Amazon 中的概念和关键术语 GuardDuty

包含您的 AWS 资源的标准亚马逊 Web Services (AWS) 账户。您可以使用您的帐户登录 AWS 并启用 GuardDuty。

您也可以邀请其他账户在中启用您的 AWS 账户 GuardDuty 并与之建立关联 GuardDuty。如果您的邀请被接受，则您的账户将被指定为管理员 GuardDuty 账户，添加的账户将成为您的成员账户。然后，您可以代表他们查看和管理这些账户的 GuardDuty 调查结果。

管理员账户的用户可以配置 GuardDuty 、查看和管理他们自己的账户和所有成员账户的 GuardDuty 调查结果。有关管理员账户可以管理的成员账户数量信息，请参阅 GuardDuty 配额。

成员账户的用户可以配置 GuardDuty 、查看和管理其账户中的 GuardDuty 调查结果（通过 GuardDuty 管理控制台或 GuardDuty API）。成员账户的用户不能查看或管理其他成员的账户中的结果。

AWS 账户 不能同时是 GuardDuty 管理员账户和成员账户。一个 AWS 账户 只能接受一个成员账户邀请。接受成员资格邀请是可选的。

有关更多信息，请参阅 Amazon 中的多个账户 GuardDuty。

攻击序列是多个事件的相关性，如上所述 GuardDuty，这些事件以与可疑活动模式相匹配的特定顺序发生。 GuardDuty 使用其扩展威胁检测功能来检测您账户中这些跨越基础数据源、 AWS 资源和时间轴的多阶段攻击。

以下列表简要说明了与攻击序列相关的关键术语：

Amazon GuardDuty 是一项区域性服务。当你在特定的 GuardDuty 中启用时 AWS 区域，你 AWS 账户 就会与探测器 ID 相关联。这是一个长度为 32 个字符的字母数字 ID，在该区域中对您的账户是唯一的。例如，当你 GuardDuty 为不同地区的同一个账户启用时，你的账户将与不同的探测器 ID 相关联。detectorId 的格式为 12abc34d567e8fa901bc2d34e56789f0。

与管理 GuardDuty 调查结果和 GuardDuty服务有关的所有发现、账户和操作都使用探测器 ID 来运行 API 操作。

要查找您的账户和当前区域的，请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面，或者运行 detectorId ListDetectorsAPI。

某些 GuardDuty 功能是通过探测器配置的，例如配置 CloudWatch 事件通知频率，以及启用或禁用 GuardDuty 要处理的可选保护计划。

一组数据的源或位置。检测 AWS 环境中未经授权或意外的活动。 GuardDuty 分析和处理来自 AWS CloudTrail 事件日志、 AWS CloudTrail 管理事件、S3 AWS CloudTrail 的数据事件、VPC 流日志、DNS 日志的数据，请参阅GuardDuty 基础数据源。

为您的 GuardDuty 保护计划配置的功能对象有助于检测 AWS 环境中未经授权或意外的活动。每个 GuardDuty 保护计划都配置相应的功能对象来分析和处理数据。一些功能对象包括 EKS 审计日志、RDS 登录活动监控、Lambda 网络活动日志和 EBS 卷。有关更多信息，请参阅 GuardDutyAPI 中保护计划的功能名称。

由 GuardDuty 发现的潜在安全问题。有关更多信息，请参阅 了解并生成 Amazon GuardDuty 调查结果。

调查结果显示在 GuardDuty 控制台中，并包含对安全问题的详细描述。您也可以通过调用GetFindings和来检索生成的调查结果 ListFindingsAPI 操作。

您还可以通过 Amazon CloudWatch 活动查看您的 GuardDuty 发现。 GuardDuty CloudWatch 通过 HTTPS 协议将调查结果发送给亚马逊。有关更多信息，请参阅 使用 Amazon CloudWatch Events 创建对 GuardDuty 调查结果的自定义响应。

这是具有扫描 S3 对象所需权限的 IAM 角色。启用标记扫描对象后，IAM PassRole 权限有助于为扫描对象 GuardDuty 添加标签。

为存储桶启用 S3 的恶意软件防护后， GuardDuty 会为 EC2 计划资源创建恶意软件防护。此资源与 EC2 计划 ID 的恶意软件防护相关联，这是受保护存储桶的唯一标识符。使用恶意软件防护计划资源对受保护资源执行 API 操作。

如果您为 Amazon S3 存储桶启用 S3 恶意软件防护，且其保护状态变为活动，则该存储桶被视为已受保护。

GuardDuty 仅支持 S3 存储桶作为受保护资源。

与您的恶意软件防护计划资源关联的状态。为存储桶启用 S3 恶意软件防护后，此状态代表您的存储桶设置是否正确。

在 Amazon Simple Storage Service（Amazon S3）存储桶中可以使用前缀来整理存储。前缀是 S3 存储桶中对象的逻辑分组。有关更多信息，请参阅《Amazon S3 用户指南》中的组织和列出对象。

启用 GuardDuty 恶意软件防护后，它允许您指定要扫描或跳过哪些亚马逊 EC2 实例和亚马逊弹性块存储 (EBS) 卷。 EC2 此功能允许您将与您的 EC2 实例和 EBS 卷关联的现有标签添加到包含标签列表或排除标签列表中。系统会扫描与添加到包含标签列表的标签关联的资源是否存在恶意软件，而不会扫描那些添加到排除标签列表的资源。有关更多信息，请参阅 使用用户定义的标签扫描选项。

启用 GuardDuty 恶意软件防护后，它会提供在 AWS 账户中保留 EBS 卷快照的选项。 EC2 GuardDuty 根据您的 EBS 卷的快照生成副本 EBS 卷。只有 EC2 扫描恶意软件防护在副本 EBS 卷中检测到恶意软件时，您才能保留 EBS 卷的快照。如果在副本 EBS 卷中未检测到恶意软件，则无论快照保留期设置如何， GuardDuty 都会自动删除 EBS 卷的快照。有关更多信息，请参阅 快照保留。

利用禁止规则，您可以创建非常具体的属性组合来隐藏发现结果。例如，您可以通过 GuardDuty 筛选器定义规则，仅Recon:EC2/Portscan从特定 VPC 中运行特定 AMI 或带有特定 EC2 标签的实例自动存档。此规则将导致自动从满足条件的实例存档端口扫描结果。但是，它仍然允许在 GuardDuty 检测到这些实例进行其他恶意活动（例如加密货币挖矿）时发出警报。

GuardDuty 管理员账户中定义的禁止规则适用于 GuardDuty 成员账户。 GuardDuty 成员账户无法修改禁止规则。

使用抑制规则， GuardDuty 仍会生成所有调查结果。禁止规则可禁止显示发现结果，并保留所有活动的完整、不可变的历史记录。

通常，禁止规则用于隐藏已确定为环境中误报的发现结果，并减少低值发现结果带来的噪点，让您可以专注于处理较大的威胁。有关更多信息，请参阅 中的禁止规则 GuardDuty。

可信 IP 地址列表，用于与您的 AWS 环境进行高度安全的通信。 GuardDuty 不会根据可信 IP 列表生成调查结果。有关更多信息，请参阅 使用可信 IP 列表和威胁列表。

已知恶意 IP 地址的列表。除了由于可能存在可疑活动而生成发现结果外， GuardDuty 还会根据这些威胁列表生成调查结果。有关更多信息，请参阅 使用可信 IP 列表和威胁列表。