什么是 GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可持续监控恶意活动和未经授权的行为,以保护您的亚马逊云科技账户、工作负载以及存储在 Amazon S3 中的数据。使用云可以简化账户和网络活动的收集和汇总,但对于安全团队来说,通过持续分析事件日志数据来查找潜在威胁可能非常耗时。借助 GuardDuty,您现在可以在亚马逊云科技云中获得智能且经济高效的持续威胁检测选项。该服务使用机器学习、异常检测和集成的威胁智能来识别潜在威胁并确定其优先级。GuardDuty 分析多个亚马逊云科技数据源中的数百亿个事件,例如 Amazon CloudTrail 事件日志、Amazon VPC 流日志和 DNS 日志。只需在亚马逊云科技管理控制台中单击几下,即可启用 GuardDuty,而无需部署或维护任何软件或硬件。通过与 Amazon CloudWatch Events 集成,GuardDuty 警报具有可操作性、易于跨多个账户聚合,并且可以直接推送到现有的事件管理和工作流系统中。
优势
Amazon GuardDuty 通过持续监控亚马逊云科技环境中的网络活动、数据访问模式和账户行为来识别威胁。GuardDuty 与来自亚马逊云科技服务、CrowdStrike 和Proofpoint 的最新威胁情报源集成。威胁情报与机器学习和行为模型结合,帮助您检测包括加密货币挖掘、凭证盗用行为、未授权及不寻常的数据访问、与已知的命令和控制服务器通信,或从已知的恶意 IP 调用 API 等在内的活动。
除检测威胁以外,Amazon GuardDuty 还可以轻松实现威胁响应的自动化,缩短您的补救和恢复时间。GuardDuty 可以利用 Amazon CloudWatch Events 和 Amazon Lambda 采取自动补救措施。GuardDuty 的安全调查结果可提供信息,帮助您执行切实可行的安全操作。这些结果包括受影响资源的详细信息和攻击者信息,如 IP 地址和地理位置等。
Amazon GuardDuty 使用 Amazon Organizations 提供多账户支持,因此您可以跨全部现有以及新的账户启用 GuardDuty。您的安全团队可以将您的企业当中不同账户的调查结果汇总到单个 GuardDuty 管理员账户,以简化管理。您也可以通过 CloudWatch Events 获得汇总结果,从而轻松地与现有的企业事件管理系统集成。