服务概述
问:什么是 Amazon GuardDuty?
Amazon GuardDuty 提供威胁检测功能,使您能够持续监控和保护存储在 Amazon S3 中的亚马逊云科技账户、工作负载和数据。GuardDuty 分析从您的账户和 Amazon CloudTrail 事件、Amazon VPC 流日志和 DNS 日志中发现的网络活动生成的连续元数据流。它还使用集成的威胁情报(如已知的恶意 IP 地址、异常检测和机器学习)来更准确地识别威胁。
问:Amazon GuardDuty 的主要优势是什么?
Amazon GuardDuty 使您能够轻松地对存储在 Amazon S3 中的亚马逊云科技账户、工作负载和数据进行持续监控。它完全独立于您的资源运行,因此没有对您的工作负载造成性能或可用性影响的风险。它使用集成的威胁情报、异常检测和机器学习完全托管。Amazon GuardDuty 提供详细且可操作的提醒,易于与现有事件管理和工作流程系统集成。无需前期成本,您只需为分析的事件付费,且无需部署额外的软件或订阅威胁情报源。
问:Amazon GuardDuty 如何收费?
Amazon GuardDuty 基于分析的 Amazon CloudTrail 事件量和分析的 Amazon VPC 流日志和 DNS 日志数据量定价。为 GuardDuty 分析启用这些日志源不收取额外费用。
- Amazon CloudTrail 管理事件分析 – GuardDuty 持续分析 CloudTrail 管理事件,以监控亚马逊云科技账户和基础设施的所有访问和行为。CloudTrail 管理事件分析按月 1000000 万个事件收费,并按比例计费。
- Amazon CloudTrail S3 数据事件分析 – GuardDuty 持续分析 CloudTrail S3 数据事件,以监控所有 Amazon S3 存储桶的访问和活动。CloudTrail S3 数据事件分析按月 1000000 万个事件收费,并按比例计费。
- VPC 流日志和 DNS 日志分析 – GuardDuty 持续分析 VPC 流日志、DNS 请求和响应,以识别亚马逊云科技账户和工作负载中的恶意、未经授权或意外行为。流日志和 DNS 日志分析按每月每 GB 收费。流日志和 DNS 日志分析可享受分层批量折扣。
没有预付费用,您只需为分析的数据付费。
有关详情和定价示例,请参阅 Amazon GuardDuty 定价。
问:Amazon GuardDuty 付款人账户中的预估费用是显示关联账户的总费用还是仅显示该个人付款人账户的总费用?
预估费用仅代表个人付款人账户的费用。对于主账户,您只能看到主账户的预估费用。
问:有免费试用吗?
是的,在由西云数据运营的亚马逊云科技中国(宁夏)区域可以享受 30 天的免费试用,在该区域,Amazon GuardDuty 的任何新账户都可以免费试用该服务 30 天。在免费试用期间,您将可以访问完整的功能集和检测。GuardDuty 将显示已处理的数据量和您的账户的每日估计平均服务费用。这使您可以轻松地免费体验 Amazon GuardDuty,并预测超出免费试用之外的服务费用。
问:Amazon GuardDuty 与 Amazon Macie 之间有何差异?
Amazon GuardDuty 通过帮助识别攻击者侦测、实例泄漏、账户泄漏和存储桶泄漏等威胁,为您的亚马逊云科技账户、工作负载和数据提供广泛的保护。Amazon Macie 可帮助您对自己拥有的数据以及与这些数据相关的安全和访问控制进行分类,从而帮助您发现和保护 Amazon S3 中的敏感数据。
问:Amazon GuardDuty 是区域性服务还是全球服务?
Amazon GuardDuty 是一项区域性服务。即使启用了多个账户并使用了多个区域,Amazon GuardDuty 安全性发现结果仍保留在生成基础数据的同一区域。这样可以确保分析的所有数据都基于区域,并且不会跨越亚马逊云科技区域边界。客户可以选择利用 Amazon CloudWatch Events,将发现结果推送到客户控制的数据存储(如 Amazon S3),然后汇总他们认为合适的结果,跨区域汇总 Amazon GuardDuty 生成的安全性发现结果。
问:Amazon GuardDuty 支持哪些区域?
此处列出了 Amazon GuardDuty 的区域可用性:亚马逊云科技区域表。
问:Amazon GuardDuty 是否有助于解决支付卡行业数据安全标准 (PCI DSS) 的某些要求?
