服务概述

问:什么是 Amazon GuardDuty?

GuardDuty 是一种智能威胁检测服务,无需使用安全软件或代理即可持续监测您的 AWS 账户、Amazon Elastic Compute Cloud(EC2)实例、Amazon Elastic Kubernetes Service(EKS)集群以及存储在 Amazon Simple Storage Service(S3)中的数据是否存在恶意活动。如果检测到潜在恶意活动,例如异常行为、凭证泄漏或命令和控制基础设施(C2)通信,GuardDuty 将会生成详细的安全检测结果,可用于获得安全可见性并协助进行修复。此外,使用 Amazon GuardDuty Malware Protection 功能还有助于检测挂载到 EC2 实例和容器工作负载的 Amazon Elastic Block Store(EBS)卷上的恶意文件。

问:GuardDuty 的主要优势有哪些?

借助 GuardDuty,可以轻松实现对 AWS 账户、工作负载和 Amazon S3 中存储的数据的持续监控。GuardDuty 的运行完全独立于您的资源,因此不会对您的工作负载的性能或可用性产生影响。该服务完全托管,集成了威胁情报、机器学习(ML)异常检测和恶意软件扫描。GuardDuty 提供的警报内容详细,可行动性强,适合与现有的事件管理和工作流程系统集成。您无需预付任何费用,只需为分析的事件付费,不需要部署额外的软件,也不需要订阅威胁情报源。

问:使用 GuardDuty 需要多少费用?

GuardDuty 价格根据分析的服务日志的数量和为发现恶意软件而扫描的数据量共同确定。分析的服务日志经过筛选以优化成本,并直接与 GuardDuty 集成,这意味着您无需单独启用这些日志或支付这些日志的费用。

有关其他详细信息和定价示例,请参阅 Amazon GuardDuty 定价

问:GuardDuty 付款人账户中的预估费用显示的是关联账户的总费用,还是只是单个付款人账户的费用?

估计成本代表单个付款人账户的成本,您将会在 GuardDuty 管理员账户中看到每个成员账户的计费使用量和平均每日成本。如果您要查看详细使用信息,则必须转到单个账户。

 

问:是否可以免费试用 GuardDuty?

可以,GuardDuty 新账户均可以免费试用此服务 30 天。免费试用期间,您可以使用所有的功能和检测服务。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

问:GuardDuty 和 Amazon Macie 有什么不同之处?

GuardDuty 可对您的 AWS 账户、工作负载和数据进行广泛的安全监测,以帮助识别威胁,例如攻击者侦察;实例、账户、桶或 Amazon EKS 集群盗用;以及恶意软件。Macie 是一种完全托管的敏感数据发现服务,使用 ML 和模式匹配来发现 S3 中的敏感数据。

问:GuardDuty 是区域性服务还是全球性服务?

GuardDuty 是一种区域性服务。即使启用多个账户并使用多个区域,GuardDuty 的安全检测结果仍然保存在生成底层数据的区域。这样可以确保分析的所有数据以区域为基础,且不会跨越 AWS 区域边界。但是,您可以选择使用 Amazon CloudWatch Events 或将检测结果推送到自己的数据存储(例如 S3)中,然后在您认为合适时将这些检测结果进行聚合,从而聚合 GuardDuty 在各个区域生成的安全检测结果。您还可以将 GuardDuty 检测结果发送到 AWS Security Hub 并使用其跨区域聚合功能。

问:GuardDuty 支持哪些区域?

AWS 区域性服务列表中列出了 GuardDuty 区域可用性。

问:哪些合作伙伴使用 GuardDuty?

很多技术合作伙伴已集成 GuardDuty 并将其用作构建基础。还有很多拥有关于 GuardDuty 的专业知识的咨询机构、系统集成商和托管安全服务提供商。有关详细信息,请参阅 Amazon GuardDuty 合作伙伴页面。

问:GuardDuty 是否有助于满足支付卡行业数据安全标准(PCI DSS)要求?

