使用 Amazon GuardDuty 全新的自定义实体列表增强威胁检测

发布于: 2025年9月5日

今天，AWS 宣布正式推出使用实体列表进行自定义威胁检测的 Amazon GuardDuty。这项新功能扩大了支持范围（即将用户自己的基于域的威胁情报整合到最初支持的自定义 IP 列表之外的服务），由此增强了 GuardDuty 的威胁检测能力。现在，您可以使用自定义威胁列表中定义的恶意域或 IP 地址，在 GuardDuty 中检测威胁。作为本次更新的一部分，GuardDuty 引入了新的发现类型 Impact:EC2/MaliciousDomainRequest.Custom。当系统检测到与自定义威胁列表中的域相关的活动时，就会触发该发现类型。此外，您可以使用实体列表来禁止来自可信来源的警报，从而更好地控制威胁检测策略。

与之前的 IP 地址列表相比，实体列表提供了更高的灵活性。这些新列表可以包含 IP 地址和/或域，实现了更全面的威胁情报整合。与传统的 IP 列表格式不同，实体列表简化了权限管理，并避免了影响针对多个 AWS 区域的 IAM 策略大小限制，让您更容易在自己的 AWS 环境中实施和管理自定义威胁检测。

GuardDuty 自定义实体列表已在提供 GuardDuty 服务的所有 AWS 区域推出，中国区域和美国 GovCloud（美国）区域除外。