Amazon GuardDuty 功能

Amazon GuardDuty 是一项智能威胁检测服务，为客户提供了一种准确、简单的方法来持续监控和保护其亚马逊云科技账户、工作负载和存储在 Amazon S3 中的数据。GuardDuty 通过 Amazon CloudTrail 管理事件（您的账户中的亚马逊云科技用户和 API 活动）、Amazon CloudTrail S3 数据事件（Amazon S3 活动）、Amazon VPC 流日志（网络流量数据）和 DNS 日志（名称查询模式）分析您的亚马逊云科技账户中的数十亿个事件。

Amazon GuardDuty 威胁检测可以识别可能与账户入侵、实例泄露、恶意侦测和存储桶泄漏相关的活动。例如，GuardDuty 使用 DNS 查询作为传输机制来检测异常 API 调用、至已知恶意 IP 地址的可疑出站通信或可能的数据盗窃。GuardDuty 使用经过威胁情报（例如恶意 IP 和域名列表）丰富的机器学习提供更准确的结果。

只需在亚马逊云科技管理控制台中单击几下，即可启用 Amazon GuardDuty，且客户可以在亚马逊云科技云中获得更智能、更经济高效的威胁检测选项。

Amazon GuardDuty 可为您提供准确的账户泄漏威胁检测，这种危险在您不能近乎实时地持续监控因素的情况下会特别难以快速检测到。GuardDuty 可以检测账户泄漏迹象，例如在一天中的非正常时间从异常地理位置访问亚马逊云科技资源。对于编程亚马逊云科技账户，GuardDuty 会检查是否有异常的 API 调用，例如通过禁用 CloudTrail 日志记录或从恶意 IP 地址拍摄数据库快照来模糊账户活动的尝试。

Amazon GuardDuty 持续监控和分析 Amazon CloudTrail、VPC 流日志和 DNS 日志中的亚马逊云科技账户和工作负载事件数据。无需部署和维护其他安全软件或基础设施。通过将亚马逊云科技账户关联在一起，您可以聚合威胁检测，而不必逐个账户运行。此外，您不必收集、分析和关联来自多个账户的大量数据。因此，您可以专注于如何快速响应、如何确保组织的安全，以及如何在亚马逊云科技中国区域继续扩展和创新。

借助 Amazon GuardDuty，您可以访问针对云开发和优化的内置检测技术。我们对检测算法进行了维护和持续改进。主要检测类别包括：

侦测 -- 表明攻击者进行了侦测的活动，例如异常的 API 活动、VPC 内的端口扫描、登录请求失败的异常模式或从已知恶意 IP 进行未阻止的端口探测。

实例泄漏 -- 表示实例泄漏的活动，例如加密货币挖掘、后门命令与控制 (C&C) 活动、使用域生成算法 (DGA) 的恶意软件、出站拒绝服务活动、异常大量的网络流量、异常网络协议、与已知恶意 IP 的出站实例通信、外部 IP 地址使用的临时 Amazon EC2 凭证以及使用 DNS 进行数据泄露。

账户泄漏 -- 表明账户泄漏的常见模式包括来自异常地理位置或匿名代理的 API 调用、禁用 Amazon CloudTrail 日志记录的尝试、削弱账户密码策略的更改、异常的实例或基础设施启动，在异常区域进行基础设施部署，以及从已知的恶意 IP 地址进行 API 调用。

存储桶泄漏 – 表示存储桶泄漏的活动，例如表示凭据滥用的可疑数据访问模式、远程主机的异常 S3 API 活动、从已知的恶意 IP 地址进行未经授权的 S3 访问以及从先前没有访问存储桶历史记录的用户或从异常位置进行调用的用户那里检索 S3 存储桶中的数据的 API 调用。Amazon GuardDuty 持续监控和分析 Amazon CloudTrail S3 数据事件（例如 GetObject、ListObjects、DeleteObject），以检测所有 Amazon S3 存储桶中的可疑活动。

点击查看 GuardDuty 结果类型的完整列表。

GuardDuty 通过使用机器学习和异常检测功能来识别以前难以找到的威胁，例如异常的 API 调用模式或恶意 IAM 用户行为，以提供这些高级检测。此外，GuardDuty 还集成了威胁情报，其中包括来自亚马逊云科技服务和行业领先的第三方安全合作伙伴（包括 Proofpoint 和 CrowdStrike）的恶意域或 IP 地址列表。

GuardDuty 为您提供了构建内部解决方案、维护复杂的自定义规则或开发自己的已知恶意 IP 地址的威胁情报的替代方案。GuardDuty 消除了监控和保护亚马逊云科技账户和工作负载的无差别繁重工作和不必要的复杂性。

Amazon GuardDuty 提供三种严重性级别（低、中和高），以帮助客户优先考虑对潜在威胁的应对。“低”严重性级别表示在威胁资源之前被阻止的可疑或恶意活动。“中”严重性级别表示可疑活动。例如，大量流量被返回到隐藏在 Tor 网络后面的远程主机，或者与通常观察到的行为有所偏离的活动。“高”严重性级别表示所述资源（例如 EC2 实例或一组 IAM 用户凭证）被泄漏，并且正被积极用于未经授权的目的。

Amazon GuardDuty 提供 HTTPS API、CLI 工具和 Amazon CloudWatch Events，以支持对安全结果的自动安全响应。例如，您可以使用 CloudWatch Events 作为事件源来触发 Amazon Lambda 函数，从而自动执行响应工作流。

Amazon GuardDuty 旨在根据亚马逊云科技账户、工作负载和存储在 Amazon S3 中的数据的总体活动水平自动管理资源利用率。GuardDuty 仅在必要时添加检测容量，并在不再需要容量时降低利用率。您现在拥有了经济高效的架构，可确保您拥有所需的安全处理能力，同时可以最大限度减少费用。使用时，您只需为使用的检测容量付费。无论您的大小如何，GuardDuty 都能为您提供规模安全性。

只需单击一下亚马逊云科技管理控制台或调用一次 API，即可在单个账户中启用 Amazon GuardDuty。在控制台上再单击几下，就可以在多个账户中启用 GuardDuty。Amazon GuardDuty 通过 Amazon Organizations 集成以及 GuardDuty 本地支持多个账户。启用后，GuardDuty 可以立即开始以近实时和大规模的方式分析连续的账户和网络活动流。无需部署和管理额外的安全软件、传感器或网络设备。威胁情报已预先集成到服务中，并在持续更新和维护中。