利用 Amazon 偵測威脅 GuardDuty

Amazon GuardDuty 是一種威脅偵測服務，可協助您保護您的帳戶、容器、工作負載和資料 AWS 環境。透過使用機器學習 (ML) 模型以及異常和威脅偵測功能， GuardDuty 持續監控不同的記錄來源，以識別環境中潛在的安全風險和惡意活動並排定優先順序。例如，如果偵測到透過執行個體啟動角色專為 Amazon EC2 執行個體建立但正在從其他帳戶使用的登入資料，則 GuardDuty 會偵測到潛在威脅，例如不尋常或可疑的機密存取，以及登入資料洩漏等。 AWS。 如需詳細資訊，請參閱 Amazon GuardDuty 使用者指南。

偵測的另一個範例使用案例是異常行為。例如，如果 AWS Secrets Manager 通常會create-secret使用 Java 從實體取得get-secret-valuedescribe-secret、、和list-secrets呼叫SDK，然後另一個實體開始呼叫batch-get-secret-value並get-secret-value使用 AWS CLI 從外部VPN， GuardDuty 可以報告第二個實體異常調用APIs的發現。如需詳細資訊，請參閱GuardDuty IAM尋找類型 CredentialAccess：IAMUser/AnomalousBehavior。