Amazon GuardDuty 常見問答集

只需在 AWS 管理主控台中點按幾下，即可設定並部署 Amazon GuardDuty。啟用後，Amazon GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中，並且會持續更新及維護。

是，Amazon GuardDuty 具備多帳戶管理功能，可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。使用這項功能時，所有安全問題清單會彙總到管理員帳戶供檢閱及修復。使用此組態時，Amazon EventBridge 事件也會彙總到 Amazon GuardDuty 管理員帳戶。此外，GuardDuty 與 AWS Organizations 整合，可讓您為您的組織委派 Amazon GuardDuty 管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶，可整合所有問題清單並可設定所有成員帳戶。

GuardDuty 分析的基礎資料來源包括：AWS CloudTrail 管理事件日誌、CloudTrail 管理事件以及 Amazon EC2 VPC 流程日誌和 DNS 查詢日誌。GuardDuty 保護計劃可監控其他資源類型，包括 CloudTrail S3 資料事件 (S3 Protection)、Amazon EKS 稽核日誌和 Amazon EKS (EKS Protection) 的執行期活動、Amazon ECS 執行期活動 (ECS 執行期監控)、Amazon EC2 執行期活動 (EC2 執行期監控)、Amazon EBS 磁碟區資料 (惡意軟體防護)、Amazon Aurora 登入事件 (RDS Protection) 和網路活動日誌 (Lambda Protection)。這項服務已經過優化，可運用大量資料以近乎即時的速度處理安全偵測。GuardDuty 可讓您存取內建的偵測技術，這些技術已針對雲端進行優化，並且會由 Amazon GuardDuty 工程部門負責維護及持續改善。

Amazon GuardDuty 啟用後便會開始分析惡意或未授權的活動。開始接收發現結果的時間範圍取決於您帳戶的活動等級。Amazon GuardDuty 不會分析歷史資料，只會分析在其啟用後開始的活動。如果 Amazon GuardDuty 發現任何潛在威脅，您就會在 GuardDuty 主控台收到問題清單。

否，Amazon GuardDuty 直接從 AWS CloudTrail、VPC 流程日誌、DNS 查詢日誌和 Amazon EKS 中提取獨立的資料串流。您不必管理 Amazon S3 儲存貯體政策或修改您收集及存放日誌的方式。Amazon GuardDuty 許可作為服務連結角色進行管理。您可以隨時停用 Amazon GuardDuty，這會移除所有 Amazon GuardDuty 許可。因為避免了複雜的組態，這可讓您更容易啟用該服務。此外，服務連結角色消除了 AWS Identity and Access Management (IAM) 許可設定錯誤，或 Amazon S3 儲存貯體政策變更將影響服務運作的可能性。最後，透過服務連結角色，還能大幅提升 Amazon GuardDuty 的效率，以近乎即時的速度大量取用資料，而不會對帳戶或工作負載的效能或可用性產生任何影響。

當您首次啟用 GuardDuty 時，它會完全獨立於 AWS 資源運作。如果您將 GuardDuty EKS Runtime Monitoring 設定為自動部署 GuardDuty 安全代理程式，這可能會產生額外的資源使用率，而且也會在用來執行 Amazon EKS 叢集的 VPC 中建立 VPC 端點。

否，Amazon GuardDuty 不管理或保留您的日誌。Amazon GuardDuty 取用的所有資料都經過近乎即時的分析，然後再將其捨棄。藉此提升 GuardDuty 的效率、提高經濟效益，並降低資料殘留的風險。針對日誌的交付及保留，建議您使用 AWS 直接記錄及監控服務，以提供功能完整的交付和保留選項。

您隨時可以阻止 Amazon GuardDuty 分析您的資料來源，方法是在一般設定中選擇暫停服務。這樣會立即停止服務分析資料，但並不會刪除現有的發現結果或組態。此外，您也可以在一般設定中選擇停用服務。藉此刪除所有剩餘的資料，包括在放棄服務許可及重設服務之前的現有調查清單和組態。您還可以透過管理主控台或 AWS CLI，有選擇地停用 Amazon GuardDuty S3 Protection 或 GuardDuty EKS Protection 等功能。

