服务概述

问:什么是 Amazon GuardDuty?

您可以使用 Amazon GuardDuty 的威胁检测功能来持续监控和保护您的 AWS 账户、工作负载以及 Amazon S3 中存储的数据。GuardDuty 可以分析您账户中生成的持续元数据流以及在 AWS CloudTrail 事件、Amazon VPC 流日志和 DNS 日志发现的网络活动。它还可以利用集成的威胁情报(例如已知的恶意 IP 地址)、异常检测和机器学习功能来更准确地识别出威胁。

问:Amazon GuardDuty 的主要优势有哪些?

借助 Amazon GuardDuty,您可以轻松实现对 AWS 账户、工作负载和 Amazon S3 中存储的数据的持续监控。它的运行完全独立于您的资源,因此不会对工作负载的性能或可用性产生任何影响。它完全托管,集成了威胁情报、异常检测和机器学习功能。Amazon GuardDuty 提供的警报内容详细,可行动性强,可以与现有的事件管理和工作流程系统轻松集成。您无需预付任何费用,只需为分析的事件付费,不需要部署额外的软件,也不需要订阅威胁情报源。

问:使用 Amazon GuardDuty 需要多少费用?

Amazon GuardDuty 根据分析的 AWS CloudTrail 事件数和分析的 Amazon VPC 流日志和 DNS 日志数据的容量定价。为 GuardDuty 分析启用这些日志源无需支付额外的费用。

  • AWS CloudTrail 管理事件分析 – GuardDuty 可以持续分析 CloudTrail 管理事件,同时监控您的 AWS 账户和基础设施的所有访问和行为。CloudTrail 管理事件分析的计费依据是每月的百万事件数,按比例计费。
  • AWS CloudTrail S3 数据事件分析 – GuardDuty 可以持续分析 CloudTrail S3 数据事件,同时监控您的所有 Amazon S3 存储桶的访问和行为。CloudTrail S3 数据事件分析的计费依据是每月的百万事件数,按比例计费。
  • VPC 流日志和 DNS 日志分析 – GuardDuty 持续分析 VPC 流日志以及 DNS 请求和响应,以便发现 AWS 账户和工作负载中的恶意、未授权或意外行为。流日志和 DNS 日志分析每月按 GB 收费。流日志和 DNS 日志分析可以享受分级批量折扣。

您无需预付任何费用,只需为分析的数据付费。

有关详细信息和定价示例,请参阅 Amazon GuardDuty 定价

问:Amazon GuardDuty 付款人账户中的预估费用显示的是关联账户的总费用,还是只是单个付款人账户的费用?

预估费用仅代表单个付款人账户的费用。对于主账户,您将只能看见主账户的预估费用。

问:可以免费试用吗?

可以,Amazon GuardDuty 新账户均可以免费试用 30 天。免费试用期间,您可以使用所有的功能和检测服务。GuardDuty 会针对您的账户显示已处理的数据量和估计的日均服务费用。这样,您就可以轻松免费体验 Amazon GuardDuty 的功能,并预测免费试用结束后的服务费用。

问:Amazon GuardDuty 和 Amazon Macie 有什么不同之处?

Amazon GuardDuty 可以帮助您识别攻击者侦察、实例盗用、账户盗用和存储桶入侵等威胁,从而全面保护您的 AWS 账户、工作负载和数据。通过对您拥有的数据以及与该数据相关联的安全性和访问控制进行分类,Amazon Macie 可帮助您发现和保护 Amazon S3 中的敏感数据。

问:Amazon GuardDuty 是区域性服务还是全球性服务?

Amazon GuardDuty 是一种区域性服务。即使启用多个账户并使用多个区域,Amazon GuardDuty 的安全检测结果仍然保存在生成底层数据的区域。这样可以确保分析的所有数据以区域为基础,且不会跨越 AWS 区域边界。客户可以选择使用 Amazon CloudWatch Events 将检测结果推送到自己控制的数据存储(例如 Amazon S3)中,然后在合适的时候将这些检测结果进行聚合,从而聚合 Amazon GuardDuty 在各个区域生成的安全检测结果。

问:Amazon GuardDuty 支持哪些区域?

Amazon GuardDuty 支持的区域列表:AWS 区域表

问:Amazon GuardDuty 的合作伙伴有哪些?

