服務概觀

問:什麼是 Amazon GuardDuty?

Amazon GuardDuty 是一項智慧威脅偵測服務,可持續監控您的 AWS 帳戶、Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Elastic Kubernetes Service (EKS) 叢集,以及存放在 Amazon Simple Storage Service (S3) 中的資料,以防止惡意活動,而無需使用安全軟體或代理程式。如果偵測到潛在的惡意活動,如異常行為、憑證洩露,或者命令與控制基礎設施 (C2) 通訊,Amazon GuardDuty 會產生詳細的安全問題清單,這可用於取得安全可視性並協助進行補救。此外,使用 Amazon GuardDuty Malware Protection 功能,有助於偵測連接至 EC2 執行個體和容器工作負載的 Amazon Elastic Block Store (EBS) 磁碟區上的惡意檔案。

問:Amazon GuardDuty 有哪些主要優勢?

Amazon GuardDuty 可更輕鬆地持續監控您的 AWS 帳戶、工作負載和存放在 Amazon S3 中的資料。Amazon GuardDuty 完全獨立地從您的資源運作,因此不會對工作負載的效能或可用性造成影響。該服務完全是由整合的威脅情報、機器學習 (ML) 異常偵測及惡意軟體掃描所管理。Amazon GuardDuty 提供詳細且可採取行動的提醒,旨在與現有的事件管理和工作流程系統整合。您不必預先支付任何費用,只需按分析的事件付費即可,不必部署其他軟體或訂閱威脅情報饋送。

問:Amazon GuardDuty 的費用是多少?

Amazon GuardDuty 價格依據分析的服務日誌量和掃描惡意軟體資料量而定。分析的服務日誌經過篩選以最佳化成本,並直接與 Amazon GuardDuty 整合,這意味著您無需單獨啟用或支付費用。

如需有關其他詳細資訊和定價範例,請參閱 Amazon GuardDuty 定價

問:Amazon GuardDuty 付款人帳戶中的預計成本顯示的是連結帳戶彙總的總成本,還是個別的付款人帳戶成本?

估算成本代表個別付款人帳戶的成本,並且您將在 Amazon GuardDuty 管理員帳戶中看到每個成員帳戶的計費使用量和平均每日成本。如果您想查看詳細的用量資訊,必須前往個人帳戶。

 

問:Amazon GuardDuty 有免費試用版嗎?

是,任何新加入 Amazon GuardDuty 的帳戶都可以免費試用服務 30 天。在免費試用期間,您將擁有完整功能集和偵測的存取權限。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。

問:Amazon GuardDuty 和 Amazon Macie 有什麼不同?

Amazon GuardDuty 為您的 AWS 帳戶、工作負載和資料提供廣泛的安全監控,以協助識別威脅,如攻擊者偵察、執行個體、帳戶、儲存貯體或 EKS 叢集入侵;以及惡意軟體。Amazon Macie 是一項全受管敏感資料探索服務,使用 ML 和模式比對來探索您在 S3 中的敏感資料。

問:Amazon GuardDuty 是區域服務還是全球服務?

Amazon GuardDuty 是區域服務。即使啟用了多個帳戶並使用多個區域,Amazon GuardDuty 安全調查結果仍會保存在產生基礎資料的相同區域。這可確保所有資料都是按區域分析,而不是跨 AWS 區域邊界。但是,您可以選擇使用 Amazon CloudWatch Events,跨區域彙總 Amazon GuardDuty 產生的安全問題清單,或將問題清單推送至您的資料存放區 (如 S3),然後根據需要彙總問題清單。您還可以將 Amazon GuardDuty 問題清單傳送至 AWS Security Hub,並使用其跨區域彙總功能。

問:Amazon GuardDuty 支援哪些區域?

Amazon GuardDuty 區域可用性列於 AWS 區域服務清單中。

問:哪些合作夥伴與 Amazon GuardDuty 合作?

已經有許多技術合作夥伴整合並採用 Amazon GuardDuty。此外,也有具備專業知識的諮詢、系統整合商和受管安全服務供應商採用 Amazon GuardDuty。如需詳細資訊,請參閱 Amazon GuardDuty 合作夥伴頁面。

問:Amazon GuardDuty 是否有助於滿足支付卡產業資料安全標準 (PCI DSS) 的要求?