Amazon GuardDuty 可讓您存取內建的偵測技術，這些技術是專為雲端開發及進行優化。偵測演算法是由 Amazon GuardDuty 工程師維護及持續改善。主要偵測類別包括下列各項：

• 偵察活動：指示攻擊者進行偵察的活動，例如不尋常的 API 活動、VPC 內部連接埠掃描、異常的失敗登入請求模式，或來自已知惡意 IP 的解鎖連接埠探查。
• 執行個體危害：指示執行個體危害的活動，例如密碼貨幣挖礦、使用網域產生演算法 (DGA) 的惡意軟體、服務活動出站拒絕、不尋常的高網路流量、不尋常的網路協定、出站執行個體與已知惡意 IP 的通訊、外部 IP 地址使用的 Amazon EC2 憑證，以及運用 DNS 使資料外洩。
• 帳戶入侵：指示帳戶入侵的常見模式，包括來自異常地理位置或匿名代理的 API 呼叫、嘗試停用 CloudTrail 日誌記錄、異常執行個體或基礎設施啟動、異常區域中的基礎設施部署、憑證洩露、可疑資料庫登入活動，以及已知惡意 IP 地址的 API 呼叫。
• 儲存貯體入侵：指示儲存貯體危害的活動，例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 Amazon S3 API 活動、已知惡意 IP 地址未經授權的 Amazon S3 存取，以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置調用的使用者處擷取 Amazon S3 儲存貯體資料的 API 呼叫。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject)，以偵測所有 Amazon S3 儲存貯體中的可疑活動。
• 惡意軟體偵測：GuardDuty 在識別指示 Amazon EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時，會開始進行惡意軟體偵測掃描。Amazon GuardDuty 會產生連接至此類 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的臨時複本，並掃描磁碟區複本以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等，這些可能會被用於入侵工作負載、將資源重新用於惡意使用、並獲得對資料未經授權的存取。Amazon GuardDuty Malware Protection 會產生內容相關調查結果，能夠驗證可疑行為的來源。這些調查結果可傳送至適當的管理員並啟動自動修復。
• 容器入侵：透過分析 Amazon EKS 稽核日誌和容器執行期活動，持續監控和分析 Amazon EKS 叢集，偵測可識別容器工作負載中可能存在惡意行為或可疑行為的活動。

Amazon GuardDuty 威脅情報是由攻擊者使用的 IP 地址和網域所組成。Amazon GuardDuty 威脅情報是由 AWS 和第三方供應商 (如 Proofpoint 和 CrowdStrike) 提供。這些威脅情報饋送已預先整合在 GuardDuty 並且會持續更新，無須額外的費用。

是，GuardDuty 允許您上傳自己的威脅情報或可信 IP 地址清單。使用這項功能時，這些清單只會套用至您的帳戶，不會與其他客戶共享。

如果偵測到潛在威脅，Amazon GuardDuty 會傳送詳細的安全問題清單到 Amazon GuardDuty 主控台和 Amazon EventBridge。這樣就能讓提醒更切實可行，而且更容易整合至現有的事件管理系統或工作負載系統。調查結果包括類別、受影響的資源，以及與資源相關聯的中繼資料 (如嚴重性等級)。

Amazon GuardDuty 問題清單採用常見的 JavaScript Object Notation (JSON) 格式，Amazon Macie 和 Amazon Inspector 也使用這種格式。這可讓客戶和合作夥伴輕鬆使用這三項服務提供的問題清單，並將其納入更廣泛的事件管理、工作流程或安全解決方案。

安全問題清單透過 Amazon GuardDuty 主控台和 API 保留，供您在 90 天內使用。90 天過後，就會捨棄這些調查結果。如要將發現結果保留 90 天以上的時間，您可以啟用 Amazon EventBridge 將調查結果自動推送至您帳戶中的 Amazon S3 儲存貯體或另一個資料存放區以長期保留。

是，您可以選擇使用 Amazon EventBridge，跨區域彙總 Amazon GuardDuty 產生的安全調查結果，或將調查結果推送至您的資料存放區 (如 Amazon S3)，然後根據需要彙總調查結果。您還可以將 GuardDuty 調查結果傳送至 Security Hub，並使用其跨區域彙總功能。

