什麼是 Amazon GuardDuty? - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 Amazon GuardDuty?

Amazon GuardDuty 是一種威脅偵測服務,可持續監控、分析和處理您 AWS 環境中的 AWS 資料來源和日誌。GuardDuty 使用威脅情報摘要,例如惡意 IP 地址和網域清單、檔案雜湊和機器學習 (ML) 模型,來識別您 AWS 環境中的可疑和潛在惡意活動。下列清單提供 GuardDuty 可協助您偵測的潛在威脅案例概觀:

  • 遭入侵和洩露的 AWS 登入資料。

  • 可能導致勒索軟體事件的資料外傳和銷毀。支援引擎版本 Amazon Aurora 和 Amazon RDS 資料庫中異常的登入事件模式,表示異常行為。

  • Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載中未經授權的加密貨幣挖掘活動。

  • Amazon EC2 執行個體和容器工作負載中存在惡意軟體,以及 Amazon Simple Storage Service (Amazon S3) 儲存貯體中新上傳的檔案。

  • 作業系統層級、聯網和檔案事件,指出 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集、Amazon Elastic Container Service (Amazon ECS) - AWS Fargate 任務以及 Amazon EC2 執行個體和容器工作負載上未經授權的行為。

下列影片提供 GuardDuty 如何協助您偵測 AWS 環境中威脅的概觀。

GuardDuty 的功能

以下是 Amazon GuardDuty 可協助您監控、偵測和管理 AWS 環境中潛在威脅的一些關鍵方式。

持續監控特定資料來源和事件日誌
  • 基礎威脅偵測 – 當您在 中啟用 GuardDuty 時 AWS 帳戶,GuardDuty 會自動開始擷取與該帳戶相關聯的基礎資料來源。這些資料來源包括 AWS CloudTrail 管理事件、VPC 流程日誌 (來自 Amazon EC2 執行個體) 和 DNS 日誌。您不需要為 GuardDuty 啟用任何其他功能,即可開始分析和處理這些資料來源,以產生相關聯的安全調查結果。如需詳細資訊,請參閱GuardDuty 基礎資料來源

  • 延伸威脅偵測 – 此功能可偵測跨基礎資料來源、多種 AWS 資源類型和時間的多階段攻擊 AWS 帳戶。您的帳戶中可能有多個事件,這些事件個別來說不會顯示為明確的威脅。不過,當以指示可疑活動的序列觀察這些事件時,GuardDuty 會將其識別為攻擊序列。GuardDuty 會透過產生關聯的攻擊序列調查結果類型來通知您,以提供所觀察攻擊序列的詳細資訊。

    無需與其相關聯的額外費用,延伸威脅偵測會在啟用 GuardDuty AWS 帳戶 時自動為每個 啟用。此功能不需要您啟用任何以使用案例為焦點的保護計畫。不過,為了提高 Amazon S3 資源的安全廣度,GuardDuty 建議在您的帳戶中啟用 S3 保護。這將有助於延伸威脅偵測識別可能影響 Amazon S3 資源的多階段攻擊。

    如需此功能如何運作及其涵蓋的威脅案例的詳細資訊,請參閱 GuardDuty 延伸威脅偵測

  • 以使用案例為焦點的 GuardDuty 保護計劃 – 為了增強對您 AWS 環境安全性的威脅偵測可見性,GuardDuty 提供您可以選擇啟用的專用保護計劃。保護計劃可協助您監控來自其他服務的日誌和事件 AWS 。這些來源包括 EKS 稽核日誌、RDS 登入活動、CloudTrail 中的 Amazon S3 資料事件、EBS 磁碟區、跨 Amazon EKS 的執行期監控、Amazon EC2 和 Amazon ECS-Fargate,以及 Lambda 網路活動日誌。GuardDuty 會在 - 功能一詞下合併這些日誌和事件來源。 AWS 區域 您可以隨時在支援的 中啟用一或多個專用保護計畫。GuardDuty 會根據您啟用的保護計畫,開始監控、處理和分析活動。如需每個保護計畫及其運作方式的詳細資訊,請參閱對應的保護計畫文件。

    保護計畫 描述

    S3 保護

    識別潛在的安全風險,例如 Amazon S3 儲存貯體中的資料外傳和銷毀嘗試。

    EKS 保護

    EKS 稽核日誌監控會分析 Amazon EKS 叢集中的 Kubernetes 稽核日誌,以找出潛在的可疑和惡意活動。

    執行期監控

    監控和分析 Amazon EKS、Amazon EC2 和 Amazon ECS (包括 AWS Fargate) 上的作業系統層級事件,以偵測潛在的執行期威脅。