Foregenix 發佈了一份白皮書,其中提供對 Amazon GuardDuty 協助滿足要求的有效性方面的詳細評定,例如 PCI DSS 要求 11.4,這需要在網路的關鍵點採用入侵偵測技術。

啟用 Amazon GuardDuty

問:如何啟用 Amazon GuardDuty?

只需在 AWS 管理主控台中點按幾下,即可設定並部署 Amazon GuardDuty。啟用後,Amazon GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中,並且會持續更新及維護。

問:是否可以使用 Amazon GuardDuty 管理多個帳戶?

是,Amazon GuardDuty 具備多帳戶管理功能,可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。使用這項功能時,所有安全問題清單會彙總到管理員帳戶供檢閱及修復。使用此組態時,Amazon CloudWatch Events 也會彙總到 Amazon GuardDuty 管理員帳戶。此外,Amazon GuardDuty 與 AWS Organizations 整合,可讓您為您的組織委派 Amazon GuardDuty 管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶,可整合所有問題清單並可設定所有成員帳戶。

問:Amazon GuardDuty 會分析哪些資料來源?

Amazon GuardDuty 會分析 CloudTrail 管理事件日誌、CloudTrail S3 資料事件日誌、VPC 流程日誌、DNS 查詢日誌和 EKS 稽核日誌。Amazon GuardDuty 還能在啟用 Amazon GuardDuty Malware Protection 時掃描 EBS 磁碟區資料,以查找可能的惡意軟體,並識別表明 EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為。這項服務已經過優化,可運用大量資料以近乎即時的速度處理安全偵測。GuardDuty 可讓您存取內建的偵測技術,這些技術已針對雲端進行優化,並且會由 Amazon GuardDuty 工程部門負責維護及持續改善。

問:Amazon GuardDuty 多快可以開始運作?

Amazon GuardDuty 啟用後便會開始分析惡意或未授權的活動。開始接收發現結果的時間範圍取決於您帳戶的活動等級。Amazon GuardDuty 不會分析歷史資料,只會分析在其啟用後開始的活動。如果 Amazon GuardDuty 發現任何潛在威脅,您就會在 GuardDuty 主控台收到問題清單。

問:是否必須啟用 AWS CloudTrail、VPC 流程日誌、DNS 查詢日誌或 EKS 稽核日誌,才能使 Amazon GuardDuty 正常運作?

否,Amazon GuardDuty 直接從 AWS CloudTrail、VPC 流程日誌、DNS 查詢日誌和 EKS 中提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改您收集及存放日誌的方式。Amazon GuardDuty 許可作為服務連結角色進行管理。您可以隨時停用 Amazon GuardDuty,這會移除所有 Amazon GuardDuty 許可。因為避免了複雜的組態,這可讓您更容易啟用該服務。此外,服務連結角色消除了 AWS Identity and Access Management (IAM) 許可設定錯誤,或 S3 儲存貯體政策變更將影響服務運作的可能性。最後,透過服務連結角色,還能大幅提升 Amazon GuardDuty 的效率,以近乎即時的速度大量取用資料,而不會對帳戶或工作負載的效能或可用性產生任何影響。

問:在我的帳戶啟用 Amazon GuardDuty 是否會對效能或可用性造成任何影響?

Amazon GuardDuty 完全獨立於您的 AWS 資源運作,因此,不會對您的帳戶或工作負載的效能或可用性產生任何影響。

問:Amazon GuardDuty 是否會管理或保留我的日誌?

否,Amazon GuardDuty 不管理或保留您的日誌。Amazon GuardDuty 取用的所有資料都經過近乎即時的分析,然後再將其捨棄。藉此提升 GuardDuty 的效率、提高經濟效益,並降低資料殘留的風險。針對日誌的交付及保留,建議您使用 AWS 直接記錄及監控服務,以提供功能完整的交付和保留選項。

問:如何阻止 Amazon GuardDuty 查閱我的日誌和資料來源?

您隨時可以阻止 Amazon GuardDuty 分析您的資料來源,方法是在一般設定中選擇暫停服務。這樣會立即停止服務分析資料,但並不會刪除現有的發現結果或組態。此外,您也可以在一般設定中選擇停用服務。藉此刪除所有剩餘的資料,包括在放棄服務許可及重設服務之前的現有調查清單和組態。您還可以透過管理主控台或 AWS CLI,有選擇地停用 Amazon GuardDuty S3 Protection 或 Amazon GuardDuty Kubernetes Protection 等功能。

Amazon GuardDuty 問題清單

問:Amazon GuardDuty 可以偵測哪些項目?