GuardDuty 分析来自多个亚马逊云科技数据源的事件,例如 Amazon CloudTrail 事件、Amazon VPC 流日志和 DNS 日志,并根据从亚马逊云科技和其他服务(如 CrowdStrike)接收的威胁情报源检测可疑活动。
启用 GuardDuty
问:如何启用 Amazon GuardDuty?
只需在亚马逊云科技管理控制台中单击几下即可启用 Amazon GuardDuty。启用后,GuardDuty 可以立即开始以近实时和大规模的方式分析连续的账户和网络活动流。无需部署和管理额外的安全软件、传感器或网络设备。威胁情报已预先集成到服务中,并在持续更新和维护中。
问:我可以使用 Amazon GuardDuty 管理多个账户吗?
是的,Amazon GuardDuty 具有多账户功能,可使您从单个主账户关联和管理多个亚马逊云科技账户。使用后,所有安全发现结果都会汇总到管理员或 Amazon GuardDuty 主账户以供审核和补救。使用此配置时,Amazon CloudWatch Events 还会汇总到 Amazon GuardDuty 主账户。
问:Amazon GuardDuty 分析哪些数据源?
Amazon GuardDuty 会分析 Amazon CloudTrail、VPC 流日志和 Amazon DNS 日志。该服务经过优化,可通过消耗大量数据近实时地处理安全检测。借助 GuardDuty,您可以访问针对云开发和优化并由亚马逊云科技服务进行维护和持续改进的内置检测技术。
问:GuardDuty 开始工作的速度有多快?
启用后,Amazon GuardDuty 会立即开始分析恶意活动或未经授权的活动。开始接收调查结果的时间范围取决于您账户中的活动水平。GuardDuty 不查看历史数据,只查看启用后开始的活动。如果 GuardDuty 发现了任何潜在威胁,您将在 GuardDuty 控制台中收到调查结果。
问:我是否必须启用 Amazon CloudTrail、VPC 流日志和 DNS 日志才能使 Amazon GuardDuty 工作?
否。Amazon GuardDuty 直接从 Amazon CloudTrail、VPC 流日志和亚马逊云科技 DNS 日志中提取独立的数据流。您无需管理 Amazon S3 存储桶策略或修改收集和存储日志的方式。GuardDuty 权限作为服务关联角色进行管理,您可以通过禁用 GuardDuty 随时撤销该角色。这样一来,无需复杂配置即可轻松启用该服务,并消除了 Amazon IAM 权限修改或 S3 存储桶策略更改影响服务运行的风险。它还使 GuardDuty 在近乎实时的情况下非常高效地消耗大量数据,而不会影响账户或工作负载的性能或可用性。
问:在我的账户上启用 Amazon GuardDuty 会有性能或可用性影响吗?
否。Amazon GuardDuty 的运行完全独立于您的亚马逊云科技资源,没有对您的账户或工作负载产生影响的风险。这使得 GuardDuty 可以轻松地跨组织中的多个账户启用,而不会影响现有运营。
问:Amazon GuardDuty 是否管理或保留我的日志?
否。Amazon GuardDuty 不会管理或保留您的日志。GuardDuty 使用的所有数据都会近乎实时地进行分析并丢弃。这使得 GuardDuty 非常高效、经济实惠,并且能降低数据残留的风险。对于日志的交付和保留,您应直接使用亚马逊云科技日志记录和监控服务,这些服务提供了功能全面的交付和保留选项。
问:如何阻止 Amazon GuardDuty 查看我的日志和数据源?
通过在常规设置中选择暂停服务,您可以随时阻止 Amazon GuardDuty 分析您的数据源。这将立即停止服务分析数据,但不会删除您现有的发现结果或配置。您还可以在常规设置中选择禁用该服务。这将删除所有剩余数据,包括您的发现结果和配置,然后再放弃服务权限并重置服务。
GuardDuty 调查结果
问:Amazon GuardDuty 可以检测什么?
