Amazon GuardDuty

提供智能威胁检测和持续监控,保护您的 AWS 账户和工作负载。

Amazon GuardDuty 是一种托管的威胁检测服务,可持续监控恶意或未经授权的行为,从而帮助保护您的 AWS 账户和工作负载。该服务会监控表明账户可能被盗用的活动,如异常 API 调用或潜在未授权部署。GuardDuty 还能检测到各种威胁,例如实例可能被盗用或者遭到攻击者监视。

您只需在 AWS 管理控制台中单击几次鼠标即可启用 Amazon GuardDuty,然后该服务便可立即开始分析您所有 AWS 账户上的数十亿个事件,以发现风险迹象。GuardDuty 通过集成的威胁情报源识别可疑攻击者,并使用机器学习来检测账户和工作负载活动中的异常。如果检测到潜在威胁,该服务会向 Amazon GuardDuty 控制台和 AWS CloudWatch 事件提供详细的安全警报。这使得警报可以操作,并且易于集成到现有的事件管理和工作流系统中。

Amazon GuardDuty 既经济高效又易于使用。该服务不需要您部署和维护软件或安全基础设施,这意味着它可以快速启用,不会对现有应用程序工作负载造成负面影响。使用 Amazon GuardDuty 没有预付成本,也无需部署软件或收集威胁情报源。客户只需按 Amazon GuardDuty 分析的事件付费,并且每个新服务注册账户均可免费试用 30 天。

查看 Amazon GuardDuty 简介

优势

智能威胁检测

跨所有 AWS 账户集中检测威胁

通过自动化加强安全性

Amazon GuardDuty 可跨您的所有关联 AWS 账户收集、分析和关联来自 AWS CloudTrail、Amazon VPC 流日志和 DNS 日志的数十亿个事件,从而实现智能威胁检测。GuardDuty 可整合威胁情报 (如 AWS Security 和第三方威胁情报合作伙伴提供的已知恶意 IP 地址列表),从而做出更准确的检测。GuardDuty 还会使用机器学习来检测异常账户和网络活动。例如,如果 GuardDuty 检测到从已知恶意 IP 地址发起的远程 API 调用 (表明 AWS 凭证可能被盗用),就会提醒您。GuardDuty 还能检测到对 AWS 环境的直接威胁 (表明实例被盗用),如在 DNS 查询中发送编码数据的 Amazon EC2 实例。

许多组织会使用多个 AWS 账户,以实现合理的成本分配、敏捷性和安全性。您只需在 AWS 管理控制台中单击几次鼠标,即可跨任意 AWS 账户启用 Amazon GuardDuty 来集中检测威胁。使用 GuardDuty,您无需安装额外的安全软件或基础设施即可分析账户和工作负载活动数据。您的安全操作中心团队可以通过单一控制台视图轻松管理和分类各种威胁,以及使用单个安全账户自动执行安全响应。

除了检测威胁之外,您还可以使用 Amazon GuardDuty 轻松设置一种方式来自动响应这些威胁,从而缩短修复和恢复时间。您可以基于 GuardDuty 发现设置修复脚本或要触发的 AWS Lambda 函数。GuardDuty 安全发现包括受影响资源的详细信息,如标记、安全组或凭证。GuardDuty 发现也包括攻击者的信息,如 IP 地址和地理位置。这使得 GuardDuty 安全发现具有参考性和可操作性。例如,如果您未近乎实时地持续监控账户活动,那么就很难快速检测到账户盗用问题。如果您使用 GuardDuty,当该服务怀疑某个实例的数据遭到窃取时会提醒您,以便自动创建访问控制条目来限制该实例的出站访问。

工作原理

GuardDuty_20171127

威胁情报合作伙伴

Proofpoint-logo_200x100
200x100_CrowdStrike_Logo

详细了解 Amazon GuardDuty 的功能

访问功能页面
准备好开始使用?
注册
还有更多问题?
联系我们