Amazon GuardDuty 文档

Amazon GuardDuty是一项智能威胁检测服务，旨在为客户提供了一种准确、简单的方法来持续监控和保护其亚马逊云科技账户、工作负载、容器应用程序和存储在Amazon S3中的数据。GuardDuty通过Amazon CloudTrail管理事件（您的账户中的亚马逊云科技用户和API活动）、Amazon CloudTrail S3数据事件（Amazon S3活动）、Amazon VPC流日志（网络流量数据）、Amazon Elastic Kubernetes Service（Amazon EKS）审计日志和DNS日志（名称查询模式）分析您的亚马逊云科技账户中的事件。   

Amazon GuardDuty威胁检测可以帮助您识别可能与账户入侵、实例泄露、恶意侦测和存储桶泄漏相关的活动。例如，GuardDuty可使用DNS查询作为传输机制来检测异常API调用、至已知恶意IP地址的可疑出站通信或可能的数据盗窃。GuardDuty旨在使用经过威胁情报（例如恶意IP和域名列表）丰富的机器学习提供更准确的结果。      

账户级威胁检测 

Amazon GuardDuty旨在为您提供准确的账户泄漏威胁检测，这种危险在您不能近乎实时地持续监控因素的情况下会特别难以快速检测到。GuardDuty可以检测账户泄漏迹象，例如在一天中的非正常时间从异常地理位置访问亚马逊云科技资源。对于编程亚马逊云科技账户，GuardDuty旨在检查是否有异常的API调用，例如通过禁用CloudTrail日志记录或从恶意IP地址进行数据库快照来模糊账户活动的尝试。     

跨亚马逊云科技账户持续监控  

Amazon GuardDuty旨在持续监控和分析Amazon CloudTrail、VPC流日志和DNS日志中的亚马逊云科技账户和工作负载事件数据。无需部署和维护其他安全软件或基础设施。通过将亚马逊云科技账户关联在一起，您可以聚合威胁检测，而不必逐个账户运行。此外，您不必收集、分析和关联来自多个账户的大量数据。      

为云端服务开发的威胁检测 

借助Amazon GuardDuty，您可以访问针对云端开发的内置检测技术。Amazon Security对检测算法进行了维护和持续改进。主要检测类别包括：   

侦测 -- 表明攻击者进行了侦测的活动，例如异常的API活动、VPC内的端口扫描、登录请求失败的异常模式或从已知恶意IP进行未阻止的端口探测。  

实例泄漏 -- 表示实例泄漏的活动，例如加密货币挖掘、后门命令与控制（C&C）活动、使用域生成算法（DGA）的恶意软件、出站拒绝服务活动、异常大量的网络流量、异常网络协议、与已知恶意IP的出站实例通信、外部IP地址使用的临时Amazon EC2凭证以及使用DNS进行数据泄露。     

账户泄漏 – 表明账户泄漏的常见模式包括来自异常地理位置或匿名代理的API调用、禁用Amazon CloudTrail日志记录的尝试、削弱账户密码策略的更改、异常的实例或基础设施启动，在异常区域进行基础设施部署，以及从已知的恶意IP地址进行API调用。   

存储桶泄漏–表示存储桶泄漏的活动，例如表示凭据滥用的可疑数据访问模式、远程主机的异常S3 API活动、从已知的恶意IP地址进行未经授权的S3访问以及从先前没有访问存储桶历史记录的用户或从异常位置进行调用的用户那里检索 S3 存储桶中的数据的API调用。Amazon GuardDuty持续监控和分析Amazon CloudTrail S3数据事件（例如GetObject、ListObjects、DeleteObject），以检测所有Amazon S3存储桶中的可疑活动。   

GuardDuty通过使用机器学习和异常检测功能来识别以前难以找到的威胁，例如异常的API调用模式或恶意IAM用户行为，以提供这些高级检测。此外，GuardDuty还集成了威胁情报，其中包括来自Amazon Security和第三方安全合作伙伴（包括Proofpoint和CrowdStrike）的恶意域或IP地址列表。   

GuardDuty可帮助消除监控和保护亚马逊云科技账户和工作负载的无差别繁重工作和不必要的复杂性。  

根据威胁严重性分级，为高效优先处理事件  

Amazon GuardDuty提供三种严重性级别（低、中和高），以帮助客户优先考虑对潜在威胁的应对。“低”严重性级别表示在威胁资源之前被阻止的可疑或恶意活动。“中”严重性级别表示可疑活动。例如，大量流量被返回到隐藏在Tor网络后面的远程主机，或者与通常观察到的行为有所偏离的活动。“高”严重性级别表示所述资源（例如EC2实例或一组IAM用户凭证）被泄漏，并且正被积极用于未经授权的目的。    

自动执行威胁响应和补救措施 

Amazon GuardDuty提供HTTPS API、CLI工具和Amazon CloudWatch Events，以支持对安全结果的自动安全响应。例如，您可以使用CloudWatch Events作为事件源来触发Amazon Lambda函数，从而自动执行响应工作流。  

高度可用的威胁检测 

Amazon GuardDuty旨在根据亚马逊云科技账户、工作负载和存储在Amazon S3中的数据的总体活动水平管理资源利用率。GuardDuty旨在仅在必要时添加检测容量，并在不再需要容量时降低利用率。   

无需部署和管理额外的软件或基础设施  

只需亚马逊云科技管理控制台或调用一次API，即可在单个账户中启用Amazon GuardDuty。在控制台上再单击几下，就可以在多个账户中启用GuardDuty。Amazon GuardDuty通过Amazon Organizations集成以及GuardDuty本地支持多个账户。启用后，GuardDuty可以大规模分析连续的账户和网络活动流。无需部署和管理额外的安全软件、传感器或网络设备。威胁情报已预先集成到服务中，并在持续更新和维护中。

其他信息 

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见：https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。