开始免费试用 30 天
包含在 AWS Free Tier 中
持续地监控您的 AWS 账户、实例、无服务器和容器工作负载、用户、数据库和存储以找出潜在威胁。
利用来自 AWS 和领先第三方的异常检测、机器学习、行为建模和威胁情报源功能快速地揭示威胁。
通过发起自动响应及早消解威胁。
在您的环境中快速轻松地扩展威胁检测。
工作原理
此图详细介绍了 GuardDuty 的功能以及与不同 AWS 工作负载和资源类型的集成。该图分为五个部分,从左到右显示。
第一部分的标题是“Amazon GuardDuty”,上面显示:“A threat detection service that continuously monitors for compromised accounts, anomalous behavior, and malware”。
第二部分的标题是“Activate GuardDuty”。 第二部分显示:“With a few steps in the console, monitor all your AWS accounts without additional software to deploy or manage”。
第三部分介绍您可以使用 Amazon GuardDuty 持续监控威胁的不同工作负载和资源类型。概述的项目包括:Amazon S3、数据库、容器工作负载、实例工作负载、账户和用户以及无服务器。
在第三部分中,在工作负载和资源类型下,有一个标题为“Continuously analyze”的方框。 方框上显示文本:“Automatically and continuously monitor AWS workloads and resources for potential threats at scale”。
第四部分有一个描绘十字瞄准线,且带有警报或警告图标的插图。本节介绍了 GuardDuty 如何智能地检测威胁,并显示文本”GuardDuty uses machine learning, anomaly detection, malware scanning, and integrated threat intelligence to identify and prioritize potential threats”。
适用于 AWS 工作负载保护的 Amazon GuardDuty
Amazon GuardDuty 分析和处理来自基础数据来源的数据,以检测涉及 AWS Identity and Access Management(IAM)访问密钥和 Amazon Elastic Compute Cloud(Amazon EC2)的异常情况。您还可以激活 GuardDuty 保护计划来分析来自 AWS 环境中其他 AWS 服务的其他数据,从而使用 Amazon S3、Amazon EKS、Amazon RDS 和 AWS Lambda 保护工作负载。
GuardDuty EKS Protection
GuardDuty EKS Protection 是一种 GuardDuty 功能,通过分析 Amazon EKS 审计日志监控 Amazon EKS 集群控制面板活动。
GuardDuty EKS 运行时系统监控
检测来自 30 多个安全检测结果的运行时系统威胁,以保护您的 Amazon EKS 集群。EKS 运行时系统监控使用完全托管的 EKS 插件,该插件增加了对单个容器运行时系统活动(例如文件访问、流程执行和网络连接)的可见性。
GuardDuty 恶意软件防护
当 GuardDuty 检测到 Amazon EC2 上运行的某个 Amazon EC2 实例或容器工作负载正在执行可疑操作时,扫描工作负载是否存在恶意软件。
GuardDuty RDS Protection
使用量身定制的机器学习模型和集成的威胁情报,GuardDuty 可以从 Amazon Aurora 开始检测 Amazon Relational Database Service(Amazon RDS)中的潜在威胁,例如高严重性的暴力攻击、可疑登录和已知威胁源的访问。
GuardDuty Lambda Protection
从您的无服务器工作负载开始持续监控网络活动,从 VPC 流日志开始检测威胁,例如被恶意改用于未经授权的加密货币挖矿的 AWS Lambda 函数,或与已知威胁源服务器通信的受损 Lambda 函数。
使用案例
提高安全操作可视性
获取受损凭证、Amazon Simple Storage Service(S3)中的异常数据访问、Amazon Aurora 中的可疑登录以及来自已知恶意 IP 地址的 API 调用的洞察。
协助分析师进行调查并自动进行补救
接收包含上下文、元数据和受影响资源详细信息的调查发现。使用 Amazon Detective 确定根本原因。将调查发现路由至 AWS Security Hub 和 Amazon EventBridge。
识别包含恶意软件的文件
扫描 Amazon Elastic Block Store(EBS)是否存在包含恶意软件的文件,它们会在运行于 Amazon Elastic Compute Cloud(EC2)上的实例和容器工作负载中产生恶意行为。
检测和缓解容器环境中的威胁
通过分析 Amazon EKS 审核日志和容器运行时系统活动,识别和分析容器工作负载中可能存在的恶意或可疑行为。
