Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户、工作负载和在 Amazon S3 中存储的数据。迁移到云后,账户和网络活动的收集与聚合变得异常简单,但安全团队对事件日志数据进行持续的分析以发现潜在的威胁,则可能十分耗时。GuardDuty 为您提供了经济高效的智能选项,从而持续检测在 AWS 中发生的威胁。此服务使用机器学习、异常检测和集成威胁情报等手段,识别潜在的威胁并确定优先级别。GuardDuty 对来自多个 AWS 数据源(例如 AWS CloudTrail 事件日志、Amazon VPC 流日志和 DNS 日志)的数百亿事件进行分析。只需在 AWS 管理控制台中几次点击,就可以启用 GuardDuty,无需部署或维护任何软件或硬件。GuardDuty 警报与 Amazon CloudWatch Events 集成,具有极好的可行动性,非常便于跨多个账户聚合,并且可以直接推送到现有的事件管理和工作流程系统。
优势
全面识别威胁,疏而不漏
Amazon GuardDuty 通过持续监控 AWS 环境中的网络活动、数据访问模式和账户行为,从而识别威胁。GuardDuty 集成了来自 AWS、CrowdStrike 和 Proofpoint 的最新威胁情报源。威胁情报与机器学习和行为模型结合,帮助您检测加密货币挖矿、凭证破解行为、未经授权的异常数据访问、与已知命令和控制服务器通信或者来自已知恶意 IP 的 API 调用等活动。
通过自动化加强安全性
除了检测威胁之外,您还可以使用 Amazon GuardDuty 轻松设置自动响应威胁的方式,从而缩短修复和恢复时间。GuardDuty 可以利用 Amazon CloudWatch Events 和 AWS Lambda 执行自动化的修复操作。GuardDuty 安全发现结果对实施安全措施具有参考性和可操作性。这些发现结果包括受影响资源的详细信息和攻击者的信息,如 IP 地址和地理位置。
企业级集中管理
Amazon GuardDuty 使用 AWS Organizations 提供多账户支持,因此可以跨所有现有账户和新账户启用 GuardDuty。您的安全团队可以将组织中各账户的发现结果聚合到一个 GuardDuty 管理员账户中,以便进行管理。聚合后的检测结果也可通过 CloudWatch Events 使用,从而轻松与现有的企业事件管理系统集成。
工作原理

博客帖子和文章
精选客户






合作伙伴
会见已经集成了 Amazon GuardDuty 的 AWS APN 合作伙伴。 APN 合作伙伴产品是对现有 AWS 产品的补充,使您可以部署综合的安全架构,并为您提供更加流畅的跨 AWS 云和本地环境的无缝体验。查看完整的 Amazon GuardDuty 合作伙伴名单。