使用 Amazon GuardDuty 检测威胁

Amazon GuardDuty 是一项威胁检测服务，有助于保护您的账户、容器、工作负载和 AWS 环境中的数据。GuardDuty 通过使用机器学习（ML）模型以及异常和威胁检测功能，持续监控不同的日志来源，以识别环境中的潜在安全风险和恶意活动并确定其优先级。例如，GuardDuty 将检测潜在威胁，例如，对密钥的异常或可疑访问，以及在检测到通过实例启动角色专为 Amazon EC2 实例创建但正在从 AWS 中的其他账户使用的凭证时的凭证泄露。有关更多信息，请参阅《Amazon GuardDuty 用户指南》。

检测的另一个示例使用场景是异常行为。例如，如果 AWS Secrets Manager 通常使用 Java SDK 从实体获取 create-secret、get-secret-value、describe-secret 和 list-secrets 调用，然后另一个实体开始使用 AWS CLI 从 VPN 外部调用 batch-get-secret-value 和 get-secret-value，则 GuardDuty 可以报告第二个实体正在异常调用 API 的调查发现。有关更多信息，请参阅 GuardDuty IAM finding type CredentialAccess:IAMUser/AnomalousBehavior。