概览

Amazon GuardDuty 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户、Amazon Elastic Compute Cloud (EC2) 工作负载、容器应用程序、Amazon Aurora 数据库以及存储在 Amazon Simple Storage Service (Amazon S3) 中的数据。GuardDuty 结合了机器学习、异常检测、网络监控和恶意文件发现,同时利用 AWS 和业内领先的第三方源帮助保护 AWS 上的工作负载和数据。GuardDuty 能够对来自多个 AWS 数据来源(例如 AWS CloudTrail 事件日志、Amazon Virtual Private Cloud (VPC) 流日志、Amazon Elastic Kubernetes Service (EKS) 审计和系统级日志以及 DNS 查询日志)的数百亿事件进行分析。

Amazon GuardDuty 识别账户内的异常活动、分析活动的安全相关性并提供调用它所处的上下文。这样一来可以使应答者决定他们是否应该花时间进行进一步调查。GuardDuty 结果会被指定一个严重程度,且操作可以通过集成 AWS Security HubAmazon EventBridgeAWS LambdaAWS Step Functions 自动执行。Amazon Detective 也与 GuardDuty 进行了紧密集成,因此您可以执行更深入的取证调查和根本原因调查。

准确的账户级别威胁检测

Amazon GuardDuty 为您提供准确的账户盗用威胁检测,如果您没有以近乎实时的方式持续监控相关因素,可能难以快速发现这种情况。GuardDuty 可检测出账户盗用的迹象,例如在一天之中的非典型时间从异常地理位置访问 AWS 资源。对于编程 AWS 账户,GuardDuty 能够检查异常的应用程序编程接口 (API) 调用,例如试图通过禁用 CloudTrail 日志记录或从恶意 IP 地址创建数据库快照掩盖账户活动。

对 AWS 账户进行持续监控,无需增加成本和复杂性

Amazon GuardDuty 可持续监控和分析您的 AWS 账户以及 AWS CloudTrail、VPC 流日志和 DNS 日志中的工作负载事件数据。无需部署和维护额外的安全软件或基础设施。通过将您的所有 AWS 账户关联在一起,您可以汇总威胁检测,而不是针对每个账户逐一操作。此外,您无需从多个账户收集、分析和关联大量 AWS 数据。可以重点关注如何快速响应、如何保护组织安全,并继续在 AWS 中扩展和创新。

针对云开发和优化的威胁检测

Amazon GuardDuty 可帮助您访问专门针对云服务开发和优化的内置检测技术。AWS 安全持续维护和改进这些检测算法。主要检测类别包括:

  • 侦察:表明攻击者在进行侦察的活动,例如 API 活动异常、可疑的数据库登录尝试、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
  • 实例盗用:表明存在实例盗用的活动,例如加密货币挖矿、后门命令和控制 (C&C) 活动、恶意使用域名生成算法 (DGA)、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
  • 账户盗用:表明存在账户盗用的常见形式包括:来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施、凭证盗用、可疑的数据库登录活动以及来自已知恶意 IP 地址的 API 调用。
  • 存储桶入侵:指示存储桶入侵的活动,例如指示凭证滥用的可疑数据访问模式、来自远程主机的异常 Amazon S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问,以及用户为在 S3 存储桶中检索数据而进行的 API 调用,该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件(例如 GetObject、ListObjects、DeleteObject),以检测您所有 Amazon S3 存储桶中的可疑活动。

以下是 GuardDuty 检测结果类型的完整列表

GuardDuty 利用机器学习和异常检测提供这些高级检测选项,可识别以前难以发现的威胁,例如异常的 API 调用模式或恶意的 AWS Identity and Access Management (IAM) 用户行为。此外,GuardDuty 还集成了威胁情报,包括来自 AWS 安全团队和行业领先的第三方安全合作伙伴(包括 Proofpoint 和 CrowdStrike)的恶意域或 IP 地址列表。

GuardDuty 为您提供了一种新方法来构建内部解决方案、维护复杂的自定义规则或针对已知的恶意 IP 地址开发自己的威胁情报。GuardDuty 消除了无差别的繁重工作,还避免了监控和保护 AWS 账户和工作负载安全而产生的不必要的复杂性。

对威胁严重性分级,确保高效确定优先顺序

Amazon GuardDuty 提供三种严重性级别(低、中和高),以帮助客户确定他们对潜在威胁的响应顺序。“低”严重性级别表示已在损坏您的资源之前被阻止的可疑或恶意活动。“中”严重性级别表示存在可疑活动。例如大量流量返回到隐藏在 Tor 网络后的远程主机,或者活动偏离了通常观察到的行为。“高”安全性级别表示涉及的资源(例如,Amazon EC2 实例或一组 IAM 用户凭证)已损坏,并正被用于未经授权的用途。

威胁响应和修复自动化

Amazon GuardDuty 提供 HTTPS API、命令行界面 (CLI) 工具和 Amazon CloudWatch Events,以支持对安全检测结果的自动安全响应。例如,您可以通过将 CloudWatch Events 用作事件源来调用 AWS Lambda 函数,以自动化响应工作流程。

高度可用的威胁检测

Amazon GuardDuty 旨在根据 AWS 账户、工作负载和 Amazon S3 中存储的数据的总体活动级别自动管理资源利用率。GuardDuty 仅在需要时增加检测容量,并在不需要容量时降低利用率。您就拥有了一个经济高效的架构,以您在最大限度地降低开支的同时维持您需要的安全处理能力。使用 GuardDuty 时,您只需为您使用的检测容量付费。无论规模大小,GuardDuty 都能为您提供大规模安全性。

一步式部署,不需要部署和管理额外的软件或基础设施

只需在 AWS 管理控制台中执行一项操作或调用一次 API,您就可以在单个账户上激活 Amazon GuardDuty。只需在控制台上单击几下,您就可以在多个账户上激活 GuardDuty。Amazon GuardDuty 通过与 AWS Organizations 集成以及 GuardDuty 内的原生功能支持多个账户。启用后,GuardDuty 会立即以近乎实时的方式开始大规模分析持续的账户和网络活动流。无需部署或管理额外的安全软件、传感器或网络设备。该服务预先集成了将会持续更新和维护的威胁情报。

详细了解产品定价信息

请参阅定价示例和免费试用详细信息

了解更多 
注册免费试用

获得免费试用 Amazon GuardDuty 的机会。 

开始免费试用 
开始在控制台中构建

在 AWS 控制台中开始使用 Amazon GuardDuty。

登录