Amazon GuardDuty 功能

GuardDuty 可為您提供精確的帳戶盜用威脅偵測，如果您並未即時地持續監控相關因素，就難以快速偵測出這種威脅。GuardDuty 可以偵測出帳戶盜用的跡象，例如在不合常規的時段從不尋常的地理位置存取 AWS 資源。針對程式設計 AWS 帳戶，GuardDuty 會檢查是否有異常的 API 呼叫，例如透過停用 CloudTrail 日誌或建立資料庫快照的方式從惡意的 IP 地址嘗試隱藏帳戶活動。

GuardDuty 會持續監控及分析在 CloudTrail、VPC 流量日誌和 DNS 日誌中發現的 AWS 帳戶和工作負載事件資料。您無須部署及維護額外的安全軟體或基礎架構以進行 GuardDuty 中的基礎保護。只要將 AWS 帳戶建立關聯即可彙總威脅偵測，無需對每個帳戶個別執行操作。此外，您也不必從多個帳戶收集和分析大量 AWS 資料，並將它們建立關聯。您可以專注在如何快速回應、如何確保組織安全，並持續在 AWS 進行擴展及創新。

Amazon GuardDuty 可協助您存取內建的偵測技術，這些技術是專為雲端開發並為其進行優化。AWS 安全團隊持續維護和改進這些偵測演算法。主要的偵測類別包括：

• 偵察活動：表示攻擊者進行偵察的活動，例如不尋常的 API 活動、可疑的資料庫登入嘗試、VPC 內部連接埠掃描、異常的失敗登入請求模式，或來自已知惡意 IP 的解鎖連接埠探查。
• 執行個體危害：表示執行個體危害的活動，例如密碼貨幣挖礦、後門命令和控制 (C&C) 活動、Amazon EC2 的執行時期活動、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 位址使用的 Amazon EC2 臨時憑證，以及運用 DNS 使資料外洩。
• 帳戶危害：表示帳戶危害的常見模式，包括來自不尋常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 日誌、威脅帳戶密碼政策的變更、異常的執行個體或基礎架構啟動、基礎架構部署在不尋常的區域、憑證竊取、可疑資料庫登入活動，以及來自已知惡意 IP 地址的 API 呼叫。
• 儲存貯體危害：指示儲存貯體危害的活動，例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 Amazon S3 API 活動、已知惡意 IP 地址未經授權的 S3 存取，以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置叫用的使用者擷取 S3 儲存貯體資料的 API 叫用。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject)，以偵測所有 Amazon S3 儲存貯體中的可疑活動。
• 惡意軟體：GuardDuty 可偵測可能用來破壞 Amazon EC2 執行個體或容器工作負載或上傳至 Amazon S3 儲存貯體的惡意軟體，例如特洛伊木馬程式、蠕蟲、加密貨幣礦工、Rootkit 或機器人。
• 容器入侵：透過分析 EKS 稽核日誌和 Amazon EKS 或 Amazon ECS 中的容器執行時期活動，持續監控和分析 Amazon EKS 叢集，藉此偵測可識別容器工作負載中可能存在惡意行為或可疑行為的活動。

這裡提供 GuardDuty 調查結果類型的完整清單。

GuardDuty 提供四種嚴重性等級 (低、中、高和嚴重)，以協助客戶排定回應潛在威脅的優先順序。「低」嚴重性等級代表在危害資源之前就已經被封鎖的可疑或惡意活動。「低」嚴重性等級代表需要進一步調查的可疑活動。例如，回傳到隱藏在 Tor 網路後的遠端主機的大量流量，或是偏離常見行為的活動。「高」嚴重性等級代表相關資源 (例如，EC2 執行個體或一組 IAM 使用者登入資料) 被盜用，且目前正用於未授權的用途。「嚴重」嚴重性等級代表需要立即關注的高信賴度威脅。我們建議為此類調查結果設定通知，以便快速回應，進而最大程度地減少業務影響。

GuardDuty 提供 HTTPS API 和命令列介面 (CLI) 工具，以及與 Amazon EventBridge 的整合，可支援對安全調查結果的自動化安全回應。例如，您可以使用 EventBridge 作為叫用 AWS Lambda 函數的事件來源，藉此將回應工作流程自動化。

GuardDuty 設計成能夠根據您 AWS 帳戶內的整體活動等級、工作負載和資料，自動管理資源使用率。GuardDuty 只會在必要時增加偵測容量，並在不再需要那麼多容量時減少使用率。您現在具備經濟實惠的架構，可讓您維持所需的安全處理能力，同時將成本降到最低。您只須按使用的偵測容量和使用時間付費。GuardDuty 可為您提供任何規模的安全，不論貴組織的大小為何。

只要在 AWS 管理主控台執行一個動作或發出單一 API 呼叫，即可在單一帳戶啟用 GuardDuty。此外，只要在主控台多執行幾個步驟，就能為多個帳戶啟用 GuardDuty。GuardDuty 可透過 AWS Organizations 整合以及 GuardDuty 的原生功能，支援多個帳戶。開啟後，GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中，並且會持續更新及維護。

GuardDuty 為您的 AWS 運算資產中的容器工作負載提供全面的保護，否則實現過程將非常困難且複雜。無論您是在 Amazon EC2 上執行具有伺服器層級控制的工作負載，還是使用 AWS Fargate 在 Amazon ECS 上執行無伺服器現代應用程式工作負載，GuardDuty 都會偵測潛在惡意和可疑活動，提供執行期監控的容器層級前後關聯，並協助您識別整個 AWS 環境容器工作負載中的安全覆蓋範圍。

GuardDuty 使用人工智慧 (AI) 和機器學習 (ML)，可快速識別針對 AWS 帳戶、工作負載和資料的複雜、多階段攻擊序列。產生的攻擊序列調查結果有助於減少您對安全事件進行分類所需的時間和精力。產生的攻擊序列調查結果還會自動對不同的訊號進行關聯，並提供對潛在受損資源的高信度洞察，進而根據 AWS 最佳實務提供 MITRE ATT&CK® 對應和規範性修復建議。透過這些增強功能，GuardDuty 讓安全團隊能夠專注於最重要的威脅，並簡化對活動事件的回應。