使用 Amazon GuardDuty、Amazon EventBridge 和 AWS Lambda 時，您可以根據安全問題清單彈性設定自動化修復性動作。例如，您可以建立 Lambda 函數，根據安全調查結果修改 AWS 安全群組規則。如果您取得的 Amazon GuardDuty 調查結果指出其中一個 Amazon EC2 執行個體正被某個已知的惡意 IP 探查，您可以透過 Amazon EventBridge 規則啟動 Lambda 函數，來自動修改安全群組規則並限制該連接埠的存取，藉此解決問題。

Amazon GuardDuty 旗下有一個團隊，專注於工程、管理及反覆運作方面的偵測。藉此定期地為服務提供新的偵測功能，並持續重複利用現有的偵測功能。服務中內建數個意見回饋機制，例如對於在 GuardDuty 使用者介面 (UI) 中發現的每個安全問題清單表示滿意和不滿意。這可讓您提供意見回饋，以便納入將來的 GuardDuty 偵測反覆運作。

否，Amazon GuardDuty 免除了開發和維護自訂規則集的繁重工作和複雜程度。我們會根據客戶意見回饋以及 AWS 安全工程團隊和 Amazon GuardDuty 工程團隊的研究持續加入新的偵測。但是，客戶設定的自訂項包括新增您自己的威脅清單和可信 IP 地址清單。

針對目前的 GuardDuty 帳戶，可在 S3 Protection 頁面的主控台或透過 API 啟用 S3 Protection。這將開始 Amazon GuardDuty S3 Protection 的 30 天免費試用。

是，有 30 天的免費試用期。每個區域中的每個帳戶都可以免費試用 Amazon GuardDuty 30 天，其中包括 S3 Protection 功能。對於已啟用 Amazon GuardDuty 的帳戶，在首次啟用 S3 Protection 功能時還將獲得 30 天的免費試用期。

是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶，也預設會啟用 S3 Protection。使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會啟用 S3 Protection，除非開啟 S3 自動啟用選項。

否，必須啟用 Amazon GuardDuty 服務，才能使用 S3 Protection。目前的 Amazon GuardDuty 帳戶可以選擇啟用 S3 Protection，並且一旦啟用 Amazon GuardDuty 服務，新的 Amazon GuardDuty 帳戶會預設擁有該功能。

是，S3 Protection 預設會監控您環境中的所有 Amazon S3 儲存貯體。

否，Amazon GuardDuty 可直接存取 CloudTrail S3 資料事件日誌。您無需在 CloudTrail 中啟用 S3 資料事件日誌記錄，因此不會產生相關費用。請注意，Amazon GuardDuty 不存放日誌，並且僅將其用於分析。

GuardDuty EKS Protection 是一項 GuardDuty 功能，可透過分析 Amazon EKS 稽核日誌，來監控 Amazon EKS 叢集控制平面活動。GuardDuty 與 Amazon EKS 整合，可直接存取 Amazon EKS 稽核日誌，而無需開啟或存放這些日誌。這些稽核日誌是與安全相關、按時間順序的記錄，記錄了在 Amazon EKS 控制平面執行的動作序列。這些 Amazon EKS 稽核日誌為 GuardDuty 提供了對 Amazon EKS API 活動進行持續監控所需的可視性，並運用經驗證的威脅情報和異常偵測，來識別可能讓您的 Amazon EKS 叢集暴露於未經授權存取的惡意活動或組態變更。識別威脅後，Amazon GuardDuty 會產生包含威脅類型、嚴重性級別和容器級詳細資訊 (如 pod ID、容器映像 ID 和關聯標籤) 的安全問題清單。

GuardDuty EKS Protection 可以偵測與 Amazon EKS 稽核日誌中擷取的使用者和應用程式活動相關的威脅。Amazon EKS 威脅偵測包括已知惡意人士或從 Tor 節點存取的 Amazon EKS 叢集、匿名使用者執行的可指示組態設定錯誤的 API 動作，以及可能導致未經授權存取 Amazon EKS 叢集的組態設定錯誤。此外，使用 ML 模型，Amazon GuardDuty 可識別與權限升級技術一致的模式，例如疑似啟動對底層 Amazon EC2 主機具有根級存取權的容器。如需有關所有新偵測項的完整清單，請參閱 Amazon GuardDuty 調查結果類型。

