Amazon GuardDuty 功能

概觀

Amazon GuardDuty 是一種威脅偵測服務，可持續監控您的 AWS 環境中是否有惡意活動和未經授權的行為。GuardDuty 結合了機器學習 (ML)、異常偵測和惡意檔案探索，利用 AWS 和領先業界的第三方資源，協助保護您的 AWS 帳戶、工作負載和資料。GuardDuty 能夠跨多個 AWS 資料來源分析數百億個事件，包括 AWS CloudTrail 日誌、Amazon Virtual Private Cloud (Amazon VPC) 流量日誌，以及 DNS 查詢日誌。GuardDuty 也會監控 Amazon Simple Storage Service (Amazon S3) 資料事件、Amazon Aurora 登入事件，以及 Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Compute Cloud (Amazon EC2) 和 Amazon Elastic Container Service (Amazon ECS) 的執行時期活動，包括 AWS Fargate 上的無伺服器容器工作負載。

主要特色

精確的帳戶級威脅偵測

GuardDuty 可為您提供精確的帳戶盜用威脅偵測，如果您並未即時地持續監控相關因素，就難以快速偵測出這種威脅。GuardDuty 可以偵測出帳戶盜用的跡象，例如在不合常規的時段從不尋常的地理位置存取 AWS 資源。針對程式設計 AWS 帳戶，GuardDuty 會檢查是否有異常的 API 呼叫，例如透過停用 CloudTrail 日誌或建立資料庫快照的方式從惡意的 IP 地址嘗試隱藏帳戶活動。

持續監控多個 AWS 帳戶和工作負載，而不增加成本和複雜程度

GuardDuty 會持續監控及分析在 CloudTrail、VPC 流量日誌和 DNS 日誌中發現的 AWS 帳戶和工作負載事件資料。您無須部署及維護額外的安全軟體或基礎架構以進行 GuardDuty 中的基礎保護。只要將 AWS 帳戶建立關聯即可彙總威脅偵測，無需對每個帳戶個別執行操作。此外，您也不必從多個帳戶收集和分析大量 AWS 資料，並將它們建立關聯。您可以專注在如何快速回應、如何確保組織安全，並持續在 AWS 進行擴展及創新。

專為雲端開發及優化的威脅偵測

Amazon GuardDuty 可協助您存取內建的偵測技術，這些技術是專為雲端開發並為其進行優化。AWS 安全團隊持續維護和改進這些偵測演算法。主要的偵測類別包括：

偵察活動：表示攻擊者進行偵察的活動，例如不尋常的 API 活動、可疑的資料庫登入嘗試、VPC 內部連接埠掃描、異常的失敗登入請求模式，或來自已知惡意 IP 的解鎖連接埠探查。
執行個體危害：表示執行個體危害的活動，例如密碼貨幣挖礦、後門命令和控制 (C&C) 活動、Amazon EC2 的執行時期活動、使用網域產生演算法 (DGA) 的惡意軟體、對外拒絕服務活動、不尋常的網路流量大幅提升、不尋常的網路協定、連到已知惡意 IP 的對外執行個體通訊、外部 IP 位址使用的 Amazon EC2 臨時憑證，以及運用 DNS 使資料外洩。
帳戶危害：表示帳戶危害的常見模式，包括來自不尋常地理位置或匿名代理的 API 呼叫、嘗試停用 AWS CloudTrail 日誌、威脅帳戶密碼政策的變更、異常的執行個體或基礎架構啟動、基礎架構部署在不尋常的區域、憑證竊取、可疑資料庫登入活動，以及來自已知惡意 IP 地址的 API 呼叫。
儲存貯體危害：指示儲存貯體危害的活動，例如指示憑證濫用的可疑資料存取模式、遠端主機的異常 Amazon S3 API 活動、已知惡意 IP 地址未經授權的 S3 存取，以及從先前沒有存取該儲存貯體歷史記錄或沒有從異常位置叫用的使用者擷取 S3 儲存貯體資料的 API 叫用。Amazon GuardDuty 持續監控和分析 AWS CloudTrail S3 資料事件 (例如 GetObject、ListObjects、DeleteObject)，以偵測所有 Amazon S3 儲存貯體中的可疑活動。
惡意軟體偵測：Amazon GuardDuty 在識別表明 EC2 執行個體或容器工作負載中存在惡意軟體的可疑行為時，開始進行惡意軟體偵測掃描。Amazon GuardDuty 會產生連接至此類 EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的臨時複本，並掃描磁碟區複本以查找特洛伊木馬、蠕蟲、加密礦工、Rootkit、機器人等，這些可能會被用於入侵工作負載、將資源重新用於惡意使用、並獲得對資料未經授權的存取。Amazon GuardDuty Malware Protection 會產生內容相關調查結果，能夠驗證可疑行為的來源。這些調查結果可傳送至適當的管理員並啟動自動修復。
容器入侵：透過分析 EKS 稽核日誌和 Amazon EKS 或 Amazon ECS 中的容器執行時期活動，持續監控和分析 Amazon EKS 叢集，藉此偵測可識別容器工作負載中可能存在惡意行為或可疑行為的活動。

