作業系統層級、聯網和檔案事件,指出 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、Amazon Elastic Container Service (Amazon ECS) 任務 AWS Fargate 以及 Amazon EC2執行個體和容器工作負載上的未經授權行為。
下列影片提供如何 GuardDuty 協助您偵測 AWS 環境中威脅的概觀。
的功能 GuardDuty
以下是 Amazon GuardDuty 可協助您監控、偵測和管理 AWS 環境中潛在威脅的一些關鍵方式。
- 持續監控特定資料來源和事件日誌
-
-
基礎威脅偵測 – 當您 GuardDuty 在 中啟用 時 AWS 帳戶, GuardDuty 會自動開始擷取與該帳戶相關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事件、VPC流程日誌 (來自 Amazon EC2執行個體) 和DNS日誌。您不需要為 啟用任何其他功能 GuardDuty ,即可開始分析和處理這些資料來源,以產生相關聯的安全問題清單。如需詳細資訊,請參閱GuardDuty 基礎資料來源。
-
延伸威脅偵測 – 此功能可偵測跨基礎資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。您的帳戶中可能有多個事件,這些事件個別不會顯示為明確的威脅。不過,當在指示可疑活動的序列中觀察到這些事件時, GuardDuty 會將其識別為攻擊序列。 透過產生關聯的攻擊序列調查結果類型來 GuardDuty 通知您,以提供所觀察到的攻擊序列的詳細資訊。
無需與其相關聯的額外費用,延伸威脅偵測會在啟用 AWS 帳戶 時自動為每個 啟用 GuardDuty。此功能不需要您啟用任何以使用案例為焦點的保護計畫。不過,為了提高 Amazon S3 資源的安全性, GuardDuty 建議您在帳戶中啟用 S3 保護。這將有助於擴展威脅偵測識別可能會影響 Amazon S3 資源的多階段攻擊。
如需此功能如何運作及其涵蓋的威脅案例的詳細資訊,請參閱 GuardDuty 延伸威脅偵測。
-
以使用案例為重點的 GuardDuty 保護計畫 – 為了增強對您 AWS 環境安全性的威脅偵測可見性, GuardDuty 提供您可以選擇啟用的專用保護計畫。保護計劃可協助您監控 AWS 來自其他服務的日誌和事件。這些來源包括EKS稽核日誌、RDS登入活動、中的 Amazon S3 資料事件 CloudTrail、EBS磁碟區、跨 Amazon EKS、Amazon EC2和 Amazon ECS-Fargate 的執行期監控,以及 Lambda 網路活動日誌。 GuardDuty 會在 - 功能一詞中合併這些日誌和事件來源。 AWS 區域 您可以隨時在支援的 中啟用一或多個專用保護計畫。 GuardDuty 會根據您啟用的保護計畫開始監控、處理和分析活動。如需每個保護計畫及其運作方式的詳細資訊,請參閱對應的保護計畫文件。
保護計畫 描述 識別潛在的安全風險,例如 Amazon S3 儲存貯體中的資料外傳和銷毀嘗試。
EKS Audit Log Monitoring 會分析來自 Amazon EKS叢集的 Kubernetes 稽核日誌,以找出潛在的可疑和惡意活動。
監控和分析 Amazon EKS、Amazon 和 Amazon ECS(包括 AWS Fargate) 上的作業系統層級事件EC2,以偵測潛在的執行期威脅。
透過掃描與您的 Amazon EC2執行個體相關聯的 Amazon EBS磁碟區,偵測潛在的惡意軟體存在。有隨需使用此功能的選項。
偵測 Amazon S3 儲存貯體中新上傳物件中是否存在惡意軟體的可能性。
分析和描述您的RDS登入活動,以找出對支援的 Amazon Aurora 和 Amazon RDS 資料庫的潛在存取威脅。
監控 Lambda 網路活動日誌,從VPC流程日誌開始,以偵測對 AWS Lambda 函數的威脅。這些潛在威脅的範例包括加密挖掘以及與惡意伺服器通訊。