Foregenix 发布的白皮书详细评估了 GuardDuty 帮助满足合规性要求的有效性,例如 PCI DSS 要求 11.4,它要求在网络中的关键点使用入侵检测技术。

启用 GuardDuty

问:如何启用 GuardDuty?

只需在 AWS 管理控制台中单击几次,即可设置和部署 GuardDuty。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。

问:可以使用 GuardDuty 管理多个账户吗?

可以,GuardDuty 拥有多账户管理功能,允许您从单个管理员账户关联并管理多个 AWS 账户。使用该功能后,系统会将所有安全检测结果聚合到管理员账户,供用户查看并采取修复措施。使用此配置时,CloudWatch Events 也会聚合到 GuardDuty 管理员账户中。此外,GuardDuty 还与 AWS Organizations 集成,允许您为贵组织委派 GuardDuty 管理员账户。委派管理员(DA)账户是一个集中账户,合并所有结果并能配置所有成员账户。

问:GuardDuty 分析哪些数据来源?

GuardDuty 分析 CloudTrail 管理事件日志、CloudTrail S3 数据事件日志、VPC 流日志、DNS 查询日志和 Amazon EKS 审计日志。启用 GuardDuty Malware Protection 后 GuardDuty 还可以扫描 EBS 卷数据是否存在可能的恶意软件,并识别可指示 EC2 实例或容器工作负载中的恶意软件的可疑行为。该服务经过优化,可以使用大量数据近乎实时地执行安全检测。GuardDuty 使您可以访问专门针对云服务开发和优化的内置检测技术,该数据由 GuardDuty 工程团队维护和不断改进。

问:GuardDuty 的运行速度如何?

启用之后,GuardDuty 就开始分析是否存在恶意活动或未经授权的活动。收到检测结果的时间取决于您账户中的活动级别。GuardDuty 不分析历史数据,只分析在其启用后开始的活动。如果 GuardDuty 识别出潜在威胁,您将在 GuardDuty 控制台中收到检测结果。

问:要使 GuardDuty 正常运行,必须启用 CloudTrail、VPC 流日志、DNS 查询日志或 Amazon EKS 审计日志吗?

不,GuardDuty 直接从 CloudTrail、VPC 流日志、DNS 查询日志和 Amazon EKS 中提取独立的数据流。您不需要管理 S3 存储桶策略,也不需要修改收集和存储日志的方式。GuardDuty 权限作为与服务关联的角色管理。您可以随时禁用 GuardDuty,那样将会删除所有 GuardDuty 权限。这使得您可以更轻松地启用该服务,因为避免了复杂的配置。与服务关联的角色也消除了 AWS Identity and Access Management(IAM)权限误配置或 S3 桶策略变更影响服务运行的机会。最后,与服务关联的角色使 GuardDuty 非常高效地使用大量数据,近乎实时,并且几乎甚至完全不影响您的账户或工作负载的性能和可用性。

问:在我的账户中启用 GuardDuty 会对性能或可用性产生影响吗?

GuardDuty 的运行完全独立于您的 AWS 资源,因此对您的账户或工作负载的性能或可用性没有影响。

问:GuardDuty 会管理或保存我的日志吗?

不,GuardDuty 不会管理或保留您的日志。GuardDuty 使用的所有数据都会被近乎实时地分析,然后丢弃。这让 GuardDuty 不仅经济、高效,还能降低数据残留的风险。如需传输和保存日志,您应该直接使用 AWS 的日志记录和监控服务,这些服务可以提供功能全面的传输和保存选项。

问:怎样阻止 GuardDuty 分析我的日志和数据来源?

您可以随时在常规设置中选择暂停该服务,以阻止 GuardDuty 分析您的数据来源。这样会让该服务立即停止分析数据,但不会删除您的现有检测结果或配置。您也可以在常规设置中选择禁用该服务。这样会删除包括现有检测结果和配置在内的所有剩余数据,然后撤销该服务的权限并重置该服务。您还可以通过管理控制台或通过 AWS CLI 选择性地禁用一些功能,例如 GuardDuty S3 Protection 或 GuardDuty EKS Protection。

GuardDuty 检测结果

问:GuardDuty 可以检测哪些风险?

