服务概述

问:什么是 Amazon GuardDuty?

您可以使用 Amazon GuardDuty 的威胁检测功能来持续监控和保护您的 AWS 账户和工作负载。GuardDuty 可以分析您的账户中持续生成的元数据流以及 AWS CloudTrail 事件、Amazon VPC 流日志和 DNS 日志中的网络活动中。它还可以利用集成的威胁情报 (例如已知的恶意 IP 地址)、异常检测和机器学习功能来更准确地识别出威胁。

问:Amazon GuardDuty 的主要优势有哪些?

借助 Amazon GuardDuty,您可以轻松实现对 AWS 账户和工作负载的持续监控。它的运行完全独立于您的资源,因此不会对您的工作负载的性能或可用性产生任何影响。它完全托管,集成了威胁情报、异常检测和机器学习功能。Amazon GuardDuty 提供的的警报内容详细而且可行,可以与现有的事件管理和工作流程系统轻松集成。没有任何预付费用,您只需为分析的事件付费,不需要部署额外的软件,也不需要订阅威胁情报馈送数据。

问:使用 Amazon GuardDuty 需要多少费用?

Amazon GuardDuty 基于两方面进行定价。一个是分析的 AWS CloudTrail 事件的数量 (以 1000000 个事件为单位),一个是分析的 Amazon VPC 流日志和 DNS 日志的数量 (以 GB 为单位)。

  • AWS CloudTrail 事件分析 – GuardDuty 可以持续分析 AWS CloudTrail 管理事件,同时监控您的 AWS 账户和基础设施的所有访问和行为。CloudTrail 事件分析的计费依据是每月的百万事件数,按比例计费。
  • VPC 流日志和 DNS 日志分析 – GuardDuty 可以持续分析 VPC 流日志和 DNS 请求和响应,以便识别您的 Amazon EC2 实例中的恶意、未经授权或异常的行为。流日志和 DNS 日志分析每月按 GB 收费。流日志和 DNS 日志分析可享受分级批量折扣。

没有任何预付费用,您只需为分析的数据付费。

有关详细信息和定价示例,请参阅 Amazon GuardDuty 定价

问:Amazon GuardDuty 付款人账户中的预估费用显示的是关联账户的总费用,还是只是单个付款人账户的费用?

预估费用仅代表单个付款人账户的费用。对于主账户,您将只能看见主账户的预估费用。

问:可以免费试用吗?

可以,Amazon GuardDuty 新账户均可以免费试用 30 天。免费试用期间,您可以使用所有的功能和检测服务。GuardDuty 会针对您的账户显示已处理的数据数量和估计的日均服务费用。这样,您就可以轻松免费体验 Amazon GuardDuty 的功能,并预测免费试用结束后的服务费用。

Amazon GuardDuty 和 Amazon Macie 有什么不同之处?

Amazon GuardDuty 可以帮助您识别攻击者侦察、实例盗用和账户盗用等威胁,从而全面保护您的 AWS 账户、工作负载和数据。Amazon Macie 可以帮助您对自己的数据、数据对业务的价值以及与访问这些数据相关的行为进行分类,从而帮助您保护 Amazon S3 中的数据。这两种服务都包含行为分析、机器学习和异常检测功能,可以检测各自类别中的威胁。

问:Amazon GuardDuty 是地区性服务还是全球性服务?

Amazon GuardDuty 是一种地区性服务。即使启用多个账户并使用多个地区,Amazon GuardDuty 的安全检测结果仍然保存在生成底层数据的地区。这样可以确保分析的所有数据以地区为基础,且不会跨越 AWS 地区边界。客户可以选择将 Amazon GuardDuty 在各个地区生成的安全检测结果进行聚合,方法是使用 AWS CloudWatch Events 将检测结果推送到自己控制的数据存储 (例如 Amazon S3) 中,然后在合适的时候将这些检测结果进行聚合。

问:Amazon GuardDuty 支持哪些地区?