借助 Amazon GuardDuty,您可以访问针对云开发和优化的内置检测技术。亚马逊云科技服务对检测算法进行了维护和持续改进。主要检测类别包括:
- 侦测 -- 表明攻击者进行了侦测的活动,例如异常的 API 活动、VPC 内的端口扫描、登录请求失败的异常模式或从已知恶意 IP 进行未阻止的端口探测。
- 实例泄漏 -- 表示实例泄漏的活动,例如加密货币挖掘、使用域生成算法 (DGA) 的恶意软件、出站拒绝服务活动、异常大量的网络流量、异常网络协议、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时 Amazon EC2 凭证以及使用 DNS 进行数据泄露。
- 账户泄漏 -- 表明账户泄漏的常见模式包括来自异常地理位置或匿名代理的 API 调用、禁用 Amazon CloudTrail 日志记录的尝试、异常的实例或基础设施启动,在异常区域进行基础设施部署,以及从已知的恶意 IP 地址进行 API 调用。
- 存储桶泄漏 – 表示存储桶泄漏的活动,例如表示凭据滥用的可疑数据访问模式、远程主机的异常 S3 API 活动、从已知的恶意 IP 地址进行未经授权的 S3 访问以及从先前没有访问存储桶历史记录的用户或从异常位置进行调用的用户那里检索 S3 存储桶中的数据的 API 调用。Amazon GuardDuty 持续监控和分析 Amazon CloudTrail S3 数据事件(例如 GetObject、ListObjects、DeleteObject),以检测所有 Amazon S3 存储桶中的可疑活动。
问:什么是 Amazon GuardDuty 威胁情报?
Amazon GuardDuty 威胁情报由已知被攻击者使用的 IP 地址和域组成。GuardDuty 威胁情报由亚马逊云科技服务和第三方提供商(如 Proofpoint 和 CrowdStrike)提供。这些威胁情报源在 GuardDuty 中预先集成并持续更新,无需额外费用。
问:我能否提供自己的威胁情报?
可以。借助 Amazon GuardDuty,您可以轻松上传自己的威胁情报或 IP 安全列表。使用此功能时,这些列表仅应用于您的账户,不会与其他客户共享。
问:如何提供安全调查结果?
当检测到威胁时,Amazon GuardDuty 会向 GuardDuty 控制台和 Amazon CloudWatch Events 提供详细的安全调查结果。这使得提示具有可操作性,并且易于集成到现有的事件管理或工作流系统中。调查结果包括类别、受影响的资源以及与资源关联的元数据,例如严重性级别。
问:Amazon GuardDuty 调查结果的格式是什么?
Amazon GuardDuty 调查结果采用常见的 JSON 格式,Amazon Macie 和 Amazon Inspector 也使用这种格式。这使客户和合作伙伴可以轻松地使用所有这三项服务的安全调查结果,并将其整合到更广泛的事件管理、工作流或安全解决方案中。
问:安全调查结果在 Amazon GuardDuty 中提供多长时间?
安全调查结果将保留并通过 Amazon GuardDuty 控制台和 API 提供 90 天。90 天后,调查结果将被丢弃。要将调查结果保留 90 天以上,您可以启用 Amazon CloudWatch Events 以自动将调查结果推送到您账户或其他数据存储中的 Amazon S3 存储桶进行长期保留。
问:我是否可以使用 Amazon GuardDuty 采取自动化预防措施?
借助 Amazon GuardDuty、Amazon CloudWatch Events 和 Amazon Lambda,您可以根据安全发现结果灵活地设置自动预防措施。例如,您可以创建 Lambda 函数以根据安全发现结果修改亚马逊云科技安全组规则。如果您得到的 GuardDuty 发现结果表明您的一个 Amazon EC2 实例正在受到已知恶意 IP 的探测,则可以通过 CloudWatch Events 规则解决该实例,该规则将触发 Lambda 函数以自动修改您的安全组规则并限制对该端口的访问。
问:Amazon GuardDuty 检测是如何开发和管理的?
Amazon GuardDuty 的团队专注于检测的开发、管理和迭代。这会在服务中产生稳定的新检测节奏,并对现有检测进行持续迭代。该服务内置了多种反馈机制,例如 GuardDuty UI 中的每个安全调查结果中的大拇指向上和大拇指向下。这使客户能够提供反馈,这些反馈将整合到 GuardDuty 检测的未来迭代中。
问:我是否可以在 Amazon GuardDuty 中写入自定义检测?
否。Amazon GuardDuty 消除了开发和维护自己的自定义规则集的繁重工作和复杂性。将根据客户反馈以及亚马逊云科技服务和 GuardDuty 团队进行的研究,不断添加新的检测项。客户配置的自定义项包括添加自己的威胁列表和 IP 安全列表。
GuardDuty S3 保护
问:我目前正在使用 Amazon GuardDuty,如何开始使用 GuardDuty 用于 S3 保护功能?