Amazon GuardDuty 可讓您存取內建的偵測技術,這些技術是專為雲端開發及進行優化。偵測演算法是由 Amazon GuardDuty 工程師維護及持續改善。主要偵測類別包括下列各項:

  • 偵察活動:表示攻擊者進行偵察的活動,例如不尋常的 API 活動、VPC 內部連接埠掃描、異常的失敗登入請求模式,或來自已知惡意 IP 的解鎖連接埠探查。
  • 執行個體危害:表示執行個體危害的活動,例如密碼貨幣挖礦、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 地址使用的 Amazon EC2 臨時憑證,以及運用 DNS 使資料外洩。
  • 帳戶入侵:表明帳戶入侵的常見模式,包括來自異常地理位置或匿名代理的 API 呼叫、嘗試停用 CloudTrail 日誌記錄、異常執行個體或基礎架構啟動、異常區域中的基礎架構部署、憑證洩露,以及已知惡意 IP 地址的 API 呼叫。
  • 儲存貯體入侵:指示儲存貯體危害的活動,例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 S3 API 活動、已知惡意 IP 地址未經授權的 S3 存取,以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置叫用的使用者擷取 S3 儲存貯體資料的 API 叫用。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject),以偵測所有 Amazon S3 儲存貯體中的可疑活動。
  • 惡意軟體偵測:Amazon GuardDuty 在識別表明 EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時,開始進行惡意軟體偵測掃描。Amazon GuardDuty 會產生連接至此類 EC2 執行個體或容器工作負載的 EBS 磁碟區的臨時複本,並掃描磁碟區複本以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等,這些可能會被用於入侵工作負載、將資源重新用於惡意使用、並獲得對資料未經授權的存取。Amazon GuardDuty Malware Protection 會產生內容相關結果,能夠驗證可疑行為的來源。這些問題清單可傳送至適當的管理員並啟動自動修復。
  • 容器入侵:透過分析 EKS 稽核日誌,持續監控和分析 EKS 叢集,偵測可識別容器工作負載中可能存在惡意行為或可疑行為的活動。

問:什麼是 Amazon GuardDuty 威脅情報?

Amazon GuardDuty 威脅情報是由攻擊者使用的 IP 地址和網域所組成。Amazon GuardDuty 威脅情報是由 AWS 和第三方供應商 (如 Proofpoint 和 CrowdStrike) 提供。這些威脅情報饋送已預先整合在 Amazon GuardDuty 並且會持續更新,無須額外的費用。

問:是否能提供自己的威脅情報?

是,Amazon GuardDuty 可讓您上傳自己的威脅情報或可信 IP 地址清單。使用這項功能時,這些清單只會套用至您的帳戶,不會與其他客戶共享。

問:安全問題清單的交付方式為何?

如果偵測到潛在威脅,Amazon GuardDuty 會傳送詳細的安全問題清單到 Amazon GuardDuty 主控台和 AWS CloudWatch Events。這樣就能讓提醒更切實可行,而且更容易整合至現有的事件管理系統或工作負載系統。調查結果包括類別、受影響的資源,以及與資源相關聯的中繼資料 (如嚴重性等級)。

問:Amazon GuardDuty 問題清單的格式為何?

Amazon GuardDuty 問題清單採用常見的 JavaScript Object Notation (JSON) 格式,Amazon Macie 和 Amazon Inspector 也使用這種格式。這可讓客戶和合作夥伴輕鬆使用這三項服務提供的問題清單,並將其納入更廣泛的事件管理、工作流程或安全解決方案。

問:Amazon GuardDuty 中的安全問題清單可以使用多久?

安全問題清單透過 Amazon GuardDuty 主控台和 API 保留,供您在 90 天內使用。90 天過後,就會捨棄這些問題清單。如要將發現結果保留 90 天以上的時間,您可以啟用 AWS CloudWatch Events 將發現結果自動推送至您帳戶中的 Amazon S3 儲存貯體或另一個資料存放區以長期保留。

問:是否可以彙總 Amazon GuardDuty 問題清單?

是,您可以選擇使用 Amazon CloudWatch Events,跨區域彙總 Amazon GuardDuty 產生的安全問題清單,或將問題清單推送至您的資料存放區 (如 S3),然後根據需要彙總問題清單。您還可以將 Amazon GuardDuty 問題清單傳送至 AWS Security Hub,並使用其跨區域彙總功能。

問:是否可以使用 Amazon GuardDuty 採取自動化預防性動作?