GuardDuty 让您可以访问专门针对云服务开发和优化的内置检测技术。其检测算法由 GuardDuty 工程师进行维护和不断改进。主要检测类别包括以下各项:

  • 侦察:表明攻击者在进行侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
  • 实例盗用:表明存在实例盗用的活动,例如加密货币挖矿、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 EC2 临时凭证以及使用 DNS 造成数据外泄。
  • 账户盗用:表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图停用 CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施、凭证泄漏以及来自已知恶意 IP 地址的 API 调用。
  • 存储桶入侵:指示存储桶入侵的活动,例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问,以及用户为在 S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。GuardDuty 持续监控和分析 CloudTrail S3 数据事件(例如 GetObject、ListObjects 和 DeleteObject),以检测您所有 S3 存储桶中的可疑活动。
  • 恶意软件检测:当发现可指示 EC2 实例或容器工作负载中存在恶意软件的可疑行为时,GuardDuty 就开始恶意软件扫描。GuardDuty 生成挂载到 EC2 实例或容器工作负载等的 EBS 卷的临时副本,并扫描这些卷副本是否存在木马、蠕虫、加密矿工、rootkit、自动程序和更多威胁,它们可能会被用于盗用工作负载、将资源重新用于恶意用途,以及获得对数据的未经授权访问。GuardDuty Malware Protection 生成情景化的检测结果,可用于验证可疑行为的来源。这些检测结果可以传送给适当的管理员,并发起自动修复。
  • 容器盗用:识别容器工作负载中可能为恶意或可疑行为的活动,检测方式是通过分析其 Amazon EKS 审计日志持续地监控和分析 Amazon EKS 集群。

问:什么是 GuardDuty 威胁情报?

GuardDuty 威胁情报由确定攻击者会使用的 IP 地址和域组成。GuardDuty 威胁情报由 AWS 以及 Proofpoint 和 CrowdStrike 等第三方提供商提供。这些威胁情报馈送数据已预先集成到 GuardDuty 中,并会免费持续更新。

问:可以提供我自己的威胁情报吗?

可以,GuardDuty 允许您上传自己的威胁情报或可信 IP 地址列表。使用该功能时,您上传的安全列表仅适用于您的账户,不与其他客户共享。

问:安全检测结果是如何传输的?

如果检测到潜在威胁,GuardDuty 会向 GuardDuty 控制台和 CloudWatch Events 发送详细的安全检测结果。这使警报更有可操作性,并能与现有的事件管理或工作流程系统更轻松地集成。检测结果包括类别、受影响的资源以及与该资源相关的元数据,例如严重程度。

问:GuardDuty 检测结果采用什么格式?

GuardDuty 检测结果采用常见的 JavaScript 对象表示法(JSON)格式,Macie 和 Amazon Inspector 采用的也是这种格式。客户和合作伙伴可以更轻松地利用这三项服务的安全检测结果,并将其纳入更广泛的事件管理、工作流程或安全解决方案中。

问:安全检测结果在 GuardDuty 中的保存时间是多久?

安全检测结果在 GuardDuty 控制台和 API 中的保留时间是 90 天。90 天后,系统会丢弃检测结果。要在 90 天后继续保留检测结果,您可以启用 CloudWatch Events 将检测结果自动推送到您账户的 S3 存储桶或其他数据存储中进行长期保留。

问:我可以汇总 GuardDuty 结果吗?

可以,您可以选择使用 CloudWatch Events 或将检测结果推送到自己的数据存储(例如 S3)中,然后在您认为合适时将这些检测结果进行聚合,从而聚合 GuardDuty 在各个区域生成的安全检测结果。您还可以将 GuardDuty 检测结果发送到 Security Hub 并使用其跨区域聚合功能。

问:GuardDuty 支持自动预防措施吗?