否，Amazon GuardDuty 可以直接存取 Amazon EKS 稽核日誌。請注意，GuardDuty 僅使用這些日誌進行分析；它並不存放這些日誌，您也不需要啟用或支付這些 Amazon EKS 稽核日誌，以便與 GuardDuty 共享。為了最佳化成本，Amazon GuardDuty 會套用智慧篩選條件，以便僅取用與安全威脅偵測相關的稽核日誌子集。

是，有 30 天的免費試用期。每個區域中的每個新 Amazon GuardDuty 帳戶都會獲得 30 天的 GuardDuty 免費試用期，包括 GuardDuty EKS Protection 功能。現有 GuardDuty 帳戶可免費獲得 30 天的 GuardDuty EKS Protection 功能試用期。在試用期間，您可以在 Amazon GuardDuty 主控台用量頁面中，檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員，您將能夠查看成員帳戶的估算成本。30 天後，您可以在 AWS 帳單主控台中，查看此功能的實際成本。

必須為每個個別帳戶開啟 GuardDuty EKS Protection。您可以前往 GuardDuty EKS Protection 主控台頁面，在 Amazon GuardDuty 主控台執行單一動作，即可為您的帳戶開啟該功能。如果您在 Amazon GuardDuty 多帳戶組態中執行，則可以透過 Amazon GuardDuty 管理員帳戶 GuardDuty EKS Protection 頁面，在整個組織中開啟 GuardDuty EKS Protection。這將針對所有個別成員帳戶中的 Amazon EKS 開啟持續威脅偵測。針對使用 AWS Organizations 自動啟用功能建立的 GuardDuty 帳戶必需明確開啟 Amazon EKS 自動啟用。針對一個帳戶啟用後，將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅，並且不用對您的 Amazon EKS 叢集進行任何組態設定。

是，對於透過主控台或 API 開啟 Amazon GuardDuty 的任何新帳戶，也預設會啟用 GuardDuty EKS Protection。 針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶，您需要明確啟用 EKS Protection 選項自動啟用。 

您可以在主控台中或使用 API 停用該功能。在 Amazon GuardDuty 主控台中，您可以在 GuardDuty EKS Protection 主控台頁面上，為您的帳戶停用 GuardDuty EKS Protection。如果您有 Amazon GuardDuty 管理員帳戶，您還可以為您的成員帳戶停用此功能。

如果您之前停用了 GuardDuty EKS Protection，您可以在主控台中或使用 API 重新啟用該功能。在 Amazon GuardDuty 主控台中，您可以在 GuardDuty EKS Protection 主控台頁面上，為您的帳戶啟用 GuardDuty EKS Protection。

必須為每個個別帳戶啟用 GuardDuty EKS Protection。如果您在 Amazon GuardDuty 多帳戶組態中執行，只需按一下 Amazon GuardDuty 管理員帳戶 GuardDuty EKS Protection 主控台頁面，即可在整個組織中啟用 Amazon EKS 威脅偵測。這將針對所有個別成員帳戶中的 Amazon EKS 啟用威脅偵測。為帳戶啟用威脅偵測後，將會監控帳戶中所有現有和未來的 Amazon EKS 叢集是否存在威脅，並且無需對您的 Amazon EKS 叢集進行手動組態設定。

如果您不使用 Amazon EKS 並啟用 GuardDuty EKS Protection，不會產生任何 GuardDuty EKS Protection 費用。但是，當您開始使用 Amazon EKS 時，Amazon GuardDuty 會自動監控您的叢集，並針對已識別的問題產生問題清單，您需要為此監控付費。

否，必須啟用 Amazon GuardDuty 服務，才能使用 GuardDuty EKS Protection。

是，GuardDuty EKS Protection 功能會監控部署在 Amazon EC2 執行個體上的 Amazon EKS 叢集和部署在 Fargate 上的 Amazon EKS 叢集的稽核日誌。