对于当前账户,可以在控制台或 API 中启用 GuardDuty 用于 S3 保护功能。在 GuardDuty 控制台中,您可以转到 S3 保护页面,并可以为您的账户启用 GuardDuty 用于 S3 保护功能。这将开始为期 30 天的 GuardDuty 用于 S3 保护功能免费试用。
问:GuardDuty 用于 S3 保护功能是否有免费试用?
是,在由西云数据运营的亚马逊云科技中国(宁夏)区域可以免费试用 30 天。该区域的每个账户都可以免费试用 GuardDuty 用于 S3 保护功能30 天。已启用 GuardDuty 的账户还将能够免费使用 GuardDuty 用于 S3 保护功能 30 天。
问:我是 Amazon GuardDuty 的新用户,我的账户是否默认启用了 GuardDuty 用于 S3 保护功能?
是。默认情况下,通过控制台或 API 启用 GuardDuty 的任何新账户也将默认打开 GuardDuty 用于 S3 保护功能。使用 Amazon Organizations“自动启用”功能创建的新 GuardDuty 账户默认情况下不会打开 GuardDuty 用于 S3 保护功能,除非打开“为 S3 自动启用”。
问:我是否可以在不启用完整的 GuardDuty 服务(VPC 流日志、DNS 查询日志和 CloudTrail 管理事件)的情况下仅启用 GuardDuty 用于 S3 保护功能?
要想使 GuardDuty 用于 S3 保护功能也可使用,必须启用 Amazon GuardDuty 服务。当前 GuardDuty 账户可以选择启用 GuardDuty 用于 S3 保护功能。一旦启用 GuardDuty 服务,新的 GuardDuty 账户将默认获得 GuardDuty 用于 S3 保护功能。
问:GuardDuty 是否会监控我账户中的所有存储桶以获得 S3 保护?
是。默认情况下,GuardDuty 用于 S3 保护功能将监控环境中的所有 S3 存储桶。
问:我是否需要为 GuardDuty 用于 S3 保护功能打开 Amazon CloudTrail S3 数据事件日志记录?
否。GuardDuty 可以直接访问 Amazon CloudTrail S3 数据事件日志,您无需在 CloudTrail 中启用 S3 数据事件日志记录,从而产生相关的费用。请注意,GuardDuty 不存储日志,只将其用于分析。
GuardDuty EKS 保护
问:Amazon GuardDuty EKS 保护如何运作?
Amazon GuardDuty EKS 保护是一项 GuardDuty 功能,可通过分析 Kubernetes 审计日志来监控 Amazon Elastic Kubernetes Service (Amazon EKS) 集群控制面板。GuardDuty 与 Amazon EKS 集成,允许其直接访问 Kubernetes 审计日志,而无需您打开或存储这些日志。这些审计日志是与安全相关的、按时间顺序排列的记录,记录了在 Amazon EKS 控制面板上执行的操作顺序。这些 Kubernetes 审计日志为 GuardDuty 提供了持续监控 Amazon EKS API 活动所需的可见性,并应用经过验证的威胁情报和异常检测来识别可能使您的 Amazon EKS 集群面临未经授权访问的恶意活动或配置更改。识别出威胁后,GuardDuty 会生成包括威胁类型、严重性级别和容器级详细信息(如 pod ID、容器映像 ID 和关联标签)的安全调查结果。
问:Amazon GuardDuty 可以在我的 Amazon EKS 工作负载上检测到哪些类型的威胁?
GuardDuty EKS 保护可以检测与 Kubernetes 审计日志中捕获的用户和应用程序活动相关的威胁。Kubernetes 的威胁检测包括已知恶意行为者访问的或 Tor 节点中的 Amazon EKS 集群、匿名用户执行的可能表示配置错误的 API 操作,以及可能导致未经授权访问 Amazon EKS 集群的错误配置。此外,使用机器学习(ML)模型,GuardDuty 可以识别与权限提升技术相符的模式,例如可疑启动了具有对底层 Amazon Elastic Compute Cloud(Amazon EC2)主机的根级访问权限的容器。请参阅 Amazon GuardDuty
调查结果类型了解所有新的检测的完整详细列表。
问:我是否需要开启 Amazon EKS Kubernetes 审计日志?
否,GuardDuty 可以直接访问 Amazon EKS Kubernetes 审计日志。请注意,GuardDuty 仅使用这些日志进行分析;它不会存储它们,您也不需要启用或支付这些与 GuardDuty 共享的 Amazon EKS 审计日志的费用。为了优化成本,GuardDuty 应用智能筛选条件,以仅使用与安全威胁检测相关的审计日志子集。
问:是否可以免费试用 GuardDuty EKS 保护?
