Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意或未经授权的行为,从而帮助保护您的 AWS 账户和工作负载。该服务会监控表明账户可能被盗用的活动,如异常 API 调用或潜在未授权部署。GuardDuty 还会检测可能受损的实例或来自攻击者的侦测。
您只需在 AWS 管理控制台中单击几次鼠标即可启用 Amazon GuardDuty,然后该服务便可立即开始分析您所有 AWS 账户上的数十亿个事件,以发现风险迹象。GuardDuty 通过集成的威胁情报源识别可疑攻击者,并使用机器学习来检测账户和工作负载活动中的异常。如果检测到潜在威胁,该服务会向 GuardDuty 控制台和 AWS CloudWatch Events 提供详细的安全警报。这使得用户可以根据警报采取措施,并将警报轻松集成到现有的事件管理和工作流系统中。
Amazon GuardDuty 既经济高效又易于使用。该服务不需要您部署和维护软件或安全基础设施,这意味着它可以快速启用,不会对现有应用程序工作负载造成负面影响。使用 GuardDuty 没有预付成本,也无需部署软件或收集威胁情报源。客户只需为使用 GuardDuty 分析的事件付费,并且每个注册该服务的新账户均可免费试用 30 天。
工作原理
优势
Amazon GuardDuty 可跨您的所有关联 AWS 账户收集、分析和关联来自 AWS CloudTrail、Amazon VPC 流日志和 DNS 日志的数十亿个事件,从而实现智能威胁检测。GuardDuty 可整合威胁情报(如 AWS Security 和第三方威胁情报合作伙伴提供的已知恶意 IP 地址列表),从而做出更准确的检测。GuardDuty 还会使用机器学习来检测异常账户和网络活动。例如,如果 GuardDuty 检测到从已知恶意 IP 地址发起的远程 API 调用(表明 AWS 凭证可能被盗用),就会提醒您。GuardDuty 还能检测到对 AWS 环境的直接威胁(表明实例受损),如在 DNS 查询中发送编码数据的 Amazon EC2 实例。
许多组织会使用多个 AWS 账户,以实现合理的成本分配、敏捷性和安全性。您只需在 AWS 管理控制台中单击几次鼠标,即可跨任意 AWS 账户启用 Amazon GuardDuty 来集中检测威胁。使用 GuardDuty,您无需安装额外的安全软件或基础设施即可分析账户和工作负载活动数据。您的安全操作中心团队可以通过单一控制台视图轻松管理和分类各种威胁,以及使用单个安全账户自动执行安全响应。
除了检测威胁之外,您还可以使用 Amazon GuardDuty 轻松设置自动响应这些威胁的方式,从而缩短修复和恢复时间。您可以基于 GuardDuty 的发现结果设置要触发的修复脚本或 AWS Lambda 函数。GuardDuty 安全发现结果包括受影响资源的详细信息,如标记、安全组或凭证。GuardDuty 发现结果也包括攻击者的信息,如 IP 地址和地理位置。这使得 GuardDuty 安全发现结果具有参考性和可操作性。例如,如果您未近乎实时地持续监控账户活动,那么就很难快速检测到账户盗用问题。如果您使用 GuardDuty,当该服务怀疑某个实例的数据遭到窃取时会提醒您,以便自动创建访问控制条目来限制该实例的出站访问。
博客帖子和文章
精选客户
威胁情报合作伙伴
详细了解 Amazon GuardDuty
