服務概觀

問:什麼是 Amazon GuardDuty?

Amazon GuardDuty 提供威脅偵測,可讓您持續監控及保護您的 AWS 帳戶和工作負載。GuardDuty 會分析在 AWS CloudTrail 事件、Amazon VPC Flow Logs 和 DNS Logs 中找到的帳戶與網路活動所產生的持續中繼資料串流。它也使用整合的威脅情報 (例如已知的惡意 IP 地址)、異常偵測和機器學習以更準確地識別威脅。

問:Amazon GuardDuty 有哪些主要優勢?

Amazon GuardDuty 可讓您輕鬆地持續監控 AWS 帳戶和工作負載。它完全獨立地從您的資源運作,因此不會對工作負載的效能或可用性造成影響。而且,它完全是由整合的威脅情報、異常偵測及機器學習所管理。Amazon GuardDuty 會提供詳細且可採取行動的警示,可輕鬆與現有的事件管理和工作流程系統整合。您不必預先支付任何費用,只需按分析的事件付費即可,不必部署其他軟體或訂閱威脅情報饋送。

問:Amazon GuardDuty 的費用是多少?

Amazon GuardDuty 的價格是依兩項維度而定。這兩項維度視分析的 AWS CloudTrail 事件 (每 1,000,000 個事件) 數量和分析的 Amazon VPC Flow Log 與 DNS Log 量 (每 GB) 而定。

  • AWS CloudTrail 事件分析 – GuardDuty 會持續分析 AWS CloudTrail 管理事件,藉此監控 AWS 帳戶與基礎設施的所有存取和行為。CloudTrail 事件分析的費用是按每個月每 1,000,000 個事件的比例收取。
  • VPC Flow Log 和 DNS Log 分析 – GuardDuty 會持續分析 VPC Flow Logs 和 DNS 請求與回應,以識別您 Amazon EC2 執行個體中惡意、未授權或未預期的行為。Flow 日誌和 DNS 日誌分析是按每個月每 GB 收費。Flow 日誌和 DNS 日誌分析提供分級數量折扣。

您不必預先支付任何費用,只需按分析的資料量付費即可。

如需詳細資訊和定價範例,請參閱 Amazon GuardDuty 定價

問:是否提供免費試用版?

是,任何新加入 Amazon GuardDuty 的帳戶都可以免費試用服務 30 天。在免費試用期間,您將擁有完整功能集和偵測的存取權限。GuardDuty 會顯示處理的資料量,並提供帳戶的每日估計平均服務費用。這可讓您輕鬆免費試用 Amazon GuardDuty,並預測免費試用期過後的服務費用。

問:Amazon GuardDuty 和 Amazon Macie 有什麼不同?

Amazon GuardDuty 可協助識別攻擊者的偵察活動、執行個體危害和帳戶盜用等威脅,為您的 AWS 帳戶、工作負載和資料提供廣泛保護。Amazon Macie 則可協助分類您擁有的資料、資料為組織提供的價值,以及與該資料之存取權相關聯的行為,藉此確保您的 Amazon S3 資料安全。這兩項服務都會合併運用使用者行為分析、機器學習和異常偵測,以偵測各個類別的威脅。

問:Amazon GuardDuty 是區域服務還是全球服務?

Amazon GuardDuty 是區域服務。即使啟用了多個帳戶並使用多個區域,Amazon GuardDuty 安全發現結果仍會保存在產生基礎資料的相同區域。這可確保所有資料都是按區域分析,而不是跨 AWS 區域邊界。客戶可以選擇彙總 Amazon GuardDuty 跨區域產生的安全發現結果,方法是使用 AWS CloudWatch 事件、將問題推送至存放在客戶控制項 (如 Amazon S3) 中的資料,然後視需要彙總問題。

問:Amazon GuardDuty 支援哪些區域?

想了解 Amazon GuardDuty 的區域可用性,請參閱 AWS 區域表

問:有哪些合作夥伴使用 Amazon GuardDuty?

目前,已經有許多技術合作夥伴整合並採用 Amazon GuardDuty。此外,也有具備專業知識的諮詢、系統整合商和受管安全服務供應商採用 GuardDuty。詳情請參閱 Amazon GuardDuty 合作夥伴

啟用 GuardDuty

問:如何啟用 Amazon GuardDuty?