Amazon GuardDuty 支持的地区列表:AWS 地区表

问:Amazon GuardDuty 的合作伙伴有哪些?

很多技术合作伙伴都集成了 Amazon GuardDuty 并将其用作构建基础。还有很多拥有 GuardDuty 专业知识的咨询机构、系统集成商和托管安全服务提供商。请参阅 Amazon GuardDuty 合作伙伴

启用 GuardDuty

问:如何启用 Amazon GuardDuty?

只需在 AWS 管理控制台中单击几下,即可启用 Amazon GuardDuty。启用后,GuardDuty 立即开始以近乎实时的方式大规模分析账户和网络活动的持续流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了威胁情报,它将获得持续更新和维护。 

问:可以使用 Amazon GuardDuty 管理多个账户吗?

可以,您可以使用 Amazon GuardDuty 的多账户功能,通过一个主账户关联并管理多个 AWS 账户。使用该功能后,系统会将所有安全检测结果聚合到管理员账户或 Amazon GuardDuty 主账户,供用户查看并采取补救措施。使用此配置时,AWS CloudWatch 事件也会被聚合到 Amazon GuardDuty 主账户中。

问:Amazon GuardDuty 可以分析哪些数据资源?

Amazon GuardDuty 可以分析 AWS CloudTrail、VPC 流日志和 AWS DNS 日志。该服务经过优化,可以使用大量数据近乎实时地执行安全检测。GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术,并由 AWS 安全团队不断进行改进。 

问:GuardDuty 的运行速度如何?

启用之后,Amazon GuardDuty 可以立即开始分析是否存在恶意活动或未经授权的活动。收到检测结果的时间取决于您账户中的活动级别。GuardDuty 不分析历史数据,只分析在其启用后开始的活动。如果 GuardDuty 识别出潜在威胁,您会在 GuardDuty 控制台中收到检测结果。

问:要使 Amazon GuardDuty 正常运行,必须启用 AWS CloudTrail、VPC 流日志和 DNS 日志吗?

不是。Amazon GuardDuty 可以直接从 AWS CloudTrail、VPC 流日志和 AWS DNS 日志中提取独立的数据流。您不需要管理 Amazon S3 存储桶策略,也不需要修改收集和存储日志的方式。GuardDuty 的权限作为服务相关角色进行管理,因此您可以随时通过禁用 GuardDuty 进行撤消。这样,您无需复杂的配置即可轻松启用该服务,还可以避免 AWS IAM 权限修改或 S3 存储桶策略更改对该服务的运行产生影响。而且,GuardDuty 还得以非常高效并且近乎实时地使用大量数据,不影响您的账户或工作负载的性能或可用性。

问:在我的账户中启用 Amazon GuardDuty 会对性能或可用性产生影响吗?

不会。Amazon GuardDuty 的运行完全独立于您的 AWS 资源,也不会对您的账户或工作负载产生任何影响。企业可以在不影响其现有运行的情况下跨多个账户轻松启用 GuardDuty。

问:Amazon GuardDuty 会管理或保存我的日志吗?

不会。Amazon GuardDuty 不会管理或保存您的日志。GuardDuty 使用的所有数据都会被近乎实时地分析,然后丢弃。这让 GuardDuty 不仅经济高效,还能降低数据残留的风险。想要传输和保存日志,您应该直接使用 AWS 的日志记录和监控服务,这些服务可以提供功能全面的传输和保存选项。

问:怎样让 Amazon GuardDuty 停止分析我的日志和数据资源?

您可以随时在常规设置中选择暂停该服务,让 Amazon GuardDuty 停止分析您的数据资源。这一操作会让该服务立即停止分析数据,但不会删除您的现有检测结果或配置。您也可以在常规设置中选择禁用该服务。这一操作会删除包括检测结果和配置在内的所有剩余数据,然后撤销该服务的权限并重置该服务。

GuardDuty 检测结果

问:Amazon GuardDuty 可以检测哪些风险?