獨立啟用 S3 的惡意軟體防護
GuardDuty 提供彈性以獨立使用惡意軟體防護 S3,而無需啟用 Amazon GuardDuty 服務。如需僅針對 S3 的惡意軟體防護入門的詳細資訊,請參閱 GuardDuty S3 的惡意軟體防護。若要使用所有其他保護計劃,您必須啟用 GuardDuty服務。
-
- 管理多帳戶環境
-
您可以使用 AWS Organizations (建議) 或舊版邀請方法管理多帳戶 AWS 環境。如需詳細資訊,請參閱中的多個帳戶 GuardDuty。
- 產生偵測到威脅的安全調查結果
-
當 GuardDuty 偵測到與您的 AWS 資源相關聯的潛在安全威脅時,它會開始產生安全調查結果,以提供潛在洩露資源的相關資訊。在 GuardDuty 帳戶中啟用 後,請產生 範例問題清單以檢視相關聯的 調查結果詳細資訊。如需安全問題清單的完整清單,請參閱 GuardDuty 問題清單類型。
使用 時 GuardDuty,您也可以使用測試人員指令碼來產生特定 GuardDuty 安全性問題清單,以了解如何檢閱和回應 GuardDuty 問題清單。如需詳細資訊,請參閱在專用帳戶中測試 GuardDuty 問題清單。
- 評估和管理安全調查結果
-
GuardDuty 會整合您跨帳戶的安全性問題清單,並在 GuardDuty 主控台的摘要儀表板中顯示結果。您也可以透過 AWS Security Hub API AWS Command Line Interface或 擷取問題清單 AWS SDK。透過目前安全狀態的整體檢視,您可以識別趨勢和潛在問題,並採取必要的修補步驟。如需詳細資訊,請參閱管理 GuardDuty 調查結果。
- 與相關 AWS 安全服務整合
-
為了進一步協助您分析和調查 AWS 環境中的安全趨勢,請考慮搭配使用下列 AWS 安全相關服務 GuardDuty。
-
AWS Security Hub – 此服務可讓您全面檢視資源的安全狀態 AWS ,並協助您根據安全產業標準和最佳實務檢查 AWS 環境。其透過取用、彙整、組織和排定來自多個 AWS 服務 (包括 Amazon Macie) 和支援 AWS Partner Network (APN) 產品的安全調查結果優先順序,來達成部分目的。Security Hub 可協助您分析安全趨勢,並識別整個 AWS 環境中最優先的安全問題。
如需同時使用 GuardDuty 和 Security Hub 的詳細資訊,請參閱 GuardDuty 與 整合 AWS Security Hub。若要進一步了解 Security Hub,請參閱 AWS Security Hub 使用者指南。
-
Amazon Detective – 此服務可協助您分析、調查和快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective 預先建置的資料彙總、摘要和內容可協助您分析和判斷潛在安全問題的性質和範圍。
如需同時使用 GuardDuty 和 Detective 的詳細資訊,請參閱 GuardDuty 與 Amazon Detective 整合。若要進一步了解 Detective,請參閱 Amazon Detective 使用者指南。
-
Amazon EventBridge – 此服務可協助您近乎即時地接收通知並回應 GuardDuty 安全調查結果。當調查結果發生變更時, 會 GuardDuty 建立事件。您可以選擇接收通知的頻率 EventBridge。如需詳細資訊,請參閱《Amazon 使用者指南》中的什麼是 EventBridge Amazon EventBridge 。
-
PCI DSS 合規
GuardDuty 支援由商家或服務供應商處理、儲存和傳輸信用卡資料,並已驗證為符合支付卡產業 (PCI) 資料安全標準 ()DSS。如需 PCI 的詳細資訊DSS,包括如何請求合規套件的副本 AWS PCI,請參閱 第 PCI1 DSS級
如需詳細資訊,請參閱 AWS 安全部落格中的新第三方測試將 Amazon GuardDuty 與網路入侵偵測系統進行比較