只要在 AWS 管理主控台按幾下,即可啟用 Amazon GuardDuty。啟用後,GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中,並且會持續更新及維護。 

問:是否可以使用 Amazon GuardDuty 管理多個帳戶?

可以,Amazon GuardDuty 具備多帳戶功能,可讓您將單一主帳戶中的多個 AWS 帳戶建立關聯並加以管理。使用這項功能時,所有安全發現結果會彙總到管理員或 Amazon GuardDuty 主帳戶供檢閱及修復。此外,使用此組態時,AWS CloudWatch 事件也會彙總到 Amazon GuardDuty 主帳戶。

問:Amazon GuardDuty 會分析哪些資料來源?

Amazon GuardDuty 會分析 AWS CloudTrail、VPC Flow Logs 和 AWS DNS 日誌。這項服務已經過優化,可運用大量資料以近乎即時的速度處理安全偵測。GuardDuty 可讓您存取內建的偵測技術,這些技術已針對雲端進行優化,並且會由 AWS 安全負責維護及持續改善。 

問:GuardDuty 多快可以開始運作?

Amazon GuardDuty 啟用後便會立即開始分析惡意或未授權的活動。開始接收發現結果的時間範圍取決於您帳戶的活動等級。GuardDuty 不會分析歷史資料,只會分析在其啟用後開始的活動。如果 GuardDuty 發現任何潛在威脅,您就會在 GuardDuty 主控台收到發現結果。

問:是否必須啟用 AWS CloudTrail、VPC Flow Logs 和 DNS 日誌,Amazon GuardDuty 才能運作?

否。Amazon GuardDuty 會直接從 AWS CloudTrail、VPC Flow Logs 和 AWS DNS 日誌提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改您收集及存放日誌的方式。GuardDuty 許可是以服務連結角色的形式管理,因此您隨時可以停用 GuardDuty 來撤銷。這可讓您輕鬆啟用服務,而不必進行複雜的組態工作,還能藉此降低修改 AWS IAM 許可或變更 S3 儲存貯體政策會影響服務操作的風險。此外,這還能大幅提升 GuardDuty 的效率,以近乎即時的速度運用大量資料,而不會影響帳戶或工作負載的效能或可用性。

問:在我的帳戶啟用 Amazon GuardDuty 是否會對效能或可用性造成任何影響?

否。Amazon GuardDuty 的運作與您的 AWS 資源完全無關,因此不會影響您的帳戶或工作負載。這可讓您輕鬆地為組織中的多個帳戶啟用 GuardDuty,而不會影響現有的操作。

問:Amazon GuardDuty 是否會管理或保留我的日誌?

否。Amazon GuardDuty 不會管理或保留您的日誌。GuardDuty 耗用的所有資料是以近乎即時的速度進行分析及捨棄,藉此提升 GuardDuty 的效率、提高經濟效益,並降低資料殘留的風險。針對日誌的交付及保留,建議您使用 AWS 直接記錄及監控服務,以提供功能完整的交付和保留選項。

問:如何停止 Amazon GuardDuty 查閱我的日誌和資料來源?

您隨時可以停止 Amazon GuardDuty 分析您的資料來源,方法是在一般設定中選擇暫停服務。這樣會立即停止服務分析資料,但並不會刪除現有的發現結果或組態。此外,您也可以在一般設定中選擇停用服務,藉此刪除所有剩餘的資料,包括在放棄服務許可及重設服務之前的發現結果和組態。

GuardDuty 發現結果

問:Amazon GuardDuty 可以偵測哪些項目?

Amazon GuardDuty 可讓您存取內建的偵測技術,這些技術是專為雲端開發及進行優化。偵測演算法是由 AWS 安全負責維護及持續改善。主要的偵測類別包括:

  • 偵察活動 – 表示攻擊者進行偵察的活動,例如不尋常的 API 活動、VPC 內部連接埠掃描、異常的失敗登入請求模式,或來自已知惡意 IP 的解鎖連接埠探查。
  • 執行個體危害 – 表示執行個體危害的活動,例如密碼貨幣挖礦、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 地址使用的 Amazon EC2 臨時登入資料,以及運用 DNS 使資料外洩。
  • 帳戶危害 – 表示帳戶危害的常見模式,包括來自不尋常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 日誌、異常的執行個體或基礎設施啟動、基礎設施部署在不尋常的區域,以及來自已知惡意 IP 地址的 API 呼叫。

問:什麼是 Amazon GuardDuty 威脅情報?