    EC2 的惡意軟體防護

    透過掃描與您的 Amazon EC2 執行個體相關聯的 Amazon EBS 磁碟區,偵測潛在的惡意軟體存在。有隨需使用此功能的選項。

    S3 的惡意軟體防護

    偵測 Amazon S3 儲存貯體中新上傳物件中是否存在惡意軟體的可能性。

    RDS 保護

    分析和描述 RDS 登入活動,以找出對支援的 Amazon Aurora 和 Amazon RDS 資料庫的潛在存取威脅。

    Lambda 保護

    監控 Lambda 網路活動日誌,從 VPC 流程日誌開始,以偵測對 AWS Lambda 函數的威脅。這些潛在威脅的範例包括加密挖掘以及與惡意伺服器通訊。

    獨立啟用 S3 的惡意軟體防護

    GuardDuty 提供彈性,可獨立使用適用於 S3 的惡意軟體防護,而無需啟用 Amazon GuardDuty 服務。如需僅針對 S3 的惡意軟體防護入門的詳細資訊,請參閱S3 的 GuardDuty 惡意軟體防護。若要使用所有其他保護計劃,您必須啟用 GuardDuty 服務。

管理多帳戶環境

您可以使用 AWS Organizations (建議) 或舊版邀請方法來管理多帳戶 AWS 環境。如需詳細資訊,請參閱GuardDuty 中的多個帳戶

產生偵測到威脅的安全調查結果

當 GuardDuty 偵測到與 AWS 資源相關聯的潛在安全威脅時,它會開始產生安全調查結果,以提供潛在洩露資源的相關資訊。在帳戶中啟用 GuardDuty 後,請產生 範例問題清單以檢視相關聯的 調查結果詳細資訊。如需安全調查結果的完整清單,請參閱GuardDuty 調查結果類型

使用 GuardDuty,您也可以使用產生特定 GuardDuty 安全調查結果的測試器指令碼,了解如何檢閱和回應 GuardDuty 調查結果。如需詳細資訊,請參閱在專用帳戶中測試 GuardDuty 調查結果

評估和管理安全問題清單

GuardDuty 會整合您跨帳戶的安全調查結果,並在 GuardDuty 主控台的摘要儀表板中顯示結果。您也可以透過 AWS Security Hub API AWS Command Line Interface或 AWS SDK 擷取問題清單。透過目前安全狀態的全面檢視,您可以識別趨勢和潛在問題,並採取必要的修補步驟。如需詳細資訊,請參閱管理 GuardDuty 調查結果

與相關 AWS 安全服務整合

為了進一步協助您分析和調查 AWS 環境中的安全趨勢,請考慮使用下列 AWS 安全相關服務搭配 GuardDuty。

  • AWS Security Hub – 此服務可讓您全面檢視資源的安全狀態 AWS ,並協助您根據安全產業標準和最佳實務檢查 AWS 環境。其透過從多個 AWS 服務 (包括 Amazon Macie) 和支援的 AWS Partner Network (APN) 產品消耗、彙整、組織和排定安全性問題清單的優先順序,來達成部分目的。Security Hub 可協助您分析安全趨勢,並識別整個 AWS 環境中最優先的安全問題。

    如需將 GuardDuty 和 Security Hub 搭配使用的詳細資訊,請參閱將 GuardDuty 與 整合 AWS Security Hub。若要進一步了解 Security Hub,請參閱 AWS Security Hub 使用者指南

  • Amazon Detective – 此服務可協助您分析、調查和快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的 AWS 資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容,協助您更快地進行有效率的安全調查。Detective 預先建置的資料彙總、摘要和內容可協助您分析和判斷潛在安全問題的性質和範圍。

    如需將 GuardDuty 和 Detective 搭配使用的詳細資訊,請參閱 將 GuardDuty 與 Amazon Detective 整合。若要進一步了解 Detective,請參閱 Amazon Detective 使用者指南

  • Amazon EventBridge – 此服務可協助您接收通知,並近乎即時地回應 GuardDuty 安全性問題清單。GuardDuty 會在問題清單發生變更時建立事件。您可以選擇接收 EventBridge 通知的頻率。如需詳細資訊,請參閱《Amazon EventBridge 使用者指南》中的什麼是 Amazon EventBridge

PCI DSS 合規

GuardDuty 支援由商家或服務供應商處理、儲存和傳輸信用卡資料,並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何請求 AWS PCI 合規套件的副本,請參閱 PCI DSS 第 1 級

如需詳細資訊,請參閱 AWS 安全性部落格中的新第三方測試將 Amazon GuardDuty 與網路入侵偵測系統進行比較