目前，此功能僅支援在您的帳戶或 AWS Fargate 的 Amazon EC2 執行個體上執行的 Amazon EKS 部署。

否，GuardDuty EKS Protection 的設計並未對 Amazon EKS 工作負載部署產生任何效能、可用性或成本影響。

是，Amazon GuardDuty 是一項區域服務，因此必須在每個 AWS 區域中分別啟用 GuardDuty EKS Protection。

GuardDuty 執行期監控使用輕量且完全受管理的安全代理程式，在所涵蓋資源的網站或執行個體層級上，提升執行時期活動的資訊透明度，例如檔案存取、程序執行以及網路連線。安全代理程式會自動部署為一個常駐程式，負責收集執行時期事件並傳遞給 GuardDuty 以進行安全分析處理。這可讓 GuardDuty 識別 AWS 環境中可能遭到入侵的特定執行個體或容器，並偵測嘗試將權限提升至更廣泛的 AWS 環境的行為。當 GuardDuty 偵測到潛在威脅時，便會產生安全調查結果，其中包括執行個體、容器、Pod 和程序詳細資訊等中繼資料內容。 

執行期監控適用於在 Amazon EC2 上執行的 Amazon EKS 資源、在 Amazon EC2 或 AWS Fargate 上執行的 Amazon ECS 叢集，以及 Amazon EC2 執行個體。 

針對目前的 GuardDuty 帳戶，可從「執行期監控」頁面上的 GuardDuty 主控台或透過 API 啟用該功能。進一步了解 GuardDuty 執行期監控。

否。在您首次開啟 GuardDuty 時，GuardDuty 執行期監控是唯一預設未啟用的保護計畫。可從「執行期監控」頁面上的 GuardDuty 主控台或透過 API 啟用該功能。針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶，不會啟用執行期監控，除非開啟「自動啟用執行期監控」選項。

當您啟用 Amazon ECS 執行期監控時，GuardDuty 就可以使用任務中的執行時期事件。這些任務會在 Amazon ECS 叢集內執行，從而在 AWS Fargate 執行個體上執行。若要讓 GuardDuty 接收這些執行時期事件，您必須使用自動代理程式組態。

當您為 Amazon EC2 或 Amazon EKS 啟用執行期監控時，您可以選擇手動部署 GuardDuty 安全代理程式，或允許 GuardDuty 使用自動代理程式組態為您管理。

如需詳細資訊，請參閱 GuardDuty 使用者指南中的關鍵概念 - 管理 GuardDuty 安全代理程式的方法。
 

否，必須啟用 Amazon GuardDuty 服務，才能使用 GuardDuty 執行期監控。

如需可使用執行期監控的區域完整清單，請瀏覽區域特定功能可用性。

GuardDuty 執行期監控必須在每個帳戶進行啟用。如果您在 Amazon GuardDuty 多帳戶組態中執行，只需在 Amazon GuardDuty 管理員帳戶 GuardDuty 執行期監控主控台頁面進行一個步驟，即可為整個組織啟用該功能。這將針對所有個別成員帳戶中的所需工作負載啟用執行期監控。一旦為帳戶啟動，帳戶中的所有現有和未來選取的工作負載都會受到執行期威脅監控，而且不需要手動設定。

GuardDuty 執行期監控可讓您選擇性地設定要監控哪些 Amazon EKS 叢集或 Amazon ECS 叢集以進行威脅偵測。您可藉由叢集層級的設定來選擇要監控哪些特定叢集以進行威脅偵測，或繼續使用帳戶層級設定來分別監控指定帳戶和區域中的所有 EKS 或 ECS 叢集。

就跟所有需要主機代理程式的安全性、可觀測性和其他使用案例一樣，GuardDuty 安全代理程式會產生資源使用開銷。GuardDuty 安全代理程式採用輕量型設計，並受到 GuardDuty 的仔細監控，確保盡可能降低對涵蓋工作負載的使用率和成本影響。應用程式及安全團隊可使用精確的資源使用率指標，以利在 Amazon CloudWatch 中進行監控。

如果您將 GuardDuty 執行期監控設定為自動部署 GuardDuty 安全代理程式，這可能會產生額外的資源使用率，而且也會在用來執行 AWS 工作負載的 VPC 中建立 VPC 端點。 