借助 GuardDuty、CloudWatch Events 和 AWS Lambda,您可以根据安全检测结果灵活设置自动修复措施。例如,您可以创建一个 Lambda 函数,使其根据安全检测结果来修改 AWS 安全组规则。如果 GuardDuty 检测结果表明已知的恶意 IP 正在探测您的 EC2 实例之一,您可以利用 CloudWatch Events 规则来发起一个 Lambda 函数,以便自动修改您的安全组规则并限制对相应端口的访问,从而解决这个问题。

问:GuardDuty 检测功能是如何开发和管理的?

有专门的团队负责 GuardDuty 检测功能的工程、管理和迭代。这样可以保证新检测功能的定期更新以及现有检测功能的持续迭代。该服务内置了一些反馈机制,例如 GuardDuty 用户界面(UI)中每条安全检测结果都附带表示认可或否定的选项。这让您能够提供反馈,以便纳入以后的 GuardDuty 检测功能中。

问:可以在 Amazon GuardDuty 中编写自定义检测功能吗?

不能,GuardDuty 让您摆脱了开发和维护自己的自定义规则带来的沉重负担和复杂性。我们会根据客户的反馈以及 AWS 安全工程师和 GuardDuty 工程团队的研究结果,持续增加新的检测功能。但是,客户配置的自定义选项包括添加您自己的威胁列表和可信 IP 地址列表

GuardDuty S3 Protection

问:如果我目前正在使用 GuardDuty,如何开始使用 S3 Protection?

对于当前 GuardDuty 账户,可以在控制台中或通过 API 启用 S3 Protection。在 GuardDuty 控制台中,您可以转到 S3 Protection 控制台页面,并为您的账户启用此功能。这将开始 30 天的 GuardDuty S3 Protection 功能免费试用。

问:是否可以免费试用 GuardDuty S3 Protection?

是的,您可以免费试用 30 天。每个区域中的每个账户均可获得 GuardDuty 的 30 天免费试用,包括 S3 Protection 功能。已启用 GuardDuty 的账户在首次激活 S3 Protection 功能时,也将获得 30 天的免费试用期。

问:如果我是 GuardDuty 的新用户,默认情况下我的账户是否启用了 S3 Protection?

是。默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将启用 S3 Protection。默认情况下,使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户不会打开 S3 Protection,除非打开了“S3 自动启用”选项。

问:是否可以在不启用完整 GuardDuty 服务(包括 VPC 流日志、DNS 查询日志和 CloudTrail 管理事件分析)的情况下使用 GuardDuty S3 Protection?

不能,必须启用 GuardDuty 服务才能使用 S3 Protection。当前的 GuardDuty 账户有用于启用 S3 Protection 的选项,新 GuardDuty 账户在启用 GuardDuty 服务后即默认拥有该功能。

问:GuardDuty 是否会监控账户中的所有存储桶以帮助保护我的 S3 部署?

是的,S3 Protection 默认情况下监控环境中的所有 S3 存储桶。

问:是否需要为 S3 Protection 打开 CloudTrail S3 数据事件日志记录?

不,GuardDuty 可以直接访问 CloudTrail S3 数据事件日志。您不需要在 CloudTrail 中启用 S3 数据事件日志记录,因此将不会产生相关的成本。请注意,GuardDuty 不会存储日志,仅会将其用于分析。

GuardDuty EKS Protection

问:GuardDuty EKS Protection 的工作原理是什么?

GuardDuty EKS Protection 是一种 GuardDuty 功能,通过分析 Amazon EKS 审计日志监控 Amazon EKS 集群控制面板活动。GuardDuty 与 Amazon EKS 集成,可直接访问 Amazon EKS 审计日志,而无需您打开或存储这些日志。这些审计日志是与安全相关的时间顺序记录,它们记录在 Amazon EKS 控制面板上执行的操作顺序。此类 Amazon EKS 审计日志为 GuardDuty 提供所需的可见性,以持续监控 Amazon EKS API 活动并应用经过验证的威胁情报和异常检测来识别可能使您的 Amazon EKS 集群遭未经授权访问的恶意活动或配置更改。当发现威胁时,GuardDuty 会生成安全结果,其中包括威胁类型、严重程度和容器级详细信息(例如,容器组 ID、容器映像 ID 和相关标签)。

问:GuardDuty EKS Protection 可在我的 Amazon EKS 工作负载上检测到哪些威胁类型?

