服務概觀

問:什麼是 Amazon GuardDuty?

Amazon GuardDuty 提供威脅偵測,可讓您持續監控及保護您的 AWS 帳戶、工作負載,以及在 Amazon S3 中存放的資料。GuardDuty 會分析在 AWS CloudTrail 事件、Amazon VPC Flow Logs 和 DNS 日誌中找到的帳戶與網路活動所產生的持續中繼資料串流。它也使用整合的威脅情報 (例如已知的惡意 IP 地址)、異常偵測和機器學習以更準確地識別威脅。

問:Amazon GuardDuty 有哪些主要優勢?

Amazon GuardDuty 可讓您輕鬆地持續監控 AWS 帳戶、工作負載,以及在 Amazon S3 中存放的資料。它完全獨立地從您的資源運作,因此不會對工作負載的效能或可用性造成影響。而且,它完全是由整合的威脅情報、異常偵測及機器學習所管理。Amazon GuardDuty 會提供詳細且可採取行動的警示,可輕鬆與現有的事件管理和工作流程系統整合。您不必預先支付任何費用,只需按分析的事件付費即可,不必部署其他軟體或訂閱威脅情報饋送。

問:Amazon GuardDuty 的費用是多少?

Amazon GuardDuty 價格視分析的 AWS CloudTrail 事件數量和分析的 Amazon VPC Flow Log 與 DNS 日誌資料量而定。為 GuardDuty 分析啟用這些日誌來源無須額外付費。

  • AWS CloudTrail 管理事件分析 – GuardDuty 會持續分析 CloudTrail 管理事件,藉此監控 AWS 帳戶與基礎設施的所有存取和行為。CloudTrail 管理事件分析的費用是按每個月每 1,000,000 個事件的比例收取。
  • AWS CloudTrail S3 資料事件分析 – GuardDuty 持續分析 CloudTrail S3 資料事件,監控所有 Amazon S3 儲存貯體的存取和活動。CloudTrail S3 資料事件分析的費用是按每個月每 1,000,000 個事件的比例收取。
  • VPC Flow Logs 和 DNS 日誌分析 – GuardDuty 會持續分析 VPC Flow Logs 和 DNS 請求,以識別您 AWS 帳戶和工作負載中惡意、未授權或未預期的行為。Flow Logs 和 DNS 日誌分析是按每個月每 GB 收費。Flow Logs 和 DNS 日誌分析提供分級數量折扣。

您不必預先支付任何費用,只需按分析的資料量付費即可。

如需詳細資訊和定價範例,請參閱 Amazon GuardDuty 定價

問:Amazon GuardDuty 付款人帳戶中的預計成本顯示的是連結帳戶彙總的總成本,還是個別的付款人帳戶成本?

預計成本僅代表個別的付款人帳戶成本。如果是主要帳戶,您只會看到主要帳戶的預計成本。

問:是否提供免費試用?

是,任何新加入 Amazon GuardDuty 的帳戶都可以免費試用服務 30 天。在免費試用期間,您將擁有完整功能集和偵測的存取權限。GuardDuty 會顯示處理的資料量,並提供帳戶的每日估計平均服務費用。這可讓您輕鬆免費試用 Amazon GuardDuty,並預測免費試用期過後的服務費用。

問:Amazon GuardDuty 和 Amazon Macie 有什麼不同?

Amazon GuardDuty 可協助識別攻擊者的偵察活動、執行個體危害、帳戶盜用和儲存貯體危害等威脅,為您的 AWS 帳戶、工作負載和資料提供廣泛保護。Amazon Macie 透過協助您對擁有的資料,以及與該資料關聯的安全和存取控制進行分類,來協助您探索和保護 Amazon S3 中的敏感資料。

問:Amazon GuardDuty 是區域服務還是全球服務?

Amazon GuardDuty 是區域服務。即使啟用了多個帳戶並使用多個區域,Amazon GuardDuty 安全問題清單仍會保存在產生基礎資料的相同區域。這可確保所有資料都是按區域分析,而不是跨 AWS 區域邊界。客戶可以選擇彙總 Amazon GuardDuty 跨區域產生的安全問題清單,方法是使用 Amazon CloudWatch Events、將問題清單推送至存放在客戶控制項 (如 Amazon S3) 中的資料,然後視需要彙總問題清單。

問:Amazon GuardDuty 支援哪些區域?

想了解 Amazon GuardDuty 的區域可用性,請參閱 AWS 區域表

問:有哪些合作夥伴使用 Amazon GuardDuty?

目前,已經有許多技術合作夥伴整合並採用 Amazon GuardDuty。此外,也有具備專業知識的諮詢、系統整合商和受管安全服務供應商採用 GuardDuty。請參閱 Amazon GuardDuty 合作夥伴

問:Amazon GuardDuty 是否有助於滿足支付卡產業資料安全標準 (PCI DSS) 中的某些要求?

