Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。迁移到云后,账户和网络活动的收集与聚合变得异常简单,但安全团队对事件日志数据进行持续的分析以发现潜在的威胁,则可能十分耗时。GuardDuty 为您提供了经济高效的智能选项,从而持续检测在 AWS 云中发生的威胁。此服务使用机器学习、异常检测和集成威胁情报等手段,识别潜在的威胁并确定优先级别。GuardDuty 对来自多个 AWS 数据源(例如 AWS CloudTrail、Amazon VPC Flow Logs 和 DNS 日志)的数百亿事件进行分析。只需在 AWS 管理控制台中几次点击,就可以启用 GuardDuty,无需部署或维护任何软件或硬件。GuardDuty 警报与 Amazon CloudWatch Events 集成,具有极好的可行动性,非常便于跨多个账户聚合,并且可以直接推送到现有的事件管理和工作流程系统。
工作原理
优势
全面识别威胁,疏而不漏
GuardDuty 通过持续监控 AWS 环境中的网络活动和账户行为,从而识别威胁。Amazon GuardDuty 集成了来自 AWS、CrowdStrike 和 Proofpoint 的最新威胁情报源。威胁情报与机器学习和行为模型结合,帮助您检测加密货币挖矿、凭证破解行为、与已知命令和控制服务器通信或者来自已知恶意 IP 的 API 调用等活动。
通过自动化加强安全性
除了检测威胁之外,您还可以使用 GuardDuty 轻松设置自动响应威胁的方式,从而缩短修复和恢复时间。GuardDuty 可以利用 Amazon CloudWatch 事件和 AWS Lambda 执行自动化的修复操作。GuardDuty 的安全检测结果可为安全操作提供丰富的信息,具有极好的可行动性,其发现包括受影响资源的详细信息以及 IP 地址和地理位置等攻击者信息。
企业级集中管理
GuardDuty 可让您轻松支持和管理多个账户。借助它的多账户功能,所有成员账户的检测结果都可以与 GuardDuty 管理员账户聚合。这样安全团队可以通过一个账户管理整个组织的所有 GuardDuty 检测结果。聚合后的检测结果也可通过 CloudWatch Events 使用,从而轻松与现有的企业事件管理系统集成。
博客帖子和文章
未返回任何项目。
精选客户
合作伙伴
会见已经集成了 Amazon GuardDuty 的 AWS APN 合作伙伴。 APN 合作伙伴产品是对现有 AWS 产品的补充,使您可以部署综合的安全架构,并为您提供更加流畅的跨 AWS 云和本地环境的无缝体验。查看完整的 Amazon GuardDuty 合作伙伴名单。
威胁情报合作伙伴