GuardDuty EKS Protection 可以检测与 Amazon EKS 审计日志中捕获的用户和应用程序相关的威胁。Amazon EKS 威胁检测包括由已知恶意攻击者访问或者来自 Tor 节点、由可能指示错误配置的匿名用户执行的 API 操作以及可能导致未授权访问 Amazon EKS 集群的错误配置的 Amazon EKS 集群。此外,通过使用 ML 模型,GuardDuty 可以识别与特权提升技术一致的模式,例如通过对基础 EC2 主机的根级访问恶意启动容器。有关所有新检测功能的完整列表,请参阅 Amazon GuardDuty 结果类型

问:我需要启用 Amazon EKS 审计日志吗?

不需要。GuardDuty 可直接访问 EKS 审计日志。请注意,GuardDuty 只会将这些日志用于分析;它不会存储,而且您也不需要启用或为这些 Amazon EKS 审计日志付费即可与 GuardDuty 进行共享。为优化成本,GuardDuty 会应用智能筛选条件,只使用与安全威胁检测有关的审计日志子集。

问:是否可以免费试用 GuardDuty EKS Protection?

是的,您可以免费试用 30 天。每个区域中的每个新 GuardDuty 账户可免费试用 GuardDuty 30 天,其中包括 GuardDuty EKS Protection 功能。现有的 GuardDuty 账户则可以试用 GuardDuty EKS Protection 30 天,而不会产生额外费用。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

问:如果我目前正在使用 GuardDuty,如何开始使用 GuardDuty EKS Protection?

必须为每个账户分别启用 GuardDuty EKS Protection。您可以从 GuardDuty EKS Protection 控制台页面通过在 GuardDuty 控制台中单击一次来启用该功能。如果在 GuardDuty 多账户配置中进行操作,您可以从 GuardDuty 管理员账户 GuardDuty EKS Protection 页面为整个组织启用 GuardDuty EKS Protection。此操作将在所有独立成员账户中启用 Amazon EKS 持续监控。对于使用 AWS Organizations 自动启用功能创建的 GuardDuty 账户,您必须显式打开“Amazon EKS 自动启用”。一旦为某个账户启用该功能,该账户中的全部现有及未来 Amazon EKS 集群都将接受威胁监控,而无需在您的 Amazon EKS 集群上执行任何配置。

问:如果我是新 GuardDuty 用户,默认情况下我的账户是否启用了 GuardDuty EKS Protection?

是的,默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将启用 GuardDuty EKS Protection。请注意,默认情况下,使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户不会启用 GuardDuty EKS Protection,除非启用了“Amazon EKS 自动启用”选项。

问:如何禁用 GuardDuty EKS Protection?

您可以在控制台中或使用 API 禁用此功能。在 GuardDuty 控制台中,您可以在 GuardDuty EKS Protection 控制台页面上为您的账户禁用 GuardDuty EKS Protection。如果您有 GuardDuty 管理员账户,还可以为您的成员账户禁用此功能。

问:如果我禁用了 GuardDuty EKS Protection,该如何再次启用?

如果您以前禁用了 GuardDuty EKS Protection,则可以在控制台中或使用 API 重新启用此功能。在 GuardDuty 控制台中,您可以在 GuardDuty EKS Protection 页面上为您的账户启用 GuardDuty EKS Protection。

问:我必须在每个 AWS 账户和 Amazon EKS 集群上分别启用 GuardDuty EKS Protection 吗?

必须为每个账户分别启用 GuardDuty EKS Protection。如果在 GuardDuty 多账户配置中进行操作,您可以为整个组织启用 Amazon EKS 威胁检测,只需在 GuardDuty 管理员账户 GuardDuty EKS Protection 控制台页面上单击一次即可完成。此操作将在所有独立成员账户中启用 Amazon EKS 威胁检测。一旦为某个账户启用该功能,该账户中的全部现有及未来 Amazon EKS 集群都将接受威胁监控,而无需在您的 Amazon EKS 集群上执行手动配置。

问:如果我不使用 Amazon EKS,并且在 GuardDuty 中启用了 GuardDuty EKS Protection,是否将会向我收费?