使用 Amazon GuardDuty、AWS CloudWatch Events 和 AWS Lambda 時,您可以根據安全問題清單彈性設定自動化修復性動作。例如,您可以建立 Lambda 函數,根據安全調查結果修改 AWS 安全群組規則。如果您取得的 Amazon GuardDuty 調查結果指出其中一個 Amazon EC2 執行個體正被某個已知的惡意 IP 探查,您可以透過 CloudWatch Events 規則啟動 Lambda 函數,來自動修改安全群組規則並限制該連接埠的存取,藉此解決問題。

問:Amazon GuardDuty 偵測的開發和管理過程為何?

Amazon GuardDuty 旗下有一個團隊,專注於工程、管理及反覆運作方面的偵測。藉此定期地為服務提供新的偵測功能,並持續重複利用現有的偵測功能。服務中內建數個意見回饋機制,例如對於在 GuardDuty 使用者介面 (UI) 中發現的每個安全問題清單表示滿意和不滿意。這可讓您提供意見回饋,以便納入將來的 GuardDuty 偵測反覆運作。

問:是否可以在 Amazon GuardDuty 中撰寫自訂的偵測?

否,Amazon GuardDuty 免除了開發和維護自訂規則集的繁重工作和複雜程度。我們會根據客戶意見回饋以及 AWS 安全工程團隊和 Amazon GuardDuty 工程團隊的研究持續加入新的偵測。但是,客戶設定的自訂項包括新增您自己的威脅清單和可信 IP 地址清單

Amazon GuardDuty S3 Protection

問:如果我目前正在使用 Amazon GuardDuty,如何開始使用 S3 Protection?

針對目前的 Amazon GuardDuty 帳戶,可以在主控台或透過 API 啟用 S3 Protection。在 Amazon GuardDuty 主控台中,您可以前往 S3 Protection 主控台頁面,然後為您​​的帳戶啟用此功能。這將開始 Amazon GuardDuty S3 Protection 的 30 天免費試用。

問:是否可以免費試用 Amazon GuardDuty S3 Protection?

是,有 30 天的免費試用期。每個區域中的每個帳戶都可以免費試用 Amazon GuardDuty 30 天,其中包括 S3 Protection 功能。對於已啟用 Amazon GuardDuty 的帳戶,在首次啟用 S3 Protection 功能時還將獲得 30 天的免費試用期。

問:如果我是 Amazon GuardDuty 的新使用者,是否會預設為我的帳戶啟用 S3 Protection?

是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會啟用 S3 Protection。依預設,使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會啟用 S3 Protection,除非開啟 S3 自動啟用選項。

問:是否可以在不啟用完整 Amazon GuardDuty 服務 (包括分析 VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件) 的情況下,使用 Amazon GuardDuty S3 Protection?

否,必須啟用 Amazon GuardDuty 服務,才能使用 S3 Protection。目前的 Amazon GuardDuty 帳戶可以選擇啟用 S3 Protection,並且一旦啟用 Amazon GuardDuty 服務,新的 Amazon GuardDuty 帳戶預設會擁有該功能。

問:Amazon GuardDuty 是否會監控我帳戶中的所有儲存貯體,以協助保護我的 S3 部署?

是,S3 Protection 預設會監控您環境中的所有 S3 儲存貯體。

問:是否需要為 S3 Protection 開啟 CloudTrail S3 資料事件日誌記錄?

否,Amazon GuardDuty 可直接存取 CloudTrail S3 資料事件日誌。您無需在 CloudTrail 中啟用 S3 資料事件日誌記錄,因此不會產生相關費用。請注意,Amazon GuardDuty 不存放日誌,並且僅將其用於分析。

Amazon GuardDuty Kubernetes Protection

問:Amazon GuardDuty Kubernetes Protection 如何運作?

