GuardDuty 基础数据源 - Amazon GuardDuty
AWS CloudTrail 管理事件VPC 流日志Route53 解析器DNS查询日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 基础数据源

GuardDuty 使用基础数据源来检测与已知恶意域和 IP 地址的通信,并识别潜在的异常行为和未经授权的活动。从这些源传输到时 GuardDuty,所有日志数据都经过加密。 GuardDuty 从这些日志源中提取各种字段以进行性能分析和异常检测,然后丢弃这些日志。

首次在某个区域启用 GuardDuty 时,将提供 30 天的免费试用期,其中包括对所有基础数据源的威胁检测。在此免费试用期间,您可以监控按每个基础数据源细分的估计每月使用量。作为委托 GuardDuty 管理员账户,您可以查看按属于您的组织并已启用的每个成员账户细分的每月估计使用费用 GuardDuty。30 天试用期结束后,您可以使用获取 AWS Billing 有关使用费用的信息。

从这些基础数据源 GuardDuty 访问事件和日志时,无需支付额外费用。

GuardDuty 在中启用后 AWS 账户,它会自动开始监视以下各节中介绍的日志源。您无需启用任何其他功能即可开始分析和处理这些数据源以生成相关的安全调查结果。 GuardDuty

AWS CloudTrail 管理事件

AWS CloudTrail 为您提供账户的 AWS API呼叫历史记录,包括使用 AWS Management Console、、命令行工具和某些 AWS 服务进行的API呼叫。 AWS SDKs CloudTrail 还可以帮助您识别 AWS APIs为支持的服务调用了哪些用户和帐户 CloudTrail、调用呼叫的源 IP 地址以及调用呼叫的时间。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的什么是 AWS CloudTrail

GuardDuty 监视 CloudTrail 管理事件,也称为控制平面事件。这些事件可让您深入了解对中的资源执行的管理操作 AWS 账户。

以下是 GuardDuty 监控的 CloudTrail 管理事件的示例:

  • 配置安全(IAMAttachRolePolicyAPI操作)

  • 配置数据路由规则(Amazon EC2 CreateSubnet API 运营)

  • 设置日志(AWS CloudTrail CreateTrailAPI操作)

启用后 GuardDuty,它会直接 CloudTrail通过独立且重复的事件流开始使用 CloudTrail 管理事件,并分析您的 CloudTrail 事件日志。

GuardDuty 不会管理您的 CloudTrail 事件或影响您的现有 CloudTrail 配置。同样,您的 CloudTrail 配置不会影响事件 GuardDuty 日志的使用和处理方式。要管理 CloudTrail 事件的访问和保留,请使用 CloudTrail 服务控制台或API。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的使用 CloudTrail 事件历史查看事件

如何 GuardDuty 处理 AWS CloudTrail 全球事件

对于大多数 AWS 服务, CloudTrail 事件都记录在创建 AWS 区域 地点。对于诸如 AWS Identity and Access Management (IAM)、(AWS STS)、亚马逊简单存储服务 AWS Security Token Service (Amazon S3)、Amazon 和 A CloudFront mazon Route 53(Route 53)之类的全球服务,事件仅在事件发生的地区生成,但具有全球意义。

使用具有安全价值(例如网络配置或用户权限)的 CloudTrail 全球服务事件时,它会在您启 GuardDuty 用的每个区域复制这些事件并对其进行处理。 GuardDuty此行为有助于 GuardDuty 维护每个区域的用户和角色资料,这对于检测异常事件至关重要。

我们强烈建议您在所有已启 AWS 区域 用的选项 GuardDuty 中启用 AWS 账户。这有助于 GuardDuty 生成有关未经授权或异常活动的调查结果,即使在您可能未积极使用的地区也是如此。

VPC 流日志

Amazon 的 VPC Flow Logs 功能VPC可捕获有关您 AWS 环境中连接至亚马逊弹性计算云 (AmazonEC2) 实例的网络接口的 IP 流量的信息。

启用后 GuardDuty,它会立即开始分析您账户内的 Amazon EC2 实例中的VPC流日志。它通过VPC独立且重复的VPC流日志流直接使用流日志功能中的流日志事件。此过程不会影响任何现有的流日志配置。

Lambda 保护

Lambda 保护是亚马逊的一项可选增强功能。 GuardDuty目前,Lambda 网络活动监控包括来自您账户所有 Lambda 函数的 Amazon VPC 流日志,甚至包括那些不使用联网功能的日志。VPC为了保护您的 Lambda 函数免受潜在的安全威胁,您需要在账户中配置 Lambda 保护。 GuardDuty 有关更多信息,请参阅 Lambda 保护

GuardDuty 运行时监控

当您在 “运行时监控” 或 “EKS运行时监控” 中管理EC2实例的安全代理(手动或通过 GuardDuty),并且GuardDuty 目前部署在 Amazon EC2 实例上并收集的运行时事件类型从该实例接收时, GuardDuty 不会向您 AWS 账户 收取分析来自此 Amazon EC2 实例的VPC流日志的费用。这有助于 GuardDuty 避免账户中的双重使用成本。

GuardDuty 不会管理您的流程日志,也无法在您的账户中访问这些日志。要管理对流日志的访问和保留,必须配置VPC流日志功能。

Route53 解析器DNS查询日志

如果您的 Amazon EC2 实例使用 AWS DNS解析器(默认设置),则 GuardDuty 可以通过内部解析器访问和处理您的请求和响应 Route53 Resolver DNS 查询日志。 AWS DNS如果您使用其他DNS解析器(例如 Open DNS 或 Google)DNS,或者您设置了自己的DNS解析器,则 GuardDuty 无法访问和处理来自该数据源的数据。

启用后 GuardDuty,它会立即开始分析来自独立数据流的 Route53 Resolver DNS 查询日志。该数据流与通过 Route 53 解析程序查询日志记录功能提供的数据是分开的。此功能的配置不会影响 GuardDuty分析。

注意

GuardDuty 不支持在上启动的 Amazon EC2 实例的监控DNS日志, AWS Outposts 因为该环境中没有 Amazon Route 53 Resolver 查询日志功能。