如果您不使用 Amazon EKS,并且已启用 GuardDuty EKS Protection,则不需要承担任何 GuardDuty EKS Protection 费用。但是,当您开始使用 Amazon EKS 时,GuardDuty 将自动监控您的集群并针对发现的问题生成检测结果,您将需要承担此监控的费用。

问:是否可以在不启用完整 GuardDuty 服务(包括 VPC 流日志、DNS 查询日志和 CloudTrail 管理事件分析)的情况下启用 GuardDuty EKS Protection?

不能,必须启用 GuardDuty 服务才可使用 GuardDuty EKS Protection。

问:GuardDuty EKS Protection 是否为 AWS Fargate 上的 Amazon EKS 部署监控 Amazon EKS 审计日志?

是,GuardDuty EKS Protection 会监控来自部署在 EC2 实例上的 Amazon EKS 集群和部署在 Fargate 上的 Amazon EKS 集群的 Amazon EKS 审计日志。

问:GuardDuty 是否会监控 EC2 或 Amazon EKS Anywhere 上的非托管 Amazon EKS?

此功能目前仅支持在 EC2 实例上运行的 Amazon EKS 部署,而且这些 EC2 实例必须位于您的账户中或 Fargate 上。

问:使用 GuardDuty EKS Protection 会影响在 Amazon EKS 上运行的容器的性能和成本吗?

不会。按照设计,GuardDuty EKS Protection 不会对 Amazon EKS 工作负载部署造成任何性能、可用性或成本影响。

问:我必须在每个 AWS 区域分别启用 GuardDuty EKS Protection 吗?

是,GuardDuty 是一项区域性服务,因此 GuardDuty EKS Protection 必须在每个 AWS 区域中分别启用。

GuardDuty Malware Protection

问:Amazon GuardDuty Malware Protection 的工作原理是什么?

当发现可指示 EC2 实例或容器工作负载中存在恶意软件的可疑行为时,GuardDuty 就开始恶意软件扫描。它扫描 GuardDuty 根据 EBS 卷的快照生成的副本 EBS 卷是否存在木马、蠕虫、加密矿工、rootkit、自动程序和更多威胁。GuardDuty Malware Protection 生成情景化的检测结果,可帮助验证可疑行为的来源。这些检测结果还可以传送给适当的管理员,并可发起自动修复。

问:哪些 GuardDuty EC2 检测结果类型将发起恶意软件扫描?

此处列出了将会发起恶意软件扫描的 GuardDuty EC2 检测结果。

问:GuardDuty Malware Protection 可以扫描哪些资源和文件类型?

Malware Protection 支持通过扫描挂载到 EC2 实例的 EBS 卷来检测恶意文件。它可以扫描该卷中存在的任何文件,It can scan any file present on the volume, and the supported file system types can be found here.

问:GuardDuty Malware Protection 可以检测哪些威胁类型?

Malware Protection 可扫描木马、蠕虫、加密矿工、rootkit 和自动程序之类的威胁,它们可能会被用于盗用工作负载,将资源重新用于恶意用途,以及获得对数据的未经授权访问。

问:是否需要打开日志记录功能才能使 GuardDuty Malware Protection 正常工作?

不需要启用服务日志记录 GuardDuty 或 Malware Protection 功能就可以正常工作。Malware Protection 功能是 GuardDuty 的一部分,它是一种 AWS 服务,使用来自集成内部和外部来源的情报。

问:GuardDuty Malware Protection 如何在没有代理的情况下完成扫描?

