Amazon GuardDuty 功能

Amazon GuardDuty 是一種威脅偵測服務，可持續監控是否有惡意活動和未經授權的行為，以保護 AWS 帳戶、Amazon Elastic Compute Cloud (EC2) 工作負載、容器應用程式、Amazon Aurora 資料庫，以及在 Amazon Simple Storage Service (S3) 中存放的資料。GuardDuty 結合了機器學習、異常偵測、網路監控和惡意檔案探索，利用 AWS 和產業領先的第三方資源，來協助保護 AWS 上的工作負載和資料。Amazon GuardDuty 能夠跨多個 AWS 資料來源分析數百億個事件，例如 AWS CloudTrail 事件日誌、Amazon Virtual Private Cloud (VPC) 流量日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌和系統級日誌，以及 DNS 查詢日誌。

Amazon GuardDuty 識別您帳戶中的異常活動，分析活動的安全相關性，並提供引起它的內容。這讓回應者可以確定是否應該花時間進一步調查。GuardDuty 調查結果會被指派一個嚴重性，並且可以透過與 AWS Security Hub、Amazon EventBridge、AWS Lambda 和 AWS Step Functions 整合來自動執行動作。Amazon Detective 還與 GuardDuty 緊密整合，這讓您可以執行深入鑑定和根本原因調查。

Amazon GuardDuty 可為您提供精確的帳戶盜用威脅偵測，如果您並未即時地持續監控相關因素，就難以快速偵測出這種威脅。GuardDuty 可以偵測出帳戶盜用的跡象，例如在不合常規的時段從不尋常的地理位置存取 AWS 資源。針對程式設計 AWS 帳戶，Amazon GuardDuty 會檢查是否有異常的應用程式介面 (API) 呼叫，例如透過停用 AWS CloudTrail 日誌或建立資料庫快照的方式從惡意的 IP 地址嘗試隱藏帳戶活動。

Amazon GuardDuty 會持續監控及分析在 AWS CloudTrail、VPC Flow Logs 和 DNS 日誌中發現的 AWS 帳戶和工作負載事件資料。您不必部署及維護額外的安全軟體或基礎設施。只要將 AWS 帳戶建立關聯即可彙總威脅偵測，無需對每個帳戶個別執行操作。此外，您也不必從多個帳戶收集和分析大量 AWS 資料，並將它們建立關聯。您可以專注在如何快速回應、如何確保組織安全，並持續在 AWS 進行擴展及創新。

Amazon GuardDuty 可協助您存取內建的偵測技術，這些技術是專為雲端開發並為其進行優化。AWS 安全團隊持續維護和改進這些偵測演算法。主要的偵測類別包括：

• 偵察活動：表示攻擊者進行偵察的活動，例如不尋常的 API 活動、可疑的資料庫登入嘗試、VPC 內部連接埠掃描、異常的失敗登入請求模式，或來自已知惡意 IP 的解鎖連接埠探查。
• 執行個體危害：表示執行個體危害的活動，例如密碼貨幣挖礦、後門命令和控制 (C&C) 活動、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 地址使用的 Amazon EC2 臨時憑證，以及運用 DNS 使資料外洩。
• 帳戶危害：表示帳戶危害的常見模式，包括來自不尋常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 日誌、威脅帳戶密碼政策的變更、異常的執行個體或基礎設施啟動、基礎設施部署在不尋常的區域、憑證竊取、可疑資料庫登入活動，以及來自已知惡意 IP 地址的 API 呼叫。
• 儲存貯體危害：指示儲存貯體危害的活動，例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 Amazon S3 API 活動、已知惡意 IP 地址未經授權的 S3 存取，以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置叫用的使用者擷取 S3 儲存貯體資料的 API 叫用。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject)，以偵測所有 Amazon S3 儲存貯體中的可疑活動。

按一下這裡以取得 GuardDuty 調查結果類型的完整清單。

GuardDuty 使用機器學習和異常偵測來提供這些進階偵測，可識別之前很難找出的威脅，例如異常的 API 呼叫模式或惡意的 AWS Identity and Access Management (IAM) 使用者行為。GuardDuty 還整合了來自 AWS Security 和領先業界的第三方安全供應商 (包含 Proofpoint 與 CrowdStrike) 的威脅情報，包括惡意網域或 IP 地址清單。

GuardDuty 為您提供建置內部解決方案、維護複雜的自訂規則或開發自有已知惡意 IP 地址威脅情報的替代選項。GuardDuty 免除了監控及保護 AWS 帳戶與工作負載的無差別繁重工作和不必要的複雜性。

Amazon GuardDuty 提供三種嚴重性等級 (低、中、高)，以協助客戶排定回應潛在威脅的優先順序。「低」嚴重性等級代表在危害資源之前就已經被封鎖的可疑或惡意活動。「中」嚴重性等級代表可疑的活動。例如，回傳到隱藏在 Tor 網路後的遠端主機的大量流量，或是偏離常見行為的活動。「高」嚴重性等級代表相關資源 (如 Amazon EC2 執行個體或一組 IAM 使用者登入資料) 被盜用，且目前正用於未授權的用途。

Amazon GuardDuty 提供 HTTPS API、命令列介面 (CLI) 工具和 Amazon CloudWatch Events，可支援安全發現結果的自動安全回應。例如，您可以使用 CloudWatch Events 做為叫用 AWS Lambda 函數的事件來源，藉此將回應工作流程自動化。

Amazon GuardDuty 設計成能夠根據您 AWS 帳戶內的整體活動等級、工作負載，以及存放在 Amazon S3 中的資料自動管理資源使用率。GuardDuty 只會在必要時增加偵測容量，並在不再需要那麼多容量時減少使用率。您現在具備經濟實惠的架構，可讓您維持所需的安全處理能力，同時將成本降到最低。您只須按使用的偵測容量和使用時間付費。GuardDuty 可為您提供任何規模的安全，不論貴組織的大小為何。

只要在 AWS 管理主控台執行一個動作或發出單一 API 呼叫，即可在單一帳戶啟用 Amazon GuardDuty。此外，只要在主控台多執行幾個步驟，就能為多個帳戶啟用 GuardDuty。Amazon GuardDuty 可透過 AWS Organizations 整合以及 GuardDuty 的原生功能，支援多個帳戶。開啟後，GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中，並且會持續更新及維護。