GuardDuty 尋找彙總

GuardDuty 動態更新產生的調查結果。如果 GuardDuty 偵測到與相同安全問題相關的新活動，則 GuardDuty 會使用最新詳細資訊更新原始調查結果，而不是建立新的調查結果。此行為可讓您識別任何持續的問題，而不需要查看多個類似的報告，並減少已知安全問題的整體問題清單數量。

例如，針對 UnauthorizedAccess:EC2/SSHBruteForce 調查結果，針對執行個體的多次存取嘗試會彙總到相同的調查結果 ID，增加調查結果詳細資訊中的計數數字。這是因為問題清單代表執行個體的單一安全問題，指出執行個體上的SSH連接埠未針對此類型的活動妥善保護。不過，如果 GuardDuty 偵測到您環境中以新執行個體為目標的SSH存取活動，它會建立一個具有唯一調查結果 ID 的新調查結果，提醒您有與新資源相關聯的安全問題。

彙總問題清單時，會以該活動最新出現的資訊進行更新。這表示在上述範例中，如果您的執行個體是新執行者嘗試執行暴力密碼破解的目標，將會更新調查結果詳細資訊，以反映最新來源的遠端 IP，而且將取代舊的資訊。您的 CloudTrail日誌或VPC流程日誌中仍會提供個別活動嘗試的完整資訊。

提醒 GuardDuty 產生新調查結果而非彙總現有調查結果的條件取決於調查結果類型。每個問題清單類型的彙總條件由我們的安全工程師決定，以提供您帳戶中不同安全問題的概觀。

當 在您的帳戶中 GuardDuty 產生攻擊序列調查結果類型時，只有當您在帳戶中以相同序列 GuardDuty 識別類似訊號時，才會彙總調查結果。否則， GuardDuty 會產生另一個攻擊序列。