GuardDuty Malware Protection 将根据挂载到您的账户中可能受影响的 EC2 实例或容器工作负载的 EBS 卷的快照创建一个副本并进行扫描,而不使用安全代理。您通过与服务关联的角色授予 GuardDuty 的权限允许该服务在 GuardDuty 的服务账户中从保留在您的账户中的该快照创建加密卷副本。然后,GuardDuty Malware Protection 将扫描该卷副本是否存在恶意软件。

问:是否可以免费试用 GuardDuty Malware Protection?

可以,每个区域内的每个新 GuardDuty 账户可免费试用 GuardDuty 30 天,其中包括 Malware Protection 功能。现有 GuardDuty 账户首次在账户中启用 Malware Protection 时,也可试用 30 天而无需额外收费。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面查看试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

问:如果我目前正在使用 GuardDuty,如何开始使用 GuardDuty Malware Protection?

您可以转到 Malware Protection 页面或使用 API 以在 GuardDuty 控制台中启用 Malware Protection。如果在 GuardDuty 多账户配置中进行操作,您可以在 GuardDuty 管理员账户的 Malware Protection 控制台页面中为整个组织启用此功能。这样将在所有独立成员账户中启用恶意软件监控。对于使用 AWS Organizations 自动启用功能创建的 GuardDuty 账户,您需要明确地为 Malware Protection 选项启用“自动启用”。

问:如果我是 GuardDuty 的新用户,默认情况下我的账户是否启用了 Malware Protection?

是,利用控制台或 API 启用了 GuardDuty 的任何新账户默认情况下也将启用 GuardDuty Malware Protection。对于使用 AWS Organizations 自动启用功能创建的新 GuardDuty 账户,您需要明确地为 Malware Protection 选项启用“自动启用”。 

问:如何禁用用于 GuardDuty Malware Protection?

您可以在控制台中或使用 API 禁用此功能。在 GuardDuty 控制台中、Malware Protection 控制台页面上,您将会看到用于为您的账户禁用 Malware Protection 的选项。如果您有 GuardDuty 管理员账户,还可以为您的成员账户禁用 Malware Protection。

问:如果我禁用了 GuardDuty Malware Protection,该如何再次启用?

如果禁用了 Malware Protection,您可以在控制台中或使用 API 启用此功能。在 GuardDuty 控制台中、Malware Protection 控制台页面上,您可以为您的账户启用 Malware Protection。

问:如果在计费周期中未执行 GuardDuty 恶意软件扫描,是否会存在任何收费?

不,如果在计费周期内未扫描恶意软件,将不会产生 Malware Protection 收费。您可以在 AWS Billing Console 中查看此功能的成本。

问:GuardDuty Malware Protection 是否支持多账户管理?

可以,GuardDuty 拥有多账户管理功能,允许您从单个管理员账户关联并管理多个 AWS 账户。GuardDuty 通过 AWS Organizations 集成支持多账户管理。此集成可帮助安全与合规团队确保 GuardDuty 完全覆盖组织中的所有账户,其中包括 Malware Protection 功能。

问:我需要执行任何配置更改、部署任何软件,或修改我的 AWS 部署吗?

否。启用此功能后,GuardDuty Malware Protection 就将发起恶意软件扫描以响应相关 EC2 检测结果。您没有部署任何代理,没有需要启用的日志来源,也没有需要进行的其他配置更改。

问:使用 GuardDuty Malware Protection 是否会影响运行工作负载的性能?

GuardDuty Malware Protection 按照设计不会影响您的工作负载的性能。例如,为恶意软件分析创建的 EBS 卷快照在 24 小时的期限内只能生成一次,并且 GuardDuty Malware Protection 仅将加密副本和快照保留到完成扫描后几分钟。此外,GuardDuty Malware Protection 使用 GuardDuty 计算资源进行恶意软件扫描,而非使用客户计算资源。

问:我必须在每个 AWS 区域分别启用 GuardDuty Malware Protection 吗?

是,GuardDuty 是一项区域性服务,Malware Protection 必须在每个 AWS 区域中分别启用。

问:GuardDuty Malware Protection 如何使用加密?