Amazon GuardDuty Kubernetes Protection 是一項 GuardDuty 功能,可透過分析 EKS 稽核日誌,來監控 EKS 叢集控制平面活動。Amazon GuardDuty 與 EKS 整合,可直接存取 EKS 稽核日誌,而無需開啟或存放這些日誌。這些稽核日誌是與安全相關、按時間順序的記錄,記錄了在 Amazon EKS 控制平面執行的動作序列。這些 EKS 稽核日誌為 Amazon GuardDuty 提供了對 Amazon EKS API 活動進行持續監控所需的可視性,並運用經驗證的威脅情報和異常偵測,來識別可能讓您的 Amazon EKS 叢集暴露於未經授權存取的惡意活動或組態變更。識別威脅後,Amazon GuardDuty 會產生包含威脅類型、嚴重性級別和容器級詳細資訊 (如 pod ID、容器映像 ID 和關聯標籤) 的安全問題清單。

問:Amazon GuardDuty Kubernetes Protection 可以在我的 EKS 工作負載上偵測到哪些類型的威脅?

Amazon GuardDuty Kubernetes Protection 可以偵測與 EKS 稽核日誌中擷取的使用者和應用程式活動相關的威脅。EKS 威脅偵測包括已知惡意人士或從 Tor 節點存取的 Amazon EKS 叢集、匿名使用者執行的可指示組態設定錯誤的 API 動作,以及可能導致未經授權存取 Amazon EKS 叢集的組態設定錯誤。此外,使用 ML 模型,Amazon GuardDuty 可識別與權限升級技術一致的模式,例如疑似啟動對底層 EC2 主機具有根級存取權的容器。如需有關所有新偵測項的完整清單,請參閱 Amazon GuardDuty 問題清單類型

問:是否需要開啟 EKS 稽核日誌?

否,Amazon GuardDuty 可以直接存取 EKS 稽核日誌。請注意,Amazon GuardDuty 僅使用這些日誌進行分析;它並不存放這些日誌,您也不需要啟用或支付這些 Amazon EKS 稽核日誌,以便與 Amazon GuardDuty 共享。為了最佳化成本,Amazon GuardDuty 會套用智慧篩選條件,以便僅取用與安全威脅偵測相關的稽核日誌子集。

問:是否可以免費試用 Amazon GuardDuty Kubernetes Protection?

是,有 30 天的免費試用期。每個區域中的每個新 Amazon GuardDuty 帳戶都會獲得 30 天的 GuardDuty 免費試用期,包括 Amazon GuardDuty Kubernetes Protection。現有 GuardDuty 帳戶可免費獲得 30 天的 Amazon GuardDuty Kubernetes Protection 試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。

問:如果我目前正在使用 Amazon GuardDuty,如何開始使用 Amazon GuardDuty Kubernetes Protection?

必須為每個個別帳戶啟用 Amazon GuardDuty Kubernetes Protection。您可以從 Amazon GuardDuty Kubernetes Protection 主控台頁面按一下 Amazon GuardDuty 主控台,為您的帳戶啟用該功能。如果您在 Amazon GuardDuty 多帳戶組態中執行,則可以透過 Amazon GuardDuty 管理員帳戶 Amazon GuardDuty Kubernetes Protection 頁面,在整個組織中啟用 Amazon GuardDuty Kubernetes Protection。這將針對所有個別成員帳戶中的 Amazon EKS 啟用持續威脅偵測。針對使用 AWS Organizations 自動填入功能建立的 GuardDuty 帳戶必需明確開啟 EKS 自動啟用。針對一個帳戶啟用後,將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅,並且不用對您的 Amazon EKS 叢集進行任何組態設定。

問:如果我是 Amazon GuardDuty 新使用者,是否預設會為我的帳戶啟用 Amazon GuardDuty Kubernetes Protection?

是,對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會啟用 Amazon GuardDuty Kubernetes Protection。請注意,對於使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶,預設不會啟用 Amazon GuardDuty Kubernetes Protection,除非開啟 EKS 自動啟用選項。

問:如何停用 Amazon GuardDuty Kubernetes Protection?

您可以在主控台中或使用 API 停用該功能。在 Amazon GuardDuty 主控台中,您可以在 Amazon GuardDuty Kubernetes Protection 主控台頁面上,為您的帳戶停用 Amazon GuardDuty Kubernetes Protection。如果您有 Amazon GuardDuty 管理員帳戶,您還可以為您的成員帳戶停用此功能。

問:如果我停用 Amazon GuardDuty Kubernetes Protection,如何再次啟用?

如果您之前停用了 Amazon GuardDuty Kubernetes Protection,您可以在主控台中或使用 API 重新啟用該功能。在 Amazon GuardDuty 主控台中,您可以在 Amazon GuardDuty Kubernetes Protection 主控台頁面上,為您的帳戶啟用 Amazon GuardDuty Kubernetes Protection。

問:是否必須在每個 AWS 帳戶和 EKS 叢集上單獨啟用 Amazon GuardDuty Kubernetes Protection?