是的,有 30 天的免费试用期。每个区域的每个新 Amazon GuardDuty 账户都可以免费试用 GuardDuty(包括 GuardDuty EKS 保护)30 天。现有的 GuardDuty 账户可免费试用 GuardDuty EKS 保护 30 天。在试用期内,您可以在 GuardDuty 控制台使用页面中查看试用后成本估算。如果您是 GuardDuty 管理员,您将能够看到您的会员账户的预估费用。30 天后,您可以在亚马逊云科技账单控制台中查看此功能的实际费用。
问:我目前正在使用 Amazon GuardDuty。如何开始使用 GuardDuty EKS 保护?
需要为每个账户启用 GuardDuty EKS 保护。只需在 GuardDuty 控制台中单击一下,即可启用 GuardDuty EKS 保护,转到 Kubernetes 保护页面,然后为账户启用 GuardDuty EKS 保护。如果您在 GuardDuty 多账户配置中操作,则可以在 GuardDuty 管理员账户 Kubernetes 保护页面中启用对整个企业的 Amazon EKS 的监控。这将支持对所有个人会员账户中的 Amazon EKS 进行持续监控。对于使用 Amazon Organizations“自动启用”功能创建的 GuardDuty 账户,您需要明确开启“针对 EKS 的自动启用”。账户启用后,账户中的所有现有和未来的 Amazon EKS 集群都将受到威胁监控,而无需对 Amazon EKS 集群进行任何配置。
问:我是 Amazon GuardDuty 的新用户。默认情况下,我的账户是否启用了 GuardDuty EKS 保护?
是的。默认情况下,任何通过控制台或 API 启用 GuardDuty 的新账户也将开启 GuardDuty EKS 保护。请注意,默认情况下,使用 Amazon Organizations“自动启用”功能创建的新 GuardDuty 账户不会启用 GuardDuty EKS 保护,除非开启“针对 EKS 自动启用”。
问:如何禁用 GuardDuty EKS 保护?
您可以通过在控制台中禁用该功能或使用 API 来禁用 GuardDuty EKS 保护。在 GuardDuty 控制台中,转到 Kubernetes 保护页面,您可以在其中为自己的账户禁用 GuardDuty EKS 保护。如果您拥有 GuardDuty 管理员账户,还可以为会员账户禁用 GuardDuty EKS 保护。
问:如果我禁用了 GuardDuty EKS 保护,该如何再次启用它?
如果禁用了该功能,则可以通过在控制台中启用该功能或使用 API 来启用 GuardDuty EKS 保护。在 GuardDuty 控制台中,转到 Kubernetes 保护页面,您可以在其中为自己的账户启用 GuardDuty EKS 保护。
问:我是否必须在每个亚马逊云科技账户和 Amazon EKS 集群上单独启用 Amazon GuardDuty EKS 保护?
需要为每个账户启用 GuardDuty EKS 保护。如果您在 GuardDuty 多账户配置中操作,则可以在 GuardDuty 管理员账户 Kubernetes 保护页面中通过单击一下启用对整个企业的 Amazon EKS 威胁检测。这将对所有个人会员账户中的 Amazon EKS 进行威胁检测。账户启用后,账户中的所有现有和未来的 Amazon EKS 集群都将受到威胁监控,而无需对 Amazon EKS 集群进行任何手动配置。
问:如果我不使用 Amazon EKS,但在 GuardDuty 中启用了 EKS 保护,我会被收取费用吗?
如果您没有使用 Amazon EKS 并且启用了 EKS 保护,则不会产生任何 GuardDuty EKS 保护费用。但是,当您开始使用 Amazon EKS 时,GuardDuty 将自动监控您的集群,并且您将收到已发现问题的调查结果。
问:在不启用完整的 GuardDuty 服务(例如 VPC 流日志、DNS 查询日志和 CloudTrail 管理事件分析)的情况下,我能否仅启用 GuardDuty EKS 保护?
必须启用 Amazon GuardDuty 服务,才能使用 GuardDuty EKS 保护。
问:GuardDuty EKS 保护是否支持多账户管理?
GuardDuty 通过 Amazon Organizations 集成实现多账户管理。这种集成有助于安全和合规性团队确保在企业中所有账户的所有现有和未来的 Amazon EKS 集群上全面覆盖 GuardDuty。
问:GuardDuty 是否会为 Amazon Fargate 上的 EKS 部署监控 Kubernetes 审计日志
是的。GuardDuty EKS 保护可监控部署在 EC2 实例上的 Amazon EKS 集群和部署在 Amazon Fargate 上的 Amazon EKS 集群中的审计日志。
问:GuardDuty 是否在 EC2 或 EKS Anywhere 上监控非托管式 Kubernetes?