很多技术合作伙伴都集成了 Amazon GuardDuty 并将其用作构建基础。还有很多拥有 GuardDuty 专业知识的咨询机构、系统集成商和托管安全服务提供商。请参阅 Amazon GuardDuty 合作伙伴

问:Amazon GuardDuty 是否有助于解决支付卡行业数据安全标准 (PCI DSS) 中的某些要求?

答:GuardDuty 可分析来自多个 AWS 数据源的事件,例如 AWS CloudTrail 事件、Amazon VPC 流日志和 DNS 日志,并根据从 AWS 和其他服务(例如 CrowdStrike)接收到的威胁情报源来检测可疑活动。Foregenix 发布的白皮书详细评估了 Amazon GuardDuty 满足合规性要求的有效性,如支付卡行业 (PCI) 数据安全标准 (DSS) 要求 11.4,它要求在网络中的关键点使用入侵检测技术。

启用 GuardDuty

问:如何启用 Amazon GuardDuty?

只需在 AWS 管理控制台中单击几次,即可启用 Amazon GuardDuty。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。 

问:可以使用 Amazon GuardDuty 管理多个账户吗?

可以,您可以使用 Amazon GuardDuty 的多账户功能,通过一个主账户关联并管理多个 AWS 账户。使用该功能后,系统会将所有安全检测结果聚合到管理员账户或 Amazon GuardDuty 主账户,供用户查看并采取修复措施。使用此配置时,Amazon CloudWatch Events 也会聚合到 Amazon GuardDuty 主账户中。

问:Amazon GuardDuty 可以分析哪些数据资源?

Amazon GuardDuty 可以分析 AWS CloudTrail、VPC 流日志和 AWS DNS 日志。该服务经过优化,可以使用大量数据近乎实时地执行安全检测。GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术,由 AWS 安全团队维护和不断改进。 

问:GuardDuty 的运行速度如何?

启用之后,Amazon GuardDuty 可以立即开始分析是否存在恶意活动或未经授权的活动。收到检测结果的时间取决于您账户中的活动级别。GuardDuty 不分析历史数据,只分析在其启用后开始的活动。如果 GuardDuty 识别出潜在威胁,您会在 GuardDuty 控制台中收到检测结果。

问:要使 Amazon GuardDuty 正常运行,必须启用 AWS CloudTrail、VPC 流日志和 DNS 日志吗?

不需要,Amazon GuardDuty 可以直接从 AWS CloudTrail、VPC 流日志和 AWS DNS 日志中提取独立的数据流。您不需要管理 Amazon S3 存储桶策略,也不需要修改收集和存储日志的方式。GuardDuty 的权限作为服务相关角色进行管理,因此您可以随时通过禁用 GuardDuty 进行撤消。这样,您无需复杂的配置即可轻松启用该服务,还可以避免 AWS IAM 权限修改或 S3 存储桶策略更改对该服务的运行产生影响。而且,GuardDuty 还得以非常高效并且近乎实时地使用大量数据,不影响您的账户或工作负载的性能或可用性。

问:在我的账户中启用 Amazon GuardDuty 会对性能或可用性产生影响吗?

不会,Amazon GuardDuty 的运行完全独立于您的 AWS 资源,也不会对您的账户或工作负载产生任何影响。企业可以在不影响其现有运行的情况下跨多个账户轻松启用 GuardDuty。

问:Amazon GuardDuty 会管理或保存我的日志吗?

不会,Amazon GuardDuty 不会管理或保存您的日志。GuardDuty 使用的所有数据都会被近乎实时地分析,然后丢弃。这让 GuardDuty 不仅经济高效,还能降低数据残留的风险。如需传输和保存日志,您应该直接使用 AWS 的日志记录和监控服务,这些服务可以提供功能全面的传输和保存选项。

问:怎样让 Amazon GuardDuty 停止分析我的日志和数据资源?

您可以随时在常规设置中选择暂停该服务,让 Amazon GuardDuty 停止分析您的数据源。这一操作会让该服务立即停止分析数据,但不会删除您的现有检测结果或配置。您也可以在常规设置中选择禁用该服务。这一操作会删除包括检测结果和配置在内的所有剩余数据,然后撤销该服务的权限并重置该服务。

GuardDuty 检测结果

问:Amazon GuardDuty 可以检测哪些风险?

