Amazon GuardDuty 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为,以保护您的亚马逊云科技账户、工作负载和存储在 Amazon S3 中的数据。借助云,账户和网络活动的收集和聚合得到了简化,但对于安全团队来说,不断分析事件日志数据是否存在潜在威胁可能会非常耗时。借助 GuardDuty,您现在可以使用智能且经济高效的选项来在亚马逊云科技云中进行持续威胁检测。该服务使用机器学习、异常检测和集成威胁情报来识别潜在威胁并确定其优先级。GuardDuty 可分析跨多个亚马逊云科技数据源(例如 Amazon CloudTrail 事件日志、Amazon VPC 流日志和 DNS 日志)的数百亿个事件。只需在亚马逊云科技管理控制台中单击几下,无需部署或维护软件或硬件即可启用 GuardDuty。通过与 Amazon CloudWatch Events 集成,GuardDuty 警报具有可操作性,易于跨多个账户聚合,并且可以直接推送到现有的事件管理和工作流程系统。
优势
全面的威胁识别
Amazon GuardDuty 通过持续监控亚马逊云科技环境中的网络活动、数据访问模式和账户行为来识别威胁。GuardDuty 与来自亚马逊云科技服务、CrowdStrike 和 Proofpoint 的最新威胁情报源集成在一起。威胁情报与机器学习和行为模型相结合,可帮助您检测诸如加密货币挖掘、凭据泄漏行为、未经授权和异常的数据访问、与已知的命令与控制服务器通信或来自已知恶意 IP 的 API 调用等活动。
通过自动化强化安全性
除了检测威胁之外,Amazon GuardDuty 还可以轻松自动化应对威胁的方式,从而缩短补救和恢复时间。GuardDuty 可以利用 Amazon CloudWatch Events 和 Amazon Lambda 来执行自动补救操作。GuardDuty 安全性发现结果信息丰富,可用于安全运营。发现结果包括受影响资源的详细信息和攻击者信息,例如 IP 地址和地理位置。
企业级管理和集中式管理
Amazon GuardDuty 使用 Amazon Organizations 提供多账户支持,因此您可以在所有现有账户和新账户中启用 GuardDuty。您的安全团队可以将组织跨账户的发现结果汇总到单个 GuardDuty 管理员账户中,以便于管理。汇总的发现结果还可通过 CloudWatch Events 提供,使您可以轻松地与现有企业事件管理系统集成。
工作原理