目前,该功能仅支持在您的账户或 Amazon Fargate 的 EC2 实例上运行的 Amazon EKS 部署。
问:我是否需要进行任何配置更改、部署任何软件或修改我的 Amazon EKS 部署?
否。启用后,GuardDuty 将开始监控账户中所有现有和新的 EKS 集群中的 Kubernetes 审计日志,以发现没有其他需要部署内容,没有要启用的日志源,也不需要进行任何配置更改的威胁。
问:使用 GuardDuty EKS 保护是否会影响在 Amazon EKS 上运行容器的性能或成本?
否。GuardDuty EKS 保护对 Amazon EKS 工作负载部署的性能、可用性或成本影响没有任何影响。
问:我是否必须在每个亚马逊云科技区域单独启用 GuardDuty EKS 保护?
是的。Amazon GuardDuty 是一项区域性服务,必须分别在每个亚马逊云科技区域启用针对 EKS 的威胁检测。
问:我是否能汇总 GuardDuty 调查结果?
是。您可以使用 Amazon Web Services Security Hub 的跨区域聚合功能聚合多个账户和多个区域中的 GuardDuty 调查结果。
GuardDuty 恶意软件防护
问:Amazon GuardDuty 恶意软件防护如何运作?
当 GuardDuty 发现表明 EC2 实例或容器工作负载中存在恶意软件的可疑行为时,就会开始进行恶意软件检测扫描。它会扫描 GuardDuty 根据您的 EBS 卷快照生成的副本 EBS 卷,以查找特洛伊木马、蠕虫、加密矿工、rootkit、机器人等。GuardDuty 恶意软件防护可以生成情境化调查结果,有助于验证可疑行为的来源。也可以将这些调查结果传送给相应的管理员,并且可以启动自动补救措施。
问:哪些 GuardDuty EC2 调查结果类型会启动恶意软件扫描?
此处列出了将启动恶意软件扫描的 GuardDuty EC2 调查结果。
问:GuardDuty 恶意软件防护可以扫描哪些资源和文件类型?
恶意软件防护支持通过扫描连接到 EC2 实例的 EBS 来检测恶意文件。它可以扫描卷上存在的任何文件,支持的文件系统类型可在此处找到。
问:GuardDuty 恶意软件防护可以检测哪些类型的威胁?
恶意软件防护可以扫描特洛伊木马、蠕虫、加密矿工、rootkit 和机器人等威胁,这些威胁可能被用来破坏工作负载、将资源重新用于恶意用途以及未经授权访问数据。
问:需要开启日志记录功能才能让 GuardDuty 恶意软件防护发挥作用吗?
无需启用服务日志记录即可使用 GuardDuty 或恶意软件防护功能。恶意软件防护功能是 GuardDuty 的一部分,GuardDuty 是亚马逊云科技的一项服务,使用来自内部和外部综合来源的情报。
问:GuardDuty 恶意软件防护如何在没有代理的情况下完成扫描?
GuardDuty 恶意软件防护将根据连接到您账户中可能受感染的 EC2 实例或容器工作负载的 EBS 卷的快照来创建和扫描副本,而不是使用安全代理。您通过服务相关角色授予 GuardDuty 的权限允许该服务根据保留在您账户中的快照在 GuardDuty 的服务账户中创建加密卷副本。然后,GuardDuty 恶意软件防护将扫描卷副本中是否存在恶意软件。
问:是否可以免费试用 GuardDuty 恶意软件防护?
是的,每个区域的每个新 Amazon GuardDuty 账户都可以免费试用 GuardDuty(包括恶意软件防护功能)30 天。现有的 GuardDuty 账户在首次启用恶意软件防护时可免费试用 30 天,不收取额外费用。在试用期内,您可以在 GuardDuty 控制台使用页面中查看试用后成本估算。如果您是 GuardDuty 管理员,您将能够看到您的会员账户的预估费用。30 天后,您可以在亚马逊云科技账单与成本管理控制台中查看此功能的实际费用。
问:我目前正在使用 GuardDuty,如何开始使用 GuardDuty 恶意软件防护?