Amazon GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术。其检测算法由 AWS 安全团队进行维护和不断改进。主要检测类别包括:

  • 侦察 — 表明攻击者在进行侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
  • 实例盗用 — 表明存在实例盗用的活动,例如加密货币挖矿、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
  • 账户盗用 — 表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施以及来自已知恶意 IP 地址的 API 调用。
  • 存储桶入侵 – 指示存储桶入侵的活动,例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问,以及用户为在 S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件(例如 GetObject、ListObjects、DeleteObject),以检测您所有 Amazon S3 存储桶中的可疑活动。

问:什么是 Amazon GuardDuty 威胁情报?

Amazon GuardDuty 威胁情报由确定攻击者会使用的 IP 地址和域组成。GuardDuty 威胁情报由 AWS 安全团队以及 Proofpoint 和 CrowdStrike 等第三方提供商提供。这些威胁情报馈送数据已预先集成到 GuardDuty 中,并会免费持续更新。

问:可以提供我自己的威胁情报吗?

可以。您可以使用 Amazon GuardDuty 轻松上传自己的威胁情报或 IP 安全列表。使用该功能时,您上传的安全列表仅适用于您的账户,不与其他客户共享。

问:安全检测结果是如何传输的?

如果检测到威胁,Amazon GuardDuty 会向 GuardDuty 控制台和 Amazon CloudWatch Events 发送详细的安全检测结果。这使警报具有可操作性,并能与现有的事件管理或工作流程系统轻松集成。检测结果包括类别、受影响的资源以及与该资源相关的元数据,例如严重程度。

问:Amazon GuardDuty 检测结果采用什么格式?

Amazon GuardDuty 检测结果采用常见的 JSON 格式,Amazon Macie 和 Amazon Inspector 采用的也是这种格式。客户和合作伙伴可以轻松利用这三项服务的安全检测结果,并将其纳入更广泛的事件管理、工作流程或安全解决方案中。

问:安全检测结果在 Amazon GuardDuty 中的保存时间是多久?

安全检测结果在 Amazon GuardDuty 控制台和 API 中的保存时间是 90 天。90 天后,系统会丢弃检测结果。要在 90 天后继续保留检测结果,您可以启用 Amazon CloudWatch Events 将检测结果自动推送到您账户的 Amazon S3 存储桶或其他数据存储中进行长期保留。

问:Amazon GuardDuty 支持自动预防措施吗?

借助 Amazon GuardDuty、Amazon CloudWatch Events 和 AWS Lambda,您可以根据安全检测结果灵活设置自动预防措施。例如,您可以创建一个 Lambda 函数,使其根据安全检测结果来修改 AWS 安全组规则。如果 GuardDuty 检测结果表明一个已知的恶意 IP 正在探测您的 Amazon EC2 实例,您可以利用一个 CloudWatch Events 规则来触发一个 Lambda 函数,以便自动修改您的安全组规则并限制对相应端口的访问,从而解决这个问题。

问:Amazon GuardDuty 检测功能是如何开发和管理的?

有专门的团队负责 Amazon GuardDuty 检测功能的开发、管理和迭代。这样可以保证新检测功能的定期更新以及现有检测功能的不断迭代。该服务内置了一些反馈机制,例如 GuardDuty UI 中每条安全检测结果都附带表示认可或否定的选项。这让客户能够提供反馈,以便纳入以后的 GuardDuty 检测功能中。

问:可以在 Amazon GuardDuty 中编写自定义检测功能吗?

不能,Amazon GuardDuty 让您摆脱了开发和维护自己的自定义规则带来的沉重负担和复杂性。我们会根据客户的反馈以及 AWS 安全团队和 GuardDuty 团队的研究结果,不断增加新的检测功能。客户配置的自定义选项包括添加您自己的威胁列表和 IP 安全列表。

问:我目前正在使用 Amazon GuardDuty,如何开始使用用于 S3 保护的 GuardDuty?

对于当前账户,可以在控制台或 API 中启用用于 S3 保护的 GuardDuty。在 GuardDuty 控制台中,您可以转到 S3 保护页面,并为您的账户启用用于 S3 保护的 GuardDuty。这将开始 30 天免费试用用于 S3 保护的 GuardDuty。

问:是否可以免费试用用于 S3 保护的 GuardDuty?