Amazon GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术。其检测算法由 AWS 安全团队进行维护和不断改进。主要检测类别包括:

  • 侦察 – 表明攻击者侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或已知不良 IP 未被阻止的端口探测。
  • 实例盗用 – 表明实例盗用的活动,例如挖掘加密货币、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
  • 账户盗用 – 表明账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常地区部署基础设施以及来自已知恶意 IP 地址的 API 调用。

问:什么是 Amazon GuardDuty 威胁情报?

Amazon GuardDuty 威胁情报由确定攻击者会使用的 IP 地址和域组成。GuardDuty 威胁情报由 AWS 安全团队和 Proofpoint 和 CrowdStrike 等第三方提供商提供。这些威胁情报馈送数据已预先集成到 GuardDuty 中,并会免费持续更新。

问:可以提供我自己的威胁情报吗?

可以。您可以使用 Amazon GuardDuty 轻松上传自己的威胁情报或 IP 安全列表。使用该功能时,您上传的安全列表仅适用于您的账户,不与其他客户共享。

问:机器学习和行为异常检测的原理是什么?

更为先进的行为和机器学习检测大约需要 7 到 14 天来确定您账户中行为的基准。之后,异常检测将从学习模式切换为活动模式。进入活动模式后,如果该服务发现可能存在威胁的行为,您会只看到由这些检测生成的结果。

问:安全检测结果是如何传输的?

如果检测到威胁,Amazon GuardDuty 会向 GuardDuty 控制台和 AWS CloudWatch Events 发送详细的安全检测结果。这让警报可行,并能与现有的事件管理或工作流程系统轻松集成。检测结果包括类别、受影响的资源以及与该资源相关的元数据,例如严重程度。

问:Amazon GuardDuty 检测结果采用什么格式?

Amazon GuardDuty 检测结果采用常见的 JSON 格式,Amazon Macie 和 Amazon Inspector 采用的也是这种格式。客户和合作伙伴可以轻松利用这三项服务的安全检测结果,并将其纳入更广泛的事件管理、工作流程或安全解决方案中。

问:安全检测结果在 Amazon GuardDuty 中的保存时间是多久?

安全检测结果在 Amazon GuardDuty 控制台和 API 中的保存时间是 90 天。90 天后,系统会丢弃检测结果。要在 90 天后继续保留检测结果,您可以启用 AWS CloudWatch Events 将检测结果自动推送到您账户的 Amazon S3 存储桶或其他数据存储中进行长期保留。

问:Amazon GuardDuty 支持自动预防措施吗?

借助 Amazon GuardDuty、AWS CloudWatch Events 和 AWS Lambda,您可以根据安全检测结果灵活设置自动预防措施。例如,您可以创建一个 Lambda 函数,使其根据安全检测结果来修改 AWS 安全组规则。如果 GuardDuty 检测结果表明一个已知的恶意 IP 正在探测您的 Amazon EC2 实例,您可以利用一个 CloudWatch Events 规则来触发一个 Lambda 函数,以便自动修改您的安全组规则并限制对相应端口的访问,从而解决这个问题。

问:Amazon GuardDuty 检测功能是如何开发和管理的?

有专门的团队负责 Amazon GuardDuty 检测功能的开发、管理和迭代。这样可以保证新检测功能的定期更新以及现有检测功能的不断迭代。该服务内置了一些反馈机制,例如 GuardDuty UI 中每条安全检测结果都附带表示认可或否定的选项。这让客户能够提供反馈,以便纳入以后的 GuardDuty 检测功能中。

问:可以在 Amazon GuardDuty 中编写自动定义检测功能吗?

不可以。Amazon GuardDuty 让您摆脱了开发和维护自己的自定义规则带来的沉重负担和复杂性。我们会根据客户的反馈以及 AWS 安全团队和 GuardDuty 团队的研究结果,不断增加新的检测功能。客户配置的自定义选项包括添加您自己的威胁列表和 IP 安全列表。

了解有关 Amazon GuardDuty 定价的更多信息

访问定价页面
准备好开始使用了吗?
登录
还有更多问题?
联系我们