您可以前往“恶意软件防护”页面或使用 API 在 GuardDuty 控制台中启用恶意软件防护。如果您在 GuardDuty 多账户配置中操作,则可以在 GuardDuty 管理员账户的“恶意软件防护”控制台页面中为整个组织启用该功能。这将能够监控所有个人成员账户中的恶意软件。对于使用 Amazon Organizations“自动启用”功能创建的 GuardDuty 账户,您需要明确启用“针对恶意软件防护自动启用”选项。
问:如果我是 GuardDuty 的新用户,我的账户是否会默认启用恶意软件防护?
是的,默认情况下,任何通过控制台或 API 启用 GuardDuty 的新账户也将开启用于 GuardDuty 恶意软件防护。对于使用 Amazon Organizations“自动启用”功能创建的新 GuardDuty 账户,您需要明确启用“针对恶意软件防护自动启用”选项。
问:如何禁用 GuardDuty 恶意软件防护?
您可以在控制台中禁用该功能,也可以使用 API 禁用该功能。在 GuardDuty 控制台的“恶意软件防护”控制台页面上,您将看到一个为账户禁用恶意软件防护的选项。如果您拥有 GuardDuty 管理员账户,还可以为成员账户禁用 GuardDuty 恶意软件防护。
问:如果我禁用了 GuardDuty 恶意软件防护,该如何再次启用它?
如果禁用了恶意软件防护,则可以在控制台中或使用 API 启用该功能。您可以在 GuardDuty 控制台的“恶意软件防护”控制台页面中为您的账户启用恶意软件防护。
问:如果在计费期内未执行 GuardDuty 恶意软件扫描,会收取费用吗?
不,如果在计费期内没有进行恶意软件软件,则不收取任何恶意软件防护费用。您可以在亚马逊云科技账单与成本管理控制台中查看此功能的费用。
问:GuardDuty 恶意软件防护是否支持多账户管理?
是的,GuardDuty 具有多账户管理功能,允许您从一个管理员账户关联和管理多个亚马逊云科技账户。GuardDuty 通过 Amazon Organizations 集成实现多账户管理。这种集成有助于安全性与合规性团队确保在组织的所有账户中全面覆盖 GuardDuty,包括恶意软件保护。
问:我是否需要进行任何配置更改、部署任何软件或修改我的部署?
不。GuardDuty 恶意软件防护功能在启用后将发起恶意软件扫描,以响应相关的 EC2 调查结果。您无需部署任何代理,没有需要启用的日志源,也不需要进行其他配置更改。
问:使用 GuardDuty 恶意软件防护会影响我的工作负载运行性能吗?
GuardDuty 恶意软件防护经过设计,不会影响您的工作负载性能。例如,为进行恶意软件分析而创建的 EBS 卷快照在 24 小时内只能生成一次,而 GuardDuty 恶意软件防护在完成扫描后会将加密的副本和快照保留几分钟。此外,GuardDuty 恶意软件防护使用 GuardDuty 计算资源,而不是客户计算资源进行恶意软件扫描。
问:我是否必须在每个亚马逊云科技(中国)区域单独启用 GuardDuty 恶意软件防护?
是的,GuardDuty 是一项区域性服务,必须分别在每个亚马逊云科技区域启用恶意软件防护。
问:GuardDuty 恶意软件防护如何使用加密?
GuardDuty 恶意软件防护将根据连接到您账户中可能受感染的 EC2 实例或容器工作负载的 EBS 卷的快照来扫描副本。如果您的 EBS 卷使用客户托管的密钥加密,则您可以选择与 GuardDuty 共享您的 Amazon Key Management Service (KMS) 密钥,并且该服务将使用相同的密钥来加密副本 EBS 卷。对于未加密的 EBS 卷,GuardDuty 将使用自己的密钥来对副本 EBS 卷进行加密。
问:EBS 卷副本是否会在与原始卷相同的区域中进行分析?
是的,所有副本 EBS 卷数据(以及副本卷所依据的快照)都与原始 EBS 卷位于同一区域。
问:如何估算和控制 GuardDuty 恶意软件防护的支出?