Amazon GuardDuty 威脅情報是由攻擊者使用的 IP 地址和網域所組成。GuardDuty 威脅情報是由 AWS 安全和第三方供應商 (如 Proofpoint 和 CrowdStrike) 提供。這些威脅情報饋送已預先整合在 GuardDuty 並且會持續更新,無須額外的費用。

問:是否能提供自己的威脅情報?

是。Amazon GuardDuty 可讓您輕鬆上傳自己的威脅情報或 IP 安全清單。使用這項功能時,這些清單只會套用至您的帳戶,不會與其他客戶共享。

問:機器學習和行為異常偵測的運作方式為何?

更為進階的行為和機器學習偵測須花費 7 到 14 天在您的帳戶中設定行為基準。設定完成後,異常偵測就會從學習模式切換至主動模式。屆時,您只會看到這些偵測在服務發現可能有威脅的行為時所產生的發現結果。

問:安全發現結果的交付方式為何?

如果偵測到威脅,Amazon GuardDuty 會傳送詳細的安全發現結果到 GuardDuty 主控台和 AWS CloudWatch Events。這樣就能對提醒採取動作,而且很容易整合到現有的事件管理系統或工作負載系統。發現結果包括類別、受影響的資源,以及與資源相關聯的中繼資料 (如嚴重性等級)。

問:Amazon GuardDuty 發現結果的格式為何?

Amazon GuardDuty 發現結果採用常見的 JSON 格式,Amazon Macie 和 Amazon Inspector 也使用這種格式。這可讓客戶和合作夥伴輕鬆使用這三項服務提供的發現結果,並將其納入更廣泛的事件管理、工作流程或安全解決方案。

問:Amazon GuardDuty 中的安全發現結果可以使用多久?

安全發現結果是透過 Amazon GuardDuty 主控台和 API 保留,供您在 90 天內使用。90 天過後,就會捨棄這些發現結果。如要將發現結果保留 90 天以上的時間,您可以啟用 AWS CloudWatch Events 將發現結果自動推送至您帳戶中的 Amazon S3 儲存貯體或其他資料存放區以長期保留。

問:是否可以使用 Amazon GuardDuty 採取自動化預防性動作?

使用 Amazon GuardDuty、AWS CloudWatch Events 和 AWS Lambda 時,您可以根據安全發現結果彈性設定自動化預防性動作。例如,您可以建立 Lambda 函數,根據安全發現結果修改 AWS 安全群組規則。如果您取得的 GuardDuty 發現結果指出其中一個 Amazon EC2 執行個體正被某個已知的惡意 IP 探查,您可以透過 CloudWatch Events 規則觸發 Lambda 函數自動修改安全群組規則並限制該連接埠的存取,藉此解決問題。

問:Amazon GuardDuty 偵測的開發和管理過程為何?

Amazon GuardDuty 旗下有一個團隊,專注於開發、管理及重複利用偵測。藉此定期地為服務提供新的偵測功能,並持續重複利用現有的偵測功能。服務中內建數個意見回饋機制,例如對於在 GuardDuty UI 中發現的每個安全發現結果表示滿意和不滿意。這可讓客戶提供意見回饋,以便我們在日後決定要重複利用的 GuardDuty 偵測。

問:是否可以在 Amazon GuardDuty 中撰寫自訂的偵測?

否。Amazon GuardDuty 免除了開發和維護自訂規則集的繁重工作和複雜程度。我們會根據客戶意見回饋以及 AWS 安全和 GuardDuty 團隊所做的研究持續加入新的偵測。客戶設定的自訂偵測包括新增自己的威脅清單和 IP 安全清單。

進一步了解 Amazon GuardDuty 定價

瀏覽定價頁面
準備好開始使用了嗎?
登入
還有其他問題嗎?
聯絡我們