選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

GuardDuty 基礎資料來源

PDF
RSS
焦點模式
GuardDuty 基礎資料來源 - Amazon GuardDuty
AWS CloudTrail 管理事件VPC 流量日誌Route53 Resolver DNS 查詢日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 使用基礎資料來源來偵測與已知惡意網域和 IP 地址的通訊,並識別潛在的異常行為和未經授權的活動。從這些來源傳輸至 GuardDuty 時,所有日誌資料都會加密。GuardDuty 會從這些日誌來源擷取各種欄位以進行分析和異常偵測,然後捨棄這些日誌。

當您第一次在區域中啟用 GuardDuty 時,有 30 天的免費試用,其中包含所有基礎資料來源的威脅偵測。在此免費試用期間,您可以監控依每個基礎資料來源細分的估計每月用量。作為委派的 GuardDuty 管理員帳戶,您可以檢視依所屬組織且已啟用 GuardDuty 的每個成員帳戶細分的估計每月用量成本。在 30 天試用期結束後,您可以使用 AWS Billing 取得用量成本的相關資訊。

當 GuardDuty 從這些基礎資料來源存取事件和日誌時,無需額外費用。

在 中啟用 GuardDuty 之後 AWS 帳戶,它會自動開始監控以下各節中說明的日誌來源。您不需要為 GuardDuty 啟用任何其他功能,即可開始分析和處理這些資料來源,以產生相關聯的安全調查結果。

AWS CloudTrail 管理事件

AWS CloudTrail 為您提供您帳戶的 AWS API 呼叫歷史記錄,包括使用 AWS Management Console、 AWS SDKs、命令列工具和特定 AWS 服務的 API 呼叫。CloudTrail 也可協助您識別哪些使用者和帳戶針對支援 CloudTrail 的服務調用 AWS APIs、調用呼叫的來源 IP 地址,以及調用呼叫的時間。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的 What is AWS CloudTrail

GuardDuty 會監控 CloudTrail 管理事件,也稱為控制平面事件。這些事件可讓您深入了解對 中資源執行的管理操作 AWS 帳戶。

以下為 GuardDuty 監控的 CloudTrail 管理事件的範例:

  • 設定安全性 (IAM AttachRolePolicy API 操作)

  • 設定路由資料規則 (Amazon EC2 CreateSubnet API 操作)

  • 設定記錄 (AWS CloudTrail CreateTrail API 操作)

啟用 GuardDuty 後,它便會開始透過獨立且重複的事件串流直接從 CloudTrail 取用 CloudTrail 管理事件,並分析您的 CloudTrail 事件日誌。

GuardDuty 不會管理您的 CloudTrail 事件或影響現有的 CloudTrail 組態。同樣地,您的 CloudTrail 組態不會影響 GuardDuty 取用和處理事件日誌的方式。若要管理 CloudTrail 事件的存取和保留,請使用 CloudTrail 服務主控台或 API。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的 Viewing events with CloudTrail event history

GuardDuty 如何處理 AWS CloudTrail 全域事件

對於大多數 AWS 服務,CloudTrail 事件會記錄在建立它們 AWS 區域 的 中。對於 AWS Identity and Access Management (IAM)、 AWS Security Token Service (AWS STS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudFront 和 Amazon Route 53 (Route 53) 等全域服務,事件只會在發生但具有全域重要性的區域中產生。

當 GuardDuty 取用具有安全性價值的 CloudTrail 全域服務事件 (例如網路組態或使用者許可) 時,其會複寫這些事件,並在您已啟用 GuardDuty 的每個區域中處理這些事件。此行為有助於 GuardDuty 維護每個區域中的使用者和角色設定檔,這對於偵測異常事件十分重要。

強烈建議您在為 啟用的所有 中啟用 AWS 區域 GuardDuty AWS 帳戶。這有助於 GuardDuty 產生有關未經授權或不尋常活動的調查結果,甚至在未使用中的區域中也一樣。

VPC 流量日誌

Amazon VPC 的 VPC 流量日誌功能可擷取有關進出 AWS 環境中連接至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的網路介面的 IP 流量的資訊。

啟用 GuardDuty 後,他便會立即開始分析帳戶內 Amazon EC2 執行個體中的 VPC 流量日誌。它透過獨立且重複的流程日誌串流,直接從 VPC 流程日誌功能取用 VPC 流程日誌事件。此程序不會影響任何現有的流量日誌組態。

Lambda 保護

Lambda 保護是 Amazon GuardDuty 的選用增強功能。目前,Lambda 網路活動監控包括來自您帳戶所有 Lambda 函數的 Amazon VPC 流量日誌,甚至包含不使用 VPC 網路的日誌。若要保護您的 Lambda 函數不受潛在安全威脅的影響,您需要在 GuardDuty 帳戶中設定 Lambda 保護。如需詳細資訊,請參閱Lambda 保護

GuardDuty 執行期監控

當您在 EC2 執行個體的 EKS 執行期監控或執行期監控中管理安全代理程式 (手動或透過 GuardDuty),且 GuardDuty 目前部署在 Amazon EC2 執行個體上並從此執行個體接收 收集的執行期事件類型 時,GuardDuty 不會 AWS 帳戶 向 收取從此 Amazon EC2 執行個體分析 VPC 流量日誌的費用。這有助於 GuardDuty 避免帳戶中的雙重使用成本。

GuardDuty 不會管理您的流量日誌,或使其可在您的帳戶中進行存取。若要管理流量日誌的存取和保留,您必須設定 VPC 流量日誌功能。

Route53 Resolver DNS 查詢日誌

如果您將 AWS DNS 解析程式用於 Amazon EC2 執行個體 (預設設定),GuardDuty 可以透過內部 DNS 解析程式存取和處理您的請求和回應 Route53 Resolver AWS DNS 查詢日誌。如果您使用另一個 DNS 解析器 (例如 OpenDNS 或 GoogleDNS),或者如果您設定自己的 DNS 解析器,則 GuardDuty 無法從此資料來源存取和處理資料。

當您啟用 GuardDuty 時,它會立即從獨立的資料串流分析 Route53 Resolver DNS 查詢日誌。此資料串流與透過 Route 53 解析器查詢日誌記錄功能提供的資料分開。此功能的組態不會影響 GuardDuty 分析。

注意

GuardDuty 不支援監控在 上啟動的 Amazon EC2 執行個體的 DNS 日誌, AWS Outposts 因為查詢 Amazon Route 53 Resolver 日誌記錄功能在該環境中無法使用。

在本頁面

下一個主題:

延伸威脅偵測

上一個主題:

開始使用

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。