Amazon GuardDuty 功能

GuardDuty 可持续监控和分析您的 AWS 账户以及 CloudTrail、VPC 流日志和 DNS 日志中的工作负载事件数据。在 GuardDuty 中，无需部署和维护额外的安全软件或基础设施即可实现基本保护。通过将您的所有 AWS 账户关联在一起，您可以汇总威胁检测，而不是针对每个账户逐一操作。此外，您无需从多个账户收集、分析和关联大量 AWS 数据。可以重点关注如何快速响应、如何保护组织安全，并继续在 AWS 中扩展和创新。

GuardDuty 可帮助您访问专门针对云服务开发和优化的内置检测技术。AWS 安全持续维护和改进这些检测算法。主要检测类别包括：

• 侦察：表明攻击者在进行侦察的活动，例如 API 活动异常、可疑的数据库登录尝试、VPC 内部端口扫描、登录请求失败模式异常或未被阻止的来自已知不良 IP 地址的端口探测。
• 实例盗用：表明存在实例盗用的活动，例如加密货币挖矿、后门命令和控制（C&C）活动、Amazon EC2 的运行时活动、使用域名生成算法（DGA）的恶意软件、出站拒绝服务活动、网络流量异常高、网络协议异常、与已知恶意 IP 进行出站实例通信、外部 IP 地址使用 Amazon EC2 临时凭证以及使用 DNS 造成数据外泄。
• 账户盗用：表明存在账户盗用的常见形式包括：来自异常位置或匿名代理的 API 调用、试图禁用 AWS CloudTrail 日志记录功能、实例或基础设施异常启动、在异常区域部署基础设施、凭证盗用、可疑的数据库登录活动以及来自已知恶意 IP 地址的 API 调用。
• 存储桶入侵：表明存在存储桶入侵的活动，例如表明凭证滥用的可疑数据访问模式、来自远程主机的异常 Amazon S3 API 活动、来自已知恶意 IP 地址的未授权 S3 访问，以及用户为在 S3 存储桶中检索数据而进行的 API 调用，该用户之前没有访问存储桶的历史记录或者从异常位置进行了调用。Amazon GuardDuty 会持续监控和分析 AWS CloudTrail S3 数据事件（例如 GetObject、ListObjects、DeleteObject），以检测您所有 Amazon S3 存储桶中的可疑活动。
• 恶意软件检测：当发现表明 EC2 实例或容器工作负载中存在恶意软件的可疑行为时，GuardDuty 就开始恶意软件扫描。GuardDuty 生成挂载到 EC2 实例或容器工作负载等的 Amazon EBS 卷的临时副本，并扫描这些卷副本是否存在木马、蠕虫、加密矿工、rootkit、自动程序和更多威胁，它们可能会被用于盗用工作负载、将资源重新用于恶意用途，以及获得对数据的未经授权访问。GuardDuty 恶意软件防护生成情景化的检测结果，可用于验证可疑行为的来源。这些检测结果可以传送给适当的管理员，并发起自动修复。
• 容器盗用：通过分析其 EKS 审计日志和 Amazon EKS 或 Amazon ECS 中的容器运行时活动，对 Amazon EKS 集群进行持续监控和分析，从而检测出容器工作负载中可能存在的恶意或可疑行为。

以下是 GuardDuty 调查发现类型的完整列表。

GuardDuty 旨在根据 AWS 账户、工作负载和数据内的总体活动级别自动管理资源利用率。GuardDuty 仅在需要时增加检测容量，并在不需要容量时降低利用率。您就拥有了一个经济高效的架构，以您在最大限度地降低开支的同时维持您需要的安全处理能力。在使用时，您只需为您使用的检测容量付费。无论规模大小，GuardDuty 都能为您提供大规模安全性。

GuardDuty 为您的 AWS 计算资产中的容器工作负载提供原本难以实现且非常复杂的全面保护。无论您是在 Amazon EC2 上运行具有服务器级控制能力的工作负载，还是使用 AWS Fargate 在 Amazon ECS 上运行无服务器现代应用程序工作负载，GuardDuty 都会检测潜在的恶意和可疑活动，通过运行时监控为您提供容器级上下文，并帮助您识别整个 AWS 环境中容器工作负载的安全覆盖缺口。