如果您針對未執行的工作負載啟用 GuardDuty 執行期監控，將不會產生任何 GuardDuty 執行期監控費用。但是，當您開始使用 Amazon EKS、Amazon ECS 或 Amazon EC2，並為該工作負載啟用 GuardDuty 執行期監控時，GuardDuty 會自動監控您的叢集、任務和執行個體並在產生已識別問題的調查結果時向您收費。 

您可以在 GuardDuty 主控台的「執行期監控」頁面中，針對 AWS 帳戶或組織停用 GuardDuty 執行期監控。如果安全代理程式是由 GuardDuty 自動部署，則在停用功能時，GuardDuty 也會移除安全代理程式。

如果您選擇手動部署 GuardDuty 代理程式 (僅適用於 EKS 執行期監控和 EC2 執行期監控)，則需要手動移除該代理程式，並且必須手動刪除建立的任何 VPC 端點。手動移除 EKS 執行期監控和 EC2 執行期監控的步驟詳述於 GuardDuty 使用者指南中。 

Amazon GuardDuty 在識別表明 Amazon EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時，開始進行惡意軟體偵測掃描。它會掃描 Amazon GuardDuty 根據您的 Amazon EBS 磁碟區快照產生的複本 Amazon EBS 磁碟區，以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等。Amazon GuardDuty Malware Protection 會產生內容相關調查結果，能夠協助驗證可疑行為的來源。這些調查結果還可傳送至適當的管理員並啟動自動修復。

如需會啟動惡意軟體掃描的 Amazon EC2 相關 GuardDuty 調查結果詳細資料，請參閱 GuardDuty 使用者指南。

Malware Protection 支援透過掃描連接至 Amazon EC2 執行個體的 Amazon EBS，來偵測惡意檔案。它可以掃描磁碟區上存在的任何檔案，而支援的檔案系統類型可參閱 GuardDuty 使用者指南。

Malware Protection 可掃描特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等，這些可能會被用於入侵工作負載、將資源重新用於惡意用途，以及未經授權存取資料。

Amazon GuardDuty 或 Malware Protection 功能無需啟用服務日誌記錄即可運作。Malware Protection 功能是 Amazon GuardDuty 的一部分，Amazon GuardDuty 是一項 AWS 服務，使用來自整合的內部和外部來源的情報。

Amazon GuardDuty Malware Protection 不使用安全代理程式，而是根據連接至您帳戶中可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的快照，來建立和掃描複本。您透過服務連結角色授予 Amazon GuardDuty 的許可，允許該服務透過保留在您帳戶中的快照，在 GuardDuty 的服務帳戶中建立加密磁碟區複本。Amazon GuardDuty Malware Protection 隨後會掃描磁碟區複本，以查找惡意軟體。

是，對於每個區域的每個新 Amazon GuardDuty 帳戶，都可享受 Amazon GuardDuty 的 30 天免費試用期，包括 Malware Protection 功能。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時，可免費享受 30 天試用期。在試用期間，您可以在 Amazon GuardDuty 主控台用量頁面中，檢視試用後的成本估算。如果您是 Amazon GuardDuty 管理員，您將能夠查看成員帳戶的估算成本。30 天後，您可以在 AWS 帳單主控台中，查看此功能的實際成本。

您可以前往 Malware Protection 頁面或使用 API，在 Amazon GuardDuty 主控台中啟用 Malware Protection。如果在 Amazon GuardDuty 多帳戶組態中運作，您可以在整個組織中，透過 Amazon GuardDuty 管理員帳戶的 Malware Protection 主控台頁面啟用該功能。這會啟用對所有個別成員帳戶中惡意軟體的監控。針對使用 AWS Organizations 自動啟用功能建立的 Amazon GuardDuty 帳戶，您需要明確啟用 Malware Protection 選項自動啟用。

是，對於使用主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶，也預設會啟用 Amazon GuardDuty Malware Protection。針對使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶，您需要明確啟用 Malware Protection 選項自動啟用。 

您可以在主控台中或使用 API 停用該功能。您將在 Malware Protection 主控台頁面的 Amazon GuardDuty 主控台中，看到為您的帳戶停用 Malware Protection 的選項。如果您有 Amazon GuardDuty 管理員帳戶，您還可以為您的成員帳戶停用 Malware Protection。