每个区域的每个新 Amazon GuardDuty 账户都可以免费试用 GuardDuty(包括恶意软件防护功能)30 天。现有的 GuardDuty 账户在首次启用恶意软件防护时可免费试用 30 天,不收取额外费用。在试用期内,您可以在 GuardDuty 控制台使用页面上估算试用后的费用估算。如果您是 GuardDuty 管理员,您将能够看到您的会员账户的预估费用。30 天后,您可以在亚马逊云科技账单控制台中查看此功能的实际费用。
此功能的定价基于在卷中扫描的数据 (GB)。您可以使用控制台中的扫描选项应用自定义设置,使用标签将某些 EC2 实例标记为包含或不包含在扫描范围中,从而控制成本。此外,GuardDuty 每隔 24 小时只会扫描一次 EC2 实例。如果 GuardDuty 在 24 小时内为一个 EC2 实例生成了多个 EC2 调查结果,则只会对第一个相关的 EC2 调查结果进行扫描。例如,如果 EC2 调查结果在上次恶意软件扫描后 24 小时后仍然存在,则将为该实例启动新的恶意软件扫描。
问:我可以保留 GuardDuty 恶意软件防护拍摄的快照吗?
是的,有一项设置可以在恶意软件防护扫描检测到恶意软件时启用快照保留。您可以从 GuardDuty 控制台的“设置”页面上启用此设置。默认情况下,快照会在扫描完成几分钟后删除,如果扫描未完成,则将在 24 小时后删除。
问:默认情况下,副本 EBS 卷的最长保留时间是多久?
GuardDuty 恶意软件防护会将其生成和扫描的每个副本 EBS 卷保留最多 24 小时。默认情况下,副本 EBS 卷将在 GuardDuty 恶意软件防护完成扫描几分钟后被删除。但是,在某些情况下,如果服务中断或连接问题干扰了恶意软件扫描,GuardDuty 恶意软件防护可能需要将副本 EBS 卷保留超过 24 小时。发生这种情况时,GuardDuty 恶意软件防护会将副本 EBS 卷最多保留七天,以便服务有时间对中断或连接问题进行分类并加以解决。GuardDuty 恶意软件防护将在解决中断或故障后或延长保留期到期后删除副本 EBS 卷。
问:单个 EC2 实例或容器工作负载的多个 GuardDuty 调查结果是否会启动多次恶意软件扫描?
不会,GuardDuty 仅根据连接到可能受感染的 EC2 实例或容器工作负载的 EBS 卷的快照,每 24 小时扫描一次副本。即使 GuardDuty 生成了多个符合启动恶意软件扫描条件的调查结果,但如果距离上次扫描不到 24 小时,它也不会另外启动扫描。如果 GuardDuty 在上次恶意软件扫描后 24 小时后生成符合条件的调查结果,GuardDuty 恶意软件防护将针对该工作负载启动新的恶意软件扫描。
问:如果我禁用了 GuardDuty,需要另外禁用恶意软件防护功能吗?
不,禁用 GuardDuty 服务也会禁用恶意软件防护功能。
GuardDuty Lambda 保护
问:Amazon GuardDuty Lambda 保护如何运作?
GuardDuty Lambda 保护会从 VPC 流日志开始持续监控无服务器工作负载中的网络活动,以检测诸如恶意改换用途以进行未经授权的加密货币挖掘的 Lambda 函数,或者与已知威胁参与者服务器通信的受损的 Lambda 函数等威胁。只需在 GuardDuty 控制台中执行几个步骤即可启用 GuardDuty Lambda 保护。通过使用 Amazon Organizations,可以为组织中的所有现有账户和新账户集中启用该该功能。启用该功能后,它会自动开始监控账户中所有现有和新的 Lambda 函数的网络活动数据。
问:如果我目前正在使用 GuardDuty,如何开始使用 GuardDuty Lambda 保护?
对于当前 GuardDuty 账户,可以从 GuardDuty 控制台的“Lambda 保护”页面激活该功能,也可以通过 API 激活该功能。了解有关 GuardDuty Lambda 保护的更多信息。
问:如果我是 GuardDuty 的新用户,我的账户是否会默认启用 GuardDuty Lambda 保护?
会。默认情况下,任何通过控制台或 API 激活 GuardDuty 的新账户将同时启用 Lambda 保护。除非开启“针对 Lambda 自动启用”选项,否则使用 Amazon Organizations 自动启用功能创建的新 GuardDuty 账户不会开启 Lambda 保护。
问:GuardDuty Lambda 保护是否在目前已推出 GuardDuty 的所有区域可用?
会。GuardDuty Lambda 保护在目前已推出 GuardDuty 的所有区域都可用。
问:使用 GuardDuty Lambda 保护会影响运行 Lambda 工作负载的性能或成本吗?
不会,GuardDuty Lambda 保护经过设计,不会影响 Lambda 工作负载的性能、可用性或成本。
