本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon GuardDuty?
Amazon GuardDuty 是一種威脅偵測服務,可持續監控、分析和處理您 AWS 環境中的 AWS 資料來源和日誌。GuardDuty 使用威脅情報摘要,例如惡意 IP 地址和網域清單、檔案雜湊和機器學習 (ML) 模型,來識別您 AWS 環境中的可疑和潛在惡意活動。下列清單提供 GuardDuty 可協助您偵測的潛在威脅案例概觀:
-
遭入侵和洩露的 AWS 登入資料。
-
可能導致勒索軟體事件的資料外傳和銷毀。支援引擎版本 Amazon Aurora 和 Amazon RDS 資料庫中異常的登入事件模式,表示異常行為。
-
Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載中未經授權的加密貨幣挖掘活動。
-
Amazon EC2 執行個體和容器工作負載中存在惡意軟體,以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體中新上傳的檔案。
-
作業系統層級、聯網和檔案事件,指出 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、Amazon Elastic Container Service (Amazon ECS) - AWS Fargate 任務以及 Amazon EC2 執行個體和容器工作負載上未經授權的行為。
下列影片提供 GuardDuty 如何協助您偵測 AWS 環境中威脅的概觀。
GuardDuty 的功能
以下是 Amazon GuardDuty 可協助您監控、偵測和管理 AWS 環境中潛在威脅的一些關鍵方式。
- 持續監控特定資料來源和事件日誌
-
-
基礎威脅偵測 – 當您在 中啟用 GuardDuty 時 AWS 帳戶,GuardDuty 會自動開始擷取與該帳戶相關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事件、VPC 流程日誌 (來自 Amazon EC2 執行個體) 和 DNS 日誌。您不需要為 GuardDuty 啟用任何其他功能,即可開始分析和處理這些資料來源,以產生相關聯的安全調查結果。如需詳細資訊,請參閱GuardDuty 基礎資料來源。
-
延伸威脅偵測 – 此功能可偵測跨基礎資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。您的帳戶中可能有多個事件,這些事件個別來說不會顯示為明確的威脅。不過,當以指示可疑活動的序列觀察這些事件時,GuardDuty 會將其識別為攻擊序列。GuardDuty 會透過產生關聯的攻擊序列調查結果類型來通知您,以提供所觀察攻擊序列的詳細資訊。
無需與其相關聯的額外費用,延伸威脅偵測會在啟用 GuardDuty AWS 帳戶 時自動為每個 啟用。此功能不需要您啟用任何以使用案例為焦點的保護計畫。不過,為了提高 Amazon S3 資源的安全廣度,GuardDuty 建議在您的帳戶中啟用 S3 保護。這將有助於延伸威脅偵測識別可能影響 Amazon S3 資源的多階段攻擊。
如需此功能如何運作及其涵蓋的威脅案例的詳細資訊,請參閱 GuardDuty 延伸威脅偵測。
-
以使用案例為焦點的 GuardDuty 保護計劃 – 為了增強對您 AWS 環境安全性的威脅偵測可見性,GuardDuty 提供您可以選擇啟用的專用保護計劃。保護計劃可協助您監控來自其他服務的日誌和事件 AWS 。這些來源包括 EKS 稽核日誌、RDS 登入活動、CloudTrail 中的 Amazon S3 資料事件、EBS 磁碟區、跨 Amazon EKS 的執行期監控、Amazon EC2 和 Amazon ECS-Fargate,以及 Lambda 網路活動日誌。GuardDuty 會在 - 功能一詞下合併這些日誌和事件來源。 AWS 區域 您可以隨時在支援的 中啟用一或多個專用保護計畫。GuardDuty 會根據您啟用的保護計畫,開始監控、處理和分析活動。如需每個保護計畫及其運作方式的詳細資訊,請參閱對應的保護計畫文件。
保護計畫 描述 識別潛在的安全風險,例如 Amazon S3 儲存貯體中的資料外傳和銷毀嘗試。
EKS 稽核日誌監控會分析 Amazon EKS 叢集中的 Kubernetes 稽核日誌,以找出潛在的可疑和惡意活動。
監控和分析 Amazon EKS、Amazon EC2 和 Amazon ECS (包括 AWS Fargate) 上的作業系統層級事件,以偵測潛在的執行期威脅。
