发布于: Jan 22, 2021
Amazon GuardDuty 增加了 Amazon Detective 超链接按钮,从而可以更方便地从 GuardDuty 安全检测结果跳转到预先填充的 Amazon Detective 调查页面。
Amazon GuardDuty 持续监控恶意或未经授权的行为,并在检测到此类行为时生成安全检测结果,这包括有关所涉及资源、用户、IP、域和行为者的详细信息。Amazon Detective 是 Amazon GuardDuty 的补充,可组织和保留各种来源的日志和事件数据,例如 AWS CloudTrail 和 Amazon Virtual Private Cloud (VPC) 流日志,并将这些数据转换为易于分析的图形模型,从而总结跨客户启用的账户观察到的资源、用户行为和相关交互,最长可保留过去 12 个月的数据。Detective 使用这一数据来生成定制的可视化对象,从而总结工作负载和用户行为,让客户无需组织任何数据或开发、配置或优化自己的查询和算法,即可回答各种问题,例如:“此 EC2 参与了哪些网络活动?”或者“哪个联合身份用户调用了域此安全检测结果有关的 API?”。这些可视化对象提供了相关的详细信息、上下文和指导意见,可帮助安全分析师快速确定 Amazon GuardDuty 或类似安全解决方案所发现问题的性质和范围。
客户可以从检测结果或者与检测结果关联的资源(例如 EC2 实例、AWS 账户、IAM 用户或 IP 地址)出发,从 GuardDuty 控制台跳转至 Detective 控制台。这时 Detective 将直观地显示导致 GuardDuty 检测到威胁的 API 和网络活动的摘要及详细信息。成功解决问题后,检测结果可在 Detective 中存档,这将导致该检测结果同时也在 GuardDuty 中存档。 要了解更多信息,请参阅 Amazon GuardDuty 与 Amazon Detective 集成的用户指南。
Amazon GuardDuty 提供 30 天的免费试用期,从而方便用户免费学习和试用,无需任何承诺。在此期间,系统将会计算试用期结束后的预估服务成本并在 GuardDuty 控制台中显示,以方便用户在开始付费使用前评估所有账户的服务费用。同样,Amazon Detective 也提供 30 天的免费试用期,并在 Detective 控制台中显示预估的成本。利用这些免费试用优惠,您可以分别独立评估或一起评估这两项服务。只需在 AWS 管理控制台中点击几次,即可启用其中一个或同时启用这两项服务,从而开始使用。请参阅 AWS 区域页面,查看已推出 GuardDuty 和 Detective 的所有区域。