必須為每個個別帳戶啟用 Amazon GuardDuty Kubernetes Protection。如果您在 Amazon GuardDuty 多帳戶組態中執行,只需按一下 Amazon GuardDuty 管理員帳戶 Amazon GuardDuty Kubernetes Protection 主控台頁面,即可在整個組織中啟用 EKS 威脅偵測。這將針對所有個別成員帳戶中的 EKS 啟用威脅偵測。為帳戶啟用威脅偵測後,將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅,並且無需對您的 Amazon EKS 叢集進行手動組態設定。

問:如果我不使用 EKS 並在 Amazon GuardDuty 中啟用 Amazon GuardDuty Kubernetes Protection,是否會收費?

如果您不使用 EKS 並且啟用了 Amazon GuardDuty Kubernetes Protection,則不會產生任何 Amazon GuardDuty Kubernetes Protection 費用。但是,當您開始使用 EKS 時,Amazon GuardDuty 會自動監控您的叢集,並針對已識別的問題產生問題清單,您需要為此監控付費。

問:是否可以在不啟用完整 Amazon GuardDuty 服務 (包括分析 VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件) 的情況下,啟用 Amazon GuardDuty Kubernetes Protection?

否,必須啟用 Amazon GuardDuty 服務,才能使用 Amazon GuardDuty Kubernetes Protection。

問:GuardDuty Kubernetes Protection 是否會針對 AWS Fargate 上的 EKS 部署監控 EKS 稽核日誌?

是,Amazon GuardDuty Kubernetes Protection 針對部署在 EC2 執行個體上的 EKS 叢集和部署在 Fargate 上的 EKS 叢集,監控其 EKS 稽核日誌。

問:Amazon GuardDuty 是否監控 EC2 或 Amazon EKS Anywhere 上的非受管 EKS?

目前,此功能僅支援在您的帳戶或 AWS Fargate 的 EC2 執行個體上執行的 Amazon EKS 部署。

問:使用 Amazon GuardDuty Kubernetes Protection 是否會影響在 Amazon EKS 上執行容器的效能或成本?

否,Amazon GuardDuty Kubernetes Protection 的設計並未對 EKS 工作負載部署產生任何效能、可用​​性或成本影響。

問:是否必須在每個 AWS 區域個別啟用 Amazon GuardDuty Kubernetes Protection?

是,Amazon GuardDuty 是一項區域服務,因此必須在每個 AWS 區域中分別啟用 Amazon GuardDuty Kubernetes Protection。

Amazon GuardDuty Malware Protection

問:Amazon GuardDuty Malware Protection 如何運作?

Amazon GuardDuty 在識別表明 EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時,開始進行惡意軟體偵測掃描。它會掃描 Amazon GuardDuty 根據您的 EBS 磁碟區快照產生的複本 EBS 磁碟區,以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等。Amazon GuardDuty Malware Protection 會產生內容相關結果,能夠協助驗證可疑行為的來源。這些問題清單還可傳送至適當的管理員並啟動自動修復。

問:哪些 Amazon GuardDuty EC2 問題清單類型會啟動惡意軟體掃描?

這裡列出了將會啟動惡意軟體掃描的 Amazon GuardDuty EC2 問題清單。

問:Amazon GuardDuty Malware Protection 可以掃描哪些資源和檔案類型?

Malware Protection 支援透過掃描連接至 EC2 執行個體的 EBS,來偵測惡意檔案。它可以掃描磁碟區上存在的任何檔案,並且可以在這裡找到支援的檔案系統類型。

問:Amazon GuardDuty Malware Protection 可以偵測哪些類型的威脅?

Malware Protection 可掃描特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等,這些可能會被用於入侵工作負載、將資源重新用於惡意用途,以及未經授權存取資料。

問:是否需要開啟日誌記錄,才能使 Amazon GuardDuty Malware Protection 運作?

Amazon GuardDuty 或 Malware Protection 功能無需啟用服務日誌記錄即可運作。Malware Protection 功能是 Amazon GuardDuty 的一部分,Amazon GuardDuty 是一項 AWS 服務,使用來自整合的內部和外部來源的情報。

問:Amazon GuardDuty Malware Protection 如何在沒有代理程式的情況下完成掃描?

