概述

Amazon GuardDuty 是一种智能威胁检测服务,让客户可以准确、轻松地持续监控和保护他们的 AWS 账户和工作负载。GuardDuty 能够通过 AWS CloudTrail(账户中的 AWS 用户和 API 活动)、Amazon VPC 流日志(网络流量数据)和 DNS 日志(名称查询模式)分析您的 AWS 账户发生的亿万事件。

Amazon GuardDuty 威胁检测能够识别可能与账户盗用、实例盗用和恶意侦察有关的活动。例如,GuardDuty 能够检测异常 API 调用、发往已知恶意 IP 地址的可疑出站通信或将 DNS 查询用作传输机制可能造成的数据被盗。GuardDuty 使用增加了威胁情报的机器学习提供更准确的调查结果,例如恶意 IP 和域的列表。

只需在 AWS 管理控制台上单击几下即可启用 Amazon GuardDuty,并且客户可获得更智能且更经济高效的 AWS 云威胁检测选项。

准确的账户级别威胁检测

Amazon GuardDuty 为您提供准确的账户盗用威胁检测,如果您没有以近乎实时的方式持续监控相关因素,可能尤其难以快速发现这种情况。GuardDuty 可检测出账户盗用的迹象,例如在一天之中的非典型时间从异常地理位置访问 AWS 资源。对于编程 AWS 账户,GuardDuty 能够检查异常 API 调用,例如试图通过禁用 CloudTrail 日志记录或从恶意 IP 地址创建数据库快照掩盖账户活动。

对 AWS 账户进行持续监控,无需增加成本和复杂性

Amazon GuardDuty 可持续监控和分析您的 AWS 账户以及 AWS CloudTrail、VPC 流日志和 DNS 日志中的工作负载事件数据。无需部署和维护额外的安全软件或基础设施。通过将您的所有 AWS 账户关联在一起,您可以汇总威胁检测,而不必针对每个账户逐一操作。此外,您无需从多个账户收集、分析和关联大量 AWS 数据。这样一来,您可以重点关注如何快速响应、如何保护组织安全,并继续在 AWS 云中扩展和创新。

针对云开发和优化的威胁检测

Amazon GuardDuty 内置的检测技术是专门针对云服务开发和优化的技术。其检测算法由 AWS 安全团队进行维护和不断改进。主要检测类别包括:

侦察 — 表明攻击者在进行侦察的活动,例如 API 活动异常、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。

实例盗用 — 表明存在实例盗用的活动,例如加密货币挖矿、后门命令和控制 (C&C) 活动、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。

账户盗用 — 表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施以及来自已知恶意 IP 地址的 API 调用。

单击查看完整的 GuardDuty 检测结果类型列表。

GuardDuty 利用机器学习和异常检测提供这些高级检测选项,可识别以前难以发现的威胁,例如异常模式的 API 调用或恶意的 IAM 用户行为。此外,GuardDuty 还集成了威胁情报,包括来自 AWS 安全团队和行业领先的第三方安全合作伙伴(包括 Proofpoint 和 CrowdStrike)的恶意域或 IP 地址列表。

GuardDuty 为您提供了一种新方法来构建内部解决方案、维护复杂的自定义规则或针对已知的恶意 IP 地址开发自己的威胁情报。GuardDuty 消除了无差别的繁重工作,还避免了监控和保护 AWS 账户和工作负载安全而产生的不必要的复杂性。

对威胁严重性分级,确保高效确定优先顺序

Amazon GuardDuty 提供三种严重性级别(低、中和高),以帮助客户确定他们对潜在威胁的响应顺序。“低”严重性级别表示已在损坏您的资源之前被阻止的可疑或恶意活动。“中”严重性级别表示存在可疑活动。例如大量流量返回到隐藏在 Tor 网络后的远程主机,或者活动偏离了通常观察到的行为。“高”安全性级别表示涉及的资源(例如,EC2 实例或一组 IAM 用户凭证)已损坏,并正被用于未经授权的用途。

自动化威胁响应和修复

Amazon GuardDuty 提供 HTTPS API、CLI 工具和 AWS CloudWatch Events,以支持对安全检测结果的自动安全响应。例如,您可以通过将 CloudWatch Events 用作事件源来触发 AWS Lambda 函数,以自动化响应工作流程。

高度可用的威胁检测

Amazon GuardDuty 旨在根据 AWS 账户和工作负载内的总体活动级别自动管理资源利用率。GuardDuty 仅在需要时增加检测容量,并在不需要容量时降低利用率。您就拥有了一个经济高效的架构,确保您在最大限度地降低开支的同时具备您需要的安全处理能力。使用 GuardDuty 时,您只需为您使用的检测容量付费。无论规模大小,GuardDuty 都能为您提供大规模安全性。

一键式部署,不需要部署和管理额外的软件或基础设施

只需在 AWS 管理控制台中单击一下或通过一个 API 调用,您就可以为单个账户启用 Amazon GuardDuty。只需在控制台上单击几下,您就可以为多个账户启用 GuardDuty。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。

Product-Page_Standard-Icons_01_Product-Features_SqInk
详细了解产品定价信息

请参阅定价示例和免费使用详细信息

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费试用

获得免费试用 Amazon GuardDuty 的机会。 

开始免费试用 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

在 AWS 控制台中开始使用 Amazon GuardDuty。

登录