GuardDuty 基礎資料來源 - Amazon GuardDuty
AWS CloudTrail 管理事件VPC 流程日誌Route53 Resolver DNS查詢日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 基礎資料來源

GuardDuty 使用基礎資料來源來偵測與已知惡意網域和 IP 地址的通訊,並識別潛在的異常行為和未經授權的活動。從這些來源傳輸到 時 GuardDuty,所有日誌資料都會加密。 GuardDuty 從這些日誌來源中擷取各種欄位,用於分析和異常偵測,然後捨棄這些日誌。

當您 GuardDuty 第一次在區域中啟用 時,會有 30 天的免費試用,其中包含所有基礎資料來源的威脅偵測。在此免費試用期間,您可以監控依每個基礎資料來源細分的估計每月用量。作為委派的 GuardDuty 管理員帳戶,您可以檢視屬於您組織且已啟用 的每個成員帳戶分解的每月預估用量成本 GuardDuty。在 30 天試用期結束後,您可以使用 AWS Billing 取得用量成本的相關資訊。

從這些基礎資料來源 GuardDuty 存取事件和日誌時,無需支付額外費用。

在 GuardDuty 中啟用 後 AWS 帳戶,它會自動開始監控以下各節所述的日誌來源。您不需要為 啟用任何其他功能 GuardDuty ,即可開始分析和處理這些資料來源,以產生相關聯的安全調查結果。

AWS CloudTrail 管理事件

AWS CloudTrail 提供您帳戶的呼叫歷史記錄 AWS API,包括使用 AWS Management Console、、 AWS SDKs命令列工具和特定 AWS 服務進行的API呼叫。 CloudTrail 也可協助您識別針對支援 的服務叫 AWS APIs用哪些使用者和帳戶 CloudTrail、叫用呼叫的來源 IP 地址,以及叫用呼叫的時間。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的 What is AWS CloudTrail

GuardDuty 會監控 CloudTrail 管理事件,也稱為控制平面事件。這些事件可讓您深入了解對 中資源執行的管理操作 AWS 帳戶。

以下是 GuardDuty 監控的 CloudTrail 管理事件範例:

  • 設定安全 (IAM AttachRolePolicyAPI操作)

  • 設定路由資料的規則 (Amazon EC2CreateSubnetAPI操作)

  • 設定記錄 (AWS CloudTrail CreateTrail API操作)

當您啟用 時 GuardDuty,它會開始透過獨立且重複的事件串流直接從 CloudTrail 取用 CloudTrail 管理事件,並分析您的 CloudTrail 事件日誌。

GuardDuty 不會管理您的 CloudTrail 事件或影響現有的 CloudTrail 組態。同樣地,您的 CloudTrail 組態不會影響 GuardDuty 使用和處理事件日誌的方式。若要管理 CloudTrail 事件的存取和保留,請使用 CloudTrail 服務主控台或 API。如需詳細資訊,請參閱 AWS CloudTrail 使用者指南 中的使用事件歷史記錄檢視 CloudTrail 事件

GuardDuty 如何處理 AWS CloudTrail 全域事件

對於大多數 AWS 服務, CloudTrail 事件會記錄在建立它們 AWS 區域 的 中。對於 AWS Identity and Access Management (IAM)、 AWS Security Token Service (AWS STS)、Amazon Simple Storage Service (Amazon S3) CloudFront、Amazon 和 Amazon Route 53 (Route 53) 等全域服務,事件只會在其發生但具有全域重要性的區域中產生。

當 GuardDuty 使用具有安全值的 CloudTrail 全域服務事件,例如網路組態或使用者許可時,它會複寫這些事件,並在您啟用 的每個區域中處理它們 GuardDuty。此行為有助於 GuardDuty 維護每個區域中的使用者和角色設定檔,這對偵測異常事件至關重要。

強烈建議您在為 啟用的所有 GuardDuty 中 AWS 區域 啟用 AWS 帳戶。這有助於 GuardDuty 產生有關未經授權或異常活動的調查結果,即使在您可能沒有主動使用的區域中也是如此。

VPC 流程日誌

Amazon 的 VPC Flow Logs 功能會VPC擷取您 AWS 環境中連接至 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體的網路介面往返 IP 流量的相關資訊。

當您啟用 時 GuardDuty,它會立即開始分析您帳戶中 Amazon EC2執行個體VPC的流程日誌。它透過獨立的重複VPC流程日誌串流,直接從VPC流程日誌功能取用流程日誌事件。此程序不會影響任何現有的流量日誌組態。

Lambda 保護

Lambda Protection 是 Amazon 的選用增強功能 GuardDuty。目前,Lambda Network Activity Monitoring 包含來自您帳戶所有 Lambda 函數的 Amazon VPC流程日誌,甚至是未使用VPC聯網的日誌。為了保護您的 Lambda 函數免於潛在的安全威脅,您需要在 GuardDuty 帳戶中設定 Lambda 保護。如需詳細資訊,請參閱Lambda 保護

GuardDuty 執行期監控

當您在EC2執行個體的EKS執行期監控或執行期監控中管理安全代理程式 GuardDuty (手動或透過 GuardDuty),且目前部署在 Amazon EC2執行個體上並從收集的執行期事件類型此執行個體接收 時, GuardDuty 將不會 AWS 帳戶 向 收取分析此 Amazon EC2執行個體VPC之流量日誌的費用。這有助於 GuardDuty 避免帳戶中的雙重使用成本。

GuardDuty 不會管理您的流程日誌,也不會讓其在您的帳戶中存取。若要管理流程日誌的存取和保留,您必須設定VPC流程日誌功能。

Route53 Resolver DNS查詢日誌

如果您使用 AWS DNS Amazon EC2執行個體的解析器 (預設設定),則 GuardDuty 可以透過內部 AWS DNS解析器存取和處理您的請求和回應 Route53 Resolver DNS查詢日誌。如果您使用其他DNS解析程式,例如 OpenDNS 或 Google DNS,或者如果您設定自己的DNS解析程式,則 GuardDuty 將無法從此資料來源存取和處理資料。

當您啟用 時 GuardDuty,它會立即從獨立資料串流分析 Route53 Resolver DNS查詢日誌。此資料串流與透過 Route 53 解析器查詢日誌記錄功能提供的資料分開。此功能的組態不會影響 GuardDuty分析。

注意

GuardDuty 不支援 上啟動的 Amazon EC2執行個體的監控DNS日誌, AWS Outposts 因為 Amazon Route 53 Resolver 查詢日誌記錄功能在該環境中無法使用。