答:GuardDuty 分析來自多個 AWS 資料來源的事件,例如 AWS CloudTrail 事件、Amazon VPC 流程日誌和 DNS 日誌,並根據從 AWS 和其他服務 (例如 CrowdStrike) 接收威脅情報源來偵測可疑活動。Foregenix 發佈了一份白皮書,其中提供對 Amazon GuardDuty 滿足合規性要求有效性的詳細評定,例如支付卡產業 (PCI) 資料安全標準 (DSS) 要求 11.4,這需要在網路的關鍵點採用入侵偵測技術。

啟用 GuardDuty

問:如何啟用 Amazon GuardDuty?

只要在 AWS 管理主控台按幾下,即可啟用 Amazon GuardDuty。啟用後,GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中,並且會持續更新及維護。 

問:是否可以使用 Amazon GuardDuty 管理多個帳戶?

可以,Amazon GuardDuty 具備多帳戶功能,可讓您將單一主帳戶中的多個 AWS 帳戶建立關聯並加以管理。使用這項功能時,所有安全問題清單會彙總到管理員或 Amazon GuardDuty 主帳戶供檢閱及修復。此外,使用此組態時,Amazon CloudWatch Events 也會彙總到 Amazon GuardDuty 主帳戶。

問:Amazon GuardDuty 會分析哪些資料來源?

Amazon GuardDuty 會分析 AWS CloudTrail、VPC Flow Logs 和 AWS DNS 日誌。這項服務已經過優化,可運用大量資料以近乎即時的速度處理安全偵測。GuardDuty 可讓您存取內建的偵測技術,這些技術已針對雲端進行優化,並且會由 AWS 安全負責維護及持續改善。 

問:GuardDuty 多快可以開始運作?

Amazon GuardDuty 啟用後便會立即開始分析惡意或未授權的活動。開始接收發現結果的時間範圍取決於您帳戶的活動等級。GuardDuty 不會分析歷史資料,只會分析在其啟用後開始的活動。如果 GuardDuty 發現任何潛在威脅,您就會在 GuardDuty 主控台收到問題清單。

問:是否必須啟用 AWS CloudTrail、VPC Flow Logs 和 DNS 日誌,Amazon GuardDuty 才能運作?

否。Amazon GuardDuty 會直接從 AWS CloudTrail、VPC Flow Logs 和 AWS DNS 日誌提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改您收集及存放日誌的方式。GuardDuty 許可是以服務連結角色的形式管理,因此您隨時可以停用 GuardDuty 來撤銷。這可讓您輕鬆啟用服務,而不必進行複雜的組態工作,還能藉此降低修改 AWS IAM 許可或變更 S3 儲存貯體政策會影響服務操作的風險。此外,這還能大幅提升 GuardDuty 的效率,以近乎即時的速度運用大量資料,而不會影響帳戶或工作負載的效能或可用性。

問:在我的帳戶啟用 Amazon GuardDuty 是否會對效能或可用性造成任何影響?

否。Amazon GuardDuty 的運作與您的 AWS 資源完全無關,因此不會影響您的帳戶或工作負載。這可讓您輕鬆地為組織中的多個帳戶啟用 GuardDuty,而不會影響現有的操作。

問:Amazon GuardDuty 是否會管理或保留我的日誌?

否。Amazon GuardDuty 不會管理或保留您的日誌。GuardDuty 耗用的所有資料是以近乎即時的速度進行分析及捨棄。藉此提升 GuardDuty 的效率、提高經濟效益,並降低資料殘留的風險。針對日誌的交付及保留,建議您使用 AWS 直接記錄及監控服務,以提供功能完整的交付和保留選項。

問:如何停止 Amazon GuardDuty 查閱我的日誌和資料來源?

您隨時可以停止 Amazon GuardDuty 分析您的資料來源,方法是在一般設定中選擇暫停服務。這樣會立即停止服務分析資料,但並不會刪除現有的發現結果或組態。此外,您也可以在一般設定中選擇停用服務。藉此刪除所有剩餘的資料,包括在放棄服務許可及重設服務之前的問題清單和組態。

GuardDuty 問題清單

問:Amazon GuardDuty 可以偵測哪些項目?