可以,您可以免费试用 30 天。每个区域的每个账户均可获得用于 S3 保护的 GuardDuty 的 30 天免费试用。已启用 GuardDuty 的账户还可在 30 天内免费使用用于 S3 保护的 GuardDuty 功能。

问:我是 Amazon GuardDuty 的新用户,默认情况下我的账户是否启用了用于 S3 保护的 GuardDuty?

是的。默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将启用用于 S3 保护的 GuardDuty。默认情况下,使用 AWS Organizations“自动启用”功能创建的新 GuardDuty 账户不会启用用于 S3 保护的 GuardDuty,除非启用,了“S3 自动启用”。

问:是否可以在不启用完整 GuardDuty 服务(VPC 流日志、DNS 查询日志和 CloudTrail 管理事件)的情况下仅启用用于 S3 保护的 GuardDuty?

必须启用 Amazon GuardDuty 服务才可使用用于 S3 保护的 GuardDuty。当前 GuardDuty 账户可以选择启用用于 S3 保护的 GuardDuty。启用 GuardDuty 服务后,默认情况下,新 GuardDuty 账户将获得用于 S3 保护的 GuardDuty。

问:GuardDuty 是否会监控账户中的所有存储桶以进行 S3 保护?

是的。默认情况下,用于 S3 保护的 GuardDuty 会监控环境中的所有 S3 存储桶。

问:是否需要为用于 S3 保护的 GuardDuty 启用 AWS CloudTrail S3 数据事件日志记录?

否。GuardDuty 可以直接访问 AWS CloudTrail S3 数据事件日志,不需要您在 CloudTrail 中启用 S3 数据事件日志记录并承担相关费用。请注意,GuardDuty 不会存储日志,仅将其用于分析。
 

用于 S3 保护的 GuardDuty

问:我目前正在使用 Amazon GuardDuty,如何开始使用用于 S3 保护的 GuardDuty?

对于当前账户,可以在控制台或 API 中启用用于 S3 保护的 GuardDuty。在 GuardDuty 控制台中,您可以转到 S3 保护页面,并为您的账户启用用于 S3 保护的 GuardDuty。这将开始 30 天免费试用用于 S3 保护的 GuardDuty。

问:是否可以免费试用用于 S3 保护的 GuardDuty?

可以,您可以免费试用 30 天。每个区域的每个账户均可获得用于 S3 保护的 GuardDuty 的 30 天免费试用。已启用 GuardDuty 的账户还可在 30 天内免费使用用于 S3 保护的 GuardDuty 功能。

问:我是 Amazon GuardDuty 的新用户,默认情况下我的账户是否启用了用于 S3 保护的 GuardDuty?

是的。默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将启用用于 S3 保护的 GuardDuty。默认情况下,使用 AWS Organizations“自动启用”功能创建的新 GuardDuty 账户不会启用用于 S3 保护的 GuardDuty,除非启用,了“S3 自动启用”。

问:是否可以在不启用完整 GuardDuty 服务(VPC 流日志、DNS 查询日志和 CloudTrail 管理事件)的情况下仅启用用于 S3 保护的 GuardDuty?

必须启用 Amazon GuardDuty 服务才可使用用于 S3 保护的 GuardDuty。当前 GuardDuty 账户可以选择启用用于 S3 保护的 GuardDuty。启用 GuardDuty 服务后,默认情况下,新 GuardDuty 账户将获得用于 S3 保护的 GuardDuty。

问:GuardDuty 是否会监控账户中的所有存储桶以进行 S3 保护?

是的。默认情况下,用于 S3 保护的 GuardDuty 会监控环境中的所有 S3 存储桶。

问:是否需要为用于 S3 保护的 GuardDuty 启用 AWS CloudTrail S3 数据事件日志记录?

否。GuardDuty 可以直接访问 AWS CloudTrail S3 数据事件日志,不需要您在 CloudTrail 中启用 S3 数据事件日志记录并承担相关费用。请注意,GuardDuty 不会存储日志,仅将其用于分析。

Standard Product Icons (Features) Squid Ink
详细了解产品定价信息

请参阅定价示例和免费试用详细信息

了解更多 
Sign up for a free account
注册免费试用

获得免费试用 Amazon GuardDuty 的机会。 

开始免费试用 
Standard Product Icons (Start Building) Squid Ink
开始在控制台中构建

在 AWS 控制台中开始使用 Amazon GuardDuty。

登录