如果停用了 Malware Protection，您可以在主控台中或使用 API 啟用該功能。您可以在 Amazon GuardDuty 主控台的 Malware Protection 主控台頁面，為您的帳戶啟用 Malware Protection。

否，如果在計費期間沒有對 Malware Protection 進行掃描，則不會對 Malware Protection 收取任何費用。您可以在 AWS 帳單主控台中檢視此功能的成本。

是，Amazon GuardDuty 具備多帳戶管理功能，可讓您將單一管理員帳戶中的多個 AWS 帳戶建立關聯並加以管理。Amazon GuardDuty 透過 AWS Organizations 整合進行多帳戶管理。這種整合有助於安全與合規團隊確保在組織的所有帳戶中全面啟用 Amazon GuardDuty，包括 Malware Protection。

否。啟用該功能後，GuardDuty Malware Protection 將啟動惡意軟體掃描，以對相關 Amazon EC2 調查結果做出回應。您不必部署任何代理程式，無需啟用日誌來源，也不用做出任何其他組態變更。

Amazon GuardDuty Malware Protection 的設計並未對工作負載的效能造成影響。例如，針對惡意軟體分析建立的 Amazon EBS 磁碟區快照，只能在 24 小時內產生一次，而 Amazon GuardDuty Malware Protection 會在完成掃描後將加密的複本和快照保留幾分鐘。此外，Amazon GuardDuty Malware Protection 使用 GuardDuty 運算資源而非客戶運算資源進行惡意軟體掃描。

是，Amazon GuardDuty 是一項區域服務，必須在每個 AWS 區域單獨啟用 Malware Protection。

Amazon GuardDuty Malware Protection 根據連接至您帳戶中可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區快照來掃描複本。如果您的 Amazon EBS 磁碟區使用客戶受管金鑰進行加密，您可以選擇與 Amazon GuardDuty 共用您的 AWS Key Management Service (KMS) 金鑰，並且服務使用相同的金鑰來加密複本 Amazon EBS 磁碟區。針對未加密的 Amazon EBS 磁碟區，Amazon GuardDuty 使用自己的金鑰來加密複本 Amazon EBS 磁碟區。

是，所有複本 Amazon EBS 磁碟區資料 (以及複本磁碟區以此為基礎的快照) 都與原始 Amazon EBS 磁碟區位於同一區域。

對於每個區域的每個新 Amazon GuardDuty 帳戶，都可享受 Amazon GuardDuty 的 30 天免費試用期，包括 Malware Protection 功能。現有 Amazon GuardDuty 帳戶首次在帳戶中啟用 Malware Protection 時，可免費享受 30 天試用期。在試用期間，您可以在 Amazon GuardDuty 主控台用量頁面中，進行試用後的成本估算。如果您是 Amazon GuardDuty 管理員，您將能夠查看成員帳戶的估算成本。30 天後，您可以在 AWS 帳單主控台中，查看此功能的實際成本。

此功能的定價依據磁碟區中掃描資料的 GB 數。您可以使用主控台中的掃描選項來套用自訂項，以標記某些 Amazon EC2 執行個體，使用標籤以包括或排除掃描，從而控制成本。此外，Amazon GuardDuty 每 24 小時只會掃描一次 Amazon EC2 執行個體。如果 Amazon GuardDuty 在 24 小時內針對一個 Amazon EC2 執行個體產生多個 Amazon EC2 調查結果，則只會對第一個相關的 Amazon EC2 調查結果進行掃描。舉例來說，如果 Amazon EC2 調查結果在最後一次惡意軟體掃描後 24 小時後繼續，則針對該執行個體啟動新的惡意軟體掃描。

是，當 Malware Protection 掃描偵測到惡意軟體時，您可以啟用快照保留設定。您可以從 Amazon GuardDuty 主控台的「設定」頁面啟用此設定。依預設，快照會在掃描完成幾分鐘後刪除，如果掃描未完成，則會在 24 小時後刪除。