Amazon GuardDuty Malware Protection 不使用安全代理程式,而是根據連接至您帳戶中可能受感染的 EC2 執行個體或容器工作負載的 EBS 磁碟區的快照,來建立和掃描複本。您透過服務連結角色授予 Amazon GuardDuty 的許可,允許該服務透過保留在您帳戶中的快照,在 GuardDuty 的服務帳戶中建立加密磁碟區複本。Amazon GuardDuty Malware Protection 隨後會掃描磁碟區複本,以查找惡意軟體。

問:是否可以免費試用 Amazon GuardDuty Malware Protection?

是,對於每個區域的每個新 Amazon GuardDuty 帳戶,都可享受 Amazon GuardDuty 的 30 天免費試用期,包括 Malware Protection 功能。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時,可免費享受 30 天試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。

問:如果我目前正在使用 Amazon GuardDuty,如何開始使用 GuardDuty Malware Protection?

您可以前往 Malware Protection 頁面或使用 API,在 Amazon GuardDuty 主控台中啟用 Malware Protection。如果在 Amazon GuardDuty 多帳戶組態中運作,您可以在整個組織中,透過 Amazon GuardDuty 管理員帳戶的 Malware Protection 主控台頁面啟用該功能。這會啟用對所有個別成員帳戶中惡意軟體的監控。針對使用 AWS Organizations 自動啟用功能建立的 Amazon GuardDuty 帳戶,您需要明確啟用 Malware Protection 選項自動啟用。

問:如果我是 Amazon GuardDuty 的新使用者,是否會預設為我的帳戶啟用 Malware Protection?

是,對於使用主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶,也預設會啟用 Amazon GuardDuty Malware Protection。針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶,您需要明確啟用 Malware Protection 選項自動啟用。 

問:如何停用 Amazon GuardDuty Malware Protection?

您可以在主控台中或使用 API 停用該功能。您將在 Malware Protection 主控台頁面的 Amazon GuardDuty 主控台中,看到為您的帳戶停用 Malware Protection 的選項。如果您有 Amazon GuardDuty 管理員帳戶,您還可以為您的成員帳戶停用 Malware Protection。

問:如果停用 Amazon GuardDuty Malware Protection,如何再次啟用?

如果停用了 Malware Protection,您可以在主控台中或使用 API 啟用該功能。您可以在 Amazon GuardDuty 主控台的 Malware Protection 主控台頁面,為您的帳戶啟用 Malware Protection。

問:如果在計費期間未執行 Amazon GuardDuty 惡意軟體掃描,是否會產生任何費用?

否,如果在計費期間沒有對 Malware Protection 進行掃描,則不會對 Malware Protection 收取任何費用。您可以在 AWS 帳單主控台中檢視此功能的成本。

問:Amazon GuardDuty Malware Protection 是否支援多帳戶管理?

是,Amazon GuardDuty 具備多帳戶管理功能,可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。Amazon GuardDuty 透過 AWS Organizations 整合進行多帳戶管理。這種整合有助於安全與合規團隊確保在組織的所有帳戶中全面啟用 Amazon GuardDuty,包括 Malware Protection。

問:是否需要進行任何組態變更、部署任何軟體或修改 AWS 部署?

否。啟用該功能後,GuardDuty Malware Protection 將啟動惡意軟體掃描,以對相關 EC2 問題清單做出回應。您不必部署任何代理程式,無需啟用日誌來源,也不用做出任何其他組態變更。

問:使用 Amazon GuardDuty Malware Protection 是否會影響執行工作負載的效能?

Amazon GuardDuty Malware Protection 的設計並未對工作負載的效能造成影響。例如,針對惡意軟體分析建立的 EBS 磁碟區快照,只能在 24 小時內產生一次,而 Amazon GuardDuty Malware Protection 會在完成掃描後將加密的複本和快照保留幾分鐘。此外,Amazon GuardDuty Malware Protection 使用 GuardDuty 運算資源而非客戶運算資源進行惡意軟體掃描。

問:是否必須在每個 AWS 區域個別啟用 Amazon GuardDuty Malware Protection?

是,Amazon GuardDuty 是一項區域服務,必須在每個 AWS 區域單獨啟用 Malware Protection。

問:Amazon GuardDuty Malware Protection 如何使用加密?