Amazon GuardDuty 可讓您存取內建的偵測技術,這些技術是專為雲端開發及進行優化。偵測演算法是由 AWS 安全負責維護及持續改善。主要的偵測類別包括:

  • 偵察活動 – 表示攻擊者進行偵察的活動,例如不尋常的 API 活動、VPC 內部連接埠掃描、異常的失敗登入請求模式,或來自已知惡意 IP 的解鎖連接埠探查。
  • 執行個體危害 – 表示執行個體危害的活動,例如密碼貨幣挖礦、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 地址使用的 Amazon EC2 臨時登入資料,以及運用 DNS 使資料外洩。
  • 帳戶危害 – 表示帳戶危害的常見模式,包括來自不尋常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 日誌、異常的執行個體或基礎設施啟動、基礎設施部署在不尋常的區域,以及來自已知惡意 IP 地址的 API 呼叫。
  • 儲存貯體危害 – 指示儲存貯體危害的活動,例如指示登入資料濫用的可疑資料存取模式、遠端主機的異常 S3 API 活動、已知惡意 IP 地址未經授權的 S3 存取,以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置叫用的使用者擷取 S3 儲存貯體資料的 API 叫用。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject),以偵測所有 Amazon S3 儲存貯體中的可疑活動。

問:什麼是 Amazon GuardDuty 威脅情報?

Amazon GuardDuty 威脅情報是由攻擊者使用的 IP 地址和網域所組成。GuardDuty 威脅情報是由 AWS 安全和第三方供應商 (如 Proofpoint 和 CrowdStrike) 提供。這些威脅情報饋送已預先整合在 GuardDuty 並且會持續更新,無須額外的費用。

問:是否能提供自己的威脅情報?

是。Amazon GuardDuty 可讓您輕鬆上傳自己的威脅情報或 IP 安全清單。使用這項功能時,這些清單只會套用至您的帳戶,不會與其他客戶共享。

問:安全問題清單的交付方式為何?

如果偵測到威脅,Amazon GuardDuty 會傳送詳細的安全問題清單至 GuardDuty 主控台和 Amazon CloudWatch Events。這樣就能對提醒採取動作,而且很容易整合到現有的事件管理系統或工作負載系統。問題清單包括類別、受影響的資源,以及與資源相關聯的中繼資料 (如嚴重性等級)。

問:Amazon GuardDuty 問題清單的格式為何?

Amazon GuardDuty 發現結果採用常見的 JSON 格式,Amazon Macie 和 Amazon Inspector 也使用這種格式。這可讓客戶和合作夥伴輕鬆使用這三項服務提供的問題清單,並將其納入更廣泛的事件管理、工作流程或安全解決方案。

問:Amazon GuardDuty 中的安全問題清單可以使用多久?

安全發現結果是透過 Amazon GuardDuty 主控台和 API 保留,供您在 90 天內使用。90 天過後,就會捨棄這些問題清單。如要將問題清單保留 90 天以上的時間,您可以啟用 Amazon CloudWatch Events 將問題清單自動推送至您帳戶中的 Amazon S3 儲存貯體或其他資料存放區以長期保留。

問:是否可以使用 Amazon GuardDuty 採取自動化預防性動作?

使用 Amazon GuardDuty、Amazon CloudWatch Events 和 AWS Lambda 時,您可以根據安全問題清單彈性設定自動化預防性動作。例如,您可以建立 Lambda 函數,根據安全問題清單修改 AWS 安全群組規則。如果您取得的 GuardDuty 問題清單指出其中一個 Amazon EC2 執行個體正被某個已知的惡意 IP 探查,您可以透過 CloudWatch Events 規則觸發 Lambda 函數自動修改安全群組規則並限制該連接埠的存取,藉此解決問題。

問:Amazon GuardDuty 偵測的開發和管理過程為何?

Amazon GuardDuty 旗下有一個團隊,專注於開發、管理及重複利用偵測。藉此定期地為服務提供新的偵測功能,並持續重複利用現有的偵測功能。服務中內建數個意見回饋機制,例如對於在 GuardDuty UI 中發現的每個安全發現結果表示滿意和不滿意。這可讓客戶提供意見回饋,以便我們在日後決定要重複利用的 GuardDuty 偵測。

問:是否可以在 Amazon GuardDuty 中撰寫自訂的偵測?

否。Amazon GuardDuty 免除了開發和維護自訂規則集的繁重工作和複雜程度。我們會根據客戶意見回饋以及 AWS 安全和 GuardDuty 團隊所做的研究持續加入新的偵測。客戶設定的自訂偵測包括新增自己的威脅清單和 IP 安全清單。

問:我目前正在使用 Amazon GuardDuty,如何開始使用GuardDuty for S3 保護功能?

對於目前的帳戶,可以在主控台或 API 中啟用 GuardDuty for S3 保護功能。在 GuardDuty 主控台中,您可以移至 S3 保護功能頁面,並且可為您的帳戶啟用 GuardDuty for S3 保護功能。這將開始 GuardDuty for S3 保護功能 30 天免費試用。

問:是否可以免費試用 GuardDuty for S3 保護功能?