這裡提供 GuardDuty 調查結果類型的完整清單。

提供威脅嚴重性等級以有效率地決定優先順序

GuardDuty 提供三種嚴重性等級 (低、中、高)，以協助客戶排定回應潛在威脅的優先順序。「低」嚴重性等級代表在危害資源之前就已經被封鎖的可疑或惡意活動。「中」嚴重性等級代表可疑的活動。例如，回傳到隱藏在 Tor 網路後的遠端主機的大量流量，或是偏離常見行為的活動。「高」嚴重性等級代表相關資源 (例如，EC2 執行個體或一組 IAM 使用者登入資料) 被盜用，且目前正用於未授權的用途。

威脅回應及修復自動化

GuardDuty 提供 HTTPS API 和命令列介面 (CLI) 工具，以及與 Amazon EventBridge 的整合，可支援對安全調查結果的自動化安全回應。例如，您可以使用 EventBridge 作為叫用 AWS Lambda 函數的事件來源，藉此將回應工作流程自動化。

全受管、可擴展的威脅偵測

GuardDuty 設計成能夠根據您 AWS 帳戶內的整體活動等級、工作負載和資料，自動管理資源使用率。GuardDuty 只會在必要時增加偵測容量，並在不再需要那麼多容量時減少使用率。您現在具備經濟實惠的架構，可讓您維持所需的安全處理能力，同時將成本降到最低。您只須按使用的偵測容量和使用時間付費。GuardDuty 可為您提供任何規模的安全，不論貴組織的大小為何。

無須部署及管理額外軟體或基礎設施的單步部署

只要在 AWS 管理主控台執行一個動作或發出單一 API 呼叫，即可在單一帳戶啟用 GuardDuty。此外，只要在主控台多執行幾個步驟，就能為多個帳戶啟用 GuardDuty。GuardDuty 可透過 AWS Organizations 整合以及 GuardDuty 的原生功能，支援多個帳戶。開啟後，GuardDuty 會立即以近乎即時的速度開始大規模分析帳戶和網路活動的持續串流。您不必部署或管理額外的安全軟體、感應器或網路設備。威脅情報已預先整合至服務中，並且會持續更新及維護。

廣泛的容器感知保護

GuardDuty 為您的 AWS 運算資產中的容器工作負載提供全面的保護，否則實現過程將非常困難且複雜。無論您是在 Amazon EC2 上執行具有伺服器層級控制的工作負載，還是使用 AWS Fargate 在 Amazon ECS 上執行無伺服器現代應用程式工作負載，GuardDuty 都會偵測潛在惡意和可疑活動，提供執行期監控的容器層級前後關聯，並協助您識別整個 AWS 環境容器工作負載中的安全覆蓋範圍。