透過掃描與您的 Amazon EC2 執行個體相關聯的 Amazon EBS 磁碟區,偵測潛在的惡意軟體存在。有隨需使用此功能的選項。
偵測 Amazon S3 儲存貯體中新上傳物件中是否存在惡意軟體的可能性。
分析和描述 RDS 登入活動,以找出對支援的 Amazon Aurora 和 Amazon RDS 資料庫的潛在存取威脅。
監控 Lambda 網路活動日誌,從 VPC 流程日誌開始,以偵測對 AWS Lambda 函數的威脅。這些潛在威脅的範例包括加密挖掘以及與惡意伺服器通訊。
獨立啟用 S3 的惡意軟體防護
GuardDuty 提供彈性,可獨立使用適用於 S3 的惡意軟體防護,而無需啟用 Amazon GuardDuty 服務。如需僅針對 S3 的惡意軟體防護入門的詳細資訊,請參閱S3 的 GuardDuty 惡意軟體防護。若要使用所有其他保護計劃,您必須啟用 GuardDuty 服務。
-
- 管理多帳戶環境
-
您可以使用 AWS Organizations (建議) 或舊版邀請方法來管理多帳戶 AWS 環境。如需詳細資訊,請參閱GuardDuty 中的多個帳戶。
- 產生偵測到威脅的安全調查結果
-
當 GuardDuty 偵測到與 AWS 資源相關聯的潛在安全威脅時,它會開始產生安全調查結果,以提供潛在洩露資源的相關資訊。在帳戶中啟用 GuardDuty 後,請產生 範例問題清單以檢視相關聯的 調查結果詳細資訊。如需安全調查結果的完整清單,請參閱GuardDuty 調查結果類型。
使用 GuardDuty,您也可以使用產生特定 GuardDuty 安全調查結果的測試器指令碼,了解如何檢閱和回應 GuardDuty 調查結果。如需詳細資訊,請參閱在專用帳戶中測試 GuardDuty 調查結果。
- 評估和管理安全問題清單
-
GuardDuty 會整合您跨帳戶的安全調查結果,並在 GuardDuty 主控台的摘要儀表板中顯示結果。您也可以透過 AWS Security Hub API AWS Command Line Interface或 AWS SDK 擷取問題清單。透過目前安全狀態的全面檢視,您可以識別趨勢和潛在問題,並採取必要的修補步驟。如需詳細資訊,請參閱管理 GuardDuty 調查結果。
- 與相關 AWS 安全服務整合
-
為了進一步協助您分析和調查 AWS 環境中的安全趨勢,請考慮使用下列 AWS 安全相關服務搭配 GuardDuty。
-
AWS Security Hub – 此服務可讓您全面檢視資源的安全狀態 AWS ,並協助您根據安全產業標準和最佳實務檢查 AWS 環境。其透過從多個 AWS 服務 (包括 Amazon Macie) 和支援的 AWS Partner Network (APN) 產品消耗、彙整、組織和排定安全性問題清單的優先順序,來達成部分目的。Security Hub 可協助您分析安全趨勢,並識別整個 AWS 環境中最優先的安全問題。
如需將 GuardDuty 和 Security Hub 搭配使用的詳細資訊,請參閱將 GuardDuty 與 整合 AWS Security Hub。若要進一步了解 Security Hub,請參閱 AWS Security Hub 使用者指南。
-
Amazon Detective – 此服務可協助您分析、調查和快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective 預先建置的資料彙總、摘要和內容可協助您分析和判斷潛在安全問題的性質和範圍。
如需將 GuardDuty 和 Detective 搭配使用的詳細資訊,請參閱 將 GuardDuty 與 Amazon Detective 整合。若要進一步了解 Detective,請參閱 Amazon Detective 使用者指南。
-
Amazon EventBridge – 此服務可協助您接收通知,並近乎即時地回應 GuardDuty 安全性問題清單。GuardDuty 會在問題清單發生變更時建立事件。您可以選擇接收 EventBridge 通知的頻率。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的什麼是 Amazon EventBridge。
-
PCI DSS 合規
GuardDuty 支援由商家或服務供應商處理、儲存和傳輸信用卡資料,並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何請求 AWS PCI 合規套件的副本,請參閱 PCI DSS 第 1 級
如需詳細資訊,請參閱 AWS 安全性部落格中的新第三方測試將 Amazon GuardDuty 與網路入侵偵測系統進行比較