是,提供 30 天免費試用期。每個區域的每個帳戶均可獲得 GuardDuty for S3 保護功能 30 天免費試用。對於已經啟用 GuardDuty 的帳戶,也將獲得 GuardDuty for S3 保護功能 30 天免費試用。

問:我是 Amazon GuardDuty 新使用者,我的帳戶是否預設會啟用 GuardDuty for S3 保護功能?

是。透過主控台或 API 啟用 GuardDuty 的任何新帳戶,也預設會啟用 GuardDuty for S3 保護功能。使用 AWS Organizations「自動啟用」功能建立的新 GuardDuty 帳戶,預設不會啟用 GuardDuty for S3 保護功能,除非開啟「S3 自動啟用」。

問:是否可以僅啟用 GuardDuty for S3 保護功能,而不啟用完整 GuardDuty 服務 (VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件)?

必須啟用 Amazon GuardDuty 服務,才能使用 GuardDuty for S3 保護功能。目前的 GuardDuty 帳戶可以選擇啟用 GuardDuty for S3 保護功能。啟用 GuardDuty 服務後,新的 GuardDuty 帳戶預設會啟用 GuardDuty for S3 保護功能。

問:GuardDuty 是否監控我帳戶中的所有儲存貯體以進行 S3 保護?

是。GuardDuty for S3 保護功能預設會監控環境中的所有 S3 儲存貯體。

問:是否需要啟用 AWS CloudTrail S3 資料事件日誌記錄才能獲得 GuardDuty for S3 保護功能?

否。GuardDuty 可以直接存取 AWS CloudTrail S3 資料事件日誌,您不需要在 CloudTrail 中啟用 S3 資料事件日誌記錄以及承擔相關費用。請注意,GuardDuty 不存放日誌,並且僅將其用於分析。
 

GuardDuty for S3 保護功能

問:我目前正在使用 Amazon GuardDuty,如何開始使用GuardDuty for S3 保護功能?

對於目前的帳戶,可以在主控台或 API 中啟用 GuardDuty for S3 保護功能。在 GuardDuty 主控台中,您可以移至 S3 保護功能頁面,並且可為您的帳戶啟用 GuardDuty for S3 保護功能。這將開始 GuardDuty for S3 保護功能 30 天免費試用。

問:是否可以免費試用 GuardDuty for S3 保護功能?

是,提供 30 天免費試用期。每個區域的每個帳戶均可獲得 GuardDuty for S3 保護功能 30 天免費試用。對於已經啟用 GuardDuty 的帳戶,也將獲得 GuardDuty for S3 保護功能 30 天免費試用。

問:我是 Amazon GuardDuty 新使用者,我的帳戶是否預設會啟用 GuardDuty for S3 保護功能?

是。透過主控台或 API 啟用 GuardDuty 的任何新帳戶,也預設會啟用 GuardDuty for S3 保護功能。使用 AWS Organizations「自動啟用」功能建立的新 GuardDuty 帳戶,預設不會啟用 GuardDuty for S3 保護功能,除非開啟「S3 自動啟用」。

問:是否可以僅啟用 GuardDuty for S3 保護功能,而不啟用完整 GuardDuty 服務 (VPC 流程日誌、DNS 查詢日誌和 CloudTrail 管理事件)?

必須啟用 Amazon GuardDuty 服務,才能使用 GuardDuty for S3 保護功能。目前的 GuardDuty 帳戶可以選擇啟用 GuardDuty for S3 保護功能。啟用 GuardDuty 服務後,新的 GuardDuty 帳戶預設會啟用 GuardDuty for S3 保護功能。

問:GuardDuty 是否監控我帳戶中的所有儲存貯體以進行 S3 保護?

是。GuardDuty for S3 保護功能預設會監控環境中的所有 S3 儲存貯體。

問:是否需要啟用 AWS CloudTrail S3 資料事件日誌記錄才能獲得 GuardDuty for S3 保護功能?

否。GuardDuty 可以直接存取 AWS CloudTrail S3 資料事件日誌,您不需要在 CloudTrail 中啟用 S3 資料事件日誌記錄以及承擔相關費用。請注意,GuardDuty 不存放日誌,並且僅將其用於分析。

Standard Product Icons (Features) Squid Ink
進一步了解產品定價

請參閱定價範例和免費試用詳細資訊

進一步了解 
Sign up for a free account
註冊免費試用

存取 Amazon GuardDuty 免費試用版。 

開始免費試用 
Standard Product Icons (Start Building) Squid Ink
開始在主控台進行建置

開始在 AWS 主控台使用 Amazon GuardDuty。

登入