本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty 查找聚合
所有发现都是动态的,这意味着如果 GuardDuty 检测到与相同安全问题相关的新活动,它将使用新信息更新原始发现结果,而不是生成新的发现。此行为可使您能够识别正在发生的问题,而无需浏览多个类似报告,并减少来自您已发现的安全问题的总体噪音。
例如,对于 UnauthorizedAccess:EC2/SSHBruteForce
调查发现,针对实例的多次访问尝试将聚合到同一调查发现 ID,从而增加调查发现详细信息中的计数。这是因为该发现代表了一个安全问题,该实例表明该实例上的SSH端口没有得到适当的保护,无法抵御此类活动。但是,如果在您的环境中 GuardDuty 检测到针对新实例的SSH访问活动,它将创建一个带有唯一查找 ID 的新发现,提醒您存在与新资源相关的安全问题。
聚合调查发现后,系统会根据该活动最近一次发生的信息进行更新。这意味着,在上面的示例中,如果您的实例是新攻击者的暴力攻击目标,则调查发现的详细信息将会更新,以反映最新源的远程 IP 信息,并且旧信息将被替换。您的 CloudTrail或 VPC Flow Logs中仍将提供有关个人活动尝试的完整信息。
提醒 GuardDuty 生成新查找结果而不是汇总现有查找结果的标准取决于查找结果类型。每种调查发现类型的聚合标准均由我们的安全工程师确定,以便为您提供账户中各种安全问题的最佳概述。