Amazon GuardDuty Malware Protection 根據連接至您帳戶中可能受感染的 EC2 執行個體或容器工作負載的 EBS 磁碟區快照來掃描複本。如果您的 EBS 磁碟區使用客戶受管金鑰進行加密,您可以選擇與 Amazon GuardDuty 共用您的 AWS Key Management Service (KMS) 金鑰,並且服務使用相同的金鑰來加密複本 EBS 磁碟區。針對未加密的 EBS 磁碟區,Amazon GuardDuty 使用自己的金鑰來加密複本 EBS 磁碟區。

問:EBS 磁碟區複本是否會在與原始磁碟區相同的區域中進行分析?

是,所有複本 EBS 磁碟區資料 (以及複本磁碟區以此為基礎的快照) 都與原始 EBS 磁碟區位於同一區域。

問:如何估算和控制 Amazon GuardDuty Malware Protection 的支出?

對於每個區域的每個新 Amazon GuardDuty 帳戶,都可享受 Amazon GuardDuty 的 30 天免費試用期,包括 Malware Protection 功能。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時,可免費享受 30 天試用期。在試用期間,您可以在 Amazon GuardDuty 主控台用量頁面中,進行試用後的成本估算。如果您是 Amazon GuardDuty 管理員,您將能夠查看成員帳戶的估算成本。30 天後,您可以在 AWS 帳單主控台中,查看此功能的實際成本。

此功能的定價依據磁碟區中掃描資料的 GB 數。您可以使用主控台中的掃描選項來套用自訂項,以標記某些 EC2 執行個體,使用標籤以包括或排除掃描,從而控制成本。此外,Amazon GuardDuty 每 24 小時只會掃描一次 EC2 執行個體。如果 Amazon GuardDuty 在 24 小時內針對一個 EC2 執行個體產生多個 EC2 問題清單,則只會對第一個相關的 EC2 問題清單進行掃描。舉例來說,如果 EC2 問題清單在最後一次惡意軟體掃描後 24 小時後繼續,則針對該執行個體啟動新的惡意軟體掃描。

問:是否可以保留 Amazon GuardDuty Malware Protection 拍攝的快照?

是,當 Malware Protection 掃描偵測到惡意軟體時,您可以啟用快照保留設定。您可以從 Amazon GuardDuty 主控台的「設定」頁面啟用此設定。依預設,快照會在掃描完成幾分鐘後刪除,如果掃描未完成,則會在 24 小時後刪除。

問:依預設,複本 EBS 磁碟區的最長保留時間是多少?

Amazon GuardDuty Malware Protection 將保留其產生和掃描的每個複本 EBS 磁碟區長達 24 小時。預設會在 Amazon GuardDuty Malware Protection 完成掃描後幾分鐘內刪除複本 EBS 磁碟區。但是,在某些情況下,如果服務中斷或連線問題干擾其惡意軟體掃描,Amazon GuardDuty Malware Protection 可能需要保留複本 EBS 磁碟區超過 24 小時。發生這種情況時,Amazon GuardDuty Malware Protection 將保留複本 EBS 磁碟區最多 7 天,以便服務有時間進行分類並解決中斷或連線問題。Amazon GuardDuty Malware Protection 將在解決中斷或故障後,或在延長的保留期過後刪除複本 EBS 磁碟區。

問:單一 EC2 執行個體或容器工作負載的多個 Amazon GuardDuty 問題清單表明可能存在惡意軟體,這是否會啟動多個惡意軟體掃描?

否,Amazon GuardDuty 每 24 小時只會根據連接至可能受感染的 EC2 執行個體或容器工作負載的 EBS 磁碟區快照,掃描一次複本。即使 Amazon GuardDuty 產生了多個符合啟動惡意軟體掃描條件的問題清單,如果距上次掃描不到 24 小時,也不會啟動其他掃描。如果 Amazon GuardDuty 在上次惡意軟體掃描 24 小時後產生符合條件的問題清單,Amazon GuardDuty Malware Protection 則會為該工作負載啟動新的惡意軟體掃描。

問:如果我停用 Amazon GuardDuty,是否還必須停用 Malware Protection 功能?

否,停用 Amazon GuardDuty 服務也會停用 Malware Protection 功能。

進一步了解產品定價

請參閱定價範例和免費試用詳細資訊

進一步了解 
註冊免費試用

存取 Amazon GuardDuty 免費試用版。 

開始免費試用 
開始在主控台進行建置

開始在 AWS 主控台使用 Amazon GuardDuty。

登入