我在我的環境中啟動了 GuardDuty，但 GuardDuty 並未產生任何問題清單類型

1 分的閱讀內容

我啟用了 Amazon GuardDuty 帳戶，但我還沒有收到任何問題清單類型。我該如何對此錯誤進行疑難排解？

簡短描述

啟用 GuardDuty 會立即開始監控安全威脅。如果 GuardDuty 發現安全問題，則會產生問題清單類型。如果 GuardDuty 未偵測到安全威脅，則不會產生問題清單類型。

解決方案

若要對 GuardDuty 尚未產生任何問題清單類型的原因進行疑難排解，請檢查下列組態：

資料來源
GuardDuty 狀態
可信 IP 清單

資料來源

GuardDuty 使用其資料來源偵測部分 AWS 服務的資源類型未經授權和未預期的活動。資料來源包括：

AWS CloudTrail 管理事件日誌。
Virtual Private Cloud (Amazon VPC) 流程日誌。
DNS 日誌。
適用於 Amazon Simple Storage Service (Amazon S3) 的 CloudTrail 資料事件
Kubernetes 稽核日誌
Amazon Elastic Block Store (Amazon EBS) 磁碟區資料

最佳做法是啟用 GuardDuty Kubernetes Protection、Amazon S3 保護和惡意軟體防護功能，這些功能預設不會啟用。

**注意：**GuardDuty 只會在您使用預設 VPC DNS 解析程式時才會處理 DNS 日誌。所有其他類型的 DNS 解析程式都不會產生以 DNS 為基礎的問題清單。

GuardDuty 狀態

必須啟用 GuardDuty 才能產生問題清單類型。如果 GuardDuty 已暫停或停用，則不會產生任何問題清單類型。最佳做法是在所有支援的 AWS 區域中啟用 GuardDuty。這可以允許 GuardDuty 針對未經授權或異常活動產生問題清單類型，即使在您未主動使用的區域亦如此。

可信 IP 清單

您可以將您信任在 AWS 環境中通訊的 IP 地址新增至可信 IP 清單。可信 IP 清單可阻止 GuardDuty 為從可信 IP 地址發生的事件產生問題清單類型。

最佳實務是使用隱藏規則而不是可信 IP 清單來了解環境中偵測到的問題。隱藏規則會減少來自問題清單類型的通知。隱藏規則會自動封存由 GuardDuty 產生且符合特定條件的新問題清單。您可以透過將 Findings (問題清單) 視圖下拉式功能表從 Current (目前) 變更為 Archived (已封存)，從 GuardDuty 主控台檢閱隱藏的問題清單。

若要建立 GuardDuty 問題清單以進行測試，請執行下列其中一個動作：

從 GuardDuty 主控台或 API 建立問題清單範例。
使用 guardduty_tester.sh 指令碼自動產生常見的 GuardDuty 問題清單。

如需詳細資訊，請參閱如何為 GuardDuty 設定可信 IP 地址清單？