GuardDuty Malware Protection 根据挂载到您的账户中可能受影响的 EC2 实例或容器工作负载的 EBS 卷的快照扫描副本。如果 EBS 卷使用客户管理的密钥进行加密,您可以选择通过 GuardDuty 共享 AWS Key Management Service(KMS)密钥,该服务使用相同的密钥来加密副本 EBS 卷。对于未加密的 EBS 卷,GuardDuty 使用其自己的密钥来加密副本 EBS 卷。

问:EBS 卷副本是否与原始卷在同一个区域中进行分析?

是,所有副本 EBS 卷数据(以及副本卷所基于的快照)都留在与原始 EBS 卷相同的区域中。

问:如何估计和控制用在 GuardDuty Malware Protection 上的支出?

每个区域内的每个新 GuardDuty 账户可免费试用 GuardDuty 30 天,其中包括 Malware Protection 功能。现有 GuardDuty 账户首次在账户中启用 Malware Protection 时,也可试用 30 天而无需额外收费。在免费试用期间,您可以在 GuardDuty 控制台使用情况页面估计试用结束后的成本估计。如果是 GuardDuty 管理员,您将可查看自己的成员账户的估计成本。在 30 天以后,您可以前往 AWS Billing Console 查看此功能的实际成本。

此功能的定价基于在卷中扫描了多少 GB 的数据。您可以从控制台使用扫描选项应用自定义,以使用标签来标记一些要包含在扫描中或从扫描中排除的 EC2 实例,从而控制成本。此外,GuardDuty 每 24 小时将仅扫描 EC2 实例一次。如果 GuardDuty 在 24 小时内为 EC2 实例生成了多个 EC2 检测结果,则将仅对第一个相关 EC2 检测结果进行扫描。如果继续生成 EC2 检测结果,例如在最后一次恶意扫描 24 小时之后,则将对该实例发起新的恶意软件扫描。

问:我能否保留 GuardDuty Malware Protection 创建的快照?

能,您可以通过相应的设置启用当 Malware Protection 扫描检测到恶意软件时保留快照的功能。您可以从 GuardDuty 控制台的设置页面上启用此设置。默认情况下,完成扫描几分钟后将会删除快照,如果扫描未完成则在 24 小时后删除。

问:默认情况下,副本 EBS 卷最多将保留多长时间?

GuardDuty Malware Protection 可将它生成和扫描的每个副本 EBS 卷保留最多 24 小时。默认情况下,GuardDuty Malware Protection 完成扫描几分钟后将会删除副本 EBS 卷。但是在有些情况中,如果服务中断或连接问题干扰其恶意软件扫描,则 GuardDuty Malware Protection 可能需要将副本 EBS 卷保留超过 24 小时。发生这种情况时,GuardDuty Malware Protection 会将副本 EBS 卷保留最多七天,以留出服务时间来分检和解决中断或连接问题。在中断或故障得到解决之后或者延长保留期结束时,GuardDuty Malware Protection 将会删除副本 EBS 卷。

问:如果单个 EC2 实例或容器工作负载有多个 GuardDuty 检测结果指示可能存在恶意软件,是否将发起多次恶意软件扫描?

不,GuardDuty 仅根据挂载到可能受影响的 EC2 实例或容器工作负载的 EBS 卷的快照扫描副本,每 24 小时一次。如果自从上次扫描以来还不到 24 个小时,即使 GuardDuty 生成了多个符合恶意软件扫描触发条件的检测结果,也不会再发起扫描。如果 GuardDuty 在离上次恶意软件扫描 24 小时之后生成符合条件的检测结果,GuardDuty Malware Protection 将会为该工作负载发起新恶意软件扫描。

问:如果禁用 GuardDuty,是否也必须禁用 Malware Protection 功能?

不,禁用 GuardDuty 服务还将禁用 Malware Protection 功能。

详细了解产品定价

请参阅定价示例和免费试用详细信息

了解更多 
注册免费试用

获得免费试用 Amazon GuardDuty 的机会。 

开始免费试用 
开始在控制台中构建

在 AWS 控制台中开始使用 Amazon GuardDuty。

登录