Amazon GuardDuty Malware Protection 將保留其產生和掃描的每個複本 Amazon EBS 磁碟區長達 24 小時。預設會在 GuardDuty Malware Protection 完成掃描後幾分鐘內刪除複本 Amazon EBS 磁碟區。但是，在某些情況下，如果服務中斷或連線問題干擾其惡意軟體掃描，Amazon GuardDuty Malware Protection 可能需要保留複本 Amazon EBS 磁碟區超過 24 小時。發生這種情況時，Amazon GuardDuty Malware Protection 將保留複本 Amazon EBS 磁碟區最多 7 天，以便服務有時間進行分類並解決中斷或連線問題。Amazon GuardDuty Malware Protection 將在解決中斷或故障後，或在延長的保留期過後刪除複本 Amazon EBS 磁碟區。

否，Amazon GuardDuty 會根據連接至可能受感染的 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區快照，每 24 小時只會掃描一次複本。即使 Amazon GuardDuty 產生了多個符合啟動惡意軟體掃描條件的調查結果，如果距上次掃描不到 24 小時，也不會啟動其他掃描。如果 Amazon GuardDuty 在上次惡意軟體掃描 24 小時後產生符合條件的問題清單，Amazon GuardDuty Malware Protection 則會為該工作負載啟動新的惡意軟體掃描。

否，停用 Amazon GuardDuty 服務也會停用 Malware Protection 功能。

只需在 Amazon GuardDuty 主控台執行單一動作，即可開啟 Amazon GuardDuty RDS Protection，無需手動部署代理程式，無需開啟資料來源，也無需設定許可。GuardDuty RDS Protection 使用量身定製的 ML 模型，首先分析和剖析對現有和全新 Amazon Aurora 資料庫的登入嘗試。當識別已知惡意人士的可疑行為或嘗試時，Amazon GuardDuty 會向 Amazon GuardDuty 和 Amazon Relational Database Service (RDS) 主控台、Security Hub 和 Amazon EventBridge 發佈可操作的安全調查結果，從而允許與現有安全事件管理或工作流程系統整合。 進一步了解 GuardDuty RDS Protection 如何使用 RDS 登入活動監控。

針對目前的 GuardDuty 帳戶，可從 RDS Protection 頁面上的 GuardDuty 主控台或透過 API 啟用該功能。 進一步了解 GuardDuty RDS Protection。

是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶，也預設會開啟 RDS Protection。使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會開啟 RDS Protection，除非開啟 RDS 自動啟用選項。

否，必須啟用 Amazon GuardDuty 服務，才能使用 Amazon GuardDuty RDS Protection。

如需可使用 RDS Protection 的區域完整清單，請瀏覽區域特定功能可用性。

請參閱支援的 Amazon Aurora 資料庫版本清單。

否，適用於 Amazon Aurora 資料庫的 Amazon GuardDuty 威脅偵測旨在不對您的 Amazon Aurora 資料庫產生效能、可用性或成本影響。

GuardDuty Lambda Protection 會持續監控網路活動，由 VPC Flow Logs 開始從您的無伺服器工作負載中偵測威脅，例如 Lambda 函數被惡意重新利用於未經授權的加密貨幣挖礦的功能，或是與已知威脅發動者伺服器通訊的遭入侵 Lambda 函數。可透過 GuardDuty 主控台中的幾個步驟啟用 GuardDuty Lambda Protection，而使用 AWS Organizations 則可集中為組織中的所有現有帳戶和新帳戶啟用。啟用後，它會自動開始監控帳戶中所有現有和新的 Lambda 函數網路活動資料。

針對目前的 GuardDuty 帳戶，可從 Lambda Protection 頁面上的 GuardDuty 主控台或透過 API 啟用該功能。 進一步了解 GuardDuty Lambda Protection。

是。對於透過主控台或 API 啟用 Amazon GuardDuty 的任何新帳戶，也預設會開啟 Lambda Protection。依預設，使用 AWS Organizations 自動啟用功能建立的新 Amazon GuardDuty 帳戶不會啟用 Lambda Protection，除非開啟 Lambda 自動啟用選項。

如需可使用 Lambda Protection 的區域完整清單，請瀏覽區域特定可用功能。

否，GuardDuty Lambda Protection 的設計目的在於不會對您的 Lambda 工作負載產生效能、可用性或成本影響。